Préoccupations concernant la cybersécurité des détaillants

Préoccupations concernant la cybersécurité des détaillants

Les détaillants dans la mire
Les détaillants sont devenus la cible de choix du crime organisé, qui leur lance des cyberattaques afin d’obtenir des numéros de carte de crédit et des renseignements personnels pour effectuer des achats frauduleux et des vols d’identité. Toute la médiatisation des cas d’infractions à la cybersécurité qui se sont produits l’année dernière en est une preuve.

 cybersécurité, commerce de détail

Les entreprises canadiennes ne sont pas à l’abri
Bien que peu de rapports fassent état des cyberattaques lancées expressément contre des entreprises et des détaillants canadiens, les organisations canadiennes ont vu leur lot d’infractions à la cybersécurité en 2014. Il n’y a pas si longtemps, un article paru dans le Globe & Mail rapportait qu’une étude récente sur la cybersécurité indiquait que 36 % des entreprises canadiennes affirment avoir été victimes d’une infraction à la cybersécurité au cours des 12 derniers mois.

Les entreprises canadiennes ne peuvent pas se permettre d’ignorer les cybermenaces. Dans une étude, effectuée en 2014 par le Ponemon Institute, on estime que le coût réel d’une telle infraction s’élève à 105 $ par donnée dans le secteur du commerce de détail. L’étude présente également une analyse selon laquelle, en moyenne, 30 000 données sont touchées par ce type d’infraction. Par conséquent, le coût moyen d’une infraction à la cybersécurité pour un détaillant moyen s’élève à approximativement 3,15 M$.

Cybersécurité Canada

 

Les cyberattaques axées sur les détaillants
Une analyse tirée du « Rapport d’enquête 2014 sur les compromissions de données » de Verizon indique que trois modèles principaux sont à l’origine de 74 % des cyberattaques contre les détaillants, soit :

  1. Déni de service
    Utilisation, par les pirates, d’une armée de zombies qui compromettent la disponibilité des réseaux et des systèmes. Les mobiles peuvent être variés, notamment :
    – pour revendiquer quelque chose : attaques par des activistes;
    – pour demander des rançons : attaques par le crime organisé;
    – pour masquer d’autres tentatives de piratage : attaques par le crime organisé.
  2. Intrusions des points de vente
    Attaques à distance visant les systèmes de traitement des données de cartes de paiement. Le crime organisé cherche à obtenir des numéros des cartes de paiement ou des renseignements sur les clients. Les données des cartes de paiement seront utilisées pour fabriquer des cartes contrefaites ou effectuer des transactions frauduleuses. Les renseignements sur les clients seront, quant à eux, utilisés pour les vols d’identité.
  3. Attaques ciblant des applications Web
    Exploitation des vulnérabilités des sites de commerce électronique pour en obtenir l’accès. L’hameçonnage, les attaques par force brute et par injections SQL sont des tactiques utilisées. On vise principalement les données des cartes de paiement.

Solutions
Les détaillants peuvent réduire les coûts d’une infraction potentielle à la cybersécurité ainsi que leur exposition à un tel risque en adoptant quelques-unes des meilleures pratiques de base en matière de sécurité de l’information.

Tout d’abord, suivre les recommandations énoncées dans l’étude du Ponemon Institute, selon lesquelles une entreprise peut épargner en moyenne 42 $ par donnée atteinte en effectuant ce qui suit :

  • nommer un responsable de la sécurité de l’information : une économie de 6,59 $ par donnée;
  • effectuer la gestion de la continuité des activités : une économie de 8,98 $ par donnée;
  • se doter d’un plan solide de réponse aux incidents : une économie de 12,77 $ par donnée;
  • adopter une attitude ferme en matière de sécurité : une économie de 14,14 $ par donnée.

En réponse aux trois modèles principaux de cyberattaques, Richter recommande ce qui suit :

  • Déni de service
    • Appliquer des correctifs : s’assurer que les correctifs sont appliqués rapidement sur les serveurs. Bon nombre d’attaques liées au déni de service visent les composantes vulnérables du système d’exploitation.
    • Service anti-DoS : installer un service Anti-DoS ou s’abonner à un tel service. Tester périodiquement le service dans le cadre d’un plan de réponse aux incidents pour s’assurer qu’il fonctionne correctement.
    • Mettre en place une architecture rigoureuse de défense : s’assurer que les serveurs sont bien isolés par des coupe-feu intégrés à différents segments de réseaux. Installer les serveurs qui abritent les données critiques profondément dans le réseau,  isolée par de multiples coupe-feu.
  • Intrusions des points de vente
    • Restreindre l’accès à distance : contrôler rigoureusement les accès aux systèmes points de vente par des sociétés tierces. Cela signifie former les employés à reconnaître toute tentative illégale d’accès aux systèmes points de vente dans les magasins.
    • Changer les paramètres par défaut : s’assurer que les différentes composantes qui constituent les systèmes points de vente ou qui servent à leur entretien sont sécurisées en changeant les paramètres par défaut. Cela comprend les réseaux sans fil, les terminaux à écran à contact, les serveurs Bureau, les serveurs de réseau, les lecteurs de cartes et les capteurs de signature.
    • Restreindre les activités sur les systèmes points de vente : ne pas permettre aux employés de naviguer à leur guise sur Internet à l’aide des systèmes points de vente.
    • Utiliser une authentification rigoureuse : envisager utiliser une authentification à deux facteurs pour les employés qui accèdent aux systèmes points de vente.
  • Attaques ciblant des applications Web
    • Utiliser une authentification à deux facteurs : envisager utiliser une authentification à deux facteurs pour les utilisateurs administrateurs qui accèdent à la plate-forme de commerce électronique.
    • Contenu statique : utiliser des systèmes de gestion de contenus statiques lorsque cela est possible.
    • Appliquer des politiques de verrouillage : s’assurer que les comptes clients sont verrouillés après quelques tentatives infructueuses. Se munir d’une solution de reprise automatisée.
    • Surveiller les connexions sortantes : rechercher les activités sortantes non nécessaires sur vos serveurs Web et autres systèmes dans le réseau. Si cela semble louche, enquêter et endiguer le problème. Renforcer les serveurs Web de manière à ce qu’ils ne prennent en charge que les services nécessaires.

Richter peut vous aider
Si votre société a fait les frais d'une cyberattaque, ou si vous souhaitez prémunir celle-ci contre une telle éventualité, nous pouvons venir en aide. Nos experts chevronnées ont éapulé des organisations dans leur lutte ^pour prévenir, détecter et contenir les cyberattaques et y répliquer.

 

 

Experts

Rechercher un expert