La cybersécurité est un de nos atouts majeurs. Compétence transverse, elle est au coeur de nos préoccupations.
Ce ne sont pas de vains mots, par exemple, toute l’équipe opérationnelle est certifiée par l’ANSSI [Agence Nationale pour la Sécurité des Systèmes d’Information.]
La cybersécurité, à quoi ça sert ?
Non, on ne va pas commencer par « qu’est-ce que c’est » ou « définition de la cybersécurité. » La cybersécurité est au coeur de nos préoccupations dans toutes nos activités, du développement front-end à l’infrastructure, en passant par la manière de stocker les modèles d’IA.
Tout ça, c’est bien pour le SEO et le GEO, mais c’est tout. Passons cette étape.
Une question légitime est plutôt :
quel est le ratio coût / gain des investissements cybersécurité dans le web en général et l’e-commerce en particulier ?
Comme toute politique de gestion du risque, c’est ce ratio qu’il est important de surveiller. Nous vous proposons donc un tableau avec des exemples concrets d’investissements cybersécurité, une balance de coûts, l’impact commercial et in fine, si le ROI estimé peut être favorable :
| Mesure de cybersécurité | Coût d’implémentation | Réduction du risque | Impact commercial | ROI estimé |
|---|
| Authentification multi-facteurs (MFA) | 🟢 Faible | 🟢 Élevé | 🟢 Moyen ++ (réduction des comptes compromis) | ⭐⭐⭐⭐⭐ |
| MCO/MCS (Voir la page dédiée) | 🟠 Moyen | 🟢 Élevé | 🟠 Moyen (réduction de l’apparition de failles) | ⭐⭐⭐⭐ |
| Chiffrement des données (TLS, AES-256, etc.) | 🟠 Moyen | 🟢 Élevé | 🟠 Moyen (augmentation de la confiance client) | ⭐⭐⭐ |
| Gestionnaire de mots de passe + politiques strictes | 🟢 Faible | 🟢 Élevé | 🟠 Faible (meilleure sécurité interne) | ⭐⭐⭐ |
| Audit de sécurité régulier (Pentest, Bug Bounty) | 🔴 Élevé | 🟢 Élevé | 🟠 Moyen (réduction des failles exploitées) | ⭐⭐⭐ |
| Web Application Firewall (WAF) + Anti-DDoS | 🟠 Moyen | 🟢 Élevé | 🟢 Élevé (protection contre attaques et downtime) | ⭐⭐⭐⭐⭐ |
| Surveillance en temps réel (SIEM, SOC, EDR) | 🔴 Élevé | 🟢 Élevé | 🟢 Élevé (réduction des temps de réponse aux attaques) | ⭐⭐⭐ |
| Formation des employés à la cybersécurité | 🟠 Moyen | 🟠 Moyen | 🟠 Moyen (réduction du phishing interne) | ⭐⭐⭐ |
| Vérification des transactions suspectes (fraude) | 🟠 Moyen | 🟢 Élevé | 🟢 Élevé (réduction des pertes dues aux fraudes) | ⭐⭐⭐⭐ |
Evidemment, ces éléments sont donnés à titre d’indicatif, en se basant sur notre expérience.
Par exemple, si votre chiffre d’affaire e-commerce est > 1M€ , prévenir le downtime (temps hors ligne du site) sera bien plus rentable que si votre e-commerce fait moins de 100k.
Nous pouvons conseiller et fournir ce type de préconisations, mais l’arbitrage ne peut revenir à la partie technique seule.
Et évidemment, toutes les prestations citées, nous les proposons.
Je veux parler de cybersécurité avec vous !
Les coûts des cyberattaques
L’objectif n’est pas de faire peur. Mais la variable sécuritaire est à prendre en compte dans tout business en ligne.
Voici quelques estimations de coûts liés aux conséquences de cyberattaques sur des sites e-commerce.
A titre d’exemple, prenons un e-commerçant fictif réalisant un CA d’1M€, ne traitant pas de données sensibles et n’étant pas dans un domaine spécifiquement réglementé (médical, défense, etc.)
Nous allons lister différentes conséquences de cyberattaques. A noter qu’il est peu probable que toutes ces conséquences se réalisent en simultané.
Pour faire le calcul, cela représenterait 25% de perte de CA.
1. Perte de revenus due à une indisponibilité du site
- Si le site est hors service pendant 5 jours suite à une attaque (ex : ransomware, DDoS), et en supposant une répartition uniforme du CA :
- Si la reprise est progressive sur 10 jours supplémentaires, avec une baisse de trafic de 50% :
= Total : ~27 400€
2. Perte de référencement Google (SEO)
- Si Google déclasse le site pour cause de contenu malveillant, récupération SEO difficile sur 3 mois avec une baisse de trafic organique de 40% :
= Total : ~100 000€
3. Blocage du domaine et perte de délivrabilité des emails
- Si le nom de domaine est signalé comme malveillant, impactant la délivrabilité des emails transactionnels et marketing :
- Taux de conversion habituel : 2%, baisse de conversion de 50% pendant 2 moisPerte estimée sur campagnes email (si 20% du CA dépend de l’emailing) :
= Total : ~16 700€
4. Amende RGPD en cas de fuite de données clients
- Mon préféré. En cas de violation de données personnelles (ex : fuite de mots de passe ou CB), la CNIL peut infliger une amende de 2% du CA annuel :
= Total : 20 000€
5. Coût de la remédiation technique et juridique
- Audit de cybersécurité post-attaque (forensic, pentest, patching, reprise d’activité)
~10 000€ - Consulting RGPD et avocat (notification clients, gestion juridique)
~5 000€ - Rachat de publicités Google Ads et Social Ads pour compenser la perte de SEO
~15 000€
= Total : ~30 000€
6. Perte de confiance client et churn
- Après une fuite de données, 15% des clients ne reviennent plus (nombre « au pif »; la seule étude que j’ai trouvée parle de 65% des clients qui disent qu’il ne reviendront plus après le piratage d’un site. Ce me semble excessif.).
- Si la base client régulière génère 20% du CA annuel, la perte est :
= Total : ~30 000€
Faisons le résumé du coût total estimé d’une cyberattaque de type « vraiment pas de bol »
| Catégorie | Montant (€) |
|---|---|
| Perte de revenus (downtime, reprise) | 27 400€ |
| Perte de référencement Google (SEO) | 100 000€ |
| Blocage du domaine et perte emailing | 16 700€ |
| Amende RGPD potentielle | 20 000€ |
| Coût de remédiation technique et juridique | 30 000€ |
| Perte de clients fidèles | 30 000€ |
| Total | 224 100€ |
Comme évoqué, le but n’est pas de faire peur, mais de montrer que les pertes ne sont pas uniquement directes et liées à du temps hors-ligne.
Corollaire à la cybersécurité : conception et infrastructure
La cybersécurité est un ensemble, dont la conception en amont et l’infrastructure en aval sont des maillons essentiels.
Concernant l’infrastructure, nous avons une partie dédiée sur notre site – car nous sommes hébergeurs et notre priorité est de concilier performance technique & performance commerciale.
Parlons de la conception de plateformes e-commerce.
Version courte : sécuriser une plateforme e-commerce commence dès la conception de son architecture.
Version illisible : pour sécuriser une plateforme e-commerce, il faut prendre en compte dès la conception plusieurs problématiques techniques. Tout d’abord, un modèle API-first impose une gestion rigoureuse des accès avec OAuth 2.1 et des jetons JWT à durée de vie courte, réduisant ainsi le risque d’usurpation. Les appels API doivent être surveillés en temps réel avec un logging structuré et des mécanismes de rate-limiting pour limiter les abus.
Côté procédure technique, une approche Zero Trust est essentielle : chaque composant doit être isolé selon le principe du moindre privilège, empêchant la propagation latérale d’un attaquant en cas de compromission.
Les bases de données clients et les systèmes de paiement ne doivent jamais être directement exposés ; l’accès doit être restreint à des backends sécurisés avec chiffrement AES-256 des données au repos et TLS 1.3 en transit. Une plateforme e-commerce repose souvent sur de nombreux services tiers, et chaque intégration doit être validée pour éviter l’exfiltration de données via des failles dans des SDKs mal sécurisés.
Le monitoring continu permet de détecter des comportements suspects et d’anticiper des attaques en temps réel [Nb : des sondes sont comprises dans nos offres d’hébergement, même basiques.]
Enfin, automatiser la gestion des dépendances avec un SCA (Software Composition Analysis) pour éviter l’exploitation de vulnérabilités connues dans les librairies utilisées.
Version efficace : vous ne savez déjà pas si votre plateforme est sécurisée. Nous proposons des audits cybersécurité.
La cybersécurité est un sujet brûlant.
Quelques questions / réponses sur le sujet :
Est-ce que la cybersécurité coûte cher ?
Oui.
Que ce soit dans la prévention des risques, la gestion de crise, le rétablissement en conditions opérationnelles et en perte d’exploitatoin, la cybersécurité coûte cher et coûtera cher.
Notre parti est de dire que quelques centaines d’euros / mois (sous forme d’hébergement, de MCO/MCS, de sondes, de procédures, d’audits récurrents, de veille, etc.) éviteront 95% des attaques pour des plateformes commerciales classiques.
Donc le ratio coût / gain sera intéressant. Et que les prestations spécifiques seront à réserver pour des cas spécifiques.
Est-ce que la cybersécurité sert à quelque chose avec l’avènement de l’IA ?
La loi de l’épée et du bouclier.
Il y a en effet trois tendances que nous constatons en cybercriminalité & e-commerce :
L’automatisation des attaques.
Botnets et « AI-powered attacks », qui nécessitent des protections avancées (WAF + détection comportementale.)
Rançongiciels ciblant les e-commerçants.
Plusieurs cas concrets (pas chez nos clients) où des boutiques Shopify / Magento ont été chiffrées, bloquant les ventes pendant des jours.
Deepfake et escroqueries IA sur les services client.
Très malin et difficile à repérer. Des cas de fraude par voix IA et harponnage par e-mail visant le support client pour modifier des transactions. De l’ingénierie sociale augmentée par l’IA – d’où l’importance de former vos équipes.
Mais il faut noter que le bouclier aussi s’améliore avec l’IA.
C’est notre travail, chez Les Vikings !
Quels sont les standards de cybersécurité à respecter en e-commerce ?
Les plateformes e-commerce traitent des paiements et des données client, elles doivent donc respecter des standards.
PCI-DSS 4.0 (protection des transactions) :
Obligation de chiffrement des données bancaires, journalisation et segmentation réseau
Renforcement des contrôles d’accès et gestion des logs
Directive NIS2 (Network and Information Security) :
Entrée en application récemment, la directive NIS2 vise à harmoniser la cybersécurité au sein des entreprises européennes.
Elle impose aux entreprises et aux collectivités d’améliorer leurs compétences en matière de cybersécurité et de recruter en conséquence, sous peine de sanctions
RGPD et CNIL :
Penser « Privacy by Design » -> limiter la collecte de données client, éviter le stockage inutile de CB
Gérer les demandes de droit à l’oubli et portabilité des données
Tenir un registre des traitements et des consentements
SOC 2, ISO 27001 pour les marketplaces et SaaS e-commerce :
Ces certifications deviennent un avantage concurrentiel pour garantir la protection des données
La cybersécurité est-elle un frein à une bonne UX ? [Expérience Utilisateur]
La cybersécurité et l’expérience utilisateur ne sont pas incompatibles, bien au contraire, elles peuvent se renforcer mutuellement.
L’un des débats fréquents concerne l’impact du MFA sur le taux de conversion.
Pourtant, une authentification multifactorielle bien implémentée, via SMS, application mobile ou WebAuthn, renforce la sécurité sans frustrer l’utilisateur, notamment lorsqu’elle est activée uniquement en cas de connexion suspecte, comme depuis un nouvel appareil ou une localisation inhabituelle.
Dans le domaine des paiements, la friction peut être réduite grâce à 3D Secure 2 et ses exemptions intelligentes qui évitent une validation supplémentaire pour les transactions jugées sûres.
L’adoption de solutions comme Apple Pay ou Google Pay permet d’intégrer la tokenisation et une authentification forte native, limitant ainsi le risque de fraude tout en accélérant le paiement.
Enfin, une authentification basée sur WebAuthn et FIDO2, représente une avancée majeure en éliminant les mots de passe traditionnels, réduisant le phishing, les attaques par force brute et les risques liés aux fuites de bases de données. En plus d’améliorer la sécurité, cela diminue significativement les coûts de support liés aux réinitialisations de mots de passe et aux comptes bloqués, offrant ainsi une expérience utilisateur plus fluide et sécurisée.
Ce que j’en déduis, c’est que la cybersécurité aide les e-commerçants à diminuer les frictions dans le tunnel de vente.
Quelles sont les principales menaces cybersécurité pour les sites e-commerce ?
Comme évoqué, cela dépendra de votre site – saisonnalité, CA, clientèle, logistique, etc.
Mais spontanément, je dirais les attaques DDoS, le phishing, les injections SQL, le vol de cartes bancaires (Magecart), le credential stuffing et les ransomwares ciblant les bases de données clients.
C’est déjà pas mal.
Comment savoir si mon site e-commerce a été piraté ?
Regardez tout d’abord votre back-office. Des transactions frauduleuses, des comportements anormaux dans l’administration, des comptes administrateurs suspects ou des plaintes de clients (concernant des emails suspects envoyés en votre nom par exemple.)
Une baisse soudaine de trafic (SEO impacté) peut aussi être un signe.
Vous ai-je déjà dit que nous faisions des audits ?
Mon site e-commerce est conforme au RGPD, cela signifie-t-il qu’il est sécurisé ?
Non.
Le RGPD impose des obligations de protection des données, mais il ne garantit pas l’absence de faille de sécurité.
Il est essentiel d’adopter des mesures techniques supplémentaires, comme le chiffrement et la surveillance des accès.
Un site e-commerce sécurisé est-il un site e-commerce lent ?
Pas les saintes culottes de Mac Gregor, bien sûr que non !
Si c’est bien fait. L’optimisation passe par un bon hébergement, l’utilisation d’un WAF (Web Application Firewall), et une mise en cache efficace.
Un CDN sécurisé peut même améliorer la rapidité et bloquer certaines attaques DDoS.
Vous a-t-on parlé de nos hébergements e-commerce, qui sont à la fois « verts » et qui incluent un CDN ?
Mon site est sur Shopify / WooCommerce / PrestaShop / Magento, ai-je besoin de cybersécurité ?
Oui, et même les plateformes SaaS ne protègent pas tout.
Entre autres, vous devez sécuriser vos accès, faire de la veille, maintenir vos plugins/extensions ( notre fameux MCO/MCS ) et utiliser un prestataire de paiement fiable.
Combien investir dans la cybersécurité de mon site e-commerce ?
Celle-ci, elle est de ChatGPT :
» Un bon budget cybersécurité représente environ 5 à 10 % du chiffre d’affaires »
Franchement, non.
Il faut raisonner en tranches, car pour un petit e-commerce la dépense sera plus importante que pour un gros, qui aura des besoins supérieurs en infrastructure et en veille, mais pas nécessairement en MCO/MCS.
Un fort chiffre d’affaires ne veut pas dire site complexe fonctionnellement.
Pour mettre des ordres de grandeurs de notre expérience :
Site e-commerce < 100 000€ HT de CA = 9%
Site e-commerce à 500 000€ HT de CA = 5%
Site e-commerce à 1 000 000€ HT de CA = 3%
Ce sont des estimations qui ne veulent pas dire grand chose. Votre CMS ou framework, votre trafic, le degré d’exposition de votre marque, votre fonctionnement interne, les fonctionnalités en place, la dette technique; autant de variables qui pourront faire évoluer massivement les budgets à allouer.
Et dans nos approche, il vaut souvent mieux amputer un module piraté et le remplacer par un autre, que de tenter de réparer à tout prix. La performance technique au service de la performance commerciale, c’est aussi ça.
Quels outils cybersécurité essentiels dois-je mettre en place rapidement pour mon site e-commerce ?
Un WAF, un hébergement sécurisé, une authentification forte, un scanner de vulnérabilités et des sauvegardes automatisées externalisées à froid.
Ho !
Mais nous proposons tout cela chez Les Vikings !
Est-ce que c’est parce que nous le proposons que j’en parle, ou est-ce parce que c’est nécessaire que nous le proposons ?
Pour savoir qui vient en premier de la poule ou de l’oeuf, contactez-nous !
(C’est l’oeuf.)
