Sécurisation d'un site web

Le développement et la maintenance de votre site web jouent un rôle important dans votre présence en ligne. Les incidents de cybersécurité, tels que le vol des données de vos clients, pourraient avoir un impact important sur votre entreprise ou votre marque à plusieurs niveaux:

  • atteinte à la réputation de la marque;
  • interruption de vos services;
  • perte de confiance de vos clients;
  • sanctions réglementaires et actions en justice.

Les incidents de cybersécurité qui touchent les boutiques en ligne peuvent être les suivants:

  • vol de données des clients;
  • altérations d'informations sur la plateforme de commerce électronique;
  • fermeture du site web;
  • fuite d'informations commerciales confidentielles.

Il est également très important de dresser la liste des informations sensibles présentes sur votre site, et ce avant tout problème de sécurité. Vous devez tenir compte des éléments suivants:

  • Quelles informations sont cruciales pour votre entreprise?
  • Où sont-elles stockées?
  • Dans quelle mesure peuvent-elles être récupérées si elles sont volées en cas de cyberattaque?

Vous devez également effectuer un audit complet de vos systèmes, prendre note des éléments les plus importants et assurer un suivi de tous ces éléments. Assurez-vous de ne pas être la seule personne de votre organisation qui a connaissance de cet audit, mais gardez également à l'esprit que l'accès à tous les systèmes de données ne doit être accordé qu'en fonction du besoin d'en connaître.

Protéger les informations figurant sur votre site web

Il est important de réfléchir à la manière dont les aspects essentiels de la sécurité de l'information — confidentialité, intégrité et disponibilité — s'appliquent à votre site web et à vos services et déterminent les exigences de niveau de service nécessaires. Veuillez noter que ces exigences peuvent varier en fonction d'autres éléments que vous avez décidé d'intégrer.

Si vous souhaitez que votre système soit sécurisé, vous devez vous assurer que les éléments suivants sont protégés:

  • Confidentialité: cela implique de protéger les informations telles que les numéros de carte de crédit/débit et d'autres informations à caractère personnel contre toute divulgation à des parties non autorisées. Pour ce faire, vous pouvez:
    • mettre en place un mécanisme d'authentification approprié (tel que des solutions d'authentification à plusieurs facteurs, qui reposent sur la fourniture par un utilisateur de deux moyens ou plus pour vérifier son identité);
    • utiliser des connexions cryptées (https: Protocole SSL Sécurité) pour veiller à ce que seules les personnes appropriées aient accès à des informations sensibles.
  • Intégrité: cela implique de s'assurer que les informations restent exactes et fiables en les protégeant contre toute altération de la part de parties non autorisées. Cela passe par:
    • la vérification quotidienne des dossiers modifiés;
    • l'organisation de tests de sécurité pour votre site web et vos services, afin d'éviter les attaques;
    • la mise en place d'un système de prévention des intrusions.
  • Disponibilité: cela implique de veiller à ce que votre site web soit opérationnel en permanence si vous hébergez votre propre site. Pour ce faire, vous pouvez:
    • mettre en œuvre d'un système électrique de secours;
    • entretenir rigoureusement de tout le matériel informatique.

Comment réagir aux incidents de sécurité?

En cas d'infraction à la sécurité, il est important de disposer d'un plan d'action qui prévoit des mesures et des procédures spécifiques et concrètes en cas d' incident de sécurité. Les procédures doivent indiquer:

  • qui est le chef de file;
  • comment contacter le personnel critique;
  • quels types de données, de réseaux et de services sont à privilégier pour la récupération;
  • Quelles personnes doivent être informées (propriétaires de données, clients ou entreprises partenaires) si leurs données, ou des données ayant une incidence sur leurs réseaux, sont exposées.

Si vous détectez une infraction, suivez ces étapes:

  • informez vos clients afin de maintenir la confiance;
  • assurez-vous que tous les acteurs concernés par votre boutique en ligne sont également informés. Vous devez désigner un responsable informatique permanent en cas de détection d'un problème de sécurité;
  • déterminez la cause de l'infraction, en fournissant des preuves documentées qui peuvent être utilisées en justice;
  • si des informations financières, telles que des données de carte de crédit, sont concernées, vous devez en informer le prestataire chargé de vos transactions financières.

Vous devez également mettre en place une politique de notification des violations de données, qui pourra être incluse dans votre déclaration de confidentialité, et indiquer comment et quand vous informerez vos clients en cas de violation de données à caractère personnel. Notez également qu'en vertu des règles du RGPD vous êtes tenu d'informer l'autorité de contrôle de la protection des données dès que vous avez connaissance d'une violation de données.

Au niveau national, les équipes d'intervention en cas d'urgence informatique (CERT) sont des équipes d'experts de la sécurité responsables de la gestion des incidents de sécurité (tels que la notification et la réaction aux menaces pour la sécurité). Ils peuvent vous donner des informations sur ce qu'il convient de faire et à qui vous adresser pour obtenir de l'aide si vous êtes victime d'une cyberattaque. Ils publient également des alertes sur les vulnérabilités et les menaces dans votre pays.

Conformité avec les règles de protection des données

Le règlement général sur la protection des données contient des obligations pour les entreprises qui collectent, stockent et gèrent des données à caractère personnel. Les deux principaux objectifs du RGPD sont la transparence et l'information du public sur la manière dont leurs données sont utilisées.

Pour de plus amples informations sur les dispositions générales du RGPD et sur la manière dont elles s'appliquent à votre entreprise, veuillez consulter la sous-section relative à la protection des données.

Le RGPD concerne en particulier la déclaration de confidentialité (ou politique de confidentialité) qui doit figurer sur votre boutique en ligne. Cette déclaration est un document public publié par votre entreprise, dans lequel elle explique comment elle traite les données à caractère personnel et comment elle applique les principes de protection des données. Si votre site web recueille directement les données à caractère personnel d'un utilisateur, la déclaration de confidentialité doit être affichée dès la saisie des données.

La déclaration de confidentialité doit être:

  • rédigée dans une langue concise, transparente et intelligible;
  • facilement accessible;
  • fournie gratuitement et en temps utile.

Découvrez ce que doit contenir votre déclaration de confidentialité

La déclaration de confidentialité affichée sur votre boutique en ligne doit contenir les informations suivantes:

  • identité et coordonnées de votre entreprise, de son représentant désigné et de son délégué à la protection des données en ;
  • les raisons pour lesquelles votre entreprise traite les données à caractère personnel des utilisateurs et les motifs juridiques pour le faire;
  • les intérêts légitimes de votre entreprise à l'égard du traitement des données à caractère personnel;
  • tous les destinataires des données des utilisateurs;
  • si des données à caractère personnel sont transférées vers un pays en dehors de l'UE;
  • durée de conservation des données;
  • les droits des utilisateurs en ce qui concerne leurs données traitées, en particulier leurs droits à:
    • retirer le consentement à tout moment;
    • introduire une réclamation auprès d'une autorité de contrôle;
  • si les données à caractère personnel des utilisateurs sont fournies sur la base d'obligations légales ou contractuelles;
  • l'existence d'un système automatisé de prise de décision, qui comprend le profilage des données (le processus par lequel les données déjà collectées sont analysées pour des raisons statistiques).

La déclaration de confidentialité affichée sur votre boutique en ligne doit contenir les informations suivantes:

  • identité et coordonnées de votre entreprise, de son représentant désigné et de son délégué à la protection des données;
  • les raisons pour lesquelles votre entreprise traite les données à caractère personnel des utilisateurs et les motifs juridiques pour le faire;
  • les intérêts légitimes de votre entreprise à l'égard du traitement des données à caractère personnel;
  • tous les destinataires des données des utilisateurs;
  • si des données à caractère personnel sont transférées vers un pays en dehors de l'UE;
  • durée de conservation des données;
  • les droits des utilisateurs en ce qui concerne leurs données traitées, en particulier leurs droits à:
    • retirer le consentement à tout moment;
    • le droit d'introduire une réclamation auprès d'une autorité de contrôle;
  • catégories de données à caractère personnel obtenues par votre entreprise;
  • existence ou non d'un système automatisé de prise de décision incluant le profilage des données.

Les déclarations de confidentialité doivent être fournies par écrit et transmises par voie électronique (le cas échéant), publiées dans une section spécifique de votre site web (par exemple: Politique en matière de protection de la vie privée en ) et doit être accessible directement à partir de n'importe quelle page ou sous-page du site.

Pour de plus amples informations et des conseils utiles sur l'élaboration de votre politique en matière de protection de la vie privée, vous pouvez vous référer à ces lignes directrices en pratiques.

Législation européenne

Besoin de services d'assistance?

Contacter un service d'assistance spécialisé

Vous avez des questions sur l’exercice d'une activité transfrontière, par exemple exporter vers un autre pays de l’UE ou y développer son activité? Si c’est le cas, le Enterprise Europe Network peut vous conseiller gratuitement.

Vous pouvez également utiliser l’outil de recherche de services d’assistance afin de trouver l’aide la plus appropriée.

Dernière vérification : 24/05/2024
Partager cette page