La semaine du Black Friday bat son plein en France, avec une estimation des dépenses d’un montant de cinq milliards d’euros de la part des consommateurs hexagonaux, d’après une étude de RetailMeNot. Pratique initialement Nord-Américaine, elle se tient le lendemain de la célébration de Thanksgiving, et consiste en une journée de soldes pour lancer la saison des achats de Noël. Le concept est arrivé en France il y a quelques années et s’est transformé en une semaine de fortes promotions, pour inciter les consommateurs à commencer leurs cadeaux de Noël via des prix défiant toute concurrence.
Or, cette période de fêtes est également idéale pour les cybercriminels chevronnés, qui tirent profit de cette hyperactivité commerciale sur internet, pour voler des identifiants et nuire à la réputation des enseignes. Par conséquent, les e-commerçants doivent impérativement se prémunir contre les cyberattaques sévissant pendant le Black Friday. Mais comment ?
Le rôle central de la gestion des accès à privilèges
Afin de battre la concurrence et encourager les consommateurs à se rendre en magasin, de nombreux détaillants vont de plus en plus offrir une expérience digitale dans les boutiques physiques. L'Internet des objets (IoT) et l'adoption rapide des services cloud étend le paysage de menaces à l’achat et la vente. Les commerçants cherchent de plus en plus à reproduire « l’effet Amazon » dans leurs magasins : les clients peuvent utiliser les téléphones comme des bons de réduction, et des capteurs et balises intelligentes peuvent prédire si un acheteur effectuera un achat. La prolifération de terminaux, combinée aux quantités de données désormais stockées dans les magasins physiques, offre aux pirates informatiques encore plus de moyens de s’infiltrer dans les réseaux. La sécurité des accès à privilèges doit donc assurer la protection à la fois des périphériques front-end – tels que les caisses – et l'infrastructure informatique back-end.
Pour leur part, les e-commerçants doivent toujours garder une longueur d’avance lorsqu’il s’agit de protéger les données de leurs clients et de garantir le bon fonctionnement de leur site internet. Ainsi, pour être protégé, ils doivent investir dans la sécurité des accès administrateurs ; ce niveau de protection offre la capacité de surveiller, identifier et verrouiller toute activité susceptible d’affecter le bon fonctionnement d’un site ou d’exfiltrer des données. Cette sécurisation peut être scindée en quelques étapes simples. Premièrement, les commerçants doivent chercher à éliminer au mieux les prises de contrôle irréversibles de réseau. Ensuite, il est essentiel qu’ils sécurisent et contrôlent les comptes d'infrastructure cloud sur site. Pour ce faire, ils doivent sécuriser tous les comptes d'infrastructure critiques et procéder à une rotation des mots de passe automatique après chaque utilisation. Ces actions sont essentielles, en particulier dans le secteur de la vente en ligne, où les marques stockent davantage de données sensibles, telles que des coordonnées de cartes de crédit et des adresses. Enfin, les e-commerçants devraient chercher à apprendre des autres secteurs : des entreprises de diverses industries, allant des banques à la production, recrutent des pirates éthiques ou des « red teams » pour tester régulièrement leurs systèmes critiques. En effet, pour se protéger des cybercriminels, il faut se mettre à leur place. Ces techniques doivent être en tête des priorités des e-commerçants qui souhaitent garder une longueur d’avance et protéger leurs données clients durant le Black Friday et les achats de Noël.
Une question d’éducation
Les e-commerçants et consommateurs doivent de plus être accompagnés et formée à la recherche des meilleures offres. Selon le rapport Threat Landscape, publié par CyberArk courant 2018, seuls 39 % des décideurs informatiques travaillant dans le secteur de la vente au détail récompenseraient les employés ayant contribué à empêcher une atteinte à la sécurité en 2018, contre 62 % pour le secteur des télécoms et 42 % pour la santé. Ce secteur a indéniablement besoin d’innover pour garantir la réputation de la marque et une relation client pérenne. Il est en retard, car il a recours à des consultants en informatique, plutôt que du personnel interne plus compétent et formé aux meilleures pratiques de cybersécurité. La lutte contre les cyberattaques doit plus largement impliquer tous les employés, du personnel d’atelier qui utilise désormais des technologies analytiques, aux responsables IT. Une formation de base aux principes de « cyber-hygiène » est ainsi indispensable pour garantir la capacité de l’ensemble de l’organisation à faire face aux cybermenaces, avant qu’elles ne se produisent. En outre, une meilleure compréhension de la « cyber-hygiène » par les consommateurs est nécessaire. Beaucoup sont en effet victimes de phishing (ou hameçonnage) ; les emails ou les publicités qui semblent provenir de leurs marques préférées peuvent en réalité mener à des sites internet malveillants ou à de faux domaines. Car si une offre semble trop belle pour être vraie, il y a de fortes chances pour que ce soit le cas. Les consommateurs devraient donc réfléchir à deux fois avant de rentrer les détails de leur carte de crédit sur un site. En particulier, en périodes de fêtes ou de soldes, durant lesquelles les cybercriminels chercheront davantage à pirater des sites.
Malheureusement, les attaques contre les sites en ligne sont monnaie courante, et ce n’est qu’une question de temps avant qu’une enseigne ne soit visée. C’est la raison pour laquelle, à l'approche des fêtes de fin d’année et à l’occasion de la semaine du Black Friday, les commerçants doivent veiller à avoir pris toutes les mesures possibles pour se protéger des cyberattaques. Des offres commerciales rapides et alléchantes ne doivent pas se faire au détriment de la sécurité.