Peer 1 Hosting : comment établir une relation de confiance avec les cyberacheteurs ?
Une tribune e-commerce d’Eric Chauvigné, Directeur Général de PEER 1 Hosting (hébergement, infogérance des données) sur le thème de la confiance entre cybermarchands et clients.
Le rôle de l’hébergeur dans la protection des données clients
Globalement, le e-commerçant est responsable de la sécurité des données de ses clients vis-à-vis des autorités réglementaires. Il doit veiller prioritairement à ce que son hébergeur-infogérant lui garantisse :
- une sécurité basée sur des matériels non mutualisés : pare-feu, pare-feu applicatif (WAF), équilibreur de charge
- la présence d’un réseau privé virtuel (VPN) qui donne un accès direct au back-office des sites Web pour des interventions plus rapides
- la disponibilité de solutions de logging et de monitoring externalisées
- une stricte dissociation et un cloisonnement entre les différentes composantes de la plate-forme (serveurs Web, serveurs de cache, serveurs d’application, serveurs de bases de données, serveur de messagerie) pour éviter les effets domino
- une pratique régulière des mises à jour de sécurité et des tests d’intrusion
Toutes ces mesures peuvent sembler excessives ; elles constituent pourtant la base d’un site e-marchand professionnel.
La mise en conformité avec les nouvelles règles de confidentialité des données personnelles
Les nouvelles réglementations préparées par l’Union européenne avec l’appui du G29, l’assemblée des CNILs européennes, visent à responsabiliser les cybermarchands.
Par le service qu’il propose et le champ de ses responsabilités, l’hébergeur n’est finalement pas vraiment concerné par les problématiques de rétention et d’utilisation ultérieure des données personnelles.
Cependant, certains hébergeurs préconisent des solutions pour sécuriser le stockage de ces données. Les règles imposées par la norme PCI DSS s’appliquent à priori aux données liées aux cartes bancaires, mais rien n’empêche d’utiliser ces règles élémentaires pour protéger de manière efficace tout autre type de données.
Cependant, le stockage et la rétention des fichiers de logs incombent à la responsabilité de l’hébergeur. Dans ce cas, les règles de sécurité imposent le stockage des données sur de longues périodes, pour pouvoir, le cas échéant, reconstituer le scénario d’évènements passés sur un système.
Pour autant, ces journaux de logs ne permettent pas l’identification directe d’un utilisateur.
Nouvelle tendance : le Patriot Act entraîne la méfiance des internautes
Certains hébergeurs internationaux stockent les données de leurs clients dans des data centers situés aux Etats-Unis et qui sont soumis par conséquent au très controversé « Patriot Act ».
Il est dans l’intérêt commercial de ces hébergeurs de disposer de data centers implantés sur différents continents pour pouvoir donner le choix à leurs clients.
Enfin, il est important que les équipes de support soient présentes sur le sol français. Les clients sont sensibles à l’attention qui leur est apportée et à la réactivité du fournisseur en cas de problème technique.
Bien que mondialisées par la problématique du cloud, les bases de données critiques manipulées par les cybermarchands sont ciblées par des attaques de plus en plus fréquentes qu’il faut savoir prévenir et juguler.
Les entreprises de e-commerce responsables travaillent donc de plus en plus avec des hébergeurs-infogérants clairement identifiés, qui mettent toutes les cartes de leurs offres sur la table et les informent sur la localisation de leurs données et sur les moyens mis en œuvre pour les protéger et les gérer.
Relation de confiance et transparence totale entre sites marchands et hébergeurs sont les éléments primordiaux d’un bon système de défense contre la cybercriminalité que les technologies et les savoir-faire sécuritaires viennent seulement ensuite renforcer et densifier.
—— A voir aussi ——
Quiz ITespresso.fr : êtes-vous au point sur les solutions e-commerce ?