En 2013, la moitié des cyberattaques ont visé les sociétés de commerce électronique. 2014 a confirmé cette prédilection des cybercriminels à viser les données personnelles des clients, et en particulier les informations bancaires. Aussi est-il primordial d’indiquer haut et fort aux internautes fréquentant les cyberboutiques que la sécurité de leurs données est prise très au sérieux et que tout est fait pour protéger contre la fraude les informations déposées dans les bases de données. Pour les rassurer, il suffit d’appliquer les dix règles de base suivantes :

1 : Utiliser une plateforme de e-commerce sécurisée : Pour cela il faut s’assurer que l’infrastructure déployée par l’hébergeur est résiliente et qu’elle répond aux normes minimales de sécurité nationales et internationales. Il est donc nécessaire de déployer une authentification SSL forte pour chiffrer les données transmises par les clients et souscrire aux certificats SSL Extended Validation qui déclenchent la barre d’adresse verte et autres sceaux SSL, indispensables pour rassurer les internautes acheteurs.

2 : Prévoir une authentification « bifactorielle » pour les administrateurs : Une couche de sécurité supplémentaire est indispensable pour compléter la saisie des « logins » utilisateurs pour parer à la récupération frauduleuse des identifiants des personnes habilitées à pénétrer dans le système d’information. Selon l’opérateur américain Verizon, seuls neuf types d’attaques ont servi à 94% des détournements de données constatés l’an passé.

3 : Faire un bilan rapide de la chaîne logistique : Les cybercriminels utilisent souvent les points faibles de la chaîne d’acteurs du processus marchand. Il est donc impératif que tous les participants à l’écosystème partagent les valeurs sécuritaires et mettent en place des mesures robustes en vérifiant qu’ils sont certifiés conformes à la norme PCI.

4 : Purger les fichiers clients : il est contraire à la norme PCI de conserver les numéros de cartes de crédit, leurs dates d’expiration et leurs codes de contrôle. En supprimant ces informations pour n’en conserver qu’un minimum relatives aux clients, les bases de données sont moins sensibles et intéressent donc moins les cybercriminels.

5 : Associer un système de vérification par adresse et par carte : Pour lutter efficacement contre la fraude, il est recommandé de comparer les données de carte bancaire aux informations d’adresse du client. Cela permet de déjouer les escroqueries basées sur le clonage des moyens de paiement électronique, activité que Verizon place dans le top 4 des techniques de détournement.

6 : Exiger l’utilisation de mots de passe « robustes » : C’est une contrainte – imposée à l’enregistrement d’un compte – qui prouve aux clients le haut niveau de sécurité pratiqué par le site marchand et qui complique les manœuvres des cybercriminels voulant s’introduire dans le système par la porte d’entrée. Une enquête récente révélait que 62% des consommateurs britanniques réutilisaient toujours le même mot de passe.

7 : S’abonner à un service d’alerte contre la fraude : Pour être réactif, il est indispensable de se tenir informé des attaques en cours sur Internet en s’abonnant à un service fonctionnant en quasi temps réel et qui analyse contextuellement les transactions d’achat réalisées sur votre site.

8 : Déployer une sécurité à niveaux multiples : Mieux vaut dresser plusieurs barrières face aux cybercriminels. Le commerce électronique est vulnérable aux attaques sur les couches applicatives, y compris les injections SQL et les agressions de type XSS. Il faut aussi contrer les attaques DDoS en s’adossant à une solution économique de protection basée sur le Cloud. Une analyse permanente et temps réel d’un site e-marchand permet aussi de détecter toutes anomalies par rapport au fonctionnement habituel.

9 : Vérifier la conformité aux normes : Une revue fréquente de conformité aux normes de sécurité inclut nécessairement la prise en compte des mises à jour et correctifs des éditeurs tiers. Ainsi, un scan de sécurité PCI n’autorise ni le déni de service, ni le débordement de la mémoire tampon, encore moins l’attaque en force ou la surexploitation de la bande passante.

10 : Penser social : La ruse fait désormais partie de l’arsenal des cybercriminels qui utilisent Internet mais aussi le téléphone, la fouille des déchets de bureau, l’intimidation ou la persuasion, le vol d’identité, etc. L’ingénierie sociale criminelle génère des interactions avec des personnels qui peuvent être piégés et fournir des données sensibles sans vraiment s’en rendre compte. Ces méthodes nécessitent la mise en œuvre de consignes et de procédures qui dépassent le stricte domaine informatique.

Un passage en revue de ces dix points permet de maintenir le niveau d’alerte et de faire prendre conscience au personnel du service informatique mais également aux partenaires extérieurs que la sécurité est un impératif de tous les instants.