Pour quiconque avait encore le moindre doute : les achats en ligne ont réalisé une percée décisive pendant la pandémie. Si l'on en croit les chiffres récents de BeCommerce, on dénombre plus de 45.000 boutiques en ligne liées à une entreprise belge. Un tiers de ces e-boutiques ont vu le jour au cours des cinq dernières années et la majorité des boutiques en ligne appartiennent à une jeune pousse.

Dans le même temps, la cybercriminalité a malheureusement pris, elle aussi, du galon au cours des 18 derniers mois. Or, les boutiques en ligne sont des cibles extrêmement intéressantes pour les cybercriminels. Les implantations physiques, les bureaux et les entrepôts sont de plus en plus connectés les uns aux autres, ce qui rend la totalité de la chaîne logistique vulnérable aux cyber-attaques. Par ailleurs, les commerçants se tournent de plus en plus souvent vers des dispositifs IoT, notamment par l'entremise de terminaux PoS (point of sale) mobiles, afin d'améliorer l'expérience des clients. A leur tour, tous ces appareils sont connectés à des systèmes centralisés qui sont reliés à la plate-forme d'e-commerce du détaillant.

Aucune boutique en ligne n'est totalement sécurisée

Autrement dit, il existe une flopée de portes différentes que les hackers peuvent forcer afin d'accéder à une boutique Internet ou à tout autre type de plate-forme numérique. Ils ont pour ce faire recours à un éventail complet d'instruments d'attaque : hameçonnage, attaques DDoS, attaques de type homme-du-milieu, maliciels, rançongiciels... Un incident peut avoir toutes sortes de conséquences : depuis une infraction à la vie privée jusqu'à la perte de données clients, voire même des perturbations dans la prestation de services.

En tant que client, nous nous inquiétons rarement de savoir si un achat en ligne peut se solder par une véritable catastrophe sur une boutique Internet mal sécurisée. Nous ne pouvons toutefois pas nous voiler la face. Une récente enquête révèle en effet que 12% des incidents de sécurité concernent des acteurs de la vente au détail -- seuls le secteur public et le secteur des soins de santé sont davantage visés.

Bien entendu, les grandes boutiques en ligne sont les plus intéressantes en raison du grand nombre d'utilisateurs et de transactions qu'elles attirent. Mais aucune boutique en ligne ne peut réellement s'estimer 100% sûre. Nous avons par exemple été témoin, en début d'année, de l'une des plus importantes fuites de données dans notre région qui a touché la boutique en ligne Allekabels.nl. Les mots de passe et les données de 3,6 millions de Belges et de Néerlandais ont alors été volés et proposés à la vente sur un forum de hackers.

Quatre erreurs fréquentes lors de la création d'une boutique en ligne

Pour cause de coronavirus et en raison de la fermeture de tous les magasins physiques, de nombreux commerçants ont été obligés de créer une boutique en ligne dans les délais les plus brefs possibles. Ce n'est pas là chose difficile étant donné qu'il existe de très nombreux outils qui vous permettent de donner vie à votre propre boutique en ligne en un tournemain.

Malheureusement, il ne s'agit généralement pas là des solutions les plus étanches qui soient. Voici quatre erreurs les plus souvent commises et la manière de les éviter afin de se doter d'un environnement commercial en ligne sécurisé :

1. Manque de compréhension des menaces

Quiconque construit une maison doit commencer par poser de solides fondations de telle sorte que la bâtisse ne s'effondre pas. Le même principe s'applique au développement d'une boutique en ligne. La sécurité doit être un point d'attention central tout au long du cycle : depuis la conception et le développement de la boutique en ligne jusqu'à l'utilisation et à la maintenance. On constate souvent que, pour l'élaboration d'une plate-forme numérique, les entreprises prennent souvent les fonctionnalités comme point de départ. Leur intention est de créer de la valeur commerciale et de se ménager un avantage sur la concurrence mais elles tiennent insuffisamment compte de la manière dont elles développent la plate-forme. Il est dès lors important que des spécialistes commencent par esquisser un "paysage des menaces", de telle sorte à déterminer quelles sont les menaces.

2. Absence de contraintes de sécurité

Une fois que les principales menaces sont connues, vous pouvez, en vous appuyant sur ce "paysage des menaces", déterminer quelles sont les exigences, en termes de sécurité et de conformité, auxquelles votre plate-forme numérique devra satisfaire. Vous devez aujourd'hui également tenir compte de règles strictes en matière de vie privée, notamment la législation RGPD. Toutes ces contraintes de sécurité vous serviront de fil rouge pour la conception et le développement de votre boutique en ligne.

3. Pas d'échange d'informations avec les développeurs

Souvent, les développeurs ne sont pas parfaitement au courant des menaces qui peuvent avoir un impact sur la boutique en ligne qu'ils conçoivent et des exigences de sécurité auxquelles elle doit satisfaire. Il est dès lors important de disposer de toutes les informations nécessaires et de pouvoir garantir de bonnes pratiques de conception. Un conseil : demander à des spécialistes d'élaborer des "cas d'usage" et des "cas d'abus" dont les développeurs pourront se servir pour vérifier s'ils se conforment à toutes les exigences.

4. Mesures de sécurité non contraignantes

Enfin, rien ne garantit que la prochaine fois, un développeur respectera automatiquement toutes les exigences de sécurité. Il est dès lors nécessaire de rendre certaines choses contraignantes par le biais d'un pipeline CI/CD (Continuous Integration/Continuous Deployment). De nouvelles versions de logiciels font leur apparition quotidiennement. Il n'est possible d'en assurer le suivi qu'en automatisant certaines choses dans un contexte DevSecOps.

A quoi doit-on faire attention en tant qu'utilisateur?

Ce sont tout naturellement les commerçants eux-mêmes qui assument le plus gros de la responsabilité en matière de création d'une expérience d'achat en ligne sécurisée. Mais il vous faut aussi, en tant qu'utilisateur, veiller à une série de choses afin que vos transactions en ligne se déroulent de la manière la plus sécurisée possible:

  • Choisissez systématiquement un mot de passe robuste lorsque vous créez un compte.
  • Veillez à maintenir vos logiciels à jour.
  • Soyez vigilant par rapport à des pratiques d'hameçonnage et d'ingénierie sociale par lesquelles un pirate tentera de subtiliser des informations sensibles.
  • Privilégiez les boutiques en ligne disposant d'un certificat SSL. SSL crypte les communications entre le serveur Internet et le navigateur, ce qui génère un environnement d'utilisation davantage sécurisé.
  • Vous reconnaîtrez les sites Internet disposant d'un certificat SSL au petit cadenas affiché dans la barre URL du navigateur et à l'utilisation qu'ils font de HTTPS en lieu et place de HTTP.
  • Informez-vous éventuellement à propos de l'expérience vécue par d'autres clients avec une boutique en ligne.
  • Vous pensez, en dépit de tout, avoir été victime d'une escroquerie? Avertissez-en immédiatement votre banque et procédez à une déclaration auprès de la police.

Par Etienne Verhasselt, expert en cybersecurité chez Orange Cyberdefense.

Pour quiconque avait encore le moindre doute : les achats en ligne ont réalisé une percée décisive pendant la pandémie. Si l'on en croit les chiffres récents de BeCommerce, on dénombre plus de 45.000 boutiques en ligne liées à une entreprise belge. Un tiers de ces e-boutiques ont vu le jour au cours des cinq dernières années et la majorité des boutiques en ligne appartiennent à une jeune pousse.Dans le même temps, la cybercriminalité a malheureusement pris, elle aussi, du galon au cours des 18 derniers mois. Or, les boutiques en ligne sont des cibles extrêmement intéressantes pour les cybercriminels. Les implantations physiques, les bureaux et les entrepôts sont de plus en plus connectés les uns aux autres, ce qui rend la totalité de la chaîne logistique vulnérable aux cyber-attaques. Par ailleurs, les commerçants se tournent de plus en plus souvent vers des dispositifs IoT, notamment par l'entremise de terminaux PoS (point of sale) mobiles, afin d'améliorer l'expérience des clients. A leur tour, tous ces appareils sont connectés à des systèmes centralisés qui sont reliés à la plate-forme d'e-commerce du détaillant.Aucune boutique en ligne n'est totalement sécuriséeAutrement dit, il existe une flopée de portes différentes que les hackers peuvent forcer afin d'accéder à une boutique Internet ou à tout autre type de plate-forme numérique. Ils ont pour ce faire recours à un éventail complet d'instruments d'attaque : hameçonnage, attaques DDoS, attaques de type homme-du-milieu, maliciels, rançongiciels... Un incident peut avoir toutes sortes de conséquences : depuis une infraction à la vie privée jusqu'à la perte de données clients, voire même des perturbations dans la prestation de services.En tant que client, nous nous inquiétons rarement de savoir si un achat en ligne peut se solder par une véritable catastrophe sur une boutique Internet mal sécurisée. Nous ne pouvons toutefois pas nous voiler la face. Une récente enquête révèle en effet que 12% des incidents de sécurité concernent des acteurs de la vente au détail -- seuls le secteur public et le secteur des soins de santé sont davantage visés.Bien entendu, les grandes boutiques en ligne sont les plus intéressantes en raison du grand nombre d'utilisateurs et de transactions qu'elles attirent. Mais aucune boutique en ligne ne peut réellement s'estimer 100% sûre. Nous avons par exemple été témoin, en début d'année, de l'une des plus importantes fuites de données dans notre région qui a touché la boutique en ligne Allekabels.nl. Les mots de passe et les données de 3,6 millions de Belges et de Néerlandais ont alors été volés et proposés à la vente sur un forum de hackers.Quatre erreurs fréquentes lors de la création d'une boutique en lignePour cause de coronavirus et en raison de la fermeture de tous les magasins physiques, de nombreux commerçants ont été obligés de créer une boutique en ligne dans les délais les plus brefs possibles. Ce n'est pas là chose difficile étant donné qu'il existe de très nombreux outils qui vous permettent de donner vie à votre propre boutique en ligne en un tournemain. Malheureusement, il ne s'agit généralement pas là des solutions les plus étanches qui soient. Voici quatre erreurs les plus souvent commises et la manière de les éviter afin de se doter d'un environnement commercial en ligne sécurisé : 1. Manque de compréhension des menaces Quiconque construit une maison doit commencer par poser de solides fondations de telle sorte que la bâtisse ne s'effondre pas. Le même principe s'applique au développement d'une boutique en ligne. La sécurité doit être un point d'attention central tout au long du cycle : depuis la conception et le développement de la boutique en ligne jusqu'à l'utilisation et à la maintenance. On constate souvent que, pour l'élaboration d'une plate-forme numérique, les entreprises prennent souvent les fonctionnalités comme point de départ. Leur intention est de créer de la valeur commerciale et de se ménager un avantage sur la concurrence mais elles tiennent insuffisamment compte de la manière dont elles développent la plate-forme. Il est dès lors important que des spécialistes commencent par esquisser un "paysage des menaces", de telle sorte à déterminer quelles sont les menaces. 2. Absence de contraintes de sécurité Une fois que les principales menaces sont connues, vous pouvez, en vous appuyant sur ce "paysage des menaces", déterminer quelles sont les exigences, en termes de sécurité et de conformité, auxquelles votre plate-forme numérique devra satisfaire. Vous devez aujourd'hui également tenir compte de règles strictes en matière de vie privée, notamment la législation RGPD. Toutes ces contraintes de sécurité vous serviront de fil rouge pour la conception et le développement de votre boutique en ligne. 3. Pas d'échange d'informations avec les développeurs Souvent, les développeurs ne sont pas parfaitement au courant des menaces qui peuvent avoir un impact sur la boutique en ligne qu'ils conçoivent et des exigences de sécurité auxquelles elle doit satisfaire. Il est dès lors important de disposer de toutes les informations nécessaires et de pouvoir garantir de bonnes pratiques de conception. Un conseil : demander à des spécialistes d'élaborer des "cas d'usage" et des "cas d'abus" dont les développeurs pourront se servir pour vérifier s'ils se conforment à toutes les exigences. 4. Mesures de sécurité non contraignantes Enfin, rien ne garantit que la prochaine fois, un développeur respectera automatiquement toutes les exigences de sécurité. Il est dès lors nécessaire de rendre certaines choses contraignantes par le biais d'un pipeline CI/CD (Continuous Integration/Continuous Deployment). De nouvelles versions de logiciels font leur apparition quotidiennement. Il n'est possible d'en assurer le suivi qu'en automatisant certaines choses dans un contexte DevSecOps.Par Etienne Verhasselt, expert en cybersecurité chez Orange Cyberdefense.