Pour la dernière interview de notre dossier consacré à la cybersécurité pour les sites e-commerce, nous avons rencontré Thomas Rayrat, Directeur Général de Profileo et 77-24, expert PrestaShop, performance web et cybersécurité.
Pour commencer, qui est Profileo / 77-24 et quel est votre rôle dans la sécurisation des sites e-commerce ?
Profileo est une société française experte de l’environnement PrestaShop depuis 20 ans. À travers plusieurs solutions produit et métier nous souhaitons être une réponse concrète à quatre besoins du e-commerce : l’hébergement, la webperformance, la cybersécurité et le pilotage.
Pour répondre à ces quatre problématiques, le groupe Profileo s’est structuré autour de solutions ayant chacune une réponse spécifique :
- 7724, solution d’hébergement pour PrestaShop qui s’adapte à votre business e-commerce?
- Zentria, outil d’e-commerce intelligence qui offre aux sites e-commerce et à leur agence web une véritable tour de contrôle pour suivre de manière pro-active leur business en ligne.
Est-ce que les e-commerçants ont pris conscience aujourd’hui du risque de piratage ? Ou est-ce que ça reste un sujet encore trop ignoré ?
La cybersécurité est (enfin) en train de devenir un sujet incontournable pour les e-commerçants. Pourtant, de nombreuses boutiques en ligne restent encore très vulnérables.
La prise de conscience progresse, mais elle reste très souvent réactive. Beaucoup d’e-commerçants ne réalisent l’ampleur du risque qu’une fois qu’ils ont été attaqués.
On entend encore trop souvent “je suis trop petit pour être une cible”… alors que c’est justement parce qu’ils sont plus vulnérables que les pirates les ciblent.
Les attaques ne sont pas toutes ciblées : les bots des hackers scannent le web à la recherche de failles connues, et si vous ne maintenez pas votre site à jour, vous êtes une proie facile.
D’où viennent les failles de sécurité les plus fréquentes ?
Les failles que l’on rencontre le plus souvent sont liées à :
- des mises à jour manquantes (du CMS, des modules, ou même du serveur),
- des modules non officiels ou mal codés,
- des droits d’accès mal gérés,
- et parfois même des infrastructures d’hébergement mal sécurisées.
Et puis il y a l’humain : des mots de passe trop simples, des accès partagés sans précaution, des sauvegardes absentes… On a vu des situations ubuesques.
Pourtant, la plupart des attaques pourraient être évitées avec des mesures de base bien appliquées.
Est-ce que ces failles sont similaires quel que soit le CMS utilisé ? Ou certains CMS sont-ils plus à risque ?
Les grandes familles de failles sont les mêmes (injections SQL, XSS, backdoors, etc.), mais leur fréquence varie selon les CMS.
Par exemple, PrestaShop étant open source et très populaire en Europe, il est une cible privilégiée pour les attaques automatisées.
À l’inverse, des solutions fermées en SAAS sont moins exposées aux erreurs côté serveur, mais cela ne veut pas dire qu’elles sont invulnérables : les failles viennent aussi des intégrations tierces.
En résumé : aucun CMS n’est 100% sécurisé par défaut. C’est la manière dont on l’installe, l’administre et le surveille qui fait la différence.
Justement, quel est l’état de la sécurité côté PrestaShop aujourd’hui ? Tu peux nous parler de la cellule sécurité du FOP ?
PrestaShop, et surtout son écosystème, ont fait d’énormes progrès ces dernières années. Grâce à la cellule sécurité du FOP (Friends of PrestaShop), la communauté est beaucoup plus réactive.
FOP identifie, documente et corrige les failles connues, et pousse des alertes aux développeurs et intégrateurs. Le souci, c’est que ces alertes ne sont pas toujours prises au sérieux ou relayées jusqu’aux marchands. C’est là qu’un bon prestataire technique fait toute la différence.
Il faut comprendre que le risque n’est pas théorique : plusieurs vagues de piratage massives ont touché des centaines de boutiques ces deux dernières années. Il faut être en veille permanente.
Et surtout, il faut sortir des démarches isolées : chacun qui gère sa sécurité dans son coin, sans coordination, finit par créer des angles morts. La sécurité doit devenir un sujet mutualisé, partagé à l’échelle de tout l’écosystème. C’est en alignant les pratiques, en diffusant les bonnes alertes et en travaillant collectivement qu’on crée un socle de protection beaucoup plus solide pour tous.
Quelle est selon toi la bonne approche pour sécuriser son site e-commerce sur le long terme ?
La bonne approche, c’est de considérer la sécurité comme un process, pas une action ponctuelle.
Voici les piliers d’une stratégie efficace :
- Auditer régulièrement son site pour détecter les failles.
- Maintenir son écosystème à jour : CMS, modules, infogérance.
- Utiliser uniquement des modules fiables depuis la marketplace Addons de Prestashop, idéalement validés, ou développés par des agences reconnues.
- Mettre en place un plan de sauvegardes testées (pas juste automatiques : testez leur restauration !).
- Surveiller en continu les accès, les modifications, les anomalies de trafic.
- Sensibiliser les équipes : la sécurité, ce n’est pas que du code, c’est aussi une culture.
Enfin, il faut un partenaire de confiance qui vous alerte, vous conseille et vous accompagne. Zentria + 7724, c’est exactement ce qu’on fait au quotidien avec nos clients.
Si tu devais donner un seul conseil à un e-commerçant pour éviter le pire ?
Ne restez pas seul. Un e-commerçant ne peut pas tout savoir faire : logistique, acquisition, service client… et sécurité ? Non.
Entourez-vous d’experts. Et surtout, outillez-vous pour ne pas laissez votre sécurité dépendre de votre disponibilité ou de votre budget à un instant T.
Une attaque coûte toujours plus cher qu’une bonne prévention.
La pédagogie est essentielle pour éviter que ce sujet ne devienne purement anxiogène. C’est pourquoi nous avons lancé un livre blanc afin de rendre la cybersécurité accessible et compréhensible, et de montrer comment mieux se protéger sans forcément investir des milliers d’euros ni être un expert.
Cliquez ici pour télécharger le livre blanc gratuit dédié à la sécurité sur Prestashop
