Commerce de détail en danger : défis et solutions en matière de cybersécurité

Qu’il s’agisse d’un géant multinational tel qu’Amazon ou d’une entreprise plus régionalisée comme Safeway, les systèmes de vente au détail sont omniprésents dans le monde entier. Mais les cyberattaques sont tout aussi omniprésentes – et bon nombre de ces attaques visent directement les systèmes de vente au détail : 64 % des détaillants signalent chaque mois une tentative d’attaque.

Un certain nombre de facteurs font des systèmes de vente au détail des cibles attrayantes pour les pirates informatiques. Heureusement, il existe également des dispositifs de sécurité efficaces contre ces attaques.

L’état de la technologie dans le commerce de détail

L’une des principales raisons pour lesquelles les pirates informatiques ciblent fréquemment les systèmes de vente au détail se trouve dans la technologie mixte qui les compose. Ainsi, il est courant qu’un système de vente au détail utilise une combinaison de technologies anciennes et nouvelles – anciens systèmes de point de vente (PDV) et caisses enregistreuses au début du processus, par exemple – avec des systèmes basés sur le cloud alimentant le commerce électronique, la logistique et les systèmes administratifs en aval.

L’état technologique mixte de la vente au détail est en partie motivé par la volonté de l’industrie de fournir des points de contact omnicanaux aux consommateurs. Autrement dit, il existe un besoin impérieux de commodité pour le client, qu’il soit en magasin ou en ligne. Ainsi, les détaillants tardent à mettre à niveau des éléments tels que les caisses enregistreuses et les systèmes de point de vente, à la fois parce que le client les connaît bien, mais aussi parce que le personnel du magasin les maîtrise aussi et peut se charger efficacement d’un grand nombre de clients en magasin. Cependant, le revers de la médaille est que les détaillants reconnaissent aussi la nécessité d’offrir aux consommateurs une commodité en ligne et ont donc également mis en place des nouvelles technologies telles que le commerce électronique dans leurs opérations. Ensemble, ces anciens et nouveaux systèmes répondent aux objectifs en matière d’efficacité et d’évolutivité des détaillants, mais ils présentent également de multiples vecteurs d’attaque potentiels pour les pirates informatiques.

Cyber-(in)sécurité dans le commerce de détail

Les cyberattaques contre le secteur du commerce de détail sont une préoccupation constante : Depuis le premier trimestre 2018, des attaques réussies contre des grands détaillants, notamment Best Buy, Macy’s, Sears et Under Armour, ont toutes été rapportées. De telles attaques sont coûteuses : Le coût moyen du piratage d’un site de commerce électronique est de 4 millions de dollars, avec un prix moyen de 172 dollars par ensemble de données. Et ces coûts sont en hausse de 29 % depuis 2013 – étant donné que les Big Data ne cessent de croître, les coûts associés à une attaque réussie devraient également continuer à augmenter.

Outre les technologies mixtes inhérentes au secteur de la vente au détail, il existe également plusieurs autres raisons pour lesquelles le commerce de détail est particulièrement vulnérable aux attaques.

Les données clients ont souvent une valeur élevée car elles contiennent des informations telles que des numéros de carte de crédit, des numéros de téléphone, des questions et réponses de sécurité, etc. et sont donc recherchées par les pirates informatiques.
Le taux de roulement du personnel est traditionnellement élevé, ce qui signifie qu’en l’absence d’une gestion adaptée, il existe aussi un taux élevé d’accès à des systèmes via des comptes d’accès à privilèges qui ne devraient pas exister mais qui sont bel et bien présents.
La prédominance des systèmes de commerce électronique signifie qu’il existe une application frontale accessible au public qui est connectée aux systèmes critiques en arrière-plan.
Chacun des fournisseurs et sous-traitants devant accéder au système est un vecteur d’attaque potentiel.
Les solutions automatisées d’entreposage et de logistique de l’IoT fournissent également un grand nombre de points d’entrée potentiels dans un système de vente au détail.

Simplification de la sécurité de la vente au détail

Les risques évoqués ci-dessus mettent en évidence, directement ou indirectement, la nécessité d’une gestion solide des accès à privilèges. Les accès à privilèges désignent les types d’accès aux ressources du système qui nécessitent des autorisations élevées, comme la possibilité d’interroger les serveurs de bases de données, par exemple, ou même de les voir dans le réseau en premier lieu.

La gestion des accès à privilèges (PAM) s’assure à son tour que les utilisateurs sans autorisations élevées ne puissent pas accéder aux ressources privilégiées – et que les utilisateurs disposant d’un accès à privilèges ne voient que les ressources qui leur sont nécessaires et appropriées, et dans certaines circonstances également (par exemple, l’heure et le lieu).

Étant donné que de nombreux risques de cybersécurité inhérents au commerce de détail sont liés à un accès à privilèges, une solution PAM solide couvrant l’ensemble du système le rend beaucoup plus sécurisé qu’il ne le serait autrement et simplifie cette sécurité dans le processus. Pour ce faire, cette solution n’accorde que des privilèges appropriés, mais elle les révoque également lorsqu’ils ne sont plus adaptés. Voici comment une solution PAM doit gérer chacun des risques décrits ci-dessus :

Les attaques via un point d’accès public tel qu’une connexion d’e-commerce sont arrêtées avant qu’elles ne puissent causer des dommages systémiques ou se propager, car le système PAM n’accorde jamais à ces utilisateurs un accès à privilèges au système.
Les comptes utilisateurs obsolètes sont découvrables et les informations d’identification privilégiées sont facilement (ou automatiquement) annulées, ce qui empêche les pirates informatiques de réussir leurs attaques via des comptes d’employés caducs.
Les tiers tels que les fournisseurs et sous-traitants ne peuvent voir que les systèmes qui leur sont utiles et ne peuvent pas « rebondir » sur des systèmes sans rapport. Par exemple, un fournisseur peut se voir accorder un accès à privilèges à une certaine fonctionnalité logistique mais il ne connaîtra pas les autres éléments du système et n’aura encore moins accès à celui-ci. Ou encore, un sous-traitant peut se voir accorder un accès à privilèges pour travailler sur un serveur, mais uniquement à un moment donné et pour une durée déterminée. Dans les deux cas, même si un pirate informatique disposait d’un login tiers, il ne pourrait toujours pas causer de dommages importants car la solution PAM empêcherait tout accès ultérieur.
Une solution PAM solide sécurise également les éléments de machine à machine (M2M) au sein d’un système. Ainsi, même si un pirate informatique prend le contrôle d’un périphérique IoT dans un entrepôt automatisé, par exemple, la solution PAM n’a pas accordé d’accès à privilèges à ce périphérique. Le pirate ne peut donc pas s’en servir comme plate-forme à partir de laquelle il peut poursuivre ses exploits.

Pour sécuriser davantage le système, une solution PAM complète devrait être capable de surveiller en temps réel toute activité de session à privilèges mais aussi de mettre automatiquement fin aux sessions suspectes ou d’alerter un administrateur (ou les deux).

Simplification de la conformité à la réglementation en matière de commerce de détail

Le secteur du commerce de détail est soumis à un grand nombre de règlements différents auxquels les entreprises doivent se conformer – PCI DSS, GDPR, NIST et SOX – pour n’en citer que quelques-uns. Et outre les capacités de surveillance des sessions, si la solution PAM enregistre également chaque session et permet de la consulter, il existe toujours une piste d’audit pour faciliter le respect de tous ces règlements. De plus, les sessions enregistrées sont également utiles pour les examens de sécurité ainsi que pour la formation des membres de l’équipe de sécurité.

Activité risquée : Webinar sur la cybersécurité dans le commerce de détail

La cybersécurité dans le secteur du commerce de détail est compliquée, mais une solution reposant sur une gestion des accès à privilèges ne doit pas l’être. Pour en savoir plus sur le sujet, n’oubliez pas de regarder le webinar d’où est tiré ce qui précède, Activité risquée : Cybersécurité dans le commerce de détail, présenté par Eric GAUDIN, expert en cybersécurité chez WALLIX. Eric aborde tous les sujets ci-dessus, donne son propre point de vue basé sur des années d’expérience dans l’industrie de la cybersécurité et raconte ensuite l’histoire (vraie !) d’un grand détaillant d’articles de sport qui a utilisé le WALLIX Bastion pour améliorer sensiblement sa cybersécurité.

contenus associés

Décembre 26, 2023

Cookie	Durée	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durée	Description
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Durée	Description
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Durée	Description
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durée	Description
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

Commerce de détail en danger : défis et solutions en matière de cybersécurité

L’état de la technologie dans le commerce de détail

Cyber-(in)sécurité dans le commerce de détail

Simplification de la sécurité de la vente au détail

Simplification de la conformité à la réglementation en matière de commerce de détail

Activité risquée : Webinar sur la cybersécurité dans le commerce de détail

contenus associés

Le RGPD existe depuis un an

Tensions internationales : comment gérer en urgence la mise en œuvre de mesures de cybersécurité adaptées ?

Garantir la conformité aux normes de sécurité grâce à la gestion des accès à privilèges (PAM)

Le guide du RSSI pour la conformité aux exigences de sécurité (avec une solution de PAM)

La rentrée en toute sécurité : les cyberattaques dans le secteur de l’éducation

ressources associées

PRODUITS

RESSOURCES

SUPPORT

À PROPOS

SUIVEZ-NOUS

Commerce de détail en danger : défis et solutions en matière de cybersécurité

L’état de la technologie dans le commerce de détail

Cyber-(in)sécurité dans le commerce de détail

Simplification de la sécurité de la vente au détail

Simplification de la conformité à la réglementation en matière de commerce de détail

Activité risquée : Webinar sur la cybersécurité dans le commerce de détail

Partager cet article

contenus associés

ressources associées

PRODUITS

RESSOURCES

SUPPORT

À PROPOS

SUIVEZ-NOUS