Toufic Daaboul, Senior Security Executive chez Verizon
Les nouvelles avancées technologiques ont transformé l’industrie du retail de manière inédite en rapprochant comme jamais le monde digital du monde physique et en proposant une expérience client en constante évolution. À l’instar des changements du secteur, les méthodes des cybercriminels évoluent de manière à dérober les données sensibles des entreprises et des particuliers.
Jusqu’en 2018, les données de cybersécurité indiquaient que le type d’incident le plus courant dans le secteur de la vente au détail était le piratage des terminaux de vente (POS). Ce terme englobait le contrôle à distance de l’environnement des POS ainsi que les programmes malveillants et l’extraction des numéros de cartes de paiement. Cependant, de récentes informations montrent que les pirates emploient désormais de nouvelles méthodes avancées pour s’attaquer aux commerçants, les laissant démunis suite à ces incidents.
Les mécanismes d’attaque évoluent
Selon le rapport d’enquête complet sur le piratage de données de Verizon (DBIR) publié cette année, les attaques contre les applications Web ont supplanté les piratages de POS au classement des cyberattaques les plus fréquentes. Depuis 2014, le nombre de piratages de POS a été divisé par 10, tandis que les piratages d’applications Web sont désormais 13 fois plus susceptibles de se produire et de frapper les détaillants qui ne se doutent de rien.
Comment les cybercriminels réalisent-ils ces attaques Web ?
Ils commencent par pirater l’application de paiement d’un site Web puis y installent un code visant à récupérer les informations de carte de paiement que les clients saisissent lors de leurs achats. Bien que peu médiatisées, les conséquences de ces attaques quotidiennes sont néanmoins significatives. Les cybercriminels d’aujourd’hui sont à la recherche d’applications d’e-commerce vulnérables constituant un vecteur d’attaques efficaces et automatisées. Il existe même des groupes de criminels spécialisés dans ce type d’attaques faciles.
Comment les entreprises peuvent-elles réagir ?
Pour préserver la sécurité des données, les commerçants doivent prendre les mesures adéquates pour combattre les cyberattaques. Bien que la solution idéale n’existe pas, voici différentes mesures utiles aux entreprises désirant atténuer ces risques.
- Connaître l’importance de l’intégrité des logiciels : Les cybercriminels ciblant les applications Web ne s’attaquent pas aux données inertes. Ils s’emploient à injecter du code visant à capturer les données des clients lorsqu’ils les saisissent via un formulaire en ligne. Pour combattre cette méthode, envisagez de mettre en place un logiciel d’intégrité des fichiers au système anti-malware de vos sites de paiement. Il se révèle également utile de mettre à jour le système d’exploitation et le code de l’application de paiement.
- Faites appel aux nouvelles technologies : Continuez à recourir aux nouvelles technologies empêchant les criminels de considérer les terminaux de vente comme un vecteur d’attaque facile. Vous pouvez ainsi employer le système EMV, les portefeuilles mobiles ou toute autre méthode utilisant un code de transaction à usage unique, par opposition au PAN (Primary Account Number)
- N’oubliez pas : le problème ne se limite pas aux cartes de paiement : Bien que les criminels cherchent souvent à obtenir les informations des cartes de paiement, certaines autres données leur sont également utiles. Les programmes de fidélité offrant des « points » sont des cibles potentielles, tout comme les informations personnelles de vos clients.
Pour de nombreuses sociétés de vente au détail, particulièrement les plus petites, la mise en œuvre de mesures de sécurité globales n’est ni rentable ni faisable. Toutefois, la moindre mesure de sécurité, quelle que soit son ampleur, peut avoir des répercussions hautement bénéfiques en matière de détection et de dissuasion des cybercriminels. Il convient également de former votre personnel à l’identification des menaces potentielles. Il est particulièrement simple et utile qu’un de vos collaborateurs puisse détecter une menace.
Dans le monde de la cybersécurité, les commerçants assument la responsabilité peu enviable de protéger leurs données personnelles comme celles de leurs nombreux clients. À une époque de plus en plus axée sur le numérique, il est important de déployer le maximum de mesures de sécurité pouvant être prises en charge par votre entreprise sans perdre de vue les objectifs et les méthodes employées par les cybercriminels. Garder un esprit ouvert envers les nouvelles technologies constitue le meilleur moyen de toujours garder une longueur d’avance sur les attaquants potentiels.