La période d’achat des fêtes représente une aubaine pour les cybercriminels. Selon le rapport 2020 de Trustwave sur la sécurité mondiale*, le commerce de détail constitue, pour la troisième année consécutive, le secteur le plus ciblé par les cyberattaques.
Et face à l’évolution de plus en plus grande vers un environnement numérique, due en grande partie à la pandémie de COVID-19, la protection des données devient un enjeu de plus en plus complexe pour les commerçants.
Côté consommateurs, les ventes en ligne continuent d’atteindre des niveaux records*, une tendance qui devrait se poursuivre jusqu’à la fin de l’année. Mais les pirates informatiques capitalisent également sur cet essor : au Royaume-Uni, les fraudes aux achats en ligne ont engendré plus de 16 millions de livres* de pertes sur une période de trois mois seulement pendant la pandémie.
La sécurité des bases de données est aussi une source de préoccupation pour les géants du commerce en ligne. Au début de 2020, huit millions de dossiers clients* de grandes enseignes telles que Amazon, eBay, Shopify et PayPal ont été exposés en raison de la vulnérabilité de leurs bases de données.
À l’approche du Vendredi Fou, du Cyber Lundi et d’autres événements commerciaux liés aux fêtes, voici une brève liste de conseils de cybersécurité à l’intention des commerçants pour les aider à se préparer à la frénésie de fin d’année.
1. Respectez les lois et règlements sur la protection de la vie privée
Pour les commerces en ligne desservant une clientèle mondiale, cela commence vraisemblablement par le respect du Règlement Général sur la Protection des Données (RGPD) de l’Union européenne (UE), entré en vigueur en 2018.
Ce règlement définit les modalités selon lesquelles les données personnelles sont recueillies, protégées et conservées. Il s’applique à toute organisation exerçant ses activités au sein de l’UE, ainsi qu’aux organisations extérieures à l’UE ayant des relations commerciales avec des particuliers ou d’autres organisations au sein de l’UE.
Sous l’impulsion du RGPD, 42 États américains et autres pays ont promulgué leurs propres lois de protection des données. La plus notable est la California Consumer Privacy Act*, entrée en vigueur le 1er juillet 2020. À elle seule, cette nouvelle loi a donné lieu à plus de cinquante actions en justice à la suite de violations. Ainsi, les commerçants n’ont pas d’autre choix que de se conformer impérativement aux lois et règlements sur la vie privée qui relèvent de leur portée opérationnelle.
En mettant en œuvre une solution de sensibilisation au RGPD qui leur est spécialement destinée, les commerçants peuvent aider leur personnel en contact direct avec les clients, en ligne ou en personne, à se former afin de mieux protéger les données personnelles.
2. Veillez à ce que vos salariés connaissent vos meilleures pratiques en matière de cybersécurité
Les salariés peuvent être le maillon le plus faible ou la première ligne de défense* dans la posture de cybersécurité d’une organisation.
En effet, les salariés non formés et non préparés ne sont pas en mesure de détecter systématiquement les cybermenaces, et sont donc plus susceptibles de devenir victimes d’hameçonnage. Il y a également plus de risques que leur appareil électronique soit compromis.
Les commerçants qui mettent en œuvre des programmes de formation en sensibilisation à la sécurité basés sur le risque peuvent inciter leurs salariés à adopter un état d’esprit axé sur la cybersécurité et ainsi renforcer les initiatives de sécurité de l’information au lieu de les inhiber.
Le facteur humain, indifféremment du niveau de sécurité de l’infrastructure technique de l’entreprise, ou de la mise à niveau récente de son antivirus, est un aspect essentiel de toute démarche de protection contre les cyberattaques.
3. Protégez les transactions avec l’authentification à plusieurs facteurs
À la suite de la violation de données subie par l’enseigne Target en 2013, un géant américain du commerce de détail dont le règlement judiciaire dans plusieurs États a coûté la bagatelle de 18,5 millions de dollars, les détaillants américains se sont empressés d’adopter le système de paiement EMV®. Un système exigeant la saisie du NIP ou la signature lors de l’utilisation de cartes de débit et de cartes de crédit.
Or, les commerces en ligne ne peuvent pas utiliser les couches de sécurité supplémentaires associées à ce type de carte. En revanche, ils doivent absolument tirer parti des options d’authentification à plusieurs facteurs dont ils disposent pour prévenir les activités frauduleuses.
Qu’il s’agisse d’un code numérique unique ou de l’exécution d’une requête reCaptcha, ces méthodes d’authentification aident les commerçants à offrir aux consommateurs un processus de paiement fluide et sécurisé, garantissant la tranquillité d’esprit des deux parties.
4. Vérifiez la présence de codes malveillants sur votre site
Toutefois, du fait de la réduction des risques de compromission des données au point de vente grâce à l’utilisation physique des cartes de débit ou crédit et à l’authentification multifacteurs, les fraudeurs ont recours à d’autres méthodes pour dérober les données personnelles des clients lors des transactions en ligne.
À ce sujet, le journaliste spécialiste en cybersécurité Brian Krebs* a écrit des articles sur la façon dont les fraudeurs compromettent les sites de commerce électronique en diffusant des codes malveillants. Il cite un fournisseur de solutions de sécurité qui évoque une violation dont British Airways a été victime, et un autre prestataire affirmant avoir observé 250 000 incidents de ce type en septembre 2018. Aux commerçants qui entendent bloquer entièrement les codes malveillants de leurs sites, Brian Krebs recommande d’utiliser une visionneuse de code source en ligne*. Cela leur permet d’afficher le code HTML en toute sécurité sur n’importe quelle page Web, sans traitement nécessaire dans un navigateur Internet.
5. Vérifiez vos terminaux POS et votre réseau
Si vous faites partie des commerçants qui optent pour un point de vente physique en cette période des fêtes, l’audit périodique* des terminaux de paiement sans personnel fixe aux caisses en libre-service est une pratique de cybersécurité à adopter impérativement.
Cette pratique empêche l’installation de copieurs de carte pour capter les informations sensibles des consommateurs, telles que leurs NIP ou leurs données de compte. Il est également judicieux de vérifier régulièrement vos points d’accès et votre réseau Wi-Fi au point de vente pour vous assurer que des appareils non autorisés n’ont pas été installés par des personnes malveillantes.
6. Chiffrez vos données et votre réseau
Même si vous avez fait tout ce qui est en votre pouvoir pour empêcher la compromission des données de vos clients, sachez que les personnes mal intentionnées font constamment évoluer leurs stratégies et tactiques. Dès que cela est possible, chiffrez vos fichiers et votre réseau. C’est un moyen simple de protéger vos données.
Même si les cybercriminels parviennent à y accéder, les données chiffrées restent protégées, où qu’elles résident. Cela s’applique également à la protection par VPN de votre réseau professionnel Wi-Fi. Il s’agit d’une couche de sécurité cruciale pour quiconque consulte ou envoie des informations sensibles par le biais de cette connexion.
7. Définissez un plan de reprise clair
Même si vous prenez toutes ces précautions, une cyberattaque peut passer entre les mailles du filet. Pour éviter le chaos et la perte permanente de données, veillez à ce que votre organisation se dote d’un plan de reprise bien défini et prêt à être exécuté. Dans le cadre de cette stratégie, il convient de fixer en détail les modalités de sauvegarde des données et de réinitialisation des systèmes, et de veiller à ce qu’elles soient en phase avec les fournisseurs d’accès à l’Internet et les prestataires de services d’hébergement.
*Article disponible en anglais seulement
Le Hub de Cyber Security : accès à des contenus exclusifs en cybersécurité
Inscrivez-vous dès maintenant pour accéder à des contenus informatifs, partageables et multiformats sur la cybersécurité.