Pour garantir la meilleure expérience de navigation, veuillez activer JavaScript dans votre navigateur web. Sans cela, de nombreuses fonctionnalités du site seront inaccessibles.


Centre de sécurité Internet
Tests totaux:
Cette semaine:
Aujourd'hui:

Ce que vous devez savoir
sur la sécurité e-commerce

Temps de lecture:7 min.

Comment les entreprises modernes de commerce électronique et en ligne peuvent-elles prévenir efficacement les violations de données coûteuses et
éviter des sanctions juridiques sévères en mettant en œuvre une cybersécurité, une protection des données
et une confidentialité bien pensées? Explorons les risques numériques émergents et les stratégies anti-piratage.

Sécurité du commerce électronique et violations de données

De nos jours, pratiquement tous les secteurs d'activité ont une présence croissante sur Internet, offrant à leurs clients et partenaires un service instantané 24 heures sur 24, un flux de travail agile et un paiement en ligne simple. Le nombre croissant d'entreprises qui pénètrent dans l'espace émergent du commerce électronique s'étend des entreprises traditionnelles et conservatrices aux start-up hautement disruptives maîtrisant l'IA et la blockchain.

Cybersécurité transformation numérique e-commerce

Les segments de marché les plus populaires qui adoptent le commerce en ligne et se tournent vers l'e-commerce incluent:

  • comptabilité
  • Magasins de détail et d'alimentation
  • Paiements en ligne et mobiles
  • prestataires de soins de santé et télémédecine
  • compagnies d'assurance et de courtage
  • restaurants et livraison de repas
  • Réservations de voyages et d'hôtels
  • taxi et covoiturage
  • médias et jeux
  • services juridiques
  • secteur public
  • immobilier

Ils présentent tous un large éventail de cyber-risques et de menaces numériques assez différents, tout en ayant un point commun: être une cible très attractive pour les groupes croissants de cybercriminels sophistiqués. Plus les organisations ont une présence Internet importante, plus leur external attack surface est grande, ce qui ouvre des vecteurs d'attaque et des techniques de piratage supplémentaires contre l'organisation.

Vous souhaitez avoir une compréhension approfondie de tous les aspects modernes de la cybersécurité de la transformation numérique pour les entreprises en ligne et le e-commerce? Lisez attentivement cet article et ajoutez-le à vos favoris pour y revenir plus tard, nous mettons régulièrement cette page à jour.

Cependant, la plupart des victimes actives dans le commerce électronique et les activités en ligne ne perçoivent pas ou sous-estiment largement ces risques, croyant sincèrement que la taille ou la nature de leur entreprise les rend peu attrayantes pour les hackers qualifiés, leur accordant ainsi une immunité numérique. Malheureusement, cette croyance largement répandue est fatalement erronée et a déjà conduit de nombreuses entreprises prometteuses à cesser leurs activités ou, dans le meilleur des cas, à perdre des années de rentabilité.

Souvent, les cybercriminels rusés évitent d'attaquer directement leurs victimes, mais ciblent plutôt les partenaires et autres tiers de confiance de la victime visée, qui ont un accès privilégié aux documents ou aux données recherchés par les attaquants. Plus vous avez de clients importants, plus vous avez de chances d'être pris pour cible par des hackers professionnels.

88 % des entreprises ont dépensé plus de 1 million de USD pour se préparer au RGPD.

des entreprises ont dépensé plus
de 1 million USD pour leur préparation
au RGPD.

CSO
Augmentation de 200 % des dépenses en cybersécurité par employé au cours des cinq dernières années

croissance des dépenses en cybersécurité par employé au cours des cinq dernières années

Gartner
Une augmentation de 78 % des attaques ciblées contre les fournisseurs a été observée l'année dernière.

Une hausse des attaques ciblées contre les fournisseurs s'est produite l'année dernière.

Symantec

Les cybercriminels expérimentés n'attaquent pratiquement jamais les grandes organisations ou entreprises de front, mais s'en prennent plutôt à leurs fournisseurs et prestataires de services, notamment les fournisseurs IT, les comptables ou les cabinets d'avocats. Compte tenu d'une cyberdéfense relativement plus faible et de contrôles de sécurité souvent déficients, cette approche indirecte réduit considérablement les coûts et la complexité d'une intrusion, rend la détection et l'enquête sur les incidents hautement difficiles, et permet ainsi aux attaquants d'échapper à la détection et aux poursuites des forces de l'ordre. Parfois, même si la violation est détectée ultérieurement, les petites victimes n'ont pas les moyens financiers de mener une enquête appropriée ou d'y répondre. Les attaquants obtiennent ainsi exactement ce qu'ils recherchent sans pirater directement la cible principale. Par conséquent, les entreprises de toutes tailles et de tous les secteurs d'activité se retrouvent inévitablement sous le regard omniscient des cybercriminels sans scrupules.

De plus, les PME négligentes sont presque inévitablement victimes de cyber-gangs bien organisés qui se concentrent sur des campagnes de piratage à grande échelle et peu complexes. Cela inclut l'exploitation automatisée de vulnérabilités connues du public dans les logiciels web WordPress ou Magento obsolètes. Les cyber-gangsters surveillent en permanence Internet à l'aide de Shodan ou de dorks Google spéciaux, à la recherche d'applications, de serveurs et de sites web exposés et vulnérables. Une fois qu'une cible vulnérable est repérée, elle est automatiquement piratée, dotée d'une porte dérobée et même patchée pour empêcher les gangs rivaux d'y accéder plus tard. Une fois que les attaquants ont rassemblé quelques centaines de systèmes ou de sites web infectés par des chevaux de Troie, ils les vendent en lot sur Dark Web marketplaces pour un prix allant de 1 à 10 dollars par système compromis. Ces systèmes sont ensuite utilisés pour envoyer des spams, héberger du contenu pornographique, mener des attaques DDoS ou même lancer des intrusions sophistiquées dans les systèmes gouvernementaux, en camouflant perfidement l'identité réelle des attaquants. Plus tard, des PME inconscientes peuvent faire l'objet de perquisitions par les forces de l'ordre et même être inculpées d'une série de chefs d'accusation criminels pour piratage illégal ou vol de propriété intellectuelle.

Obtenir une démo

Conformité du commerce électronique et réglementations en matière de protection des données

Conformité du commerce électronique

Les entreprises de toutes tailles doivent se conformer aux lois sur la protection des données et aux réglementations en matière de confidentialité imposées dans le domaine du commerce électronique, des activités en ligne et de l'espace numérique. Le RGPD de l'UE est peut-être le plus connu grâce aux sanctions financières sévères prévues en cas de non-conformité, qui peuvent atteindre 4 % du chiffre d'affaires annuel ou 20 millions d'euros, selon le montant le plus élevé. Cette loi européenne promulguée en 2016 et pleinement applicable depuis 2018 s'applique à toutes les entreprises qui traitent ou stockent des informations personnelles identifiables (PII) de résidents européens. Même une infraction mineure peut donner lieu à une plainte auprès d'une autorité de protection des données, à une enquête et à une sanction. Récemment, l'État de Californie a promulgué une loi similaire, la CCPA, visant à protéger les informations personnelles identifiables des Californiens.

Toutes les entreprises qui traitent des transactions par carte de crédit, quel que soit le volume de ces transactions, sont tenues de se conformer à PCI DSS, sous peine d'amende et de suspension immédiate de l'autorisation de traiter toute transaction par carte de crédit, telles que Visa, Mastercard ou American Express.

Il s'agit là de quelques-unes des lois et réglementations parmi les nombreuses qui caractérisent la complexité croissante du paysage de la conformité moderne. De plus, un nombre sans précédent d'entreprises à travers le monde font face à un nombre croissant de demandes de la part de leurs clients, qui exigent une preuve convaincante des processus de protection des données pertinents, tels que la certification ISO 27001 ou le questionnaire d'auto-évaluation PCI DSS (PCI DSS SAQ).

Une seule vulnérabilité XSS ou SQL injection sur un sous-domaine oublié, ou un stockage cloud accidentellement exposé sur le cloud public d'Amazon, peut entraîner une violation de données désastreuse, et par conséquent une perte d'activité, des amendes infligées par les autorités de régulation et des poursuites civiles de la part des clients dont les données ont été compromises. Pire encore, si l'enquête technique et les expertises menées par les autorités judiciaires révèlent une non-conformité majeure résultant de négligence ou d'ignorance délibérée (par exemple, l'absence de tests de pénétration des applications réguliers pour les systèmes critiques de l'entreprise), les tribunaux européens et américains ne feront probablement preuve d'aucune clémence lorsqu'ils imposeront des amendes et des sanctions civiles concomitantes.

Obtenir une démo

Risques liés à la sécurité du commerce électronique

Risques liés à la sécurité du commerce électronique

Les attaques de phishing, de ransomware et de Magecart contre le commerce électronique et les entreprises en ligne font chaque matin les gros titres. Elles vont de fuites de données relativement insignifiantes touchant quelques milliers de personnes à des centaines de millions de comptes piratés contenant des données sensibles ou des informations de paiement.

Les problèmes de sécurité et de confidentialité les plus courants proviennent généralement d'une visibilité incomplète ou obsolète des actifs informatiques et du stockage des données de l'organisation. Peu d'organisations tiennent un inventaire complet de leurs actifs exposés sur Internet, tels que les sites web, les API, les services réseau ou le stockage public dans le cloud sur Microsoft Azure ou Google Cloud. En conséquence, ces systèmes restent non entretenus et, dès qu'une nouvelle vulnérabilité de sécurité apparaît, deviennent une porte grande ouverte vers les joyaux de l'organisation.

Le deuxième problème courant est celui des logiciels obsolètes, habilement exploités par les cybercriminels pour pénétrer les réseaux locaux, les bases de données et les serveurs de fichiers. Même un seul CMS web obsolète peut être exploité pour compromettre le serveur web et potentiellement l'ensemble du réseau, le CRM et l'ERP de l'entreprise.

Troisièmement, le troisième problème le plus alarmant figure également parmi les plus difficiles à atténuer: les erreurs humaines exacerbées par l’oubli et la négligence omniprésents. Les développeurs de logiciels peuvent accidentellement divulguer du code source sensible avec des identifiants et des mots de passe codés en dur sur GitHub, un ingénieur réseau peut oublier de configurer correctement les autorisations d’accès au bucket AWS S3 contenant des informations confidentielles, ou un cadre supérieur peut négliger la politique de mot de passe de l’entreprise et utiliser le même mot de passe sur ses comptes personnels. Les attaquants vigilants ne manquent que rarement ces bombes à retardement invisibles, qu’ils transforment systématiquement en un butin précieux.

Obtenir une démo

Checklist de sécurité pour le commerce électronique

Check-list e-commerce

Pour éviter de tomber victime de cybercriminels, nous vous recommandons de suivre les 5 étapes suivantes:

  1. Auditez l'accès à vos données
    Vérifiez qui a accès à vos données, y compris vos employés et les tiers de confiance. Assurez-vous que cet accès est strictement limité aux personnes réellement nécessaires à l’exercice de leurs fonctions professionnelles, couvertes par un accord de confidentialité exécutoire, et uniquement dans la mesure requise pour l’accomplissement de ces fonctions.
  2. Assurez la visibilité de vos actifs informatiques
    Assurez-vous de disposer d’un inventaire holistique, à jour et complet de vos sites web, noms de domaine, stockage cloud, API et tous les autres systèmes ou applications accessibles depuis Internet. Tenez un inventaire inclusif de vos logiciels commerciaux et open source (OSS) utilisés là-dessus afin de réagir correctement aux vulnérabilités nouvellement signalées.
  3. Mettez en place un programme de gestion des correctifs
    Assurez-vous que vos fournisseurs IT et prestataires de services sont capables de réagir rapidement à toute vulnérabilité nouvellement détectée affectant votre réseau interne, vos ordinateurs domestiques, vos appareils mobiles et votre infrastructure exposée à l'extérieur. N'hésitez pas à leur demander avec quelle fréquence ils surveillent la mise à jour des logiciels, et s'ils proposent un SLA (Service Level Agreement) mesurable précisant clairement à quelle fréquence et avec quelle rapidité ils réagissent aux failles de sécurité nouvellement signalées affectant votre activité en ligne.
  4. Sécurisez vos applications web et mobiles
    Les applications vulnérables ou non protégées constituent le vecteur d'intrusion le plus fréquent en 2020. Vérifiez la fiabilité et la résilience de vos applications, par exemple en utilisant notre test de sécurité gratuit pour sites web ou notre test de sécurité gratuit pour applications mobiles. Une seule faille de sécurité web peut ruiner tous vos efforts en matière de protection des données et permettre aux attaquants d'accéder à votre réseau.
  5. Surveillez le phishing et le squatting.
    Les concurrents peu scrupuleux peuvent causer encore plus de problèmes que les cybercriminels en vous volant vos clients via des noms de domaine cybersquattés et typosquattés. Les faux comptes sur les réseaux sociaux tentant de tromper votre clientèle causent encore plus de dommages. Chez ImmuniWeb, nous proposons un test en ligne gratuit pour détecter le phishing et le squatting sur Internet.

Ressources supplémentaires

  • En savoir plus sur la gestion des surfaces d'attaque basée sur l'IA avec ImmuniWeb® Discovery
  • En savoir plus sur les tests de pénétration des applications basés sur l'IA avec ImmuniWeb
  • En savoir plus sur les opportunités du programme de partenariat ImmuniWeb
  • Suivez-nous sur LinkedIn, X, Telegram et WhatsApp
Démonstration gratuite Partager sur Twitter Partager sur LinkedIn

Protégez votre entreprise
contre les cybercriminels

Veuillez remplir les champs surlignés en rouge ci-dessous.

Obtenez votre démonstration gratuite
d'ImmuniWeb® Plateforme
IA

  • Obtenez votre évaluation gratuite du risque cybernétique
  • Commencez un essai gratuit des produits ImmuniWeb
  • Recevez des prix personnalisés
  • Parlez avec nos experts techniques
  • Sans engagement
Gartner Cool Vendor
SC Media
IDC Innovator
*
*
*
*
Privé et confidentielVos données seront privées et confidentielles.

Ce site Web utilise des cookies pour vous offrir une meilleure expérience de navigation. Pour en savoir plus, consultez notre politique de confidentialité. En continuant à utiliser ce site Web, vous consentez à notre utilisation des cookies.

Parlez à un expert