Comment puis-je intégrer les paiements en ligne d'Adyen en toute sécurité ?

Protégez votre entreprise contre les pirates informatiques

Votre entreprise peut être la cible d'attaques cybernétiques menées par des acteurs (personnes ou organisations) ayant une intention malveillante. Selon la façon dont vous intégrez Adyen dans vos services, vous pouvez envisager des mesures de sécurité supplémentaires pour protéger la confidentialité, l’intégrité et la disponibilité des données de votre entreprise et de vos clients.

Comment vous pourriez ĂŞtre compromis

Des pirates peuvent essayer de falsifier ou de voler des identifiants de connexion pour accéder à votre environnement. Pour y parvenir, l'attaque par force brute des mots de passe faibles ou l'exploitation d'une authentification d'administrateur faible ou défaillante sont des techniques bien connues. L'hameçonnage ou d’autres manœuvres dites d’ingénierie sociale sont fréquents et consistent à recourir à la ruse pour qu'une personne travaillant dans votre entreprise leur donne accès à des informations sensibles.

Si les pirates obtiennent un accès non autorisé à vos pages, ils peuvent alors exfiltrer des données des cartes. Un attaquant potentiel peut procéder de différentes manières pour lancer des attaques de script intersites (cross-site scripting) :

  • Cela consiste Ă  rediriger un paiement vers une page frauduleuse afin que les informations de paiement saisies soient envoyĂ©es aux attaquants avant que le processus de paiement ne se poursuive sur la page lĂ©gitime.
  • L'attaquant peut Ă©galement placer des « recouvrements » sur votre page de paiement et copier les donnĂ©es de la carte avant que le paiement ne soit effectuĂ©.
  • Il peut introduire un code malveillant sur la page, par exemple via des enregistreurs de frappe, afin de collecter les donnĂ©es de carte au fur et Ă  mesure que votre client les saisit.

Comment réduire le risque de compromission

La mise en œuvre de mesures de sécurité basiques peut considérablement réduire les risques. Il est essentiel d'assurer une gestion adéquate des comptes utilisateurs, des systèmes et du cycle de développement de votre plateforme.

Gestion des comptes utilisateurs

  • Remplacez les noms d'utilisateur et les mots de passe fournis par le prestataire.
  • Utilisez des mots de passe forts pour empĂŞcher les attaques par force brute. Utilisez des mots de passe longs contenant des lettres majuscules et minuscules, des chiffres et des caractères spĂ©ciaux.
  • Évitez les comptes dont les identifiants de connexion sont partagĂ©s par plusieurs personnes.
  • Mettez en place un système d'authentification multi-facteurs (MFA), en particulier lorsque vous vous connectez sur des appareils accessibles au public.

Gestion des systèmes

  • Maintenez les systèmes et les logiciels Ă  jour grâce aux derniers correctifs de sĂ©curitĂ©.
  • Lisez et mettez en Ĺ“uvre les recommandations de sĂ©curitĂ© de votre fournisseur de solutions e-commerce ou de site internet.
  • Examinez rĂ©gulièrement l'activitĂ© des administrateurs et des utilisateurs afin de dĂ©tecter toute activitĂ© inhabituelle menĂ©e par un potentiel pirate.

Gestion du cycle de développement

  • Tenez compte des bonnes pratiques en matière de sĂ©curitĂ© dans les phases de conception, de dĂ©veloppement et de test de votre cycle de dĂ©veloppement.
  • Passez en revue les modifications apportĂ©es Ă  vos pages de paiement ainsi que le code source correspondant. Veillez Ă  mettre en place une surveillance continue pour dĂ©tecter les changements imprĂ©vus et prendre les mesures nĂ©cessaires.
  • GĂ©rez les risques liĂ©s Ă  la chaĂ®ne d’approvisionnement pour identifier, contrecarrer et prĂ©venir les attaques provenant de fournisseurs tiers.
    • Assurez-vous que les ressources cĂ´tĂ© client de vos pages sont chargĂ©es depuis des domaines autorisĂ©s. Ces ressources peuvent ĂŞtre des bibliothèques JavaScript, des CSS, des chatbots ou des donnĂ©es analytiques, entre autres.
  • Ne gĂ©nĂ©rez pas d'URL de paiement sur les systèmes accessibles au public. Il est prĂ©fĂ©rable de valider automatiquement la partie hĂ´te de l'URL avant de l'envoyer Ă  votre client.
  • Mettez en Ĺ“uvre le partage des ressources d'origines multiples et l’intĂ©gritĂ© des sous-ressources. Consultez nos Ressources de dĂ©veloppement pour en savoir plus.
  • Mettez en Ĺ“uvre une Politique de sĂ©curitĂ© liĂ©e aux contenus (CSP) pour prĂ©venir, entre autres, les attaques de script intersites. Les CSP peuvent ĂŞtre implĂ©mentĂ©es en ajoutant l’en-tĂŞte HTTP Content-Security-Policy dans votre serveur Web et en le configurant pour accepter uniquement les ressources en provenance de sources fiables. Utilisez uniquement les directives suivantes : Adyen, Amazon Pay, PayPal et Google Pay.

En savoir plus

Il existe de nombreux cadres règlementaires et d'autres directives pouvant vous permettre de sécuriser votre entreprise. Les pratiques de codage sécurisé ainsi que l'évaluation permanente de vos mesures de sécurité à l'aide de cadres de maturité en font naturellement partie. Nous recommandons les ressources suivantes pour en savoir plus :

Le guide de sécurité de l'intégration

Suivez les bonnes pratiques afin d'atténuer les risques de sécurité.

Consulter le guide de sécurité de l'intégration
Illustration stylisée d'un représentant du support client avec casque.

Avez-vous besoin de plus d'aide ?

Contactez notre Ă©quipe d'assistance

Envoyez-nous les détails de votre problème en y incluant des images ou des captures d'écran.

Envoyer une demande