Est-ce que Shopify est une solution sécurisée ?
Considéré comme l’un des CMS e-commerce B2C de référence, la solution canadienne Shopify est d’une grande simplicité
Shopify est utilisé dans près de 175 pays dans le monde, en majeure partie dans les pays anglophones. En 2020, l’entreprise propulse plus de 2 000 000 de marchands.
Il est donc très important que la plateforme soit sécurisée, toujours disponible, performante et imperméable aux vols de données ou aux intrusions diverses.
Dans cet article, nous allons examiner les points suivants :
- L’architecture générale de Shopify
- Les engagements techniques de Shopify pour garantir la sécurité
- Les certifications de sécurité Shopify
- Nos points d’attention pour garantir une sécurité parfaite
Architecture générale de Shopify
Hébergement
Shopify est un système SAAS, développé en Ruby on Rails, et hébergé dans le cloud, sans aucune possibilité pour les développeurs de modifier le cœur du système. C’est un gage de qualité par rapport à des plateformes open source dans lequel le cœur peut être modifié, ce qui peut amener à de la complexité future en termes de maintenance.
C’est également un gage de sécurité très important, car aucune faille n’est possible au niveau de l’applicatif, celui-ci étant hermétique.
Le système cloud est extrêmement performant, car il repose sur Google Plateform avec des zones d’hébergement aux États-Unis, en Europe, et en Australie.
Zones d’hébergement cloud actuellement disponibles à l’échelle de Google Plateform :
Ce système permet d’être robuste en période de pic de charge comme le Black Friday ou bien les Fêtes de fin d’année, grâce a une architecture Cloud élastique : plus il y a de personnes qui rentrent dans la boutique et plus la boutique s’agrandit.
C’est une différence forte avec des systèmes hébergés « on premise », qui nécessitent des boosters ou des optimisations avant les opérations commerciales pour éviter des dégradations ou des coupures de service.
En tant qu’agence certifiée Shopify Plus, ayant mis en place plus de 30 projets Shopify Plus, nous n’avons jamais constaté de soucis de performance quelque soit la période commerciale de nos clients.
Distribution des contenus
L’hébergement est géré dans trois grandes zones géographiques, et les médias (photos et vidéos) sont répliqués dans des CDN, géré par Cloudflare, aux quatre coins du monde, sur près de 300 points de réplication qui permettent aux visiteurs à travers le monde d’avoir d’excellents temps de chargement.
Par exemple votre site est hébergé en Europe et vous avez un visiteur japonais, celui-ci va télécharger les médias à travers le CDN de Tokyo et non pas sur la zone européenne.
Découvrez l’étude de cas de Cloudflare
Voici le détail de l’ensemble des points de réplication à travers le monde :
L’utilisation du CDN est native, et inclue dans toutes les licences Shopify, aucune manipulation à réaliser de votre côté ou côté Agence.
Les principales mesures techniques en termes de sécurité sur Shopify
Certificat SSL (Secure Socket Layer)
Shopify utilise des certificats SSL pour assurer une connexion sécurisée entre le navigateur du client et les serveurs de Shopify. Cela garantit le cryptage des données pendant la transmission. Pas besoin d’acheter ou configurer de certificats externes, c’est inclus dans Shopify.
Protection contre les attaques par force brute
Shopify met en place des mesures pour prévenir les attaques par force brute, où un attaquant essaie de deviner un mot de passe en essayant différentes combinaisons.
Mises à jour de sécurité
Shopify gère les mises à jour de sécurité de manière proactive pour garantir que la plateforme est protégée contre les vulnérabilités connues.
Aucune mise à jour n’est à gérer par l’agence, hormis certains très rares changements d’API qui peuvent devenir dépréciées, et qui vous concerne seulement si vous avez fait des développements d’app sur mesure.
Protection contre les attaques DDoS (Distributed Denial of Service)
Shopify utilise des stratégies pour minimiser l’impact des attaques DDoS, qui visent à rendre un site indisponible en submergeant ses serveurs avec un trafic excessif.
Pour cela Shopify se repose sur Cloudflare qui va filtrer le trafic et protéger vos services.
Cryptage des données
Toutes les informations sensibles, telles que les données de paiement, sont cryptées pour assurer leur confidentialité
Conformité PCI DSS
Shopify est conforme à la norme de sécurité PCI DSS (Payment Card Industry Data Security Standard), ce qui signifie qu’elle respecte les normes de sécurité pour les transactions par carte de crédit.
Protection contre les fraudes
Shopify utilise des systèmes de détection de fraudes pour identifier et prévenir les transactions suspectes.
Voici un exemple de rapport de fraude, qui permet au e-commerçant de se faire un avis, et l’aider à savoir s’il va accepter ou non la vente.
Authentification à deux facteurs (2FA)
Shopify propose l’authentification à deux facteurs pour renforcer la sécurité des comptes des commerçants. Chez DATASOLUTION, nous incitons très fortement nos clients à activer le 2FA sur leurs comptes.
Sécurité des applications tierces
Shopify a mis en place des normes de sécurité pour les applications tierces, afin de garantir qu’elles ne compromettent pas la sécurité de la plateforme.
En effet, les applications tierces ont accès uniquement aux API, ils peuvent donc uniquement lire, modifier ou supprimer les données auquel vous allez donner accès. Cela permet de siloter les modifications d’une application tierce.
Politiques de confidentialité et de conformité
Shopify a des politiques de confidentialité strictes et se conforme aux réglementations en matière de protection des données.
Les certifications de sécurité de Shopify
Certification PCI
La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) est une norme de sécurité destinée aux organisations qui stockent, traitent ou transmettent des informations de carte de crédit. La norme a été créée pour renforcer les contrôles autour des données de paiement afin de réduire la fraude.
Les rapports PCI fournissent l’évaluation d’une organisation par rapport aux exigences PCI DSS définies par le Conseil des normes de sécurité PCI.
Rapports SOC
Les rapports de contrôle de l’organisation des services (SOC) évaluent les contrôles d’une organisation en matière de confidentialité, d’intégrité du traitement, de sécurité et de disponibilité.
L’ensemble des rapports sont consultables ici.
Nos points d’attention pour garantir une sécurité parfaite
Vous le voyez, la sécurité est au cœur de la philosophie Shopify qui est un système SAAS responsable de plus de 2 millions de sites différents et qui doit donc être infaillible.
Nous attirons néanmoins votre attention sur deux facteurs externes :
Les applications tierces
Dès lors que vous autorisez une application tierce à échanger avec les API de votre site, il faut être conscient que ces données peuvent transiter en dehors des zones européennes, ce qui n’est pas conforme à la RGPD.
Par ailleurs, vous donnez des droits de lecture mais également d’écriture dans certains cas, ce qui fait que votre base de clients ou de produits pourrait être modifiée par un éditeur malveillant.
L’utilisation d’applications tierces doit donc se faire avec une grande prudence, en choisissant des éditeurs reconnus et avec une validation systématique de vos développeurs ou de votre agence.
Shopify présente explicitement à quoi vous donnez accès quand vous installez une application :
L’humain
Ce conseil vaut pour tous les systèmes informatiques : Il faut faire extrêmement attention à vos accès et l’authentification forte n’est donc pas conseillé mais obligatoire pour que vous puissiez vous connecter avec un mot de passe consolidé par un SMS ou une clef d’accès.
Shopify permet une gestion granulaire des accès collaborateurs avec l’attribution de rôles, il faut donc que l’administrateur soit vigilant aux autorisations qu’il va donner aux différents membres de son équipe.
À gauche, voici une capture d’écran des droits possibles par catégorie.
Et une capture d’écran des droits possibles avec plus de précisions.
Il est bon de savoir que Shopify peut se connecter à votre active directory ou LDAP via des connecteurs natifs, ce qui permet la création et la suppression automatique de comptes employés, suivant les changements dans votre équipe.
Nous espérons que ce petit guide aura été utile pour vous présenter les aspects liés à la sécurité sur la plate-forme Shopify !
Un projet ?
Parlez-en à nos experts Shopify
Yann FRESSIGNAUD
Directeur Conseil
