Cybersécurité : pourquoi et comment le retail doit s’emparer du sujet
Par Clotilde Chenevoy | Le | Data
La digitalisation du commerce a rendu le secteur plus attractif aux yeux des hackeurs. Pour autant, les enseignes n’ont pas toutes consciences des enjeux de ce sujet. Décryptage et partage des bonnes pratiques.
Juin 2021, Camaïeu a pris la parole pour dénoncer une attaque, refusant de payer une rançon aux hackers qui ont bloqué son système d’information quelques semaines avant les soldes. Un choix audacieux, car dans ce type de situation, beaucoup d’entreprises décident de taire ce type de problème pour des raisons d’image. Mais selon KPMG, les attaques dans le retail sont de plus en plus nombreuses et sophistiquées. « Il n’existe pas d’indicateurs de suivi officiel, mais nous recevons beaucoup d’appels de clients désemparés, explique Guillaume Rablat, directeur en charge des sujets Cyber chez KPMG France. Encore trop d’entreprises préfèrent payer les rançons, mettant en balance ce montant et le coût de l’immobilisation des systèmes avant de pouvoir les débloquer. »
Rançongiciel ou vol des données clients représentent donc l’un des revers de la médaille de la digitalisation des commerces. « Les enseignes se sont lancées dans un plan de transformation digitale, peu d’entre elles ont initié un chantier autour de la cybersécurité », analyse le directeur de KPMG. L’attention des managers est davantage focalisée sur cette transformation, pensant qu’une assurance couvre les risques d’une potentielle attaque.
L’omnicanal a multiplié les portes d’entrée pour les hackers
Or, les hackers voient dans le retail une cible de choix pour plusieurs raisons. Si la data représente le nouveau pétrole de la distribution en interne pour piloter la relation client, fournisseur, etc. elle devient aussi une cible de rêve pour les hackeurs, d’autant que les volumes stockés deviennent colossaux. Parmi les données, les hackers « apprécient » particulièrement les données des consommateurs, que les marques et enseignes affectionnent de plus en plus pour réaliser des communications personnalisées. En plus de faire chanter une entreprise, ce type d’informations se revendent sur le dark web et permettent de lancer des campagnes de phishing ciblées ou encore d’attaquer d’autres sites. En effet, beaucoup de consommateurs utilisent les mêmes identifiants d’un site à l’autre…
La cybersécurité a été jusqu’ici le parent pauvre dans le monde du retail.
Par ailleurs, avec la montée des sujets RSE, les clients demandent à avoir une vision sur la traçabilité des produits qu’ils achètent. Une nouvelle source de données s’ajoute dans les systèmes d’information avec souvent l’ajout de plus petits fournisseurs dans la chaîne. Or, ouvrir les systèmes à d’autres crée des brèches potentielles pour des attaques.
Un manque de moyens pour la cybersécurité
Enfin, « la cybersécurité a été jusqu’ici le parent pauvre dans le monde du retail, assurent les experts de KPMG. La distribution est entrée dans une guerre des prix avec des marges qui diminuent et des programmes de réduction des coûts sont enclenchés. Or, ce sont souvent les moyens pour les fonctions supports qui sont réduits, notamment de l’IT et de la finance. » Selon le cabinet, les sommes allouées à la cybersécurité oscillent autour de 4 % du budget IT alors qu’elles devraient se situer entre 7 à 10 %.
Ce constat est partagé par la start-up YesWeHack, qui propose du hacking à la demande avec un système de prime pour toutes failles trouvées par des hackers éthiques. « La cybersécurité a un coût mais c’est nécessaire d’investir, nous déclarait Hugo L’Aot, commercial, lors du salon Vivatech. On s’en aperçoit surtout quand on a des problèmes. » Une enseigne de textile qui a fait appel à leur service a par exemple identifié 3 failles critiques en 3 jours : le hacker a réussi à détourner l’adresse de livraison après le paiement, il a eu accès à l’intégralité de la base bancaire et en créant un compte client il a réussi à le transformer en compte administrateur de site et ainsi tout gérer. Le budget de 10 000 euros prévu sur l’année est devenu trimestriel.
Le top 3 des failles selon KPMG :
• Politique de mot de passe faible
• Faille par SQLInjection : cela remis à écrire du code dans un champs libre qui s’ajoutera au code de la page et le site l’exécute sur le serveur.
• Faille sur logiciel non mis à jour, avec des patchs de sécurité non installés.
La sécurisation des systèmes en contradiction avec la fluidification des parcours
Le sujet monte néanmoins dans les préoccupations des directions. Mais il est vrai que la sécurisation des accès par exemple est en parfaite contradiction avec la recherche de fluidification des parcours voulus par les équipes métiers… Mais une politique de mot de passe faible représente l’une des principales failles selon le cabinet. Mais c’est parfois la législation qui vient imposer au marché de nouvelles règles. Par exemple sur le paiement avec la réglementation DSP2 qui impose, entre autres, une obligation d’authentification forte. « En France, entre 20 à 24 % des commandes e-commerce n’aboutissent pas avec le 3DS et pour environ 25 à 30 % des cas cela représente un manque à gagner pour les e-commerçants », indique Raphaël Guerard, chargé de comptes stratégiques chez Forter. Les enseignes doivent alors concilier parcours client et réglementation, notamment en travaillant sur les règles d’exemption.
Six bonnes pratiques autour de la cybersécurité dans le retail
Pour le cabinet KPMG, six grandes actions doivent être menées pour que le sujet de la cybersécurité soit vraiment pris en compte dans l’entreprise :
- Fixer une gouvernance : il faut un responsable dans l’entreprise de la cybersécurité et ce sujet doit bénéficier du soutien au plus haut niveau. Il ne faut pas « juste » se contenter d’une assurance.
- Sensibiliser les équipes : envoyer un mail sur le sujet ne suffit pas, car il y a de forte chance que celui-ci ne soit pas ou peu lu. Les entreprises doivent réaliser des formations pour évoquer ce sujet et son importance pour l’entreprise.
- Réaliser un inventaire de son système d’informations : on ne peut pas sécuriser ce qu’on ne connaît pas. On peut ajouter des patchs de sécurité mais des failles béantes peuvent rester sans une cartographie claire du SI.
- Définir un plan de continuité de l’activité : il faut anticiper une potentielle crise en définissant des procédures sur comment réagir, qui prévenir, ou encore comment communiquer si le système est bloqué.
- Sécuriser régulièrement : un contrôle continu s’impose avec l’ajout de patch pour remédier au potentiel problème.
- Réaliser des sauvegardes et des restaurations : la règle consiste à réaliser trois copies du système avec une copie offline, et deux copies digitales non conservées sur le même site. Bien évidemment, les sauvegardes doivent être régulières et testées pour s’assurer qu’elles sont pleinement fonctionnelles.