Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

E-commerce : le mauvais élève de la cybersécurité

Vol de données, déni de service, sabotage, les sites de e-commerces sont visés par 50% des cyber-attaques. Arrivés tardivement sur le web, les acteurs historiques du BtoB y sont particulièrement sensibles. Pour les victimes, les conséquences financières sont inestimables et le traumatisme des consommateurs s'inscrit dans la durée. Le scandale de Target a notamment marqué les esprits. 

Twitter Facebook Linkedin Flipboard Email
×

E-commerce : le mauvais élève de la cybersécurité
E-commerce : le mauvais élève de la cybersécurité © dr

Adobe, Target, Domino’s Pizza, Amazon … Difficile de trouver l’intrus ? Normal : il n’y en a pas. Ces entreprises de e-commerce ont toute en commun de s’être fait pirater. Parmi ces exemples, Target est surement celui qui a fait couler le plus d’encre. Souvenez-vous : fin 2014, les Etats-Unis déjà endormis par la féérie de Noël, se réveillent abasourdis : le géant de la distribution Target annonce le vol des données bancaires de 40 millions de clients. Et ce ne sera pas la dernière affaire pour l’entreprise américaine puisqu'en 2015, un pirate trouve le moyen de diffuser le son d’un film porno dans l’enceinte d’un magasin de la chaine. Cette fois, c’est l’image de marque qui est visée. Pour Philippe Humeau, PDG de NBS System, une société spécialisée dans l'infogérance et la cybersécurité "voler de l’argent, obtenir des informations, nuire à l’image de marque, les motivations des pirates sont variées". Surtout que l'attaque peut aussi bien venir d'un adolescent en quête de reconnaissance que d'un concurrent ou d'un Etat. 

 

De nombreuses fragilités

Si les motivations sont variées, les cibles restent constantes. Selon l’étude du quatrième trimestre 2015 d’Akamai, plus de 50% des cyberattaques en Europe visent le e-commerce, BtoC comme BtoB. "Toute cette économie digitale a un certain nombre de fragilités", reconnait Bertrand Pinneau, en charge d'un livre blanc sur les enjeux de la cybersécurité pour la FEVAD (Fédération e-commerce et vente à distance). Développeurs obligés de coder toujours plus vite, mauvaises pratiques, pirates créatifs, les raisons de cette fragilité sont nombreuses.

 

Le laxisme des cyber-marchands a d’ailleurs été montré du doigt au début de l’année par Dashlane. Dans son baromètre de la sécurité 2016, le gestionnaire de mots de passe s’alarme : un site de e-commerce sur deux étudié ne protège pas assez les données personnelles de ses visiteurs, et 36% des e-commerçants acceptent des mots de passe aussi basiques que "mot de passe", "azerty", ou "123456". "Je pense que la réalité est plus nuancée et c’est un peu énervant de voir une société de sécurité crier au loup pour vendre sa solution", s’agace Bertrand Pineau, pour qui la sécurité vient avant tout des bonnes pratiques.

 

Les e-commerçant BtoB : des géants au pied d’argile

Une chose est sûre, face à la cybersécurité, acteurs traditionnels et pure-players ne sont pas sur un pied d’égalité. Les commerçants nés avec l'émergence d'internet et les pros du paiement, comme Paypal, sont en général de meilleurs élèves. "Les connecteurs de paiement viennent du monde de la banque, avec une culture de la paranoia et de la sécurité. Et le système bancaire est intransigeant : s’ils font une erreur, ils se font expulser", analyse Philippe Humeau.

 

Les commerçants BtoB historiques sont moins sensibilisés à ces dangers. "Ils ont beaucoup de moyen et ont la capacité d’investir vite, mais les acteurs BtoB commencent tout juste à s’ouvrir sur le web, après avoir fonctionné en intranet pendant des années. Ils ont tendance à avoir des pratiques old school qui facilitent les cyberattaques, reprend le professionnel de la cybersécurité. Un client BtoB veut pouvoir passer sa commande rapidement, il utilise des cookies, des authentifications rapides, c’est un bonheur pour les pirates." Et avec un panier moyen à 1000 dollars (contre 300 pour un panier BtoC), des cartes bancaires plafonnées à 100 000 dollars, des produits pouvant être revendus 30 000 dollars au marché noir... pour les pirates le jeu en vaut la chandelle.  

 

réglementation : la solution

Le prix à payer pour un piratage est conséquent, comme le démontre Axa, dans un cas pratique : le vol de données sur un site de vente de meubles engendre un blacklisting par Google, une perte de chiffre d’affaire de 30 000 euros pour deux semaines de blocage, et une inestimbale perte financière due à la baisse de confiance des clients.

 

Les experts en cybersécurité espèrent que la réglementation influera sur les comportements. "Il faut un cadre législatif et technique, l’équivalent de la certification que remet ARJEL (autorité de régulation des jeux en ligne), sans laquelle les jeux en ligne n’ont pas le droit de fonctionner", estime Philippe Humeau. L’Union Européenne est déjà sur le coup. La directive, dont la proposition a été publiée en février 2013, imposerait un niveau de sécurité minimum pour les technologies, les réseaux et les services numériques dans l'ensemble des États membres. Le texte propose également d'obliger certaines entreprises et organisations à signaler les incidents de sécurité informatique majeurs dont elles sont victimes. Pour les pirates, la fête est bientôt finie.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale