Beaucoup de marchands Shopify pensent que la plateforme prend en charge toute la sécurité de leur boutique, et qu’ils n’ont rien à faire de leur côté. C’est vrai pour une partie : Shopify gère la conformité PCI DSS du tunnel de paiement, le chiffrement TLS, les mises à jour serveur, la protection anti-DDoS. Mais une autre partie reste sous la responsabilité du marchand et concerne les accès au back-office : mots de passe, authentification à deux facteurs, comptes staff, permissions des applications tierces, surveillance des sessions. C’est sur ce périmètre que la majorité des compromissions ont lieu, parce qu’un attaquant qui obtient l’accès admin peut modifier les coordonnées bancaires de virement, exporter la base client, installer des applications malveillantes, rediriger les commandes. Chez Propuls’Lead, nous accompagnons les marchands Shopify dans le durcissement de leur back-office, parce que les failles humaines sont le principal vecteur d’attaque sur la plateforme.
Activer et configurer l’authentification à deux facteurs sur tous les comptes
L’authentification à deux facteurs (2FA) est la mesure de sécurité avec le meilleur rapport effort/protection sur Shopify, et pourtant elle reste désactivée sur une majorité de comptes marchands. Activée, elle bloque la quasi-totalité des compromissions par mot de passe volé, parce qu’un attaquant qui possède le mot de passe ne peut pas accéder au compte sans le second facteur. Shopify propose trois mécanismes 2FA dans Paramètres > Utilisateurs et permissions > Sécurité du compte.
Mécanisme 1 : application d’authentification (TOTP) comme Google Authenticator, Authy, ou 1Password. Cette méthode est la plus recommandée parce qu’elle fonctionne hors ligne, ne dépend pas du réseau téléphonique, et résiste aux attaques par SIM swap qui ciblent les codes par SMS. Mécanisme 2 : clé de sécurité physique (FIDO2) comme YubiKey. Cette méthode offre la protection la plus forte parce qu’elle exige la présence physique de la clé pour valider la connexion. Recommandée pour les comptes admin avec accès complet sur des boutiques générant plusieurs centaines de milliers d’euros.
Mécanisme 3 : code par SMS. Méthode la moins sécurisée parce qu’elle peut être contournée par SIM swap (transfert frauduleux du numéro chez un autre opérateur), mais elle reste préférable à l’absence totale de 2FA. La 2FA doit être activée sur le compte propriétaire et sur tous les comptes staff sans exception. Shopify Plus permet d’imposer la 2FA à tous les utilisateurs via une politique de sécurité, et c’est la configuration que nous recommandons systématiquement. Notre article sur WordPress et authentification à deux facteurs, protéger l’accès à l’admin avant qu’il ne soit trop tard revient sur les mêmes principes appliqués à WordPress et complète la compréhension générale du sujet.
Gérer les comptes staff avec le principe du moindre privilège
Le principe du moindre privilège consiste à attribuer à chaque utilisateur uniquement les permissions strictement nécessaires à ses tâches. Sur Shopify, ce principe se traduit par une utilisation soignée des permissions granulaires disponibles dans Paramètres > Utilisateurs et permissions. Un compte de gestion des commandes n’a aucune raison d’avoir accès aux paramètres de paiement, et un compte de rédaction de contenu n’a aucune raison de pouvoir installer des applications.
Shopify propose une vingtaine de permissions individuelles regroupées par fonction : produits, commandes, clients, contenu, applications, marketing, rapports, paramètres. La règle de configuration consiste à partir d’un compte vide et à cocher uniquement les permissions nécessaires, plutôt que de partir d’un compte complet et de décocher les permissions inutiles. Cette approche bloque l’oubli systématique d’une permission sensible.
Un autre point souvent négligé concerne le statut « Propriétaire » du compte. Un seul compte propriétaire existe par boutique, et ce compte a des privilèges supérieurs aux comptes admin (notamment la possibilité de fermer la boutique, de transférer la propriété, et de modifier les coordonnées bancaires). Le compte propriétaire doit être réservé à une personne, ne jamais être partagé, et faire l’objet d’une 2FA via clé physique. Notre article sur WordPress et REST API, sécuriser les endpoints qui exposent vos données revient sur la logique de minimisation des accès qui s’applique de façon similaire aux deux plateformes.
Auditer et restreindre les applications tierces installées
Le marketplace Shopify propose des milliers d’applications tierces qui demandent des permissions étendues sur les données de la boutique. Une application de marketing par email peut demander l’accès complet à la liste clients, une application de fidélité peut demander la modification des commandes, une application d’analytics peut demander l’accès aux données financières. Chaque application installée augmente la surface d’attaque, parce qu’une faille chez l’éditeur de l’application devient une faille de votre boutique.
L’audit des applications installées suit trois étapes. Étape 1 : revue trimestrielle de la liste complète des applications dans Apps > Manage apps. Pour chaque application, vérifier qu’elle est encore utilisée activement et qu’elle apporte une valeur supérieure au risque qu’elle représente. Une application installée pour un test puis oubliée doit être désinstallée. Étape 2 : vérification des permissions accordées à chaque application via le lien « Permissions ». Shopify liste les données auxquelles l’application accède : clients, commandes, produits, contenu de la boutique. Si les permissions semblent excessives par rapport à la fonctionnalité, contacter l’éditeur ou chercher une alternative plus respectueuse.
Étape 3 : vérification de la réputation de l’éditeur de l’application. Le marketplace Shopify affiche le nombre d’installations, la note des utilisateurs, et la date de la dernière mise à jour. Privilégier les applications avec plus de 1 000 installations, une note supérieure à 4 étoiles, et une mise à jour de moins de trois mois. Les applications de moins de 100 installations sur des fonctionnalités sensibles présentent un risque disproportionné. Notre article sur scanner son site WordPress pour détecter les malwares avant qu’il ne soit trop tard revient sur la détection des compromissions une fois qu’une application malveillante a été installée par erreur.
Surveiller les sessions actives et le journal d’activité
Shopify enregistre chaque connexion au back-office et chaque action sensible dans un journal d’activité consultable dans Paramètres > Plan > Activité du compte. Cette traçabilité permet de détecter rapidement une intrusion ou un comportement anormal d’un compte staff. Une connexion depuis un pays inhabituel, une modification des coordonnées bancaires en dehors des heures de travail, un export massif de données client sont autant de signaux qui méritent une investigation immédiate.
La surveillance proactive du journal d’activité passe par trois pratiques. Pratique 1 : revue hebdomadaire du journal par le propriétaire de la boutique. Cette revue prend cinq minutes et permet de repérer les anomalies tant qu’elles sont récentes. Pratique 2 : déconnexion forcée régulière de toutes les sessions actives via le bouton « Se déconnecter de toutes les sessions ». Cette pratique invalide d’éventuels tokens de session compromis par un poste de travail infecté ou un navigateur partagé.
Pratique 3 : configuration d’alertes email pour les actions sensibles. Shopify envoie automatiquement un email lors d’un changement de coordonnées bancaires, d’une nouvelle connexion depuis un appareil inconnu, ou d’une modification des comptes staff. Ces emails doivent être lus en temps réel et déclencher une action immédiate en cas de non-reconnaissance. Notre article sur WordPress et permissions fichiers, les réglages serveur qui protègent votre site revient sur les mécanismes de traçabilité serveur qui complètent la surveillance applicative.
Industrialiser le durcissement Shopify dans la méthodologie PROPULSE
Dans le cadre de la méthodologie PROPULSE que nous appliquons chez Propuls’Lead, le durcissement de la sécurité d’une boutique Shopify suit un protocole standard décliné selon le profil du marchand. Profil 1 : boutique solo gérée par un seul entrepreneur. La configuration de base inclut 2FA TOTP sur le compte propriétaire, un seul compte staff de secours (pour cas de blocage), revue mensuelle des applications, revue trimestrielle des sessions actives. Temps total de mise en place : moins d’une heure.
Profil 2 : boutique avec équipe de 2 à 10 personnes. La configuration ajoute la 2FA obligatoire sur tous les comptes staff, des permissions granulaires par rôle (gestion commandes, contenu, marketing), une revue mensuelle du journal d’activité, et une formation de 30 minutes sur les bonnes pratiques de mots de passe et de reconnaissance des emails de phishing. Profil 3 : boutique Shopify Plus avec équipe étendue ou agence partenaire. La configuration ajoute la 2FA par clé physique sur les comptes admin, une politique de sécurité imposant la 2FA à tous, un audit trimestriel complet par un consultant Propuls’Lead, et un protocole d’urgence en cas de suspicion de compromission.
Pour les trois profils, un test trimestriel vérifie que la 2FA est active sur tous les comptes, qu’aucun staff inactif depuis 90 jours n’a conservé ses accès, et qu’aucune application non utilisée n’est encore installée. Sur les boutiques accompagnées, ce protocole a évité plusieurs tentatives de phishing ciblé, parce que la 2FA bloque l’accès même quand le mot de passe est volé.
Ce qu’il faut retenir pour sécuriser une boutique Shopify
La sécurité d’une boutique Shopify se joue principalement sur la gestion des accès au back-office et des applications tierces. Cinq points clés à retenir : la 2FA via application d’authentification ou clé physique est la mesure prioritaire et bloque la majorité des compromissions, les comptes staff doivent suivre le principe du moindre privilège avec des permissions granulaires par rôle, les applications tierces installées doivent être auditées trimestriellement et désinstallées dès qu’elles ne sont plus utilisées, le journal d’activité et les alertes email sur les actions sensibles forment le système de détection des intrusions, le protocole de durcissement se décline selon la taille de l’équipe et le volume d’activité de la boutique. Chez Propuls’Lead, ce travail méthodique réduit drastiquement le risque de compromission et protège ce qui fait la valeur d’une boutique e-commerce.