Vous devez solliciter l'expertise d'une tierce personne pour résoudre des problèmes techniques sur votre plateforme, qu'il s'agisse de corriger un bug, de diagnostiquer une défaillance ou de mettre en œuvre une nouvelle fonctionnalité. Voici une liste de recommandations pour assurer un déploiement sécurisé des accès aux personnes extérieures, certaines de ces pratiques étant également applicables à votre équipe interne.
Concernant le backoffice : Chaque collaborateur externe doit disposer de son propre profil utilisateur, doté d'un mot de passe unique et strictement personnel. Il est essentiel de pouvoir identifier l'auteur de toute modification effectuée par la solution, non seulement pour des raisons de responsabilisation, mais aussi pour mieux comprendre les erreurs potentielles, telles que les modifications de prix au sein d'un panier client. Le maintien d'un profil utilisateur distinct facilite la gestion des droits d'accès, permettant de bloquer ou de révoquer l'accès en un seul clic, sans compromettre la confidentialité des autres mots de passe.
En ce qui concerne l'accès FTP : Tout comme pour le backoffice, chaque opérateur FTP doit être doté d'un compte individuel. De nombreux hébergeurs conservent des journaux des transferts, identifiant ainsi le compte source. Pour gérer efficacement les accès, il suffit de désactiver ou de fermer le compte lorsque l'intervention de l'opérateur n'est plus nécessaire.
Accès SSH : Une fois de plus, des comptes séparés et chercher à privilégier l'authentification par clé cryptographique pour l'authentification.
Enfin, il est important de ne pas confondre la sécurité avec la paranoïa. Accorder un accès FTP (lecture/écriture) ou SSH, quel que soit le répertoire autorisé au sein de la structure de votre boutique, donne accès à l'ensemble du site, y compris la base de données, le compte administrateur principal du backoffice et, par extension, tout le contenu du site. Si vous ne faites pas entièrement confiance à un collaborateur externe, ne lui accordez aucun accès. Un accès administrateur principal du backoffice offre également un contrôle total sur tous les éléments du site.
#conseil #bestpractice