Faire de la cybersécurité une priorité pour les PME en 2017

En octobre, près de 6 000 sites eCommerce ont été récemment compromis. L’injection d’un simple code JavaScript malveillant a mené à un vol massif de données bancaires sur de nombreux sites. Bien que cela peut paraitre peu comparé aux 500 millions d’identifiants utilisateurs dérobés à Yahoo, ce piratage a mis en évidence le risque important que la cybercriminalité pose aux petites entreprises. Que doivent faire les PME pour améliorer leur cybersécurité ? Les PME sont-elles conscientes des enjeux de la cybersécurité ?

Petit vs Grand site eCommerce, quelle différence pour la cybersécurité ?

Petit vs Grand site #eCommerce, quelle différence pour la #cybersécurité ? Cliquez pour tweeter

En octobre, près de 6 000 sites eCommerce ont été récemment compromis. L’injection d’un simple code JavaScript malveillant a mené à un vol massif de données bancaires sur de nombreux sites. Les pirates ont installé des scripts  sur plus de 6 000 magasins en ligne, principalement des plateformes Magento, et en ajoutent 85 par jour. Si la plupart des victimes sont des sites de PME, cela reste une attaque de grande envergure.

Bien que cela peut paraitre peu comparé aux 500 millions d’identifiants utilisateurs dérobés à Yahoo, ce piratage a mis en évidence le risque important que la cybercriminalité pose aux petites entreprises.

La dernière étude du gouvernement américain sur les vols de données montrent que les petites entreprises sont davantage exposées aux cyberattaques : près de 75% des SMB ont signalé une attaque en 2016. Les petites entreprises sont de plus en plus la cible des hackers, et la plupart doivent fermer boutique après une simple attaque. Selon une étude de la National Cyber Security Alliance, une PME sur cinq est victime d’une cyber-attaque chaque année. Et parmi les victimes, 60% d’entre elles doivent abandonner leur business dans les six mois qui suit une attaque.

Petite entreprise, moins de risques de sécurité ?

Petite #entreprise, moins de risques de #sécurité ? Cliquez pour tweeter

Alors que la plupart des petites entreprises comprennent le besoin de recourir à une solution de cybersécurité efficace, une grande partie pense toujours que les hackers sont uniquement intéressés par les grands groupes et les grandes entreprises. En conséquence, nombre d’entre elles ne prennent pas toutes les précautions nécessaires.

Une faille ou une attaque peut mener à une forte perte de son chiffre d’affaires, et particulièrement si celle-ci n’a pas de cyber-assurance. Si la vulnérabilité devient publique, les attaques et leurs conséquences sur l’image de marque peuvent être dévastatrices.

Le fait d’être une PME ne veut pas dire que le retour sur investissement pour un hacker sera petit. Bien souvent, une faille exploitée sur des sites de petite envergure peut mener à de plus grandes attaques (récupération de données sensibles, utilisation des serveurs dans un réseau de bot pour des attaques DDoS).

Comme les PME pensent que leur business n’est pas vulnérable, leurs moyens de sécurité s’arrêtent à un simple anti-virus ou à un firewall traditionnel, en ignorant certaines des principales menaces auxquelles sont exposées les organisations tournées vers le Web.

Dans la plupart des cas, bon nombre des boutiques en ligne affectées, sont des boutiques de petite taille qui n’ont tout simplement pas accès aux ressources nécessaires pour déterminer si leur site Web est sécurisé ou non. Les attaques d’applications Web, site eCommerce dans votre cas, représentent plus de 40% des incidents qui entraînent un vol de données, selon les rapports d’enquête de Verizon en 2016, et constituent la principale source de perte de données.

Les pirates profitent que les petites entreprises n’appliquent pas les patchs de sécurité ou ne font plus les mises à jour de leur plateforme eCommerce. Le plus souvent, que cela soit des plateformes commerciales (Shopify, Magento) ou des plateformes communautaires (WordPress), de nombreux patchs sont déjà disponibles mais pas appliqués. L’application des patchs, comme les sauvegardes régulières de son site doivent devenir des gestes du quotidien pour tout eCommerçant.

Comment une PME peut améliorer sa cybersécurité ?

Comment une #PME peut améliorer sa #cybersécurité ? Cliquez pour tweeter

Les entreprises devraient analyser régulièrement leur plateforme eCommerce pour s’assurer qu’il n’y a pas de vulnérabilités, comme les injections SQL (SQLi) ou Cross-Site Scripting (XSS). Ces vulnérabilités, qui font partie de l’OWASP Top 10, sont les vulnérabilités les plus exploitées par la hackers et les plus dévastatrices pour les sites eCommerce. Elles le seront également pour l’année à venir comme nous le déclarions dans notre dernier article : 8 prédictions sur la cybersécurité eCommerce en 2017.

Pour protéger votre site eCommerce et détecter si vous êtes vulnérable à de telles attaques, je vous conseille vivement de commencer par un scan gratuit de votre site. Avec le rapport que vous obtiendrez, détaillant la criticité de chaque vulnérabilité, il devrait être facile pour vous de prendre une décision pour améliorer votre niveau de sécurité.

Régis Rocroy

Passionné par les nouvelles technologies et leurs usages dès les premiers PC, j’interviens dans la sécurité des systèmes d’information depuis plus de 20 ans en tant que consultant et architecte sécurité.