E-commerçants : pas de joyeux Noël sans cybersécurité

73% des consommateurs prévoient de faire leurs courses en ligne pour les fêtes de fin d'année. Il est par conséquent essentiel d'accompagner ce bond en avant des ventes en ligne par une solution de cybersécurité de premier plan.

Les préparatifs de Noël battent leur plein. Cette année, le commerce en ligne a repoussé ses propres limites avec le "Black November", dans l'espoir d'améliorer les ventes en ligne et de compenser les incertitudes liées au Covid-19, qui poussent nombre de clients à faire leurs achats depuis chez eux. Par conséquent, les e-commerçants ont constaté une augmentation significative du nombre d'utilisateurs et d'appareils connectés à leurs sites web par rapport aux années précédentes.

La cybersécurité : invitée indispensable des fêtes

Le volume global de ventes en ligne devrait augmenter cette saison, une bonne nouvelle car de nombreuses entreprises dépendent des ventes de fin d'année pour atteindre leurs objectifs de recettes annuelles. En effet, selon une étude de décembre 2020 de la Fevad, 73% des consommateurs prévoient de faire leurs courses en ligne pour les fêtes de fin d‘année.

Il est par conséquent essentiel d'accompagner ce bond en avant des ventes en ligne par une solution de cybersécurité de premier plan. Les commerçants ne seront en effet pas les seuls à tenter d'exploiter la croissance des achats en ligne cette année. Les hackers y voient eux aussi une belle opportunité de faire quelques bénéfices de leur côté à travers différentes attaques toujours plus sophistiquées… 

Tour d’horizon des principales menaces pour les e-commerçants

•  Hameçonnage. L’hameçonnage et ses variantes, telles que le harponnage (spear-fishing) et la chasse à la baleine (whaling), sont des attaques par e-mail qui s'appuient sur des techniques d'ingénierie sociale pour induire les destinataires à fournir des informations sensibles. Si le harponnage et la chasse à la baleine sont plus ciblés que l’hameçonnage, tous tentent de pousser la victime à lire un e-mail, cliquer sur un lien, voire ouvrir une pièce jointe, puis divulguer des informations personnelles ou professionnelles précieuses.
• Logiciels rançons. Les attaques par logiciel rançon (ou ransomware) consistent à extorquer de l'argent aux victimes en chiffrant l'accès à des fichiers ou à l'ensemble du système pour ensuite demander une rançon. Ces attaques se sont multipliées au cours des dernières années. La principale motivation est bien sûr d'empocher de grosses sommes d'argent. Mais une autre raison moins connue est la généralisation des kits de rançon en tant que service ou (RaaS) qui sont peu coûteux sur le marché noir et permettent même aux novices de lancer leurs propres attaques. Les e-mails d'hameçonnage constituent le principal vecteur de distribution des logiciels rançon.
• Déni de service distribué (DDoS). Les attaques DDoS sont conçues pour empêcher un ordinateur, un serveur, un site web ou un service de remplir sa fonction en le noyant avec le trafic Internet généré par une armée de robots appelée un botnet. La croissance spectaculaire des appareils IoT (Internet des objets), dont la plupart ne sont pas sécurisés, a ouvert une voie permettant aux pirates de prendre le contrôle de davantage d'appareils et de créer des botnets. Les attaques DDoS peuvent être particulièrement graves pour les e-commerçants pendant la période de Noël, notamment si les clients ne peuvent plus accéder à leur site Web pour faire des achats.
• Logiciels malveillants.  Les attaques par logiciels malveillants prennent de nombreuses formes, telles que les virus, les vers informatiques, le courrier indésirable, les logiciels malveillants et bien plus encore. Si le courrier indésirable est plus ennuyeux que dangereux, les virus et les vers informatiques peuvent infecter tout un réseau et ses systèmes, ce qui a des répercussions sur ses performances et la productivité des utilisateurs. De même, les logiciels espions peuvent ralentir les systèmes mais visent avant tout à collecter des informations sensibles, comme les mots de passe.
• Injections. Les attaques de type Injection, telles que les scripts intersites et les injections de code SQL exploitent les vulnérabilités des applications web en injectant du code malveillant dans un programme pour en modifier l'exécution. En d'autres mots, elles forcent l'application à faire quelque chose d'imprévu pour modifier le comportement d'un site web ou révéler des informations confidentielles, telles que les identifiants. Les e-commerçants victimes d'une attaque par injection risquent de voir leurs clients redirigés vers un faux site qui enregistre illégalement leurs informations.

Des conséquences dramatiques pour les e-commerçants

Les cyberattaques ne sont pas rares et se produisent bien sûr tout au long de l'année, mais atteignent des sommets à l'approche de Noël. Par conséquent, la cybersécurité est incontournable. Si les e-commerçants ne prennent pas de mesures contre les logiciels malveillants, les attaques DDoS et autres, une attaque réussie risque de mettre en jeu la survie du magasin.

• Perte de revenus. Toute interruption de service d'un serveur web empêchant les clients de faire un achat a un impact sur les ventes en ligne et peut présenter un danger grave, notamment pour les petites entreprises.
• Vol de données. L'augmentation du volume d'achats en ligne pendant la période des fêtes de fin d'année est un véritable aimant pour les cyber-criminels qui cherchent à s'emparer des données professionnelles et personnelles. Les e-mails d'hameçonnage prétendant avoir des informations sous forme de reçus d'achat, relevés de commande et de questionnaires bidons sont particulièrement nombreux à l'approche de Noël.
•  Déni de service (DoS). Les attaques par DDoS associées aux logiciels rançon peuvent cibler des services considérés comme essentiels. Les sites d'e-commerce, les services publics, ainsi que les écoles en sont les principales victimes. L'arrêt de l'accès à un service, y compris pour une courte période, peut avoir des impacts financiers et sociaux majeurs.
• Atteinte à la réputation. Les pertes financières à court terme et les vols de données ne sont pas les seuls risques. La confiance des clients et la réputation de la marque peuvent s'effondrer en cas de mauvaise expérience en ligne. Les clients n'hésiteront pas alors à faire part de leur mécontentement sur les réseaux sociaux.
• Productivité réduite.  Les clients ne sont pas les seuls à subir les conséquences d'une attaque réussie. Si les collaborateurs ne peuvent plus accéder aux applications indispensables pour faire leur travail, leur productivité se réduit du fait de solutions palliatives indésirables.

Savoir se préparer pour les fêtes de fin d'année

La cybersécurité ne concerne pas que la période de Noël. Elle implique une action quotidienne. Heureusement, les entreprises peuvent prendre des mesures préventives pour protéger leurs applications, réseaux et activités, notamment pendant les périodes de pic d'activité.

Tout d'abord, recherchez une solution assurant la prévention et l'atténuation des attaques DDoS, afin de garantir un service continu pour les utilisateurs légitimes. Les pirates ont appris comment transformer en armes les appareils IoT pour mener des attaques complexes, multi-vectorielles et à fort volume, capables de mettre à l'arrêt des serveurs d'applications et des réseaux.

Deuxièmement, protégez les applications web avec une technologie WAF. Les applications obsolètes sont particulièrement vulnérables aux attaques. Un pare-feu WAF les protège contre l'exploitation des failles HTTP et des applications Web.

Troisièmement, trouvez des solutions en phase avec les attentes actuelles et prévisibles en matière de plateformes. Les organisations peuvent ne pas encore avoir opéré leur transition vers le cloud, mais elles disposent probablement de quelques applications cloud. Elles doivent être sûres que leur solution est prête dès le début de la transition, que ce soit vers une infrastructure cloud hybride ou multi-cloud. Et enfin, continuez à sensibiliser les employés sur l'importance d'une bonne cyber-hygiène. Selon une étude d'IBM en 2019, 95% des failles de cybersécurité sont dues à une erreur humaine.

Dans la mesure où la transition vers Internet est permanente, les e-commerçants doivent se préparer à adopter ces niveaux d'activité soutenue pour l'avenir et pas seulement pour Noël. Par conséquent, il est essentiel pour eux d’assurer la sécurité de leurs applications, serveurs et réseaux au long cours.