Interview de Matylde CONSEIL, directrice commerciale de HTTPCS – Cybersecurity experts.

Pourquoi la sécurité applicative est-elle primordiale pour les e-commerçants ?

Les enjeux sont immenses pour les e-commerçant, surtout pendant les soldes. Les chiffres parlent d’eux même, alors que 77% des cyberattaques ciblent quotidiennement PME, 60 % des entreprises victimes sont contraintes d’arrêter leur activité dans les 6 mois qui suivent le piratage de leurs sites web ! Le vol de données coûte chaque année plus de 3,76 milliards d’euros aux entreprises, auxquels s’ajoute le montant des investissements nécessaires pour redonner confiance à leurs internautes et revaloriser leur notoriété.

Ajouté à cela, les instances de régulations imposent des règles moins permissives et des contrôles plus réguliers et contraignants face à la négligence de certains e-commerçants peu sensible à ce sujet. Ainsi, avec l’entrée en vigueur de la General Data Protection Régulation, les règles s’uniformisent au-delà des frontières permettant un contrôle plus efficace des pratiques et bonnes diligences en matière de sécurité web. D’ici deux ans, les entreprises n’ayant pas adopté de politique proactive de sécurité applicative et de protection des données la facture sera salée, atteignant jusqu’à 4% du chiffre d’affaire global de l’entreprise concernée…

Ces facteurs, notamment de compétitivité, impactent-ils tous les e-commerçants ?

Oui, ces normes et ces enjeux ne concernent pas exclusivement les grands-comptes, c’est pourquoi il est plus que jamais nécessaire de s’adresser aux petits e-commerçants et aux PMEs. Ceci, en les aidants à percevoir les cyber-risques associés à leur activité et à en déceler les principaux enjeux de compétitivité, d’image et de conformité. Mais surtout, en les accompagnants dans l’adoption de politique proactive de sécurité applicative, notamment à l’appui d’outil adapté qui répondent à leurs besoins spécifiques et contraintes.

Lorsqu’on sait qu’il est trois fois plus coûteux de réagir après une cyberattaque que d’investir proactivement dans des outils de détection efficaces, la cyber sécurité devient stratégiquement une priorité. Sans sombrer dans la paranoïa où « Effrayer » prime sur « Eduquer », de simples questions peuvent aider les e-commerçants de toutes tailles à trouver la réponse…

S’il fallait en retenir deux, quelles seraient les questions qui pourraient aider les e-commerçants à développer leur réflexion sur la sécurité applicative ?

– La première s’adresserait à tous ceux qui pensent que le piratage ne les concerne pas. Pourquoi seraient-ils un jour victime d’une attaque ?
Nous savons qu’en moyenne, moins de 1% des cyber-attaques sont ciblées, souvent effectuées par des personnes malveillantes internes à l’entreprise victime. La grande majorité des attaques sont généralement issues de l’exploitation de failles de sécurité présentes dans des applications massivement utilisées telles que les CMS, particulièrement leurs plug-ins « home made », ou encore les Frameworks ou applications serveur. Seule une sécurité offensive quotidienne sur l’ensemble du périmètre applicatif leur permettra de se prémunir contre ces risques. Humainement impossible à assurer, c’est à l’appui d’outils automatisés qu’ils pourront facilement corriger leurs failles de sécurité avant qu’elles ne soient exploitées.

– La seconde question à considérer concerne le coût d’un piratage pour leur activité e-commerce. Quelles seraient les pertes financières, par minute et par jour, d’un black listage d’une indisponibilité ou d’un vol de données ?
Ils dépensent dans du display advertising, des campagnes de référencement payant ou d’e-réputation, mais tout cela est peu cohérant, et surtout non pertinent, si leur quality score est catastrophique ou si les moteurs de recherche alertent leurs internautes sur la fiabilité de leurs sites web.

Du code offusqué dans les bannières publicitaires, une propagation de fichiers malicieux, un site défaçé, sont des cyber-risques importants. Ils empêchent les clients d’accéder à leurs sites et d’y effectuer leurs achats tout en détériorant leur image de marque. De plus, entre transactions bancaires, saisies de données personnelles, commandes en ligne, gestion des colis… en cette période de soldes c’est une véritable mine d’or qu’ils peuvent perdre chaque seconde ! En tant que e-commerçant, dont toute l’activité repose sur le web, une aspiration de la base de données peut donc avoir des conséquences immédiates sans précédent mais également des impacts sur le long terme.

Comment aidez-vous les entreprises à adopter une politique proactive de sécurité applicative et de mise en conformité ?

Expert en protection des données et sécurité applicative nous avons développé la technologie HTTPCS pour accompagner ce type d’initiative. Utilisable sur des sites en production et à forte audience, HTTPCS automatise quotidiennement des pentests en black box et grey box. Ceci, en combinant threats management, compliance assessment et real time moniroting. Une solution tout en un qui propose des correctifs adaptés à chaque type d’application et compréhensibles sans compétence en sécurité web. En tant que tiers de confiance nous délivrons un sceau de sécurité qui certifie, aux internautes et instances de régulation, la fiabilité du site sur lequel ils naviguent : une preuve des engagements menés en matière de sécurité web et protection des données.