Sécurité d’e-commerce

Sécurité

– l’état de protection contre les dommages possibles, la capacité de contenir ou de prévenir les effets dangereux, ainsi que de compenser rapidement les dégâts. La sécurité signifie maintenir un système de stabilité, de durabilité et de développement personnel. L’un des sujets les plus populaires à discuter est la sécurité du commerce électronique.

Sécurité d'e-commerce

Mais jusqu’à maintenant, malgré toutes les opinions et les déclarations importantes, il n’y a pas de bénéfice pratique et “terrestre” pour ce qui concerne toujours la sécurité du commerce électronique. Dans cet article, certains points de vue sur cette question sont donnés, et une tentative est faite de séparer les mythes de la réalité. Essayons de répondre à certaines questions fondamentales qui sont évidentes pour les spécialistes.

Les systèmes peuvent être protégés.

Les systèmes ne peuvent être protégés que contre des menaces connues, avec une réduction du nombre de risques qui leur sont associés à un niveau acceptable. Seul vous pouvez déterminer le juste équilibre entre le niveau souhaité de réduction des risques et le coût de la solution. La sécurité en général est l’un des aspects de la gestion des risques. Et la sécurité de l’information est une combinaison de bon sens, de gestion des risques commerciaux et de compétences techniques de base sous la gestion de la gestion décente, l’utilisation rationnelle des produits spécialisés, des capacités et de l’expertise et des technologies de développement adéquates. Dans le même temps, un site Web est un moyen de fournir des informations à un consommateur.

La sécurité du site est un problème exceptionnellement technique.

Trop souvent, la sécurité est plus pertinente pour le bon contrôle du processus de développement, une gestion adéquate de la configuration du système d’exploitation et une gestion cohérente globale du site. La sécurité réelle est sous votre contrôle direct: ce qui est acceptable lors du développement de systèmes internes peut ne pas convenir à des services entièrement partagés. Les problèmes dans les systèmes qui affectent seulement quelques employés de confiance au sein de l’entreprise deviennent évidents lorsqu’ils se déplacent vers des environnements partagés.

Les médias font régulièrement rapport sur toutes les faiblesses et les risques dans le domaine de la sécurité.

Souvent, les médias ne font état que de problèmes qui peuvent attirer l’attention générale et ne nécessitent pas de compétences particulières pour comprendre le problème. De tels rapports reflètent rarement des menaces réelles pour les entreprises du point de vue de la sécurité et ne sont souvent pas liés à la sécurité.

Les informations sur les cartes de crédit sur Internet ne sont pas protégées.

En fait, les informations sur les cartes de crédit sont beaucoup moins susceptibles d’être volées lorsqu’elles sont transmises par Internet que dans un magasin ou un restaurant voisin. L’utilisation non autorisée de ces informations peut intéresser les entreprises déloyales, et comment vous travaillez avec elle – par Internet ou non – n’est pas si important. Augmenter la sécurité des informations transmises en utilisant des canaux de transmission sécurisés et des sites fiables. Une composante essentielle de nombreux systèmes de commerce électronique est la nécessité d’une identification fiable des consommateurs. La méthode d’identification affecte directement non seulement le degré de risque, mais même le type de poursuite pénale.

Les mots de passe identifient les personnes.

Les mots de passe ne fournissent que la vérification de base – que quelqu’un est connecté pour utiliser un système particulier. Les gens ont tendance à ne pas cacher leurs mots de passe des autres, en particulier de proches parents et collègues. Une technologie d’authentification plus complexe peut être beaucoup plus rentable. Le niveau d’authentification utilisé doit refléter le risque d’accès à l’information de personnes aléatoires, quel que soit le consentement de son propriétaire actuel.

Une fois qu’une solution de sécurité configurée et installée reste fiable au fil du temps.

Les entreprises n’installent pas toujours les systèmes comme il se doit, les affaires évoluent, tout comme les menaces.Vous devez vous assurer que les systèmes maintiennent les profils de sécurité et que votre profil est constamment réévalué en termes d’affaires et d’environnement. La technologie est tout aussi importante, mais elle devrait être considérée comme faisant partie intégrante d’une gamme plus large de contrôles de sécurité. En règle générale, en tant que solution pour protéger le contenu des sites commerciaux électroniques appelés pare-feu, mais même ils ont leurs points faibles.

Les pare-feu sont impénétrables.

En mettant en œuvre un pare-feu, vous pouvez vous reposer sur vos lauriers en croyant que les attaquants ne le traverseront jamais. Le problème, c’est qu’ils doivent être configurés de telle sorte que le trafic passe par eux et dans les deux sens. Vous devez réfléchir attentivement à ce que vous essayez de protéger. La prévention d’une attaque sur la page principale de votre site diffère considérablement de la prévention de l’utilisation de votre serveur Web comme chemin d’accès à vos systèmes serveur et les exigences pour le pare-feu dans les deux cas sont très différentes. De nombreux systèmes nécessitent une protection multi-couches complexe pour permettre l’accès à des données plus sensibles que par des utilisateurs autorisés. Un rôle clé dans tout site de commerce électronique est, en règle générale, un e-mail. Néanmoins, cela entraîne un certain nombre de problèmes de sécurité, inacceptables à ignorer. Ces problèmes appartiennent à deux catégories principales:
Protéger le contenu du courrier électronique – il peut être déformé ou lu.
Protégez votre système contre les attaques par courrier électronique entrant.
Si vous avez l’intention de travailler avec des informations confidentielles ou sensibles, il existe beaucoup de produits pour le protéger.

Les virus ne sont plus un problème.

Les virus sont encore un danger sérieux. Le dernier hobby des créateurs de virus est le fichier joint dans les lettres, lors de l’exécution de la macro, qui effectue des actions non autorisées par le destinataire. Mais d’autres moyens de propagation de virus sont en cours de développement, par exemple, à travers des pages Web HTML. Vous devez vous assurer que vos produits antivirus restent pertinents. S’ils ont été conçus pour rechercher des virus, il se peut qu’ils ne soient capables de détecter les virus, mais pas les éliminer.

Une entreprise qui détient un certificat de clé publique d’une autorité de certification réputée (CA) elle-même est déjà digne de confiance.

Le certificat signifie simplement: “Au moment de demander le certificat, je, CA, j’ai effectué certaines actions pour vérifier l’identité de cette société. Vous pouvez le satisfaire, ou ce ne peut pas. Je ne suis pas familier avec cette entreprise et je ne sais pas si on peut faire confiance , et même – ce qui fait exactement son affaire. Tant qu’ils ne révèlent pas que la clé publique est discréditée, je ne vois même pas que, par exemple, il est volé ou transféré à quelqu’un d’autre et c’est à vous de vérifier, Je suis limité aux dispositions du document, décrivant les (Policy Statement), que vous devez lire avant d’utiliser les clés associées à cette société. ”

Les signatures numériques sont l’équivalent électronique des manuscrits.

Il existe une certaine similitude, mais il existe un certain nombre de différences très importantes, il est donc déraisonnable de considérer ces deux types de signatures comme équivalentes. Leur fiabilité dépend aussi de la façon dont il est strictement établi que la clé privée est vraiment utilisée individuellement. Les principales différences sont également:
– Les signatures manuscrites sont entièrement sous le contrôle du signataire, tandis que les numériques sont créés à l’aide d’un ordinateur et d’un logiciel qui peuvent fonctionner ou ne fonctionnent peut-être pas afin que les actions qu’ils effectuent puissent être fiables.
– Les signatures manuscrites, à la différence de celles numériques, ont un original qui peut être copié.
– Les signatures manuscrites ne sont pas trop proches de ce qu’elles signent, le contenu des documents signés peut être modifié après la signature.Les signatures numériques sont complexes liées au contenu spécifique des données auxquelles elles sont souscrites.
– La possibilité d’effectuer une signature manuscrite ne peut pas faire l’objet d’un vol, contrairement à une clé privée.
– Les signatures manuscrites peuvent être copiées avec des similarités différentes, et les copies de signatures numériques ne peuvent être créées qu’en utilisant des clés volées et possèdent une identité à 100% de la signature du véritable propriétaire de la clé.
– Certains protocoles d’authentification nécessitent la signature des données avec une signature numérique en votre nom, et vous ne saurez jamais pour quoi elles ont été signées. Vous pouvez être obligé de signer presque n’importe quoi une signature numérique.

Les produits de sécurité peuvent être évalués en fonction de leurs fonctionnalités, comme les paquets professionnels.

Ils exigent également une évaluation de la sécurité de leur mise en œuvre et des menaces dont ils ne peuvent protéger (ce qui peut ou non être documenté). En général, les applications métier sont sélectionnées en fonction de leur fonctionnalité et de leur facilité d’utilisation. Il est souvent pris pour acquis que les fonctions sont effectuées comme prévu (par exemple, le paquet de calcul de l’impôt calcule correctement les taxes). Mais cela est injuste pour les produits qui fournissent de la sécurité. La plus grande question ici est la façon dont les fonctions de protection sont mises en œuvre. Par exemple, un paquet peut offrir une authentification puissante des mots de passe des utilisateurs mais, en même temps, stocker des mots de passe dans un fichier texte simple que presque tout le monde peut lire. Et ce ne serait pas évident du tout et pourrait créer un faux sentiment de sécurité.

Les produits de sécurité sont faciles à installer.

La plupart des produits sont livrés avec les paramètres par défaut. Cependant, les organisations ont des politiques et des sécurités différentes et la configuration de tous les systèmes et stations de travail est rarement l’une avec l’autre. En pratique, l’installation doit être adaptée à la politique de sécurité de l’organisation et à chacune des configurations de plate-forme spécifiques. La vérification des mécanismes de maintenance d’un nombre croissant d’utilisateurs et d’autres attributs de créer un environnement sécurisé pour des centaines d’utilisateurs existants peut être un processus très complexe et long.

Les produits PKI protègent le commerce électronique sans configuration supplémentaire.

Les produits PKI sont un outil de base qui aide à mettre en œuvre des solutions de sécurité, mais seulement dans le cadre du paquet complet, qui comprend également des éléments juridiques, procédurales et autres éléments techniques. En pratique, cela est souvent beaucoup plus compliqué et coûteux que l’installation d’un PKI basique.

Les consultants en sécurité sont absolument dignes de confiance.

N’oubliez pas que les conseillers de sécurité auront accès à tous vos processus et données les plus sensibles. Si les consultants invités ne fonctionnent pas dans une entreprise de bonne réputation, vous devez obtenir des informations provenant d’une source désintéressée sur leur compétence et leur expérience – par exemple, parlez à leurs anciens clients. Il existe de nombreux consultants qui prétendent être des professionnels dans le domaine de la sécurité de l’information, mais n’ont pratiquement aucune idée de ce que c’est. Ils peuvent même créer un faux sentiment de sécurité, vous convaincre que vos systèmes sont plus protégés qu’ils ne le sont réellement.

Conclusions.

Alors, avant de parcourir les brochures de sécurité les plus récentes, exposez les points principaux:
– Calculez minutieusement les types de risques qui menacent votre entreprise de commerce électronique et ce qu’ils vous ont coûté, et ne pas dépenser plus pour la protection que C’est le prix attendu du risque.
– Conservez un équilibre entre les contrôles de sécurité procédural et technique.
– Développer un projet dans son intégralité, dans lequel la sécurité serait l’une des composantes fondamentales, et non post-factum, après réflexion.
– Sélectionnez les produits de sécurité qui correspondent à ce projet.

Add a Comment