Malgré les nombreuses alertes,
les sites de e-commerce ne semblent toujours pas vouloir placer
la sécurité parmi leurs priorités. Depuis bientôt un an, l'association
loi 1901 "Web
Trust France", regroupant la Compagnie nationale des commissaires
aux comptes et l'Ordre des experts comptables, fait la promotion
en France de la norme internationale de certification de sites
"Web Trust". Pourtant, douze mois après, aucun site français
n'a reçu de certification là où Thierry Trompette, le président
de l'association, évoquait un objectif d'une centaine de sites
certifiés à la fin de l'année 2000 (Lire l'article
du Jdnet du 13/01/00). Ce dernier, également président de
la Commission informatique de la compagnie nationale des commissaires
aux comptes, explique les raisons de ce surprenant décalage
:
"Pour le moment, faute de pouvoir
répondre à nos critères, aucun site de e-commerce français
n'a reçu l'accréditation Web Trust. Les fêtes de fin d'année
ont mobilisé toutes les énergies sur les aspects commerciaux
au détriment des aspects sécurité et logistiques. L'un
des plus importants sites en France parmi lequel un audit
a été réalisé comportait encore environ 15% de points non
conformes aux critères de Web Trust avant les fêtes". Parmi
les failles les plus courantes figurent les problèmes de logistique
liés principalement à la livraison. Beaucoup de sites ne sont
pas en mesure de répondre à une demande lors des grands rush.
"Là encore, poursuit Thierry Trompette, le ratio est déséquilibré
entre la rentabilité et les moyens mis en uvre pour satisfaire
les clients. Pour le moment, les sites gagnent peu, tout en
prenant de gros risques en ce qui concerne la qualité de leurs
services".
Plus inquiétant encore, beaucoup
de sites n'ont pas un niveau de sécurité adapté aux informations
qu'ils font transiter : "Aujourd'hui, la plupart des sites
de e-commerce disposent d'outils de cryptage efficaces, généralement
SSL, qui permettent d'assurer la sécurité des données entre
l'internaute et leur serveur. Les problèmes interviennent
après. Souvent, une fois le numéro de carte reçu, ce dernier
circule en clair sur le serveur web de l'entreprise. Beaucoup
de sites ne sont pas en mesure d'assurer la sécurité sur toute
la chaîne de transaction. D'ailleurs, beaucoup d'entres eux
sous-traitent ces aspects et s'en remettent à des prestataires
extérieurs, si bien qu'ils ne savent pas eux-mêmes où l'information
se trouve et qui peut y avoir accès".
Il est vrai que la sécurité
à un coût. L'investissement nécessaire à l'obtention d'un
certificat Web Trust représenterait environ 6% du coût global
(conception et communication) du lancement d'un site. Pour
cette raison, de nombreux cabinets d'audit et de conseil proposent
des alternatives de labellisation plus ou moins fiables, en
risquant d'aggraver la confusion qui existe déjà dans l'esprit
des cyber-consommateurs. Jean-Luc Barlet, responsable du département
e-business du cabinet de conseil Mazars & Guérard, justifie
cette position : "Nous proposons actuellement deux certifications
à nos clients, le label Web Trust et WebCert.
Nous ne souhaitons pas travailler de façon exclusive puisque
nous ne savons pas quel label sera finalement retenu par le
consommateur. La loi du marché imposera son choix. En revanche,
il est vrai que nous promouvons en priorité le label de Web
Trust sachant qu'il est plus exhaustif que les autres".
"Nous ne pouvons pas interdire
à un cabinet d'audit de créer son propre certificat, conclut
Thierry Trompette. A notre niveau, notre association étant
à but non lucratif, notre objectif principal est avant tout
de sensibiliser les sociétés de e-commerce et de valoriser
une qualité d'audit". Certains labels semblent en effet n'exister
que pour montrer une icône visant à rassurer l'internaute
sans réellement garantir la protection de ses données personnelles.
Un exemple parmi d'autres : le label américain TRUST-e,
qui a certifié plus de 800 sites dans le monde (dont Microsoft
et IBM), est accordé à la seule condition que l'entreprise
fasse une déclaration sur l'honneur en terme de respect des
critères de sécurité. Dans ce cas, l'audit se fait à distance
sans passer "derrière l'écran", le label étant retiré lorsqu'il
y a trop de plaintes de consommateurs.
|