Ce guide pratique s’adresse au responsable e-commerce ou à l’équipe technique qui doit activer Cybermut (Crédit Mutuel / CIC) sur un site marchand. Il détaille les étapes administratives, l’obtention des certificats et identifiants, les bonnes pratiques de sécurité, ainsi que les tests indispensables en environnement de recette avant la mise en production.
1. Dossier commercial et contractuel
Avant toute ouverture technique, le conseiller bancaire doit valider votre dossier. Préparez les pièces demandées et anticipez les informations qui permettront d’accélérer l’ouverture du contrat :
- Extrait Kbis ou document d’identification de l’entité (moins de 3 mois).
- RIB du compte de règlement.
- Coordonnées complètes du gestionnaire commercial et du contact technique (nom, e-mail, téléphone).
- Description du volume prévisionnel de transactions et des moyens de paiement souhaités.
- Adresse du site marchand et politique de remboursement.
Une fois le contrat signé, vous recevrez une confirmation écrite contenant l’identifiant commerçant (ou numéro de contrat), les accès aux environnements de test et les coordonnées du support technique Cybermut.
2. Obtention et gestion des certificats et identifiants
La sécurisation des échanges repose sur des clés et certificats. Respectez ces étapes :
- Générez la clé privée en local sur une machine sécurisée. N’envoyez jamais la clé privée par e-mail.
- Soumettez la CSR (demande de signature) au service Cybermut pour obtenir le certificat client de test. Les environnements test et production ont des certificats distincts.
- Stockez les certificats et clés dans un keystore chiffré (par exemple PKCS#12) ou dans un gestionnaire de secrets sécurisé.
- Prévoyez une politique de rotation : renouvellement annuel ou après incident, et procédures pour révoquer rapidement en cas de compromission.
Recommandations cryptographiques :
| Environnement | Algorithme recommandé | Rotation recommandée |
|---|---|---|
| Sandbox / test | RSA 2048 ou ECDSA P-256 | 12 mois |
| Préproduction | RSA 2048 ou ECDSA P-256 | 12 mois |
| Production | RSA 2048 ou ECDSA P-256 | 12 mois |
3. Choix d’intégration : module CMS ou API
Deux approches possibles :
- Module ou plugin officiel pour votre CMS (Magento, WooCommerce, PrestaShop) : installation plus rapide, gestion simplifiée des retours et mise à jour via l’écosystème.
- Intégration API directe : plus de contrôle, adaptée si vous avez des flux spécifiques ou un ERP connecté.
Vérifiez la compatibilité : PHP 7.4+ recommandé pour la plupart des modules récents, extensions cURL et OpenSSL activées, et configuration TLS moderne (TLS 1.2 minimum).
Exemples de configuration
Commande cURL de test pour simuler une requête vers l’API de test :
curl -X POST --cert clienttest.pem --key clienttest.key \\ -H "Content-Type: application/json" \\ -d '{"amount":1000,"currency":"EUR","orderId":"CMD12345"}' \\ https://api.cybermut.test/transactionEn PHP, initialisez cURL en spécifiant localcert et localpk si nécessaire, et vérifiez la vérification de l’autorité de certification :
$ch = curlinit($url);curlsetopt($ch, CURLOPTPOST, true);curlsetopt($ch, CURLOPTSSLCERT, '/path/to/clienttest.pem');curlsetopt($ch, CURLOPTSSLKEY, '/path/to/clienttest.key');curlsetopt($ch, CURLOPTRETURNTRANSFER, true);$response = curlexec($ch);$httpCode = curlgetinfo($ch, CURLINFOHTTPCODE);curlclose($ch);4. Validation des callbacks et scénarios de test
Les notifications asynchrones sont critiques. Testez ces points :
- Endpoints HTTPS accessibles, certificat valide, réponse HTTP 200 rapide.
- Gestion des statuts : autorisé, refusé, annulé, en attente, erreur technique.
- Idempotence : un même callback reçu plusieurs fois doit laisser l’ordre dans un état cohérent.
- Retries : simulez plusieurs envois et vérifiez la logique de re-essai côté Cybermut et votre capacité à rejouer manuellement.
- Scénarios de panne réseau et reprise : testez ce qui se passe si votre endpoint est indisponible puis redevient opérationnel.
Effectuez des tests de volume et de réconciliation : lancez des séries de transactions sur plusieurs jours, exportez les fichiers bancaires et comparez avec vos ventes pour identifier écarts et erreurs de mapping.
5. Checklist avant mise en production
- Certificats production installés et testés séparément des certificats de recette.
- Accès et stockage des clés sécurisés, sauvegardes chiffrées et gestion des permissions restreintes.
- Playbook incident prêt : procédure de bascule, contacts support Cybermut, procédure de réconciliation manualisée.
- Monitoring en place : alertes sur taux d’erreur, délais de callbacks et échecs de paiement.
- Fenêtre de bascule planifiée en période de faible trafic avec supervision technique et commercial.
6. Bonnes pratiques opérationnelles
Limitez les accès aux clés, auditez régulièrement les logs d’authentification, et gardez une traçabilité complète des opérations (qui a déployé quoi et quand). Mettez en place des tests automatisés dans votre pipeline CI/CD pour valider la présence des certificats et l’accessibilité des endpoints avant chaque déploiement.
En respectant ces étapes, vous réduisez sensiblement les risques de perte de commandes ou d’erreurs de réconciliation lors de la mise en production avec Cybermut. Pensez à prévenir le support commercial Crédit Mutuel et le support technique Cybermut avant la bascule pour obtenir un accompagnement en direct si nécessaire.
