À Noël, ne faites pas de cadeaux aux cybercriminels!
La période des fêtes, cruciale pour les retailers, approche à grands pas. Compte tenu de l'évolution des tendances vers un retail omnicanal, il est primordial que les entreprises préservent la sécurité des données clients et des paiements par carte, sur les multiples terminaux et canaux utilisés.
Je m'abonneCette année encore, une part importante des dépenses des consommateurs se fera en ligne. Selon la FEVAD, l'an dernier en France, sur la seule période de novembre/décembre, la croissance du secteur du e-commerce s'est élevée à 15% pour porter à 14 milliards d'euros le total des ventes en ligne de Noël, qui représentent 20% du chiffre d'affaires de l'année. 73% des cyberacheteurs ont acheté des cadeaux sur Internet pendant la période, soit 7 points de plus qu'un an auparavant. Et cette tendance est amenée à progresser dans les années à venir, avec une prévision de 80 milliards d'euros de chiffre d'affaires pour 2017 et 100 milliards à horizon 2020.
Les achats sur mobile séduisent également de plus en plus, souvent même à partir de plusieurs terminaux. Par exemple, un consommateur peut très bien faire des recherches sur son PC portable, vérifier sur son smartphone où se procurer les articles et payer avec sa montre connectée.
L'évolution de la sécurité des cartes de paiement
Les cartes de crédit et de débit sont en circulation depuis les années 1950 et 1970, respectivement, et des mesures de sécurité y ont été ajoutées au fil des années: des hologrammes aux fonctions électroniques sophistiquées. Ces mesures rendent les cartes volées plus difficiles à utiliser et compliquent la création de cartes de contrefaçon. Mais les criminels n'ont pas abandonné pour autant. Ils s'intéressent de près aux fraudes aux paiements à distance, en l'absence de carte, qu'on appelle aussi attaques CNP (card not present). Il peut s'agir de transactions au téléphone ou en ligne, ces dernières étant les plus visées, du fait de l'essor rapide de l'e-commerce.
Lire aussi : [Tribune] Optimisez son potentiel e-commerce B2B
Les commerçants doivent s'assurer qu'ils ont des mesures de sécurité robustes en place.
Pour lutter contre cette forme de criminalité en pleine croissance, les marques émettrices de cartes de paiement expérimentent plusieurs nouveautés. Parmi celles-ci, les cartes avec un écran électronique génèrent un nouveau code toutes les 30 secondes. Jusqu'à présent, seule 3D Secure a généralisé leur utilisation sous forme d'authentification bifactorielle. À chaque tentative de transaction en ligne, le titulaire de la carte se voit présenter un formulaire qui lui demande un mot de passe. S'il n'en a pas créé, il doit d'abord entrer des informations personnelles complémentaires, comme sa date de naissance.
Outre le remplacement des cartes, les émetteurs doivent chercher à améliorer leurs capacités de détection de la fraude. Ces capacités de détection sont invisibles pour l'utilisateur et ne l'empêchent donc pas d'effectuer des transactions. Une méthode prometteuse consiste à utiliser les données de géolocalisation du smartphone de l'utilisateur pour vérifier qu'il est bien là où la transaction se produit. Dans le cas contraire, la transaction peut être bloquée ou d'autres vérifications seront demandées.
Mais l'ajout de mesures de sécurité n'est qu'une partie de la réponse. Les commerçants doivent s'assurer qu'ils ont des mesures de sécurité robustes en place. Dans le cas contraire, les données de vos clients resteront vulnérables et une compromission de données pourrait bien gâcher le Noël de tout le monde.
La protection des données durant et après la transaction
Les commerçants doivent protéger les données durant la transaction, après que le paiement est effectué et là où les données sont conservées. Voici les principales recommandations que peuvent suivre les commerçants:
- Recherchez des preuves de falsification des terminaux. Vérifiez régulièrement l'ensemble de vos appareils qui capturent des données de paiement. Pensez à former vos salariés pour qu'ils reconnaissent les signes de falsification. Et assurez-vous que les terminaux soient conservés en toute sécurité quand ils ne sont pas utilisés.
- Chiffrez vos données en utilisant les méthodes récentes les plus sécurisées. Utilisez des techniques de codage sûres et la dernière version du protocole TLS pour vos sites Web et applications. Pour les paiements en personne, la norme P2PE (point-to-point encryption) protège les données depuis le point de vente (POS) jusqu'à l'environnement de déchiffrement sécurisé.
- Assurez-vous que vous-même et toutes les tierces parties qui traitent les cartes de paiement de vos clients ayez des règles robustes d'identification et d'accès. Ceci suppose bien sûr de modifier les mots de passe par défaut, d'utiliser une authentification forte et de veiller à ce que les utilisateurs ne se partagent pas les comptes. Vous ne devriez pas conserver plus de données que le strict nécessaire, les conserver plus longtemps que nécessaire ou autoriser l'accès à quiconque n'en a pas réellement besoin pour faire son travail. Ce sont là des mesures de sécurité simples et élémentaires, pourtant de trop nombreuses entreprises les négligent encore.
- Investissez dans vos salariés. Vos salariés peuvent-être vos meilleurs atouts, comme votre maillon faible. Formez-les pour qu'ils puissent identifier les menaces et tirer la sonnette d'alarme et qu'ils sachent surveiller et mesurer l'efficacité des contrôles de sécurité. C'est essentiel pour créer un système de contrôle durable, qui demeure efficace au gré de l'évolution de la société et des nouvelles menaces.
Les récents incidents informatiques ont montré que les cyberattaques visent les entreprises de toute taille et qu'il suffit d'une compromission de données pour nuire durablement à la réputation de votre entreprise. Si vous voulez réduire les risques que cela vous arrive, la mise en conformité au standard PCI DSS peut être utile. PCI DSS couvre toutes les mesures de sécurité précitées et bien d'autres.
Lire aussi : Le paiement fractionné : un atout commercial pour optimiser vos ventes et se démarquer de la concurrence
La conformité PCI DSS n'apporte pas une garantie de protection totale, mais elle sert de guide. De tous les cas de compromission des données des cartes de paiement sur lesquels l'équipe Verizon Threat Research Advisory Center (VTRAC) a pu enquêter depuis 2010, aucune entreprise n'était 100% conforme au moment de l'attaque.
Il ne s'agit pas de réussir le test une fois pour être certain de protéger les données de ses clients. Vos contrôles de sécurité sont mis à l'épreuve chaque jour. Vous devez vous assurer de leur robustesse et de leur résilience. Vos clients vous font confiance chaque fois qu'ils vous achètent quelque chose. Ne les décevez pas.
À propos de l'auteur
Rodolphe Simonetti est le directeur général de la division mondiale Security Assurance Consulting de Verizon. Il dirige actuellement une équipe de 170 personnes basés dans 20 pays. Rodolphe coordonne tous les services de garantie de sécurité des simples évaluations aux programmes complexes au sein d'un environnement mondial. Les services de garantie de la sécurité (Security Assurance Services) incluent les contrôles GRC (Governance Risk and Compliance), PCI (Payment Card Industry), de santé (HIPAA), de contrôle industriel et de l'Internet des objets (IoT), les tests d'intrusion, les revues de code, ainsi que les tests et certifications d'équipements, de logiciels et de solutions (ICSA Labs).