Les meilleures pratiques pour sécuriser les données de paiement de vos clients et de votre site e-commerce

En 2024, le paysage de la cybersécurité s'est assombri : les violations de données personnelles déclarées à la CNIL ont bondi de plus de 20%

Ce chiffre révèle l'ampleur de la vulnérabilité numérique actuelle. Les cyberattaques font les actualités chaque jour. Encore en ce mois de Mai 2025, une fuite de données d’ampleur mondiale a exposé plus de 2,3 millions de cartes bancaires. Elle fait suite à des fuites de millions de clients d’enseignes françaises dans le domaine du luxe, de la téléphonie, de la banque, du e-commerce, des administrations. Les informations personnelles et bancaires se retrouvent ensuite sur le darkweb où elles servent alors à piéger les individus afin d’usurper leur identité, détourner leurs fonds…

Pour les e-commerçants, cette réalité est d'autant plus critique qu'ils manipulent quotidiennement des données de paiement sensibles. Samuel Delplace, notre Head of Infrastructure & Security, identifie le principal vecteur d'attaque : la vulnérabilité des comptes et des mots de passe.
Depuis deux ans, la majorité des intrusions proviennent de comptes compromis car leur mot de passe était trop faible ou réutilisé sur plusieurs sites, et cela à la fois dans l’environnement professionnel que personnel. Les couples emails / mot de passe sont dérobés et s’échangent parmi les communautés de hackers. Il suffit qu'une fuite survienne pour que ces identifiants soient testés massivement ailleurs, jusqu’à trouver le site ou le sous-traitants d’une grande enseigne où ils permettront d’extraire des données en masse.  

Face à cette réalité, comment les e-commerçants peuvent-ils renforcer leur sécurité tout en préservant l'expérience utilisateur ?  

Cet article vous présente les leviers à mettre en œuvre, inspirés des exigences réglementaires et des bonnes pratiques opérationnelles.

1) Sécuriser l’accès au compte de vos clients 

Le principe de défense : comme pour protéger une maison, plus vous rendez l'accès difficile, plus l'attaquant privilégiera une cible plus facile. Si chaque acteur du web renforce ses exigences de sécurité, nous créons collectivement un effet dissuasif. 

Conseil #1 : déployer le social login 

C’est une fonction qui permet aux utilisateurs de s’inscrire et de se connecter via leur compte Facebook, Google ou Apple ID… et permet d’éviter d’avoir un mot de passe lié au site, tout en bénéficiant d’une connexion relativement rapide. 

Cette approche à l’avantage de déléguer l’authentification à des plateformes déjà sécurisées, de réduire le risque de phishing et d’éviter à vos clients de retenir un énième mot de passe. 

Conseil #2 : imposer une politique stricte des mots de passe

Que ce soit pour la création et le renouvellement des mots de passe, vous pouvez suivre les recommandations de l’ANSSI : 

1. Longueur minimale de 12 caractères.
2. Combinaison de majuscules, minuscules, chiffres et caractères spéciaux.
3. Renouvellement au moins une fois par an et en cas de suspicion de compromission.

Cela peut paraître évident, mais saviez-vous qu’en France les mots de passe les plus utilisés   restent "123456", "123456789" et "azerty" ?

Conseil #3 : proposer l’authentification multi-facteurs (MFA) 

L'authentification à deux facteurs reste aujourd'hui la méthode la plus efficace pour contrer les attaques par compte compromis. Même si l'attaquant détient les bons identifiants, il ne pourra pas accéder au compte sans le second facteur (généralement le smartphone de l’utilisateur). 

Options recommandées :

• Notification push sur smartphone.
• Applications d'authentification (Google Authenticator, Authy).
• Passkeys : la nouvelle génération d'authentification sans mot de passe.

Conseil #4 : surveiller proactivement les fuites de données.

Agir en préventif auprès de vos clients en détectant les mots de passe compromis. Puis les alerter au plus vite et leur recommander de changer leur mot de passe. 

Vous pouvez utiliser des solutions technologiques et sécuritaires telles que ReachFive pour assurer cette veille protective en continu.

2) Les règles de l’art du métier du paiement : la certification PCI-DSS 

‍Comprendre la norme PCI-DSS 

Le Payment Card Industry Data Security Standard constitue la référence internationale pour tous les professionnels qui sont impliqués dans la saisie, le transfert, le traitement et le stockage des données de paiement carte. Cette norme a pour objectif d’assurer le plus haut niveau de sécurité et de protéger les données carte des utilisateurs. 

Vos obligations en tant que commerçant

Une préconisation fondamentale s’applique pour les sites e-commerce : ne jamais stocker de données de paiement. Never. Ever.
Il est de votre responsabilité de vous assurer que les données sont saisies, transférées, traitées et stockées dans dans un environnement sécurisé et certifié conforme. Pour ce faire, la stratégie la plus opportune est de  les confier à un prestataire de service de paiement (PSP ou orchestrateur de paiement) certifié PCI-DSS level 1.  Vous pouvez aussi mettre en œuvre un environnement certifié mais le travail sera particulièrement ardu et onéreux.

En tant que commerçant, vous devez pouvoir justifier auprès de votre banque acquéreur que  vous respectez les exigences (le niveau d'exigence dépend du volume des  transactions traitées). 

En tant que DSI d’un site e-commerce, vous devez généralement :  

• Vérifier annuellement les certifications PCI DSS de vos prestataires de paiement.
• Vous assurer que la page de paiement est gérée par le PSP ou orchestrateur : soit via un widget de paiement, soit une page de redirection. 
• Compléter un questionnaire d'auto-évaluation SAQ correspondant à votre profil.
• Réaliser des scans de vulnérabilités ASV tous les trimestres.

Risques en cas de non-conformité 

Le non-respect des exigences PCI-DSS expose votre entreprise à :

• Des amendes imposées par Visa et Mastercard.
• Une mise en cause de votre responsabilité en cas d'incident pouvant aller à une interdiction de traitement des cartes Visa et Mastercard.
• Une perte de confiance de vos clients.

Pour en savoir plus sur la norme et les exigences de sécurité attendues selon votre profil, vous pouvez consulter le site officiel.
Choisir un partenaire technologique de confiance comme Purse vous assurera de cocher toutes les cases.

3) Sécuriser votre environnement interne 

Vos équipes, vos sous-traitants et vos systèmes sont des cibles privilégiées pour les hackers.
Les équipes internes représentent souvent le maillon faible exploité par les cybercriminels. Pour eux c’est un moyen d’entrer dans un système très riche en données utilisateurs. 

Contrairement aux clients, l'enjeu ici dépasse l'expérience utilisateur : il s'agit de protéger votre système, votre chiffre d'affaires et votre réputation. 

Conseil #1 : authentification forte pour tous les collaborateurs.  

Mettre en place un système d’authentification forte pour les collaborateurs est, de notre point de vue, primordial et une bonne pratique que nous vous recommandons fortement. Il doit être généralisé sur vos outils propres ainsi que pour accéder aux systèmes de vos sous-traitants

Les utilisateurs de votre organisation qui se connectent au portail administrateur commerçant de Purse ont l’obligation de s’authentifier avec un système MFA afin de garantir un accès sécurisé à vos données.  

Conseil #2 : réduire la surface d’attaque 

Le conseil semble évident mais en pratique, il n’est pas aussi souvent mis en place qu’il le faudrait. Moins on laisse d’opportunités d’entrer aux cyber hackers, plus on leur rend l’accès difficile et au final, moins il y a de risques.
Un audit régulier de votre système pour identifier tout ce qui est potentiellement ouvert vous permettra de mettre en place une politique adaptée à chaque flux réseau : 

• Chiffrer tous les flux en HTTPS.
• Avoir une politique d’accès de type moindre privilège.
• Fermer les ports et services inutiles.
  

Conseil #3 : détecter les vulnérabilités 

Mettez en place un processus structuré :

• Identification systématique des vulnérabilités. 
• Classification par niveau de criticité (bas/moyen/élevé/critique). 
• Correction prioritaire des vulnérabilités critiques et élevées.
• Suivi et reporting réguliers.

Conseil #4 : tester régulièrement votre sécurité. 

Nous préconisons de faire tester votre cybersécurité par des prestataires spécialisés de façon régulière :  

• Des scans de vulnérabilité externes tous les mois (solution type Qualys).
• Des tests d’intrusion à minima une fois par an ou à chaque changement majeur.

Conseil #5 : développer des applications sécurisées

Intégrez la sécurité dans vos développements dès la conception :

• Formation continue des équipes techniques au développement sécurisé.
• Utilisation d’outils de détection de vulnérabilités dans le code source, les librairies open-source et vos containers.
• Intégrer ces tests de sécurité en automatique dans le process de déploiement via votre CI/CD, type Github ou Gitlab.

Conseil #6 : sauvegarder et tester régulièrement vos sauvegardes

• Mettre en œuvre une politique de sauvegarde de vos données.
• Réaliser un test de  restauration des données au moins une fois par an. 

« La sécurisation des données clients, et en particulier les données de paiement, ne peut plus être pensée comme une simple obligation réglementaire. C’est une promesse de confiance faite aux utilisateurs. Chez ReachFive, nous avons fait de cette promesse un pilier technologique : suppression des mots de passe, authentification forte, gestion fine des consentements… Autant de leviers qui réduisent considérablement les surfaces d’attaque et renforcent l’expérience utilisateur. »

— Jérémy Dallois, Fondateur et CEO de ReachFive

Conclusion : déléguer pour mieux protéger 

La sécurisation des données de paiement repose principalement sur le choix d'un prestataire certifié à qui vous déléguez cette responsabilité critique. Votre rôle consiste à créer un environnement sécurisé autour de cette délégation.

En tant qu'orchestrateur de paiement et spécialiste de la sécurité, Purse s'engage quotidiennement à garantir le plus haut niveau de sécurité pour ses clients et leurs utilisateurs. Nous pouvons vous accompagner dans la mise en œuvre de ces bonnes pratiques et vous conseiller sur les outils adaptés à vos besoins.

N'hésitez pas à nous solliciter pour sécuriser efficacement votre activité e-commerce tout en optimisant l'expérience de vos clients.

Checklist : Vérifiez votre niveau de sécurité

🔐 Sécurité clients

• Social login proposé (Google, Facebook, Apple) /1
• Politique de mots de passe stricte appliquée /1
• MFA disponible pour les comptes clients /1
• Surveillance des mots de passe compromis active /1

🏆 Conformité PCI DSS

• PSP certifié PCI DSS Level 1 sélectionné /1
• Aucune donnée de paiement stockée sur vos serveurs /1
• Page de paiement intégralement gérée par le PSP /1
• SAQ complété et attestation de conformité à jour /1

🛡️ Sécurité interne

• MFA obligatoire pour tous les accès administrateurs /1
• Principe du moindre privilège appliqué /1
• Scans de vulnérabilités mensuels planifiés /1
• Tests d'intrusion annuels programmés /1
• Sauvegardes testées régulièrement /1

Score de sécurité : ___/13

Moins de 8/13 ? Il est temps de renforcer votre sécurité. Purse peut vous accompagner dans cette démarche.

Sources

• Les pires mots de passe utilisés par les Français en 2024 – Blog du Modérateur
• Cyberattaque en France : 2,3 millions de cartes bancaires piratées – Journal du Geek
• Recommandations sur l’authentification multi-facteur et les mots de passe – ANSSI / cyber.gouv.fr
• ReachFive – Solutions de sécurisation et gestion d’identités clients