Réalisation et Sécurisation d’un site web E-Commerce

 Généralités sur le commerce en ligne (e-commerce) 

 Qu’est-ce que le e-Commerce? 

On appelle « Commerce électronique » l’utilisation d’un média électronique pour la réalisation de transactions commerciales. En d’autre terme le e-commerce désigne l’échange de biens et de services entre deux entités sur les réseaux informatiques, notamment internet. Il existe d’autres moyens d’échange virtuel en dehors de l’Internet .On peut citer l’E.D.I (Echange de Données Informatisées) dans le cadre de l’échange interentreprises mais également les réseaux téléphoniques mobiles (m-commerce). Néanmoins, dans le cadre du commerce électronique, l’Internet reste le réseau informatique le plus utilisé

 Les différents types de relations sur le commerce électronique

 On peut distinguer : • le commerce électronique entre entreprises, souvent appelé B2B (se prononce « bi-toubi »), acronyme anglais de business to business ; • Le commerce électronique à destination des particuliers, ou B2C (se prononce « bitou-ci »), acronyme anglais de business to consumer. Il s’agit de sites web marchands; Le B2C fera l’objet de notre exposé. • Le commerce électronique entre particuliers, ou C2C (se prononce « ci-tou-ci »), acronyme anglais de consumer-to-consumer. Il s’agit de sites web permettant la vente entre particuliers ; • L’échange électronique entre une entreprise et ses employés, souvent appelé Intranet ou B2E (se prononce « bi-tou-i »), acronyme anglais de business to employee ; • L’échange électronique entre les entreprises privées et le gouvernement, souvent appelé B2G (se prononce bi-tou-dji), acronyme anglais de business to government.

E-Commerce : les débuts du commerce en ligne

Les débuts et l’évolution du commerce électronique sont intimement liés avec l’évolution et la généralisation d’Internet. 15 Au départ, l’absence d’une autorité centrale capable de définir des règles et des normes a laissé craindre une certaine forme d’anarchie sur l’Internet .Cet absence d’autorité a largement freiné le développement d’activités commerciales sur ce réseau. Il s’est formé, quasi naturellement, une sorte de code de bonne conduite (Nétiquette) qui a longtemps régulé les comportements sur le réseau. L’utilisation du réseau informatique à des fins commerciales fut longtemps rejetée. D’autres facteurs expliquent le décalage dans l’arrivée du e-commerce. Tout d’abord l’anglais était pratiquement la seule langue utilisée .De plus, l’ergonomie et le graphisme étaient très sommaires et peu adaptables à des activités de ventes. Et enfin, dans les années 80 et 90, l’esprit des principaux acteurs de l’Internet était plus orienté vers le partage libre et gratuit de l’information : esprit peu compatible avec des activités commerciales. L’ouverture du réseau au grand public et la vulgarisation des accès à Internet ont complètement inversé ces facteurs de ralentissement. Même si l’idée de gratuité de l’information est toujours présente, cette évolution était nécessaire. Le réseau ne pouvait continuer à accueillir un nombre d’utilisateurs toujours plus croissant sans accepter et promouvoir un modèle économique viable. Le coût des infrastructures de télécommunication ne peut en effet être financé que par les seuls abonnements versés aux fournisseurs d’accès à Internet. Fixer une date précise au début du lancement des activités purement commerciales sur Internet parait quasiment impossible mais nombreux sont ceux qui s’accordent à le situer vers le milieu des années 90. Cependant, une chose est sûre : la naissance et le développement de l’e-commerce sont liés à des évolutions techniques significatives du réseau, au développement de la vente à distance et, d’une manière générale, à l’évolution même de la société et à son ouverture vers ce réseau.

Le e-Commerce aujourd’hui

Le e-Commerce en France aujourd’hui pèse plus de 14 milliards d’euros (106 milliards pour l’Europe entière) et presque 7 internautes sur 10 ont commandé en ligne en 2008 (FEVAD).

Les différents processus impliqués dans l’e-Commerce 

Le e-Commerce, et dans une plus large mesure le e-business, impliquent un grand nombre de processus : de la navigation à la commande, de la gestion de la commande à l’envoi du 16 produit, du service après-vente au traitement des avis des clients. Toutes ces étapes sont cruciales pour une société de e-Commerce. Pour qu’un client consulte un site de ventes en ligne, il doit d’abord le trouver. Le référencement, si important, est devenu le nouveau nerf de la guerre sur internet. Une fois sur le site, le client devra trouver le site à la fois agréable et fonctionnel : s’il ne trouve pas ce qu’il cherche en quelques clics, le client ira ailleurs. Avec les nouvelles technologies, le client sait en permanence où en est sa commande : la logistique est l’une des étapes les plus déterminantes de l’opinion du client. Toutes ces étapes résument la philosophie d’une solution e-Commerce. Elles prennent en compte tous les processus d’une commande pour pouvoir booster un chiffre d’affaires.

 Boutiques en ligne 

La plupart des sites de commerce électronique sont des boutiques en ligne comprenant à minima les éléments suivants au niveau du front office (l’interface visible du site) : • Un catalogue électronique en ligne, présentant l’ensemble des produits disponible à la vente, leur prix et parfois leur disponibilité (produit en stock ou nombre de jour avant livraison) ; • Un moteur de recherche permettant de trouver facilement un produit à l’aide de critères de recherche (marque, gamme de prix, mot clé, …) ; • Un système de caddie virtuel (appelé parfois panier virtuel) : il s’agit du cœur du système de e-commerce. Le caddie virtuel permet de conserver la trace des achats du client tout au long de son parcours et de modifier les quantités pour chaque référence ; • Le paiement sécurisé en ligne (accounting) est souvent assuré par un tiers de confiance (une banque) via une transaction sécurisée; • Un système de suivi des commandes, permettant de suivre le processus de traitement de la commande et parfois d’obtenir des éléments d’information sur la prise en charge du colis par le transporteur. On distingue également un système de back office (l’interface cachée du site, accessible que par l’administrateur ou les administrateurs) permettant au commerçant en ligne d’organiser son offre en ligne, de modifier les prix, d’ajouter ou de retirer des références de produits ainsi que d’administrer et de gérer les commandes des clients. 

 Sécurité de l’information 

Avec le développement de l’utilisation d’internet, de plus en plus d’entreprises ouvrent leur système d’information à leurs partenaires ou leurs fournisseurs, il est donc essentiel de connaitre les ressources de l’entreprise à protéger et de maitriser le contrôle d’accès et les droits des utilisateurs du système d’information. Il en va de même lors de l’ouverture de l’accès de l’application ou de l’entreprise sur internet. Afin de pouvoir sécuriser un système, il est nécessaire d’identifier les menaces potentielles, et donc de connaitre et prévoir la façon de procéder de l’ennemi. Un système d’information est généralement défini par l’ensemble des données et des ressources matérielles et logicielles permettant de les stocker ou de les faire circuler donc il représente un patrimoine essentiel qu’il faut protéger. La sécurité informatique, d’une manière générale, consiste à assurer que les ressources matérielles et logicielles sont utiliser dans le cadre prévu. 

 Sécurité physique 

Plusieurs organismes sous-estiment l’importance de maintenir la sécurité physique de leur environnement de travail et de leur matériel informatique. Conséquemment, il leur manque souvent une politique claire consternant les mesures à mettre en place pour protéger les ordinateurs et dispositif de sauvegarde contre le vol, les conditions climatiques extrêmes, les accidents et autres menaces d’ordre physiques. L’importance de telles politiques peut sembler évidente, mais il peut aussi s’avérer compliquer d’en formuler clairement les éléments. Plusieurs organismes, par exemple, installent des cadenas de bonne qualité sur la porte d’entrée de leurs locaux (et plusieurs installent également sarreaux aux fenêtres), ou bien mettre un gardien devant la porte. Mais s’ils ne font pas attention au nombre de copies des clés ni à qui les clés sont confiées, leurs données confidentielles demeurent vulnérables. 

Sécurités logiques

 La sécurité logique fait référence à la réalisation de mécanisme de sécurité pour logiciel. Elle repose sur la mise en œuvre d’un système de contrôle d’accès logique s’appuyant sur un service d’authentification, d’identification et d’autorisation. Elle repose également sur : 18 • Les dispositifs mis en place pour garantir la confidentialité dont la cryptographie. • Une gestion efficace des mots de passe et des procédures d’authentification. • Des mesures antivirus et de sauvegarde des informations sensibles. Les critères fondamentaux sont : la disponibilité, l’intégrité et la confidentialité (DIC). 

 La disponibilité 

La disponibilité est de pair avec son accessibilité, comme notre application doit être accessible, avec un temps et une réponse acceptable permettant de maintenir le bon fonctionnement du site. 

 L’intégrité

Intégrité permet de certifier que les données, les traitements ou les services n’ont pas été modifiés, altérés ou détruits tant de façon intentionnelle ou accidentelle. L’altération est principalement occasionnée par le media de transmission mais peut provenir du système d’information, c’est pourquoi il faut veiller à garantir la protection des données d’une écoute (port) actives sur le réseau.

Confidentialité 

Dans le cadre d’un système d’information, cela peut être vu comme une protection des données contre une divulgation non autorisée. Deux actions complémentaires permettant d’assurer la confidentialité des données sont : • Limiter leur accès par un mécanisme de contrôle d’accès. • Transformer les données par des procédures de chiffrement. a. L’identification et l’authentification Ces mesures doivent être mises en places afin d’assurer la confidentialité et intégrité des données d’une personne, la non répudiation c’est-à-dire qu’une personne identifiée et authentifier ne peut pas nier action. • L’indentification peut être vu comme un simple login de connexion sur un système. • L’authentification peut être un mot de passe connu seulement par l’utilisateur b. La non-répudiation La non-répudiation est le fait de ne pouvoir nier ou rejeter qu’un événement a eu lieu. A cette notion sont associées :  • L’imputabilité : une action a eu lieu et automatiquement un enregistrement, preuve de l’action, est effectué. • La traçabilité : mémorisation de l’origine du message. • L’adaptabilité : capacité d’un système à garantir la présence d’informations nécessaire à une analyse ultérieure d’un événement. L’existence d’un fichier journal permet de garantir l’imputabilité et l’adaptabilité. Pour mettre en œuvre application de tous les systèmes de sécurité que la cryptographie place on peut utiliser la certification SSL, le chiffrement symétrique (AES) et le chiffrement asymétrique (RSA) c. La certification ssl Un certificat SSL est un fichier de données qui lie une clé cryptographique aux informations d’une organisation ou d’un individu. Installé sur un serveur, le certificat active le cadenas et le protocole « https » (via le port 443) dans les navigateurs, afin d’assurer une connexion sécurisée entre le serveur web et le navigateur. Généralement, le SSL est utilisé pour sécuriser les transactions bancaires, le transfert de données et les informations de connexions, telles que les noms d’utilisateur et les mots de passe. Récemment, le SSL est devenu la norme pour sécuriser l’utilisation de sites de réseaux sociaux. Les certificats SSL lient ensemble :  Un nom de domaine, un nom de serveur et un nom d’hôte.  L’identité de l’organisation (nom d’entreprise) et le lieu. L’organisation doit installer le certificat SSL sur son serveur web afin d’initialiser des sessions sécurisées avec les navigateurs. L’organisation devra se soumettre à une vérification auprès de l’Autorité de Certification, dont le degré va varier selon le type de certificat SSL pour lequel elle a effectué une demande. Une fois le certificat SSL installé sur notre site, les visiteurs pourront accéder à celui-ci à travers une connexion « https » qui indique au serveur qu’il doit établir une connexion sécurisée avec le navigateur. Lorsque la connexion sécurisée est établie, l’ensemble du trafic entre le serveur et le navigateur sera sécurisé. Les visiteurs de notre site web sont assurés que celui-ci est sécurisé grâce à différents indicateurs visuels de confiance : 20 Pour voir les informations relatives à un certificat SSL, il suffit de cliquer sur le cadenas et, en fonction des navigateurs, de cliquer sur le lien pour les afficher.  Chiffrement asymétrique (RSA) Le principe de chiffrement asymétrique (appelé aussi chiffrement à clés publiques) est apparu en 1976, avec la publication d’un ouvrage sur la cryptographie par Whitfield Diffie et Martin Hellman. Dans un cryptosystème asymétrique (ou cryptosystème à clés publiques), les clés existent par paires (le terme de bi-clés est généralement employé) :  Une clé publique pour le chiffrement ;  Une clé secrète pour le déchiffrement. Ainsi, dans un système de chiffrement à clé publique, les utilisateurs choisissent une clé aléatoire qu’ ils sont seuls à connaître (il s’ agit de la clé privée). A partir de cette clé, ils déduisent chacun automatiquement un algorithme (il s’agit de la clé publique). Les utilisateurs s’ échangent cette clé publique au travers d’ un canal non sécurisé. Lorsqu’ un utilisateur désire envoyer un message à un autre utilisateur, il lui suffit de chiffrer le message à envoyer au moyen de la clé publique du destinataire (qu’il trouvera par sur un PKI). Ce dernier sera en mesure de déchiffrer le message à l’ aide de sa clé privée (qu’ il est seul à connaître).