Livre blanc cybersécurité : les oubliés de la FEVAD

La FEVAD vient de publier son 1er livre blanc sur la cybersécurité dans le domaine du eCommerce. Quelles sont les grandes parties de ce guide ? Fait-il le tour des principales problématiques qui concernent le secteur du eCommerce ? Est-il profitable aux 99% de sites eCommerce de petite et moyenne taille ?

Maitriser les risques, sensibiliser sur les enjeux

Maitriser les risques, sensibiliser sur les enjeux #cybersécurité #fevad Click To Tweet

En tant que professionnel du eCommerce, vous connaissez certainement la FEVAD, qui est la Fédération du eCommerce et de la Vente À Distance. Une association à but non lucratif dont l’objet est d’accompagner le développement éthique et durable du commerce électronique et de la vente à distance en France. Vous l’avez compris, c’est l’association de référence du secteur eCommerce français.

La FEVAD a publié fin Novembre 2016 un premier livre blanc intitulé « Cybersécurité & eCommerce : Maîtriser les risques, sensibiliser sur les enjeux ». Dans ce guide, la FEVAD fait un tour d’horizon des typologies d’attaques web et des risques, un état des lieux de la cybersécurité pour les sites eCommerce, pour terminer sur les moyens de lutter contre les cyber-attaques.

Si vous n’avez pas eu le temps de lire les 149 pages de ce livre blanc, voici une analyse des éléments qui nous semblent clés pour les petits entrepreneurs du monde eCommerce :

  • Les cyber-attaques : une réalité. Quelque soit leur taille, les sites eCommerce représentent une cible de choix pour les hackers menant des attaques de plus en plus sophistiquées et automatisées. L’arsenal des cyber-attaques ne cessent d’évoluer : botnets, scanners, malware/ransomware, DDoS, SQLi, XSS,… Les impacts business de ces cyber-attaques : perte de clientèle, perte de chiffre d’affaires et perte de réputation.
  • Le « patch management » est un processus clé de sécurité qui permet de réduire la surface d’attaque d’un site. Malheureusement, les sites eCommerce de petite et moyenne taille ne disposent pas des moyens pour mener une veille sécurité permanente et appliquer les correctifs (patchs) avant que les failles logicielles ne soient exploitées par des hackers.
  • Le firewall applicatif web (WAF) est une technologie de sécurité qui représente « la première ligne de défense du e-commerçant ». Indispensable pour détecter et bloquer les cyber-attaques applicatives, elle reste coûteuse (acquisition, intégration et configuration) donc réservée aux sites d’une certaine envergure.
  • Le règlement européen (RGPD) qui va entrer en vigueur le 25 Mai 2018 impose la mise en œuvre de mesures de sécurité opérationnelles permettant de garantir la protection des données personnelles des clients. Cette réglementation vise à maintenir et développer la confiance du consommateur, tout en engageant la responsabilité du dirigeant.

Mon point de vue sur le livre blanc cybersécurité eCommerce de la FEVAD

Mon point de vue sur le livre blanc #cybersécurité #eCommerce de la #FEVAD Click To Tweet

A première lecture, ce livre blanc semble exhaustif et reprendre les principaux points de la cybersécurité pour les sites eCommerce. Je tiens d’ailleurs à remercier la FEVAD pour cette action de sensibilisation, ce rappel des bonnes pratiques de cyber-sécurité et la description du panorama des cyber-risques / cyber-menaces. En effet, les sites eCommerce sont des cibles privilégiées pour les hackeurs et fraudeurs. Ce n’est pas nouveau, sans quoi OZON n’existerait pas J.

1°) Un problème de « taille »

Dans cette revue des mesures et bonnes pratiques de sécurité, on retrouve tous les mots clés d’un programme sécurité d’une grande entreprise : la politique de sécurité, la gestion et l’analyse des risques, architecture de sécurité, la sensibilisation du personnel, le RSSI, les aspects organisationnels et juridiques, le maintien en condition de sécurité, le cadre réglementaire, les normes de sécurité, la cyber-assurance, l’homologation sécurité, tableau de bord sécurité, la gestion de crise, une typologie des solutions techniques de cyber-sécurité et des offres de service dans le domaine. Le point d’entrée dans ce programme : le système d’information.

Ce que la FEVAD a peut-être oublié, c’est que 99% des sites de eCommerce français sont des TPE/PME qui disposent d’un site eCommerce sous PrestaShop ou Magento, quelques serveurs et terminaux, et quelques employés. Ici pas de système d’information, DSI, RSSI, politique de sécurité ou solutions organisationnelles. Pour se développer à l’abri des cyber-attaques et fraudes, ces structures ont besoin de disposer de solutions de sécurité opérationnelles (les recommandations et conseils sur le papier, ce n’est pas suffisant !), simples à mettre en œuvre et peu coûteuses.

Ce qui est d’autant plus critique, c’est que 60% des boutiques en ligne ferment dans les 6 mois suivants une attaque.

2°) Un problème de « moyens »

Ce livre blanc a été réalisé par la FEVAD, pour les membres de la FEVAD, à savoir les gros sites eCommerce français (cf profils des interviewés représentant les sites ACCORHOTELS.COM, VOYAGES-SNCF.COM, FNAC.COM, VENTE-PRIVEE.COM et RAJA.FR). Or, les sites de petite et moyenne taille ne disposent des mêmes moyens et restent donc beaucoup plus vulnérables aux cyber-attaques.

Prenons l’exemple du protocole de sécurité SSL/TLS. Selon nos statistiques, 69% des sites eCommerce français ne disposent même pas d’un certificat SSL/TLS, une mesure de sécurité qui a plus de 20 ans qui permet de garantir l’identité du site et la sécurité des communications.

Pour Ely de Travieso, référent national cybersécurité à la CPME et président régional du CLUSIF (Clusir PACA) : « Les TPE et PME doivent comprendre qu’elles représentent des cibles privilégiées pour les cybercriminels. Dotées de peu de moyens, leur productivité et pérennité sont menacées. ».

La meilleure posture sécuritaire pour les sites eCommerce de petite et moyenne taille est de se protéger immédiatement, sans effort, de façon permanente et au moindre coût contre les menaces externes que représentent les hackeurs et fraudeurs.

C’est un besoin vital. C’est pour cela que nous avons conçu OZON.

Une solution innovante pour protéger les sites et transactions eCommerce des petites et moyennes structures contre l’ensemble des cyber-risques.

OZON est une solution tout-en-un et clé-en-main qui intègre les fonctions de sécurité complémentaires suivantes : HTTPS, anti-malware, anti-botnet, anti-DDoS, contrôle d’accès administrateur renforcé, firewall applicatif web, supervision sécurité permanente, réduction automatique de la surface d’attaque (virtual patching) et filtrage IP. Sans oublier la détection des transactions frauduleuses !

Pour ceux qui pensent que cela n’arrive qu’aux autres (!), vous pouvez évaluer gratuitement le niveau de risque de votre site ici : https://www.ozon.io/scan

Régis Rocroy
Passionné par les nouvelles technologies et leurs usages dès les premiers PC, j’interviens dans la sécurité des systèmes d’information depuis plus de 20 ans en tant que consultant et architecte sécurité.