Pentest E-commerce — Audit de Sécurité Boutique en Ligne et Paiement
Votre e-commerce traite des données bancaires de vos clients. Une faille de sécurité peut exposer des milliers de numéros de carte et engager votre responsabilité PCI-DSS. Nos experts testent votre boutique avant les attaquants.
Demander un devis gratuit →Pourquoi sécuriser votre e-commerce par un pentest
Les e-commerces sont parmi les cibles les plus attaquées : ils concentrent des données de paiement (cartes bancaires), des données personnelles (adresses, téléphones) et présentent des fonctionnalités complexes (panier, checkout, gestion de compte) qui multiplient les surfaces d'attaque.
L'attaque la plus répandue sur les e-commerces est le Magecart / e-skimming : injection d'un script malveillant dans la page de paiement qui capture les données de carte en temps réel, sans que le commerçant s'en aperçoive. Cette attaque a touché des milliers de boutiques WooCommerce, Magento et PrestaShop.
Un pentest e-commerce identifie les points d'entrée permettant ces injections, teste la sécurité du processus de paiement, et vérifie votre conformité PCI-DSS.
Conformité PCI-DSS pour l'e-commerce
La norme PCI-DSS v4.0 impose des obligations spécifiques aux marchands en ligne :
Exigence 11.4 : tests d'intrusion annuels sur le périmètre de paiement
Exigence 6.4.3 : inventaire et contrôle de tous les scripts de paiement
Exigence 6.4.3 : intégrité des scripts tiers (SRI)
Exigence 8.4 : MFA pour tous les accès administrateurs
Exigence 12.3.2 : évaluation des risques des technologies utilisées
Scans de vulnérabilités ASV trimestriels obligatoires
Consultez notre page Audit PCI-DSS pour plus de détails sur les exigences de test.
Vulnérabilités e-commerce les plus fréquentes
Injection XSS dans les fiches produit et commentaires → vecteur de skimming
IDOR sur les commandes (accès aux commandes d'autres clients)
Contournement de prix et de promotions (manipulation de paramètres)
Injection SQL dans les filtres de recherche et catégories
Exposition de données de configuration (.env, fichiers de backup)
Accès non authentifié aux panneaux d'administration (Magento, WooCommerce)
Failles dans les modules de paiement tiers (plugins vulnérables)
Absence de validation serveur sur les formulaires de checkout
Sécurité des modules de paiement
Le module de paiement est le composant le plus critique de votre e-commerce. Nos tests couvrent :
Intégration PSP
- • Sécurité des webhooks de paiement
- • Validation des callbacks
- • Rejeu de notifications de paiement
Page de checkout
- • Inventaire des scripts tiers (PCI 6.4.3)
- • Détection de tentative de skimming
- • Content Security Policy (CSP)
Gestion des commandes
- • Contrôles d'accès aux commandes
- • Manipulation des statuts de paiement
- • Accès aux données de facturation
Livrables pentest e-commerce
Pour votre conformité PCI-DSS
- • Rapport compatible avec les exigences PCI 11.4
- • Inventaire des scripts de paiement (req. 6.4.3)
- • Attestation utilisable auprès de votre acquéreur
- • Retest post-correction inclus
Rapport technique
- • Toutes les vulnérabilités avec score CVSS
- • Preuves de concept reproductibles
- • Impact sur les données de paiement
- • Recommandations priorisées par urgence
FAQ pentest e-commerce
Un e-commerce doit-il faire un pentest ?
Oui si vous traitez des paiements par carte. PCI-DSS exige des tests d'intrusion annuels (exigence 11.4). Même sans obligation PCI formelle, les e-commerces sont des cibles fréquentes et un pentest protège vos clients et votre réputation.
Le pentest impacte-t-il les commandes en production ?
Non. Nous travaillons sur un environnement de staging identique à la production. Si des tests spécifiques sur la production sont nécessaires, ils sont planifiés hors heures de pointe avec votre accord.
Quelle plateforme e-commerce testez-vous ?
Toutes : WooCommerce, PrestaShop, Magento, Shopify (environnement personnalisé), VTEX, Sylius, développements sur mesure.
Quel budget pour un pentest e-commerce ?
Contactez-nous pour un devis personnalisé gratuit sous 48h.
Sécurisez votre e-commerce avant les fêtes
Réponse sous 48h — Conformité PCI-DSS — Devis personnalisé