TECH NEWS

Préserver son e-commerce des cyber-attaques

Cédric Mauny, Cybersecurity lead, est intervenu lors de l’événement PIN CODE de Legitech autour de la thématique « E-Commerce: Une activité sans risques ? ». Il évoque avec nous les grands enjeux pour les acteurs de l’e-commerce face aux cybermenaces.

October 1, 2020

Source de diversification pour de nombreux acteurs de toute taille, l’e-commerce a connu un essor important ces dernières années. Celui-ci s’est considérablement accéléré ces derniers mois du fait de la crise sanitaire. Quel que soit le pays concerné, les études s’accordent à montrer une
augmentation d’environ 95% de visites de sites e-commerce et une croissance à 3 chiffres des ventes liées sur le 2ème trimestre 2020. 

Investir dans l’e-commerce offre de réelles opportunités pour maintenir et développer son business. Très exposée sur le web, l’activité n’est toutefois pas exempte de risques. « De plus en plus d’acteurs se tournent vers l’e-commerce pour assurer un chiffre d’affaire en raison des mesures de confinement passées et de distanciation physique actuelles qui ralentissent la venue des clients dans les magasins physiques, confirme Cédric Mauny, Cybersecurity Lead au sein de Telindus. Cette tendance s’accompagne aussi malheureusement d’une hausse des tentatives d’attaques. La crise de Covid-19 l’a notamment révélé, avec une multiplication des opportunités d’attaques liées à des transactions financières en ligne. »

4 enjeux clés pour sécuriser l’e-commerce

Il est donc important pour toute organisation active en ligne de protéger son activité, mais aussi et surtout ses clients, de ces menaces en étant attentif à quatre enjeux clés. « Il faut garantir la confidentialité des échanges, assurer l’intégrité des données traitées, veiller à la disponibilité des services et pourvoir à la traçabilité des opérations », résume Cédric Mauny.  

Une malencontreuse fuite de données peut ruiner la réputation d’une plateforme d’e-commerce et sa viabilité à long terme. « Or, les données des clients sont aujourd’hui très recherchées par des cybercriminels. Ils les convoitent pour les utiliser directement ou pour les revendre à d’autres acteurs malveillants, qui pourront les exploiter à leur tour. On voit émerger un réel marché de la cybercriminalité », explique-t-il. Dans ce contexte, l’e-commerçant doit veiller à protéger toutes les données dont il dispose, certaines pouvant être considérées comme très sensibles. « Une des recommandations, dans cette optique, est de minimiser les données à collecter. Plus il y a de données à protéger, plus les risques, et les coûts de protection, sont importants. Et d’autant plus quand on considère les besoins et exigences de la protection des données personnelles en lien avec le RGPD ! »

Faire face à des cybercriminels bien informés

La disponibilité d’un service e-commerce peut aussi être mise à mal de diverses manières. Un cryptolocker peut par exemple crypter toutes les données de l’entreprise. Par exemple La société Garmin en a été victime récemment. Des attaques de déni de services (DDoS) visant à sur-solliciter et saturer le service par la multiplication des requêtes peuvent également se produire. Dans les deux cas, l’entreprise se retrouve paralysée. « Les cybercriminels proposent alors des transactions à ces acteurs, pour déverrouiller les données ou stopper l’envoi des requêtes illégitimes, poursuit Cédric Mauny. Ils agissent le plus souvent en connaissance de cause, sachant par exemple très bien ce que peuvent représenter les pertes liées à l’indisponibilité d’une plateforme durant la période des fêtes de fin d’année par exemple. » 

Prévenir, détecter, répondre à l’incident, améliorer la sécurité

L’entreprise doit donc être consciente de ces risques et mettre en place des solutions pour les prévenir. « Il est par exemple possible de souscrire à des solutions qui vont permettre de distinguer le trafic légitime des sollicitations illégitimes en amont sur la connectivité internet, afin de permettre aux véritables clients d’accéder au service sans perturbation dans leur processus d’achat » poursuit Cédric Mauny. D’autre part, il est essentiel de sécuriser sa plateforme, en menant des analyses de risque ainsi que des tests et vérifications de sécurité à chacune des étapes du développement pour s’assurer de la robustesse des contrôles mis en place. Ceci en continuant à surveiller les activités afin, notamment, de détecter tout comportement suspect. »

A défaut d’avoir mis en œuvre les mesures préventives adaptées, l’entreprise pourrait subir de plein fouet un incident de sécurité mettant parfois en péril toute son activité. Il faudra alors pour elle assumer les pertes financières et le déficit d’image qui en découlent.

Des assurances cyber sont disponibles sur le marché pour couvrir les coûts de remise en état d’un système informatique, supporter les coûts de notification aux autorités et clients ainsi que pallier à la perte du chiffre d’exploitation. Cependant il ne faut pas oublier qu’aucune approche réactive n’est en mesure d’apporter un meilleur retour sur investissement qu’une approche préventive et rappelle Cédric Mauny.

Garantir, préserver et renforcer la confiance

« La sécurité concerne à la fois les systèmes de l’entreprise mais aussi ses partenaires, en charge par exemple du suivi des transactions et paiements. Tous les maillons de la chaîne doivent partager le même niveau d’exigence en la matière. C’est la confiance des clients qui est en jeu, conclut Cédric Mauny. Si un client est victime d’une fuite de données ou est confronté à un service déficient, il s’en détournera pour aller préférer le service d’un concurrent. Sur le long terme, les pertes peuvent dès lors être colossales. Il faut garantir, préserver et renforcer en permanence confiance de chaque client sur le long terme. Il est donc primordial pour l’entreprise de rassurer ses clients sur ses capacités de gestion de la sécurité. » 

Dans la période que nous traversons et à l’avenir, la protection de son activité en ligne et de ses clients passe par une meilleure prévention des risques. Il est primordial de mettre en œuvre les moyens permettant de détecter le plus rapidement possible toute anomalie afin d’apporter une réponse efficace à chaque incident potentiel et inscrire la sécurité dans une démarche d’amélioration continue.

Watch video

In the same category