Information

Sécurité du commerce électronique

Sécurité du commerce électronique

Sécurité - l'état de protection contre d'éventuels dommages, la capacité de contenir ou de parer des influences dangereuses, ainsi que de compenser rapidement les dommages causés. La sécurité signifie que le système maintient la stabilité, la stabilité et la possibilité d'auto-développement. L'un des sujets de discussion les plus populaires est la sécurité du commerce électronique.

Mais jusqu'à présent, malgré toutes les opinions et déclarations précieuses, il n'existe pas de guide pratique et «terrestre» de ce qui fait encore l'objet de la sécurité du commerce électronique. Cet article fournit quelques points de vue sur cette question et tente de séparer les mythes de la réalité. Essayons de répondre à quelques questions de base qui sont évidentes pour les experts.

Les systèmes peuvent être sécurisés. Les systèmes ne peuvent être protégés que des menaces connues, le nombre de risques associés étant réduit à un niveau acceptable. Vous seul pouvez trouver le bon équilibre entre le niveau souhaité de réduction des risques et le coût de la solution. La sécurité en général est l'un des aspects de la gestion des risques. Et la sécurité de l'information est une combinaison de bon sens, de gestion des risques commerciaux et de compétences techniques de base sous le contrôle d'une gestion décente, d'une utilisation judicieuse de produits spécialisés, de capacités et d'expertise, et des technologies de développement appropriées. Dans le même temps, un site Web n'est qu'un moyen de fournir des informations à un consommateur.

La sécurité du site Web est une question purement technique. Trop souvent, la sécurité est davantage un contrôle sur le processus de développement, une bonne gestion de la configuration du système d'exploitation et une gestion de site généralement cohérente. La vraie sécurité est sous votre contrôle direct - ce qui est acceptable dans le développement de systèmes internes peut ne pas convenir à des services entièrement partagés. Les problèmes système affectant seulement quelques employés de confiance au sein d'une entreprise deviennent évidents lors du passage à des environnements partagés.

Les médias rapportent régulièrement toutes les faiblesses et risques de sécurité. Souvent, les médias ne rapportent que les problèmes qui peuvent attirer l'attention de tous et qui ne nécessitent pas de compétences particulières pour comprendre le problème sous-jacent. Ces messages reflètent rarement des menaces réelles pour l'entreprise du point de vue de la sécurité et n'ont souvent rien à voir avec la sécurité.

Les informations de carte de crédit sur Internet ne sont pas sécurisées. En fait, les informations de carte de crédit sont beaucoup moins susceptibles d'être volées lorsqu'elles sont transmises sur Internet que dans un magasin ou un restaurant à proximité. Une entreprise peu scrupuleuse peut être intéressée par l'utilisation non autorisée de ces informations, et la façon dont vous travaillez avec elles - via Internet ou non - n'est plus aussi importante. Il est possible d'augmenter la sécurité des informations effectivement transmises en utilisant des canaux de transmission sécurisés et des sites fiables. Un ingrédient essentiel de nombreux systèmes de commerce électronique est la nécessité d'une identification fiable des consommateurs. La méthode d'identification affecte directement non seulement le degré de risque, mais même le type de poursuites pénales.

Les mots de passe identifient les personnes. Les mots de passe ne fournissent qu'une vérification de base - qu'une personne autorisée à utiliser un système particulier se connecte. Les gens ont tendance à ne pas trop cacher leurs mots de passe aux autres, en particulier aux proches et aux collègues. Une technologie d'authentification plus sophistiquée peut être beaucoup plus rentable. Le niveau d'authentification utilisé doit refléter le risque d'accès à l'information par des personnes aléatoires, quel que soit le consentement de son propriétaire réel.

Une fois configurée et installée, une solution de sécurité reste fiable dans le temps. Les entreprises n'installent pas toujours les systèmes comme prévu, les changements commerciaux, tout comme les menaces. Vous devez vous assurer que les systèmes maintiennent des profils de sécurité et que votre profil est continuellement réévalué en termes de développement commercial et d'environnement. La technologie est tout aussi importante, mais elle doit être considérée comme faisant partie d'un éventail plus large de contrôles de sécurité. Les pare-feu sont communément appelés la solution pour protéger le contenu des sites de commerce électronique, mais même ceux-ci ont leurs points faibles.

Les pare-feu sont impénétrables. En implémentant un pare-feu, vous pouvez vous reposer sur vos lauriers avec l'assurance que les attaquants ne le pénétreront jamais. Le problème est qu'ils doivent être configurés de manière à ce qu'une partie du trafic les traverse toujours, et dans les deux sens. Vous devez examiner attentivement ce que vous essayez de protéger. Empêcher une attaque sur la page d'accueil de votre site est très différent d'empêcher votre serveur Web d'être utilisé comme chemin vers vos systèmes de serveur, et les exigences du pare-feu sont très différentes dans les deux cas. De nombreux systèmes nécessitent une sécurité multicouche sophistiquée pour garantir que les données plus sensibles ne sont accessibles qu'aux utilisateurs autorisés. Le courrier électronique est généralement la clé de tout site de commerce électronique. Cependant, cela entraîne un certain nombre de défis de sécurité qui ne peuvent être ignorés, qui se répartissent en deux catégories principales:
Protéger le contenu des e-mails - il peut être déformé ou lu.
Protégez votre système des attaques par e-mail entrantes.
Si vous avez l'intention de travailler avec des informations confidentielles ou sensibles à l'intégrité du courrier, il existe de nombreux produits pour les protéger.

Les virus ne sont plus un problème. Les virus constituent toujours une menace sérieuse. Le dernier passe-temps des créateurs de virus sont les fichiers joints à des lettres qui, une fois ouverts, exécutent des macros et exécutent des actions non autorisées par le destinataire. Mais d'autres moyens de propager des virus sont également en cours de développement - par exemple, via des pages Web HTML. Assurez-vous que vos produits antivirus sont à jour. S'ils ont été conçus pour rechercher des virus, ils ne pourront peut-être détecter que les virus, pas les éliminer.

Une entreprise qui dispose d'un certificat de clé publique d'une autorité de certification (CA) respectée est déjà digne de confiance en soi. Le certificat implique simplement quelque chose comme: "Au moment de la demande de certificat, je, l'autorité de certification, ai effectué des actions connues pour vérifier l'identité de cette société. Vous pouvez être satisfait ou non. Je ne connais pas cette société et je ne sais pas si vous pouvez lui faire confiance, et même - quelle est exactement son activité.Jusqu'à ce que je sois informé que la clé publique a été discréditée, je ne sais même pas qu'elle, par exemple, a été volée ou transférée à quelqu'un d'autre, et c'est à vous de vérifier, pas est annulée. Ma responsabilité est limitée aux dispositions de la déclaration de principes, que vous devez lire avant d'utiliser les clés associées à cette société. "

Les signatures numériques sont l'équivalent électronique des signatures manuscrites. Il existe certaines similitudes, mais il existe de nombreuses différences très importantes, il n'est donc pas raisonnable de considérer ces deux types de signatures comme équivalents. Leur fiabilité dépend également de la rigueur avec laquelle il est établi que la clé privée est effectivement utilisée individuellement. Les principales différences sont également les suivantes:
- Les signatures manuscrites sont entièrement sous le contrôle du signataire, tandis que les signatures numériques sont créées à l'aide d'un ordinateur et d'un logiciel qui peuvent ou non fonctionner d'une manière fiable.
- Les signatures manuscrites, contrairement aux signatures numériques, ont un original qui peut être copié.
- Les signatures manuscrites ne sont pas trop étroitement liées à ce qu'elles signent, le contenu des papiers signés peut être modifié après la signature. Les signatures numériques sont intimement liées au contenu spécifique des données qu'elles ont signées.
- La possibilité d'effectuer une signature manuscrite ne peut pas faire l'objet de vol, contrairement à une clé privée.
- Les signatures manuscrites peuvent être copiées avec différents degrés de similitude, tandis que les copies de signatures numériques ne peuvent être créées qu'en utilisant des clés volées et ont 100% d'identité de la signature du véritable propriétaire de la clé.
- Certains protocoles d'authentification vous obligent à signer numériquement les données en votre nom et vous ne savez jamais ce qui a été signé. Vous pouvez être obligé de signer numériquement à peu près n'importe quoi.

Les produits de sécurité peuvent être évalués en fonction de leurs fonctionnalités, tout comme les suites professionnelles. Ils exigent également une évaluation de la sécurité de leur mise en œuvre et des menaces contre lesquelles ils ne peuvent pas se protéger (qui peuvent ne pas être documentés). En général, les applications d'entreprise sont sélectionnées en fonction de leurs fonctionnalités et de leur facilité d'utilisation. Il est souvent tenu pour acquis que les fonctions sont exécutées comme prévu (par exemple, le logiciel de calcul des taxes calcule correctement les taxes). Mais ce n'est pas juste pour les produits de sécurité. La plus grande question ici est de savoir comment les fonctions de protection sont mises en œuvre. Par exemple, un package peut offrir une puissante authentification par mot de passe pour les utilisateurs, tout en conservant les mots de passe dans un fichier texte brut que presque tout le monde peut lire. Et ce serait loin d'être évident et pourrait créer un faux sentiment de sécurité.

Les produits de sécurité sont faciles à installer. La plupart des produits sont livrés avec les paramètres par défaut. Cependant, les organisations ont des politiques de sécurité différentes et les configurations de tous les systèmes et postes de travail correspondent rarement. En pratique, l'installation doit être adaptée à la politique de sécurité de l'organisation et à chacune des configurations de plateforme spécifiques. La validation des mécanismes de maintenance pour un nombre d'utilisateurs en croissance rapide et d'autres attributs de création d'un environnement sécurisé pour des centaines d'utilisateurs existants peut être un processus complexe et chronophage.

Les produits PKI protègent le commerce électronique dès la sortie de la boîte. Les produits PKI sont une boîte à outils de base pour aider à mettre en œuvre des solutions de sécurité, mais uniquement dans le cadre de l'ensemble du package, qui comprend également des éléments juridiques, procéduraux et autres éléments techniques. En pratique, cela est souvent beaucoup plus difficile et coûteux que d'installer une PKI de base.

Les consultants en sécurité méritent une confiance absolue. N'oubliez pas que les consultants en sécurité auront accès à tous vos processus et données les plus sensibles. Si les consultants invités ne travaillent pour aucune entreprise réputée, il est nécessaire d'obtenir des informations d'une source désintéressée sur leurs compétences et leur expérience - par exemple, parler à leurs anciens clients. Il existe de nombreux consultants qui prétendent être des professionnels de la sécurité de l'information, mais en fait, ils ont peu ou pas d'idée de quoi il s'agit. Ils peuvent même créer un faux sentiment de sécurité en vous convaincant que vos systèmes sont plus sécurisés qu'ils ne le sont en réalité.

Conclusions.

Donc, avant de feuilleter les brochures de sécurité les plus récentes, triez l'essentiel:
- Calculez soigneusement les types de risques qui menacent votre activité de commerce électronique et ce qu'ils vous coûteraient, et ne dépensez pas plus en protection que ce coût estimé du risque.
- Trouver un équilibre entre les contrôles de sécurité procéduraux et techniques.
- Développer un projet complet dans lequel la sécurité serait l'une des composantes fondamentales, et ne serait pas introduite post facto, après quelques délibérations.
- Sélectionnez les produits de sécurité appropriés pour ce projet.


Voir la vidéo: IPEMED. Alain Ducass, expert associé, sur le commerce électronique en Afrique (Décembre 2021).