8 façons de protéger les sites de vente en ligne et les clients pendant la période des fêtes

This post is also available in: Anglais Allemand Italien Portugais - du Brésil Espagnol Russe

Les grandes opérations commerciales des sites de vente en ligne, comme le Black Friday, le Cyber Monday, l’Amazon Prime Day, etc. sont généralement très attendues par les consommateurs, toujours à l’affût de promotions et de réductions. La pandémie a changé la donne, et le shopping se fait désormais en ligne. Auparavant, en période de soldes, il n’était pas rare de voir les clients s’agglutiner devant les grands magasins avant l’ouverture pour décrocher la bonne affaire. Mais aujourd’hui, ce sont les sites de vente en ligne qui attirent les foules, désireuses de se procurer des articles rares ou à prix alléchant.

Les enseignes doivent désormais se tenir prêtes non seulement à gérer les pics d’affluence en période de soldes, mais aussi à protéger leurs clients des cybercriminels, toujours prêts à s’engouffrer dans la moindre faille pour escroquer des consommateurs peu méfiants.

Comment les sites de vente en ligne peuvent-ils se protéger, et leurs clients, contre la fraude, et ainsi garantir une expérience shopping totalement sûre ? Voici quelques recommandations essentielles :

Principales attaques de bots à prévoir sur les sites et applications de commerce en ligne pendant la période des fêtes.

1. Politiques de cybersécurité – Les violations de données et attaques sont généralement dues à une méconnaissance des meilleures pratiques en matière de cybersécurité. Commencez par sensibiliser vos employés aux risques d’hameçonnage ou aux autres tactiques d’ingénierie sociale visant à cerner leur profil psychologique. Faites auditer votre site Internet et votre application mobile par des équipes de sécurité qui effectueront des tests d’intrusion et recommanderont des mesures de sécurité optimales.
2. Architecture de sécurité zéro confiance – En cette époque de télétravail à domicile, depuis un espace partagé ou même un café, les pirates parviennent souvent à contourner les mécanismes de sécurité simplistes « autorisation ou blocage ». Avec une architecture zéro confiance, vous adoptez une approche « ne rien croire et tout vérifier », pour approuver et contrôler l’accès des employés et de vos partenaires.
3. Sensibilisation des clients – Encouragez vos clients à utiliser des mots de passe plus sûrs et à ajouter l’authentification multifactorielle (AMF), qui les oblige à saisir un code supplémentaire quand ils se connectent à votre site de vente en ligne. Mettez vos clients en garde contre les campagnes de hameçonnage qui utilisent votre marque, et conseillez-leur de toujours faire preuve de prudence avant de fournir leurs données personnelles ou informations de paiement, et de vérifier qu’ils se trouvent bien sur votre site et non sur une copie qui ressemble à s’y méprendre au vôtre, différenciable seulement par de petites variations orthographiques (par exemple, « 0nline.com » épelé avec un zéro et non la lettre « O », ou sur des domaines dont le nom rappelle celui du vôtre mais qui sont gérés par des pirates (par exemple online.biz au lieu de votre site online.com).
4. Audit des mises à jour logicielles – Cette étape peut sembler logique et évidente, mais elle n’en demeure pas moins cruciale pour se protéger des cybermenaces. Assurez-vous d’utiliser des certificats SSL à jour, des connexions cryptées (indiquées par « https » devant l’adresse de votre site web) et les toutes dernières versions de vos applications et systèmes d’exploitation. Effectuez également un audit de sécurité des API utilisées par votre infrastructure numérique pour vous assurer qu’elles nécessitent une authentification et qu’elles sont entièrement corrigées et protégées contre les vulnérabilités. Avec des audits réguliers des risques de tous les logiciels tiers fonctionnant avec votre site, vous vous assurerez que ces derniers ne serviront pas de passerelle à des pirates.
5. Stockage limité des PII (Personally Identifiable Information) – Les plateformes de commerce en ligne attirent les fraudeurs car elles détiennent de nombreuses informations personnelles. Protégez vos clients en ne recueillant et conservant qu’un minimum de PII (Personally Identifiable Information), et utilisez toujours un système de cryptage pour les données sensibles telles que les informations relatives aux cartes de crédit afin de dissuader les pirates.
6. Intégrer des solutions spécialisées pour atténuer les menaces sophistiquées – La plupart des sites de vente en ligne sécurisent leurs systèmes pour contrer les attaques. Toutefois, le degré de sophistication des cyberattaques ne cessant d’augmenter, les propriétaires de sites peuvent faire appel à des solutions spécialisées comme des gestionnaires de bots pour barrer les accès frauduleux à leurs réseaux.
7. L’intention des visiteurs – Les solutions dédiées comme le Radware Bot Manager étudient l’intention de chaque visiteur pour ne laisser entrer que de véritables clients sur votre site et votre application et non les bots, empêchant ainsi des attaques de prise de contrôle de compte (ATO) et de déni de service distribué (DDoS), ainsi que des attaques de spamming, de revente, d’extraction, d’abandon de panier, de déni d’inventaire, la fraude à la publicité et d’autres menaces pouvant nuire à vos clients et à votre marque.
8. Conformité PCI-DSS – La conformité à la norme PCI-DSS (Payment Card Industry Data Security Standard) est imposée par les grandes sociétés de crédit aux sites commerciaux qui acceptent et traitent les paiements par carte de crédit et les données des titulaires de carte. Depuis sa création, la norme PCI-DSS délivre chaque année une attestation de conformité aux exigences de sécurité. Les entreprises devraient s’y conformer de façon proactive pour se protéger, et protéger leurs clients.

[Vous avez aimé cet article ? Abonnez-vous et recevez chaque semaine dans votre boîte de réception les derniers contenus Radware, ainsi qu’un accès exclusif aux contenus Radware Premium.]