Cet article est le 1er des 5 interviews consacrées au piratage des sites e-commerce.
Sommaire
- 1 Bonjour Alex, peux-tu nous présenter Boutique-rhum.com ?
- 2 Comment avez-vous découvert que le site a été piraté ?
- 3 Comment s’y sont pris les hackers ? Avec quelles conséquences ?
- 4 Comment avez-vous réagit suite à la découverte du piratage ? Qui a fait quoi ?
- 5 Avec le recul, quels enseignements tirez-vous du hacking de Boutique-rhum ? Vos conseils ?
Bonjour Alex, peux-tu nous présenter Boutique-rhum.com ?
Nous sommes Anne, Alex et Jeff. Nous avons repris le site Boutique-rhum.com en août 2019. Alors en Guyane, autour d’un ti’punch, nous avons décidé de nous lancer dans l’aventure du e-commerce.
Créé en 2011, Boutique-rhum.com est un des premier site pure player de vente de rhum sur internet. Il a été créé sous Prestashop avec quelques centaines de références et un volume d’affaire très limité au départ. Nous avons choisi de nous y mettre à fond comme quelqu’un qui rénove une belle bâtisse avec l’envie de s’y sentir chez lui.
3 ans après, notre CA a été multiplié par plus de 10 et nous avons un catalogue qui commence à nous plaire, avec plus de 1000 références de rhums. Nous réfléchissons à lever des fonds pour accélérer encore. Nous devons cette belle croissance entre autre à nos valeurs en termes de service qui rencontrent un écho positif chez nos clients : un contenu de qualité, un service client humain et une expérience utilisateur sans compromis.
Mais nous n’en serions pas là si nous n’avions pas été accompagnés par des partenaires compétents comme Skeelbox, notre agence SEO Jloo et notre agence web Web-Premiere.
Comment avez-vous découvert que le site a été piraté ?
Cela faisait plusieurs semaines que nous étions en discussion avec notre agence web qui voyait sur l’ensemble de la France une recrudescence de hacks et de modes opératoires d’attaques qui visaient à modifier le tunnel de paiement des sites.
La veille de l’attaque nous venions de finaliser la prod d’un bot dont la mission était de contrôler justement cette page.
Le bot nous a alertés très rapidement après l’attaque.
Comment s’y sont pris les hackers ? Avec quelles conséquences ?
Le mode opératoire du hack a été d’enlever de la page de paiement les modules de paiement classique (carte bancaire et Paypal) pour ne laisser que le virement bancaire en modifiant l’IBAN de la société pour celui du hackeur dans une banque domiciliée en Irlande.
Nous avons donc eu :
- un manque à gagner avec l’absence des modes de paiements classiques qui a mené à l’abandon par nos clients de nombreuses commandes.
- des frais de « réparation » auprès des clients qui avaient passé leur virement sur le faux IBAN et n’avaient pas pu l’annuler.
- Les coûts de remise en état du site par notre agence web.
Sans compter le fait que le week-end du hack a été passé en mode « gestion de crise » au lieu du repos dont l’équipe avait bien besoin.
Comment avez-vous réagit suite à la découverte du piratage ? Qui a fait quoi ?
Notre premier réflexe a été de monter une cellule de crise avec notre agence web.
Dans l’immédiat, c’est cette équipe de pompiers qui a travaillé sur l’identification du vecteur d’attaque, la remise en sécurité du site et le contact avec les clients qui avaient pu faire un virement sur l’IBAN frauduleux.
Dans un second temps, nous avons répondu à nos obligations entre déclaration à la CNIL, à l’assurance RCPro et dépôt de plainte en gendarmerie.
Enfin, nous travaillons encore sur le futur pour augmenter notre niveau de protection, optimiser le délai de réponse et renforcer nos moyens de réparation financière.
Avec le recul, quels enseignements tirez-vous du hacking de Boutique-rhum ? Vos conseils ?
Nous avons eu de la chance, l’impact du hack aurait pu être bien plus important. Winston Churchill a dit « never let a good crisis go to waste ».
C’est pourquoi nous ne sommes pas de retour en mode « business as usual ». En ayant pris le temps de réfléchir froidement au futur, nous avons décidé :
- de remonter le niveau de sécurité du site (correction de failles, A2F sur l’admin etc) et programmer des contrôles de niveau de sécurité régulier,
- d’organiser avec Web-Premiere des « alertes hack » périodiques pour tester notre organisation humaine et matérielle pour divers scénarios,
- Et de contractualiser avec une assurance spécialisée.
Le meilleur conseil que nous pourrions donner est celui qui va avec l’esprit d’entrepreneuriat : intégrer ce risque au même titre que tous ceux qui peuvent mettre à plat une entreprise en 2 secondes (rupture d’approvisionnement, incendie, manque de trésorerie, etc) et le gérer à la hauteur de ses moyens, sans en minimiser l’impact potentiel.
En résumé, sur le web, il vaut mieux sortir couvert.
Lire l’article suivant : Piratage de sites e-commerce : Les conseils de l’agence web 202 ecommerce.