Cyber Monday : Quelle sécurité en ligne pour les consommateurs

Chaque année, les consommateurs effectuent de nombreux achats en ligne lors du Black Friday et du Cyber Monday. Cependant, ces achats ne sont pas sans risque et constituent de véritables risques cyber

Coup d'envoi du Black Friday Cyber Monday, le 24 novembre prochain. Une nouvelle édition à laquelle, 27 % des consommateurs prévoient de participer pour un budget moyen de 416 euros, soit près de 120 euros de plus qu'en 2021. L'étude d'OpinionWay révèle aussi que 53 % des consommateurs prévoient de réaliser ces achats sur internet, soit +10 pts qu'en 2022. Si le consommateur achète en ligne depuis chez lui sur son matériel personnel, il le fait aussi depuis son lieu de travail sur son appareil professionnel. De quoi exposer l'entreprise à des cyberattaques dès lors que les règles de sécurité ne sont pas appliquées. Or, c'est bien connu, dans la frénésie des soldes et promotions en ligne, l'utilisateur même le plus aguerri à la cybersécurité peut se faire piéger par des cybercriminels. D'autant que, conscients de l'état de fébrilité des consommateurs, les cybercriminels sont très actifs en cette période. Ainsi à cette époque de l'année, le nombre de faux sites Web, d'e-mails d'hameçonnage (phishing), de fausses promotions sur les réseaux sociaux ou d'attaques par logiciels malveillants (malware) est en forte hausse. Selon une étude de ZeroFox  64 % des entreprises signalent une augmentation des actes de cybercriminalité pendant le Black Friday, et 336% de croissance des e-mails et liens de phishing. 30 millions de messages malveillants sont également publiés sur les réseaux sociaux pendant cette période. Dans un tel contexte, les entreprises ont tout intérêt à sensibiliser les salariés aux bonnes pratiques de cybersécurité.

Identifier les risques liés aux achats en ligne

Les cybercriminels ont de plus en plus recours à des techniques de piratage psychologique rusées pour exploiter le manque d’attention. Cela est particulièrement vrai lorsque l’achat en ligne est fait depuis le lieu de travail, car le collaborateur exécute bien souvent son achat en parallèle de tâches professionnelles. Des conditions idéales pour les cybercriminels.

Les entreprises ont donc intérêt à vérifier que les collaborateurs connaissent bien les différentes techniques de malversations. Citons les faux sites Web qui, imitant des sites d’achat en ligne, proposent des articles alléchants que le consommateur ne reçoit jamais. Non seulement le consommateur perd de l’argent mais, qui plus est, fournit ses données personnelles (compte bancaire, noms, adresses…). Autre technique : les faux e-mail incitant les internautes à cliquer sur des liens les dirigeant vers des logiciels malveillants ou sur de faux sites web.

Les réseaux sociaux ne sont pas épargnés. Ainsi les cybercriminels utilisent de plus en plus des hashtags associés aux produits les plus prisés sur les réseaux sociaux, à des fins de promotions malveillantes. Ils vont même jusqu’à prendre un nom de compte Twitter ou Instagram très proche de celui de la marque légitime. Les consommateurs se précipitent alors sur la « bonne affaire » sans s’apercevoir qu’il s’agit d’un compte falsifié ou que l’offre est trop belle pour être vraie. Enfin, avec l’essor du shopping mobile, les cybercriminels créent aujourd’hui de plus en plus de fausses applications dont ils font la promotion sur les réseaux sociaux, dans des e-mails d’hameçonnage et sur de faux sites Web. Les consommateurs pensent donc effectuer leurs achats sur une application légitime et n’hésitent pas à fournir leurs données de carte bancaire.

Investir dans des modules de formation

Anticiper ces risques nécessite de la part des entreprises de mener de façon permanente une campagne de sensibilisation à la cybersécurité. Celle-ci peut se faire via des bulletins d’information, des simulations de phishing, des affiches ou des modules de microlearning. Dans les bulletins d’information, sur les affiches et dans les modules d’apprentissage il est bon d’insister sur l’importance pour l'utilisateur de rechercher la présence de HTTPS ou d'un cadenas, et de vérifier le domaine du site Web et la source du lien initial.

Par ailleurs, il est indispensable de rappeler aux salariés de ne faire leurs achats que sur des sites de confiance et de toujours vérifier l’adresse URL. Il est par exemple facile de se faire piéger par un site intitulé amazonn.fr ressemblant au site légitime amazon.fr et de ne pas remarquer la faute d’orthographe dans l’adresse URL. Il est également important de rappeler de ne pas utiliser leur compte d’'entreprise lors de leur inscription sur des sites d'achat en ligne.

Il est également déconseillé d’utiliser les moteurs de recherche pour trouver la bonne affaire, les cybercriminels utilisant les mêmes techniques de référencement que les enseignes légitimes pour faire apparaître leurs faux sites Web dans les premiers résultats. Rechercher les bonnes affaires sur des sites de vente au détail connus comme Amazon, Darty, Micromania ou Fnac est préférable.

Sachant qu’il suffit de peu pour qu’un collaborateur, victime de cybercriminalité, entraîne l’entreprise dans une situation délicate, il est vivement conseillé aux organisations d’encourager les salariés à examiner attentivement chaque offre, e-mail, tweet, texto ou promotion sur un site Web. Aborder le sujet de l’achat en ligne sur le lieu de travail pendant le Black Friday ne peut être que bénéfique pour l’entreprise, sans pour autant être légitimé.