Le commerce de détail en danger : les principales menaces auxquelles sont confrontés les détaillants pendant la période des fêtes

Sécurité d'entreprise

Même s'il est peut-être trop tard pour introduire des changements radicaux dans vos politiques de sécurité, cela ne fait pas de mal de jeter un nouveau regard sur les endroits où se trouvent les plus grandes menaces et sur les meilleures pratiques qui peuvent aider à les neutraliser.

Phil Muncaster

28 novembre 2023  •  , 6 minute. lis

La saison des achats des Fêtes a véritablement commencé. Alors que les détaillants se concentrent sur la lutte pour un chiffre d'affaires estimé à 1.5 billion de dollars cette année (et cela ne concerne que les États-Unis), leur travail acharné pourrait être vain si l’on n’accorde pas suffisamment d’attention à la cybersécurité. 

Pourquoi? Parce que c’est le meilleur et le pire des moments pour les équipes informatiques du commerce de détail. La période la plus occupée de l'année pour les clients est également aimant pour les cybercriminels. Et même s'il est peut-être trop tard à ce stade pour introduire des changements radicaux dans vos politiques de sécurité, cela ne fait pas de mal de jeter un nouveau regard sur l'endroit où se trouvent les plus grandes menaces et sur les meilleures pratiques qui peuvent aider à les neutraliser.

Pourquoi vendre au détail, pourquoi maintenant ?

Les détaillants font depuis longtemps l’objet d’un traitement spécial de la part des cybercriminels. Et la période shopping la plus chargée de l’année a longtemps représenté une occasion en or pour faire grève. Mais pourquoi?

• Les détaillants détiennent des informations personnelles et financières hautement monétisables sur leurs clients. Pensez simplement à tous ces détails de carte. Il n'est pas surprenant que la totalité (100 %) des violations de données de vente au détail analysées par Verizon au cours de l'année écoulée étaient motivés par des motivations financières.
• La période des achats des Fêtes est la période de l’année la plus importante pour les détaillants du point de vue des revenus. Mais cela signifie qu'ils sont plus exposés aux cybermenaces comme les ransomwares ou les déni de service distribué (DDoS) conçus pour extorquer de l'argent en refusant le service. Alternativement, les concurrents peuvent lancer des attaques DDoS pour priver leurs rivaux d’une clientèle et de revenus vitaux.
• Étant la période la plus chargée de l'année, les employés, en particulier les équipes informatiques surchargées, se concentrent davantage sur l'aide à l'entreprise pour générer autant de revenus que possible plutôt que sur la surveillance des cybermenaces. Ils pourraient même modifier les filtres anti-fraude internes pour permettre l’approbation d’achats plus importants sans examen minutieux.
• Les détaillants s'appuient de plus en plus sur les systèmes numériques pour créer des expériences de commerce omnicanal, notamment des logiciels d'entreprise basés sur le cloud, des appareils IoT en magasin et des applications mobiles destinées aux clients. Ce faisant, ils élargissent (souvent involontairement) la surface d’attaque potentielle.

N'oublions pas que l'un des les plus grandes violations de données jamais enregistrées au monde a eu lieu et a été annoncé pendant la période des fêtes de 2013, lorsque des pirates ont volé 110 millions de dossiers clients au détaillant américain Target.

Quelles sont les plus grandes cybermenaces contre les détaillants en cette période des fêtes ?

Non seulement les détaillants doivent défendre une surface d'attaque, ils doivent également faire face à une variété de plus en plus grande de tactiques, techniques et procédures (TTP) émanant d’un ensemble déterminé d’adversaires. Les objectifs des attaquants sont soit de voler les données des clients et des employés, extorquez/perturbez votre entreprise via DDoS, commettez une fraude ou utilisez des robots pour obtenir un avantage concurrentiel. Voici quelques-unes des principales cybermenaces liées au commerce de détail :

• Violations de données Cela pourrait provenir d'informations d'identification d'employés volés, piratés ou hameçonnés ou d'une exploitation de vulnérabilités, en particulier dans les applications Web. Il en résulte des dommages financiers et réputationnels majeurs qui peuvent faire dérailler les plans de croissance et les revenus.
• Écrémage numérique (c'est-à-dire les attaques Magecart) se produit lorsque des acteurs malveillants exploitent des vulnérabilités pour insérer du code d'écrémage directement sur vos pages de paiement ou via un fournisseur de logiciel/widget tiers. De telles attaques sont souvent difficiles à repérer, ce qui signifie qu’elles pourraient nuire considérablement à la réputation. Celles-ci représentaient 18 % des violations de données de vente au détail l'année dernière, selon Verizon.  
• Ransomware est l'une des principales menaces pour les détaillants, et pendant cette période chargée, les acteurs de la menace pourraient intensifier leurs attaques dans l'espoir que davantage d'entreprises soient prêtes à payer pour récupérer et décrypter leurs données. Les PME en particulier sont dans la ligne de mire, car leurs contrôles de sécurité peuvent être moins efficaces.
• DDoS reste un moyen populaire d’extorquer et/ou de perturber les détaillants. L'année dernière, le secteur était du côté des bénéficiaires de près d'un cinquième (17 %) de ces attaques, soit une augmentation de 53 % sur un an (YoY), avec des pics repérés lors du Black Friday.
• Attaques de la chaîne d'approvisionnement peut-être destiné à un fournisseur numérique comme une société de logiciels ou même un référentiel open source. Ou encore, ils peuvent s'adresser à des entreprises plus traditionnelles de services professionnels ou même de nettoyage. La violation de la cible a été rendu possible lorsque des pirates ont volé les informations d'identification du réseau d'un fournisseur de CVC.
• Reprises de comptes (ATO) sont généralement activés par identifiants volés, hameçonnés ou piratés. Cela pourrait être le début d’une tentative majeure de violation de données, ou cela pourrait viser les clients, dans le cadre de credential stuffing ou d’autres campagnes de force brute. En règle générale, des robots malveillants sont utilisés ici.
• Autres attaques de robots malveillants incluent le scalping (où les concurrents achètent des produits très demandés pour les revendre à un prix plus élevé), la fraude par carte de paiement/cadeau et la suppression des prix (permettant aux concurrents de réduire vos prix). Les robots malveillants comprennent autour 30% de tout le trafic Internet aujourd'hui, avec deux tiers des sites Web britanniques incapable de bloquer même des attaques simples. Là était une augmentation estimée à 50 % dans le trafic de bad bots pendant la période des fêtes de 2022.
• Apis (Application Programming Interface) sont au cœur de la transformation numérique du commerce de détail, permettant des expériences client plus connectées et plus fluides. Mais les vulnérabilités et les erreurs de configuration peuvent également Un chemin facile pour les pirates informatiques vers les données des clients.

Comment les détaillants peuvent se défendre contre les cyber-risques

En réponse, les détaillants doivent équilibrer la sécurité avec la productivité des employés et la croissance de l’entreprise. Ce n’est pas toujours un calcul facile, d’autant plus que le coût de la vie élevé exerce une pression toujours plus grande sur la recherche du profit. Mais cela peut être fait. Voici 10 bonnes pratiques à considérer :

• Formation régulière du personnel : Ça va sans dire. Assurez-vous que votre les employés peuvent détecter même les attaques de phishing sophistiquées et vous aurez une dernière ligne de défense pratique en place.
• Audit des données: Comprenez ce que vous avez, où il est stocké, où il circule et comment il est protégé. Cela doit dans tous les cas être fait dans le cadre de la conformité au RGPD.
• Cryptage fort des données : Une fois que vous avez découvert et classé vos données, appliquez un cryptage fort aux informations les plus sensibles. Cela devrait être fait de manière continue.
• Gestion des correctifs basée sur les risques : L'importance des correctifs logiciels ne peut être sous-estimée. Mais le nombre de nouvelles vulnérabilités publiées chaque année peut être écrasant. Les systèmes automatisés basés sur les risques devraient contribuer à rationaliser le processus et à donner la priorité aux systèmes et vulnérabilités les plus importants.
• Sécurité de protection multicouche : Considérez les fonctionnalités anti-malware et autres au niveau d'un serveur, d'un point final, d'un réseau de messagerie et d'une couche cloud, comme barrière préventive contre les cybermenaces.
• XDR : Pour les menaces qui parviennent à contourner les contrôles préventifs, assurez-vous qu'il existe un système de détection et de réponse étendu (XDR) puissant fonctionnant sur plusieurs couches, notamment pour prendre en charge la recherche des menaces et la réponse aux incidents.
  
• Sécurité de la chaîne d'approvisionnement : Auditez tous les fournisseurs, y compris les partenaires numériques et les éditeurs de logiciels, pour vous assurer que leur posture de sécurité est conforme à votre appétit pour le risque.
• Contrôles d'accès stricts : Les gestionnaires de mots de passe pour des mots de passe forts et uniques et une authentification multifacteur sont indispensables pour tous les comptes sensibles. Avec XDR, le chiffrement, la ségrégation des réseaux et les contrôles préventifs, ils constituent la base d'un Approche de sécurité Zero Trust.
• Plan de reprise après sinistre/continuité des activités : L’examen des plans aidera à garantir que les processus opérationnels et les outils technologiques appropriés sont en place.
• Planification de la réponse aux incidents : Assurez-vous que vos plans sont étanches et régulièrement testés, afin que chaque partie prenante sache quoi faire dans le pire des cas et qu'aucun temps ne soit perdu pour répondre et contenir une menace.

Pour la grande majorité, sinon la totalité, des détaillants, la conformité PCI DSS sera également une exigence essentielle pour les entreprises. Considérez cela comme une opportunité plutôt qu’un fardeau. Ses exigences détaillées vous aideront à établir une posture de sécurité plus mature et à minimiser l’exposition aux risques. Des technologies telles que le cryptage fort peuvent également contribuer à réduire les coûts et la charge administrative liés à la conformité. Joyeuses fêtes.