Sécurité : risques & enjeux pour votre site e-Commerce

securite-risques-et-enjeux-pour-votre-site-e-commerce-vignette

L’actualité récente a encore pu nous le montrer ; la sécurité dans l’univers du e-Commerce demeure, même en 2014, une des problématiques majeures que vous aurez à affronter. Alors cela va t-il réellement constituer un axe de développement essentiel pour votre activité d’e-Commerçant ? Ou est-ce là juste encore un insight marketing tendancieux et maladroit pour vous souhaiter une bonne et heureuse année ? Entre risques et enjeux, nous vous proposons ici de revenir sur quelques points clés qui vous permettront, nous l’espérons, d’y voir un peu plus clair…

1. 2014, méfiez-vous des robots…

En 2012, seulement 49% du trafic était généré par des humains. En 2013, les humains ne représentent plus que 39% du trafic.

Sur ces plus de 60% de trafic venant de sources non-humaines, le découpage se fait comme suit :

securite-risques-et-enjeux-pour-votre-site-e-commerce-distribution-du-trafic-humain-vs-robot

Source : Incapsula

Plus de 30% du trafic d’un site viens donc de robots aux intentions douteuses, voire clairement malveillantes.

2. Le web, maillon faible ?

Toujours d’après le rapport de Verizon, les vulnérabilités web (au sens large) sont responsables de 54% des failles, et sont les plus couronnées de succès, puisqu’elles représentent 40% des fuites/vols d’information.

3. Comment expliquer cette hécatombe ?

Ces évolutions s’expliquent notamment par le fait que, du point de vue de l’attaquant :

  • La détection des vulnérabilités web (SQLi, XSS …) est très largement automatisable
  • Leur exploitation – au moins dans certains cas – peut être aussi facilement automatisée

Ainsi, l’exploitation des vulnérabilités web requérant des compétences limitées, le nombre d’attaquants se trouve en forte augmentation, augmentation renforcée de par la forte accessibilité de documentations techniques ou d’outils offensifs sur internet.

Ces évolutions s’expliquent aussi par le fait que, du point de vue des développeurs / sysad :

  • Le niveau de sensibilisation à la sécurité des développeurs reste massivement insuffisant.
  • Les acteurs n’ont que trop rarement de politique de test ou d’évaluation de sécurité dans les processus de développement, au mieux, des tests par des sociétés tierces de manière épisodique.
  • Les efforts de défense pro-active (pare-feux applicatifs, hardening des serveurs) sont, dans le meilleur des cas de faible niveau, au pire, et majoritairement, inexistants.

4. Capacité & délai de détection des attaques

securite-risques-et-enjeux-pour-votre-site-e-commerce-attaque-compromission-decouverte

*dans les grandes entreprises

Il faut ajouter à cela un facteur bien plus inquiétant, à savoir la source de détection des compromissions :

securite-risques-et-enjeux-pour-votre-site-e-commerce-source-de-detection-des-failles-de-securite

Source : Verizon breach report 2012

Ainsi, dans l’ensemble des organisations, 9 fois sur 10, l’attaque est détectée par une entité tierce.

5. Capacité & délai de correction des vulnérabilités

En admettant que le propriétaire du/des sites soit au courant de l’existence des vulnérabilités, voici ce que nous apprend whitehat security sur le sujet :

En moyenne, une vulnérabilité considérée comme sérieuse met 193 jours à être corrigée.

J’en vois déjà certains se gausser, blâmant l’inertie des grosses structures, mais ne riez pas trop vite : si les grosses structures mettent du temps à corriger, les petites ne sont même pas au courant de l’existence de ces vulnérabilités, du moins pas avant de s’être fait compromettre un site. En effet, la sécurité coutant cher, beaucoup de petites structures, même celles dont le web est le cœur de métier, n’ont aucune approche de test de la sécurité applicative – voir même – de compétences de sécurité en interne.

6. Niveau de sécurité des sites internet en 2013

D’après le rapport de WhiteHat security, 86% des sites comprennent au moins une vulnérabilité sérieuse. Bien que ce nombre puisse paraitre très important au premier abord, il est réaliste.

7. Conclusion : tout est perdu ?

Non, bien au contraire ; on peut ainsi noter des signes d’amélioration réels et tangibles :

securite-risques-et-enjeux-pour-votre-site-e-commerce-nombre-de-vulnerabilite-par-site-et-par-an

Ceci étant bien entendu la conséquence d’une dynamique globale et croissante de structuration concernant les politiques de sécurisation. Les efforts doivent donc être poursuivis, et surtout, nous sommes ici face à une problématique qu’il convient de prendre à bras le corps et qui ne pourra être résolue de façon lacunaire, tant les architectures systèmes sont profondément inter-dépendantes et les mécanismes épidémiques. Enfin, il est ici bien question d’une réalité à la fois technique, qui accompagnera le développement de votre entreprise e-Commerce, mais également stratégique tant la sécurité peut apparaitre aujourd’hui comme un des facteurs clés de démarcation sur votre marché. La fiabilité de votre site e-Commerce, la sérénité et la confiance données à vos clients, voila autant de barrières levées pour favoriser l’acte d’achat.

Ne vous y trompez pas donc, et assurez-vous d’avoir dans votre panoplie de e-Commerçant les outils nécessaires pour rapidement, soit combler vos lacunes en la matière, soit continuer à considérer et faire évoluer votre politique de sécurité vers le haut !

Un ping pour “Sécurité : risques & enjeux pour votre site e-Commerce

Un commentaire pour “Sécurité : risques & enjeux pour votre site e-Commerce

  1. Merci beaucoup pour ces précieux conseils en matière de sécurité pour tous nos sites e-commerce ! Une vraie problématique avec des enjeux réels pour les entreprises de e-commerce, qui n’est malheureusement pas assez soulevée !
    A bientôt !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *