François Gratiolet – E-commerçants : renforcez votre sécurité pour mieux servir vos clients

Porté par la prolifération des équipements mobiles, le marché mondial de l’e-commerce s’envole. Disponibles partout, les équipements mobiles permettent de faire facilement des emplettes via Internet, dès que les consommateurs en ont envie.Porté par la prolifération des équipements mobiles, le marché mondial de l’e-commerce s’envole. Disponibles partout, les équipements mobiles permettent de faire facilement des emplettes via Internet, dès que les consommateurs en ont envie. En 2012, les ventes en ligne réalisées par les 500 premiers cybermarchands européens ont atteint 93,74 milliards d’euros*, soit une augmentation de 16,6% par rapport à 2011. 46% des détenteurs de smartphones ont fait des courses d’une façon ou d’une autre via leur équipement mobile**. Cependant, comme toujours, qui dit plus de puissance dit plus de responsabilités. En cherchant à surfer sur l’adoption galopante des équipements mobiles, les entreprises qui pratiquent l’e-commerce seront confrontées à des défis de sécurité et de conformité qui feront leur réputation et leur succès de demain.

 

Question de confiance
La confiance est un élément crucial d’une transaction en ligne. Le consommateur doit faire confiance à l’entreprise à qui il a confié ses données financières et personnelles dans le cadre d’un achat. Sans cette confiance, une entreprise de e-commerce échouera. La sécurité de l’information est en train de devenir un outil de e-reputation sur le marché. Elle ne peut pas être reléguée au rang d’option mais doit être plutôt au cœur de toutes les activités de l’entreprise. Qui plus est, les consommateurs sont de plus en plus exigeants. L’émergence des smartphones et des tablettes a aiguisé la conscience des consommateurs qui prennent de plus en plus charge eux-mêmes leur propre sécurité sur les équipements personnels. La pression d’une clientèle toujours mieux informée devrait inciter les acteurs du commerce électronique à s’adapter en conséquence.

Au cœur de l’entreprise de e-commerce se trouve le site Web avec lequel le cybermarchand échange avec ses clients. Mais ce composant essentiel fait l’objet de menaces intenses. En effet, les applications Web sont de plus en plus prisées des pirates qui en font un vecteur majeur pour lancer leurs attaques. Par conséquent, il est désormais indispensable que ces sites intègrent des pratiques de sécurité complètes et que la sécurité soit au premier rang des priorités lorsqu’ils développent ou choisissent des applications et des services Web d’e-commerce.

Si le site Web d’une entreprise est victime d’une attaque DDoS et reste indisponible pendant plusieurs heures, cette société perdra non seulement immédiatement des clients, mais elle sera également 

victime d’un manque à gagner lié aux dommages infligés par l’attaque. Comme parade, il est fortement recommandé que les professionnels de la sécurité de l’e-commerce déploient différents programmes de sécurité, notamment une solution permanente d’analyse des applications Web pour identifier et remédier les vulnérabilités au sein de ces applications. Ces programmes devraient être déployés parallèlement à une couche de protection supplémentaire sous la forme d’un firewall pour applications Web. L’automatisation et l’évolutivité de l’analyse des applications Web sont dans ce cas essentielles. Les entreprises d’e-commerce  peuvent s’équiper d’une solution évolutive capable d’analyser rapidement et sans interruption des milliers d’applications Web afin d’identifier les vulnérabilités. En outre, ce programme doit pouvoir être déployé en quelques minutes seulement et non pas sur plusieurs jours.

 

Tout n’est pas noir ou blanc
La sécurité est un sujet complexe pour les cybermarchands. Leur infrastructure est en effet composée de serveurs Web, de serveurs d’applications, de prestataires de services de paiement et de composants réseau qui peuvent être développés en interne ou par un tiers. Selon la conception et l’administration de la solution, la responsabilité peut être différente pour les marchands et les prestataires de services. Cependant, les exigences de la norme PCI-DSS s’appliquent au commerçant, même si la solution d’e-commerce est soustraitée. Par exemple, des contrôles PCI-DSS sont réalisés chaque fois que les données d’une carte de paiement sont traitées, stockées ou transmises. Malgré tout, certaines entreprises continuent de croire que la conformité de leur prestataire de services de paiement ou de leur hébergeur suffit. Les cybermarchands doivent clairement se charger de la sécurité. Il leur faut impérativement identifier les responsabilités des différents composants de leur infrastructure informatique et savoir à qui il incombe de garantir leur conformité aux exigences de la norme PCI-DSS. Même si le site d’un marchand est hébergé dans un environnement partagé, c’est en fin de compte au cybermarchand de veiller à la conformité de son environnement hébergé.

 

Les meilleures pratiques en matière de sécurité
La législation européenne qui entrera bientôt en vigueur accentue l’importance des meilleures pratiques en matière de sécurité. Avec une législation qui contraindra les cybermarchands à la transparence et à la publication des failles de sécurité des données et des incidents de sécurité, ce sera aux entreprises de prendre toutes les mesures possibles pour préserver les données des clients. Ainsi, les cybercommerçants ne seront plus seulement en concurrence en termes de prix et de praticité, mais aussi au niveau de la sécurité fournie.

Dans un environnement où la sécurité est en train de devenir rapidement un enjeu réputationnel, il est dans l’intérêt majeur des cybermarchands de renforcer leur sécurité autant que possible. La conformité peut s’apparenter à une formalité, mais sur un marché concurrentiel, les entreprises sont forcées d’anticiper pour fidéliser leur clientèle.

Outre les contraintes imposées par la norme PCI-DSS, les commerçants doivent envisager de déployer certaines pratiques pour s’adapter à la future législation européenne, à savoir :

  • Identifier l’emplacement de toutes les données des détenteurs de cartes de paiement
  • Évaluer les risques associés à la technologie e-commerce qu’ils ont choisie
  • Gérer les risques associés à la sous-traitance d’opérations à des tiers
  • Adopter une stratégie permanente et évolutive pour sécuriser les environnements hébergés sur le Web
  • Renforcer la sensibilisation des consommateurs

 

Au delà des obligations
Pour préserver la confiance de ses clients, l’industrie du commerce électronique doit dépasser la simple conformité aux exigences de la réglementation. La nature concurrentielle du marché verra un développement organique de la sécurité mû par la volonté d’offrir aux clients une expérience supérieure à celle de la concurrence. Dans un environnement informatique complexe, il est vital que chacune des entreprises impliquées prenne ses responsabilités en matière de sécurité. Il faut que la sécurité devienne une préoccupation majeure et stratégique du marché. Une panne de site Web ou un vol de données clients confidentielles peut avoir de sérieuses conséquences sur l’e-réputation d’une entreprise ainsi qu’en termes de perte de clientèle sur le long terme.

 

* Commerçant sur Internet :
** Source : comScore