Le livre blanc du e-commerce

Le livre blanc du e-commerce

Livres
15 pages
Lire
Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

Description

GÉRER LE RISQUE DE LA
CYBERCRIMINALITÉ
Par http://risques-entreprise.fr/

Sujets

Informations

Publié par
Date de parution 07 novembre 2013
Nombre de visites sur la page 271
Langue Français

Informations légales : prix de location à la page  €. Cette information est donnée uniquement à titre indicatif conformément à la législation en vigueur.

Signaler un problème

commerce
GÉRER LE RISQUE DE LA
C YBERCRIMINALITÉSommaire


Introduction E-commerce : un secteur en forte croissance,
cible privilégiée pour les cyber-pirates 4
Chapitre 1 Un environnement juridique
de plus en plus contraignant 6
1. Bientôt une obligation généralisée de notifcation
en cas d’atteinte aux données ? 6
2. L’alourdissement de la responsabilité des administrateurs
des systèmes d’information ? 6
3. Des « class-actions » à la française : un nouveau danger
pour les e-commerçants ? 7
4. Le niveau de protection des données
comme nouveau critère de leur importance ? 7
5. Vers une protection des adresses IP des consommateurs ? 7
Chapitre 2 Risques et enjeux du e-commerce
face à la cybercriminalité 8
1. Par quel type de cyber-attaque une entreprise
de e-commerce peut-elle être touchée ? 8
2. Les enjeux : qu’est-ce que le e-commerçant
doit protéger en cas de cyber-attaque ? 8
Chapitre 3 Transférer le risque à un assureur spécialiste 11
1. L’assurance, un moyen d’éviter la faillite11
2. La nécessité de s’en remettre à un réseau d’experts 12
3. Pourquoi avoir recours à un assureur spécialiste ? 13
Conclusion Et demain… ? 14Introduction
E-commerce :
un secteur en forte croissance,
cible privilégiée pour les cyber-pirates
En 2008 en France, le secteur du e-commerce représentait 50 000 sites, 20 millions d’acheteurs et 20 milliards
d’euros de chiffre d’affaires. En cinq ans, ces chiffres ont doublé : on dénombre aujourd’hui plus de 100 000 sites
1de vente en ligne, qui attirent 30 millions de clients et génèrent 45 milliards d’euros de chiffre d’affaires .
Ce secteur à la croissance vertigineuse, qui brasse une très grande quantité de données, fait de la nouvelle
2génération de commerçants la cible privilégiée des cyber-pirates. En effet, en 2012, 48% des cyber-attaques
ont visé des sites de vente en ligne, à la recherche de bases de données qui comportent toutes
les coordonnées postales et bancaires des clients des entreprises.
Pourtant, en tant que responsable marché Technologies-Médias-Télécom chez Hiscox France,
assureur spécialiste, François Brisson observe que « la sécurisation des systèmes d’information n’est pas
pour les entreprises de e-commerce une priorité d’investissement ni lors de leur création, ni dans les premières
années de leur développement. Cela les rend tout particulièrement vulnérables aux cyber-attaques ».
350% des attaques répertoriées en 2012 ont visé des structures de moins de 250 personnes , parce que :
• elles ont moins conscience de l’existence d’un risque lié à la détention de données sensibles,
• le niveau de sécurité de leurs systèmes est plus faible que celui des grands groupes,
• ces petites entreprises servent souvent de point d’entrée vers les plus grandes.
Les attaques dont sont victimes même les plus prudentes des entreprises montrent bien qu’il n’existe pas
de défense technique parfaite : les spécialistes du secteur de la cyber-sécurité ont beau redoubler d’efforts
pour améliorer leurs offres et l’effcacité de leurs solutions, force est de constater que la gestion
du cyber-risque doit désormais dépasser le seul cadre des outils technologiques.
Astrid-Marie de Souza,
Gestionnaire sinistres Technologies-Médias-Telecom, Hiscox France




(1). iCE Fevad, 2012 / Médiamétrie, Observatoire des usages internet, 2012. (2). Trustwave, 2013 Global security report. (3). Symantec, ISTR 2013. 3Contexte
Focus sur un fort développement
qui engendre de fortes
vulnérabilités…
CHIFFRES CLÉS DU SECTEUR
Développement du e-commerce en France Nouvelles cibles de la cyber-criminalité
50 000 20 M 20 Mg2008
sites d’acheteurs de CA
Entreprises de
commerçants — de 250 salariésx2
Victimes de Victimes de 1 00 000 30 M 45 Mg2013
sites d’acheteurs de CA
48% 50%
des cyber-attaques des cyber-attaques
DE NOUVELLES FORMES DE E-COMMERCE PLUS VULNÉRABLES
1➜ Les places de marché , une porte d’entrée plus large pour les cyber-pirates
Depuis quelques années, la Fnac, Amazon, Voyages SNCF ou encore
LastMinute ont transformé leurs e-stores en véritables plateformes
ouvertes (« places de marché », ou « marketplaces »), sur lesquelles
leurs partenaires commercialisent leurs propres produits. Par exemple,
sur le site d’un voyagiste, on peut aujourd’hui acheter un billet d’avion,
réserver un hôtel, louer une voiture, souscrire une assurance voyage,
chaque fois auprès de prestataires différents mais sur la même interface.
Effet 1 Effet 2 Effet 3
➜ Un partage ➜ Une interpénétration ➜ Des incertitudes sur la sécurité
accru des données grandissante entre les systèmes des paiements : si le standard PCI DSS
clients sensibles des petites et grandes structures impose le cryptage des données
(coordonnées bancaires présentes sur ces places, bancaires au moment de la transaction,
et postales) pour des permettant notamment aux le système d’information de chaque
niveaux de sécurisation cyber-pirates d’utiliser les sites maillon de la chaîne n’est pas soumis
inégaux. des petites entreprises, moins au même niveau d’exigence de protection,
sécurisés, pour pénétrer les des points majeurs de vulnérabilité
systèmes des grands groupes. persistent donc.
(1). iCE Fevad, 2012 / Médiamétrie, Observatoire des usages internet, 2012. (2). Trustwave, 2013 Global security report. (3). Symantec, ISTR 2013.4DE NOUVELLES FORMES DE E-COMMERCE PLUS VULNÉRABLES
1➜ Le M-commerce , des environnements mobiles moins bien sécurisés
Le secteur de la vente en ligne via des applications mobiles pour smartphones
et tablettes est un marché nouveau. En effet, le premier objectif d’une entreprise
qui investit dans une application mobile consiste à être visible sur le marché
qu’elle cible, pour attirer les clients potentiels et gagner rapidement
des parts de marché.
La sécurisation des systèmes vient bien plus tard dans sa stratégie
de développement.
Nombre d’acheteurs sur mobiles
Actuellement en France, Cybercriminalité via les mobiles
14%14% des acheteurs
d’acheteurs La cybercriminalité spécif quement en ligne (soit 4,3 millions
via leur +400% axée vers les terminaux mobilesde personnes) ont déjà mobile d’actes
a explosé au cours de l’année 2012 effectué un achat depuis cyber
3criminels par rapport à l’année précédente .leur téléphone mobile.
2Les revenus du m-commerce Raison 1 Raison 2
en Europe devraient s’élever
en 2017 à 19 milliards d’euros Les systèmes d’exploitation L’essor du « Bring your
5pour 80 millions d’acheteurs (OS) et applications proposés own device » (BYOD)
(ils n’étaient que 8 millions sur ces terminaux sont dans les entreprises
en 2011). aujourd’hui moins sécurisés n’est pas accompagné
que les systèmes des ordinateurs, d’une adaptation des
exposés à la menace cyber politiques de sécurité IT.
6depuis plus longtemps ; Android, À cet égard, l’ANSSI a
l’OS de Google, est ainsi le plus publié en mai 2013 une
fréquemment ciblé des OS note technique, qui insiste
mobiles, parce qu’il est le plus tout particulièrement sur
ouvert (103 des 108 nouvelles les risques de l’absence
menaces détectées dans le de politique de gestion
4monde en 2012) . du risque BYOD.
7En janvier 2012 , 71% des professionnels IT estiment que les terminaux mobiles
ont contribué signif cativement à l’augmentation du nombre d’incidents de sécurité,
en particulier en raison de la négligence des employés qui transfèrent des données
clients sensibles sur leurs terminaux mobiles personnels.
(1). Commerce mobile. (2). Forrester Research, Mobile commerce forecast 2011 to 2016, juin 2011. (3). Trustwave, 2013 Global security report. (4). Symantec, ISTR
2013. (5). « Bring your own device » : utilisation par le personnel des entreprises de terminaux personnels dans le cadre professionnel (smartphones et tablettes en
particulier). (6). Agence nationale de la sécurité des systèmes d’information : Recommandations de sécurité relatives aux ordiphones. (7). Dimensional Research &
Check Point, Impact of mobile devices on information security, janvier 2012. 5Chapitre 1
Un environnement juridique
de plus en plus contraignant
Compte tenu de l’exposition grandissante du secteur e-commerce aux cyber-risques, les évolutions
de la réglementation à venir vont s’avérer cruciales.
1. Bientôt une obligation généralisée de notif cation en cas d’atteinte
aux données ?
À l’heure actuelle, seuls les opérateurs de télécommunications électroniques ont l’obligation de notif er
1les incidents de sécurité qui concernent les données personnelles au régulateur (la CNIL en France)
et/ou aux individus propriétaires desdites données. Or, l’Union européenne envisage aujourd’hui
d’étendre cette obligation à toutes les entreprises, comme c’est déjà le cas aux Etats-Unis depuis 2005.
La notif cation devrait alors être assortie :
• d’une description de la nature de l’incident et des données concernées,
• de recommandations d’actions correctrices,
• de la liste des conséquences envisageables,
• et des mesures proposées et adoptées.
Il s’agit d’informations d’autant plus coûteuses à transmettre qu’il faudra les obtenir et les formaliser
dans un délai extrêmement court (probablement en moins de 48 heures).
UNE NOUVELLE CONTRAINTE COÛTEUSE
Cette évolution aurait donc un coût signif catif pour les entreprises :
➜ Coûts internes : rechercher les données touchées ➜ Coûts externes : expert IT, assistance juridique,
et les individus concernés, frais de notif cation, etc. etc.
Sans compter les effets collatéraux :
➜ Préjudice d’image qu’une telle publicité peut ➜ Sanctions administratives que la CNIL
engendrer. pourrait prononcer (de 250 000 à 1 million d’euros,
ou 2% du chiffre d’affaires mondial de l’entreprise),
auxquelles s’ajoutent les sanctions pénales déjà
existantes (cinq ans de prison et 300 000 euros d’amende).
2. L’alourdissement de la responsabilité des administrateurs
des systèmes d’information ?
Un jugement du Tribunal correctionnel de Créteil du 23 avril 2013 démontre l’importance croissante de l’anticipation
des risques par les professionnels, puisqu’il prive une société de son action en délit d’accès et maintien
frauduleux en cas d’intrusion non autorisée lorsqu’elle est laxiste sur la sécurité de son réseau informatique.
Désormais, les entreprises ne peuvent plus faire, en bons professionnels, l’économie d’une politique
et d’un budget de sécurité IT.
(1). Commission nationale de l’informatique et des libertés.63. Des « class-actions » à la française : un nouveau danger
1pour les e-commerçants ?
Le projet de réforme en cours sur le droit de la consommation vient renforcer la responsabilité
des professionnels vis-à-vis des consommateurs, notamment par les mesures suivantes :
« Class-actions » ou « actions de groupe » Clauses abusives
Une association de consommateurs va agir en justice Le juge saisi par une association
pour protéger les intérêts d’un groupe de victimes de consommateurs pourra
des manquements d’un professionnel. Si le Tribunal retient désormais prononcer la
la responsabilité du professionnel, il pourra ordonner, suppression d’une clause
aux frais de ce dernier, la mise en place de mesures qu’il aura jugée abusive,
d’information à destination d’autres consommateurs non seulement dans le contrat
potentiellement concernés. Ces derniers, s’ils le souhaitent, dont il a été saisi, mais aussi
pourront alors se manifester auprès du professionnel dans tous les autres contrats
ou auprès de l’association de consommateurs identiques qui contiendraient
pour obtenir réparation. la même clause.
4. Le niveau de protection des données comme nouveau critère
2de leur importance ?
Le projet de loi relatif à la protection du secret des affaires a pour objectif la préservation des informations
vitales de l’entreprise, qui seront qualif ées ou non de « secrets d’affaires » en fonction notamment :
• de la gravité des conséquences en cas de divulgation (impact négatif sur « le potentiel scientifi que ou
technique, les positions stratégiques, les intérêts commerciaux ou fi nanciers ou la capacité concurrentielle »),
• des mesures de protection spécif ques dont elles feront l’objet (accès limité, stockage dans des espaces
sécurisés, dispositifs de cryptage, etc.).
5. Vers une protection des adresses IP des consommateurs ?
L’« IP tracking » est la mémorisation des adresses IP des visiteurs d’un site
marchand. Cette pratique permet notamment d’augmenter le prix des produits
consultés à chaque visite pour faire croire au visiteur que ces produits sont
très demandés et qu’il doit f naliser son achat immédiatement.
Saisie sur la légalité de cette pratique, la Commission européenne a rendu
3récemment un avis dans lequel elle considère que les adresses IP
des internautes doivent être traitées comme des données personnelles,
et donc soumises aux règles applicables aux données personnelles en matière
de déclaration, de traitement et de notif cation en cas d’incident.
(1). Présentation du projet de loi consommation par Pierre Moscovici et Benoît Hamon. (2). Rapport du député Bernard Carayon, janvier 2012. (3). Avis du 12 mars
2013 sur saisine de l’eurodéputé François Castex. 7Chapitre 2
Risques et enjeux du e-commerce
face à la cybercriminalité
1. Par quel type de cyber-attaque une entreprise de e-commerce
peut-elle être touchée ?
a. L’indisponibilité du site de vente en ligne
Le cyber-pirate peut empêcher le e-commerçant d’exercer normalement son activité, en particulier par le biais
1d’attaques par « déni de service » . Ce processus consiste, pour un cyber-pirate, à rendre un site internet
« indisponible », par exemple en lui envoyant simultanément un très grand nombre de requêtes d’accès,
supérieur à ce qu’il est capable de traiter. Le risque pour un e-commerçant est tel que la simple menace
d’une attaque par déni de service peut le conduire à verser à un cyber-pirate une rançon pour protéger
sa plate-forme de vente.
LE MÉCANISME DU DÉNI DE SERVICE
L’effet d’une attaque par déni de service est exactement le même que celui d’un pic anormal de fréquentation :
le site est rendu inaccessible aux usagers normaux sans raison apparente, et les données qu’ils y ont déjà
rentrées sont compromises. Par exemple, l’opération menée contre le PlayStation Network de Sony en 2011
était une attaque par déni de service.
Effet 1 Effet 2
➜ In fine, cela empêche les consommateurs ➜ Autres conséquences pour l’entreprise
de faire des achats sur la plate-forme dont le site est rendu indisponible :
et les décourage souvent d’y retourner. une dégradation de son référencement
sur les moteurs de recherche et un impactSur internet, tout doit être simple et aller très
sur sa e-réputation.vite : par conséquent, en cas de diffculté ou
de contretemps, l’e-acheteur se lasse rapidement. Le référencement correspond à la visibilité
Il risque donc d’abandonner un process d’achat de l’e-commerçant sur internet : apparaître
qui ne se déroule pas de manière parfaitement sur la première page de résultat d’un moteur
lisse (apparition de pages d’erreur, enregistrement de recherche, être mentionné sur des sites
de ses coordonnées à plusieurs reprises, incident comparateurs de prix, apparaître dans des
lors de la validation du paiement, etc.), et ce quelle commentaires positifs d’utilisateurs, etc.
qu’en soit la raison.
En pratique, c’est à la fois la vitrine et la porte
De la même manière, un site disponible mais d’entrée d’un e-commerçant, ce qui amène
fortement ralenti pourra avoir un impact négatif les consommateurs chez lui et génère son chiffre
sur le chiffre d’affaires du e-commerçant, tout d’affaires chaque jour.
autant qu’une interruption complète.
(1). Denial of service ou distributed denial of service (déni de service distribué, DDoS)8b. La manipulation des données à des fins malveillantes
Aujourd’hui, 97% des données sensibles visées lors LA CIBLE
d’une cyber-attaque sont des données personnelles
DES CYBER 1 2de particuliers (état civil, informations bancaires ou de SEPA ,
dossier médical, etc.).ATTAQUES
Parallèlement, l’exposition des entreprises en cas d’atteinte
à leurs données stratégiques est de plus en plus cruciale,
en raison des conséquences potentielles sur l’image du site
marchand (dégradation du référencement, commentaires
des utilisateurs, perte de conf ance des investisseurs, etc.).97%
des données En particulier, la fraude à la carte bancaire sur internet
3est en augmentation structurelle depuis 2005 et a explosé visées sont
au cours de l’année 2012, avec deux millions de commandes personnelles
clients frauduleuses : 1,7 milliard d’euros de tentatives de fraude,
pour une valeur moyenne d’un peu moins de 300 euros.
LE MÉCANISME DE LA MANIPULATION DES DONNÉES
La violation de données dans ce cas se décompose en deux étapes distinctes :
Le terme
“phishing” vient Étape 1
de la contraction des
mots anglais “phreaking”
(pirater une ligne ➜ L’obtention de données sensibles par les cyber-pirates
téléphonique) et “f shing” via phishing, inf ltration dans des processus d’achats non sécurisés,
(pêcher). Il désigne une
vols physiques, utilisation de matériel perdu par les entreprises, technique employée par
les cyber-pirates pour fabrication de faux papiers, achats de lots de données sur les forum
obtenir des informations
de hacking, piratage de mots de passe, etc. des internautes (logins,
mots de passe, codes
Dès cette première étape, les e-commerçants sont exposés, d’accès, etc.)
puisqu’une très grande quantité de ces données sensibles
est stockée dans leurs systèmes IT.
Étape 2
➜ L’utilisation à des f ns malveillantes de ces données, par usurpation d’identité civile ou postale
pendant le processus même d’achat (par exemple, modif cation en cours de commande de l’acheteur
pour que le produit soit expédié à l’adresse du cyber-pirate, utilisation de faux points relais de livraison, etc.).
Cette seconde étape est également un risque majeur pour les sites de vente en ligne : cibles privilégiées
des cyber-pirates bien plus que les commerçants physiques, ils devront supporter à la fois le coût du produit,
les frais d’envoi, les problématiques annexes de gestion de stocks, etc.
Elle peut avoir des conséquences signif catives pour les e-commerçants : même s’ils ne supportent pas
les coûts de la fraude bancaire stricto sensu (qui sont gérés par les banques), ils stockent souvent avec
les données bancaires de nombreuses autres informations sur leurs clients qui peuvent intéresser
un cyber-pirate en plus des données f nancières : coordonnées postales, adresses IP, historiques d’achat,
adresses mails, prof ls marketing, etc.
(1). Trustwave, 2013 Global security report. (2). Single Euro Payments Area, nouveau processus de virement/prélèvement du marché unique européen (3). Certissimo,
avril 2013, La fraude à la carte bancaire sur internet. 92. Les enjeux : qu’est-ce que le e-commerçant doit protéger
en cas de cyber-attaque ?
a. Protéger le bilan de son entreprise
Les données à la fois personnelles et stratégiques des entreprises peuvent être copiées, modifées,
endommagées, détruites ou utilisées à des fns malveillantes par les cyber-pirates : elles pourront être
vendues à leurs concurrents, publiées sur internet, ou encore utilisées directement contre leurs propriétaires.
Pour l’entreprise, le risque est donc évidemment de recevoir des réclamations des tiers dont les données
ont été manipulées par un cyber-pirate, outre les coûts internes qu’elle devra supporter (audit et réparation
de son système, assistance juridique, préservation de ses relations commerciales, etc.). Il faut souligner
qu’en général, ce type de risque ne fait pas l’objet d’une provision particulière dans un budget, de sorte
que ces sommes viennent directement impacter l’actif de l’entreprise.
Mais surtout, toutes les atteintes contre le site internet, à la fois vitrine et outil de vente de l’entreprise de
e-commerce, peuvent avoir pour cette dernière des conséquences considérables sur son chiffre d’affaires :
• l’interruption totale de la vente pendant plusieurs heures, voire plusieurs jours,
• des diffcultés dans la gestion des stocks, notamment suite à la perte de la marchandise
et de son prix, et frais de transport parfois conséquents engagés lors de la livraison,
• la prise en charge des frais des tiers (renouvellement de carte bancaire, émission d’un nouveau
chéquier, frais d’opposition, etc.), voire les recours exercés contre elle par les tiers ou par les banques
pour tenter d’engager sa responsabilité, lorsqu’elle n’a pas suffsamment sécurisé l’accès et l’utilisation
de son système.
b. Protéger la réputation de son entreprise
L’atteinte à la réputation de l’entreprise est une conséquence non négligeable d’une cyber-attaque,
que ce soit vis-à-vis des clients fnaux, des partenaires commerciaux, ou encore des investisseurs.
C’est d’ailleurs une situation facilement compréhensible : qui aurait envie de faire affaire – et donc de confer
son argent ou ses données personnelles – à une entreprise dont l’expérience tendrait à montrer qu’elle n’est
pas en mesure d’en assurer la pleine et entière sécurité ?
Peu importe à cet égard qu’il s’avère impossible d’assurer une sécurité absolue des données : il existera
toujours un sentiment négatif à l’égard de l’entreprise victime d’un incident, qui sera automatiquement
considérée comme responsable de la faille de sécurité de son système d’information.
Par exemple, suite à l’attaque du PlayStation Network en 2011, la presse du monde entier a évoqué les « millions
de victimes de Sony » et non les « millions d’abonnés de Sony victimes des cyber-pirates » – problématique qui sera
plus cruciale encore lorsqu’entrera en vigueur la nouvelle réglementation européenne sur les données personnelles,
qui obligera les entreprises à rendre publiques toutes les attaques dont elles feront l’objet.
Or, l’explosion du web 2.0 a rendu les e-commerçants plus vulnérables aux commentaires négatifs
de leurs clients voire de leurs concurrents. Ils doivent donc désormais réagir très rapidement en cas d’atteinte
à leur image, pour s’assurer le contrôle de leur e-réputation. En effet, un consommateur victime hésitera
à retourner sur le site et le fera savoir sur des forums ou des réseaux sociaux, qui sont des médias
extrêmement rapides et très utilisés de diffusion de l’information.
À l’inverse, afn de rassurer le consommateur sur sa crédibilité et d’encourager son passage à l’acte,
un e-commerçant peut utiliser le respect de la réglementation et sa proactivité comme arguments
marketing. De manière générale, il pourra ainsi renforcer son image de transparence et sa e-réputation,
éléments qui font aujourd’hui partie de la valeur intrinsèque d’une entreprise de e-commerce : ce qu’elle est
1et comment elle communique est aussi voire plus important que ce qu’elle vend .
(1). Journal du Net, Le respect des règles de droit améliore l’effcacité des sites de e-commerce, Romain Gola, 23 avril 2013.10