theNet by CLOUDFLARE

La sécurité de l'e-commerce pendant la période des fêtes

Préparer les commerçants aux cybermenaces à venir

Sans surprise, la période des fêtes offre des opportunités accrues de cyberattaques ; le secteur de l'e-commerce étant la principale cible. Les événements spéciaux conduisent à des pics de trafic Internet, dont certains sont malveillants. Par ailleurs, les responsables de la sécurité et de l'informatique dans le domaine de l'e-commerce se trouvent souvent surchargés pendant cette période, surtout s'ils doivent gérer une multitude de solutions dédiées et spécialisées.

Face à cette tendance, la question n'est pas de se demander s'il convient de se préparer pour une attaque, mais plutôt de savoir quels types d'attaques posent le plus grand risque pour votre entreprise.

La préparation aux fêtes de l'e-commerce exige un certain degré de hiérarchisation. En plus de se doter d’une solide base de protection contre les menaces courantes visant les applications web, telles que les attaques DDoS et les attaques par exploitation des vulnérabilités zero-day, les commerçants en ligne doivent planifier et se préparer à des types d’attaques spécialisées qui risquent de nuire à leur activité et à leurs revenus pendant la période des fêtes, et s'organiser en conséquence.

Les quatre questions ci-dessous peuvent vous aider à lancer le processus de hiérarchisation. En y répondant, les entreprises d'e-commerce seront mieux positionnées pour réussir lors de la période des Fêtes à venir, qui peut représenter près de 20 % des ventes totales.

  1. À quel point vos produits sont-ils sensibles à l'évolution des prix ?

  2. Quel est le risque que votre entreprise soit confrontée à une pénurie de stock ?

  3. Comptez-vous sur les API pour renforcer votre présence en ligne ?

Question 1 : À quel point vos produits sont-ils sensibles à l'évolution des prix ?

Pour certains produits et services (tels que ceux qui présentent un tarif peu élevé, sont fortement banalisés ou largement disponibles), de petites divergences de prix entre entreprises concurrentes peuvent affecter considérablement la décision d'achat des clients. Une entreprise pratiquant des prix légèrement plus chers que son concurrent pendant une promotion proposée à l'occasion des Fêtes pourrait ainsi constater une chute importante de ses ventes.

Aussi, lors de la période des fêtes, les entreprises qui vendent des produits sensibles à l'évolution des prix doivent donc se montrer particulièrement vigilantes à l'égard des bots d'extraction, qui parcourent les sites web à la recherche d'informations tarifaires et renvoient ces données à un concurrent. Si l'extraction web n'est pas une nouveauté, les progrès de l'IA ont rendu les bots beaucoup plus efficaces pour extraire des données tarifaires, du contenu et bien davantage. Grâce à ces informations, le concurrent en question peut faire en sorte que ses produits soient légèrement moins chers et ainsi s'assurer un avantage significatif.

Les bots d'extraction de prix peuvent se révéler plus difficiles à identifier que les autres types de bots, car ils n'entraînent pas de conséquences visibles, comme une augmentation des échecs d'authentification, des achats inhabituels ou un pic de création de nouveaux comptes client. Les signaux permettant d'identifier ces bots comprennent les suivants :

  • Les pics de trafic qui ne correspondent pas au comportement attendu des consommateurs, car les bots d'extraction de prix analysent votre site en permanence.

  • Une dégradation des performances de votre site, pour les mêmes raisons.

  • Augmentation du volume de trafic entre les bots d'indexation et vos sites/applications

  • Le fait que les adresses IP des serveurs d'origine du trafic pointent vers les sites de vos concurrents.

Si vous parvenez à identifier des bots d'extraction de prix sur votre site, ou si vous soupçonnez en être la cible au cours d'une promotion proposée à l'occasion des fêtes, les techniques telles que le contrôle du volume des requêtes peuvent vous aider à les empêcher de nuire aux performances du site. Toutefois, il sera probablement encore nécessaire d'investir dans un service de gestion des bots plus avancé, alliant des informations en temps réel sur les menaces à la capacité d'identifier et de filtrer automatiquement les bots malveillants (y compris les bots d'extraction de contenu IA).

Question 2 : dans quelle mesure votre entreprise est-elle vulnérable aux ruptures de stock ?

La pénurie de produits peut résulter de tactiques marketing planifiées, de chaînes d'approvisionnement tendues ou d'une demande excessive. Les produits électroniques grand public très médiatisés, les billets de concert et les articles de mode en édition limitée en sont de bons exemples.

Les entreprises qui vendent ce type de produits doivent faire preuve d'une vigilance supplémentaire à l'égard des bots d'accaparement de stocks (également connus sous le nom de « Grinch bots ») pendant la période des fêtes de fin d'année. Ces bots effectuent automatiquement des achats de produits ou de services plus rapidement que les humains n'en sont capables, généralement afin de les revendre avec une marge bénéficiaire sur le marché de l'occasion. Les baskets en édition limitée, par exemple, ont été la cible d'une catégorie spéciale de bot, les « bots furtifs ». Un artiste musical à succès a même tenté de lutter contre les bots de furtifs en facturant une majoration de 100 fois le prix si les acheteurs n'avaient pas son code de fan club.

Les effets des bots d'accaparement de stocks (comme l'épuisement de produits en quelques minutes) ne sont pas difficiles à repérer. Malheureusement, ils ne sont repérés qu'une fois qu'ils ont eu lieu. Afin de bloquer ces bots plus tôt, vous pouvez envisager les tactiques suivantes :

  • Tests gérés : le recours à des tests gérés permet de faire en sorte que seuls les utilisateurs humains sont en mesure d'effectuer un achat. Cependant, les CAPTCHA, la forme de test la plus courante dans le secteur, peuvent agacer les clients et les clients et il y a toujours une possibilité qu'ils soient dépassés par les modèles IA. D'autres solutions que les CAPTCHA sont désormais disponibles, il s'agit de tests gérés permettant de confirmer la nature humaine d'un utilisateur sans les inconvénients des CAPTCHA.

  • Contrôle du volume des requêtes : limite la fréquence à laquelle une personne (ou quelque chose) peut répéter une action dans un délai donné. Cela permet de limiter la fréquence à laquelle les bots et les faux utilisateurs peuvent ajouter des articles à leur panier, pour ensuite les abandonner.

  • Mise en place d'un honeypot : un honeypot (ou « pot de miel ») constitue une fausse cible destinée à tromper les acteurs malveillants et qui révèle la nature malveillante de ces derniers lorsqu'ils accèdent au pot de miel. Dans le cas d’un bot, un pot de miel peut être une page interdite aux bots par le fichier robots.txt. Les bots légitimes consultent le fichier robots.txt et évitent la page, tandis que certains bots malveillants vont interagir avec. En remontant l'adresse IP des bots qui ont accédé au pot de miel, les bots malveillants peuvent ainsi être identifiés et bloqués.

Malheureusement, certaines de ces techniques peuvent nuire à l'expérience utilisateur, ou encore échouer à arrêter les bots les plus avancés. Pour les entreprises présentant un risque accru d' accaparement de stock, il convient d'investir dans un système de gestion des bots dédié, reposant sur l'apprentissage automatique et une analyse comportementale avancée.

Question 3 : dans quelle mesure comptez-vous sur les API pour renforcer votre présence en ligne ?

En plus des menaces permanentes telles que les pannes de site web et la fraude aux paiements, des risques accrus liés à l’élargissement des surfaces d’attaque pèsent sur les commerçants. Par exemple, de nombreuses entreprises d'e-commerce dépendent fortement des API pour la gestion de leur CMS, de leur stock de produits, de leurs chatbots et de leurs systèmes de paiement, pour ne citer que ces fonctionnalités. L'adoption croissante du commerce sans tête pour permettre des expériences hyper-personnalisées intensifie encore la dépendance aux API.

Chaque nouvelle API constitue une nouvelle surface d'attaque potentielle. Mais vous ne pouvez pas protéger ce que vous ne pouvez pas voir et près d'un tiers des entreprises ne disposent d'aucun inventaire précis des API. Les « API fantômes » inconnues laissent les entreprises vulnérables à l'exposition des données, aux mouvements latéraux et à d'autres cyber-risques.

Si l'API présente une vulnérabilité inconnue ou se montre vulnérable aux risques figurant dans le Top 10 des risques de sécurité affectant les API, les acteurs malveillants pourraient se retrouver en position d'intercepter des informations de carte bancaire. Les mêmes conséquences pourraient se produire lors d'une attaque par authentification, au cours de laquelle l'acteur malveillant dérobe une clé d'API pertinente ou intercepte et utilise un jeton d'authentification.

La première étape de la prévention de ces attaques consiste en premier lieu à identifier les API. Le recours à un service d'identification des points de terminaison d'API à l'approche de la période des fêtes permet d'identifier les éventuels points de terminaison à risque, avant d'appliquer les tactiques suivantes :

  • Validation de schéma : plus spécifiquement, il s'agit ici du blocage des appels d'API qui ne sont pas conformes à la « logique » de l'API, c'est-à-dire la logique des requêtes qu'elle est censée recevoir.

  • Détection de l'utilisation abusive spécifique aux API : ce type de service permet de comprendre le trafic abusif et d'utiliser une fonctionnalité de limitation du débit orientée API afin de bloquer l'excès de trafic abusif lié aux API, en se basant sur l'analyse jusqu'à la minute près du trafic de chaque point de terminaison d'API.

L'empreinte numérique des commerçants continue de s'étendre, notamment avec l'essor de l'IA générative, de la vente en direct et d'autres technologies reposant sur des API. Sur le long terme, le passage à une approche DevSecOps peut apporter la garantie que la sécurité est intégrée à chaque phase du cycle de développement des applications et API.

Poursuivre le processus de hiérarchisation

Les réponses à ces questions constituent une étape importante du processus de hiérarchisation des risques, mais elles ne marquent que le début. Idéalement, une entreprise doit pouvoir être en mesure d'analyser les données provenant des périodes de Fêtes précédentes afin de prédire l'arrivée de futures attaques. Les entreprises peuvent également considérer les facteurs suivants :

  • Les types d'attaques susceptibles d'avoir le plus fort impact financier, qu'il s'exprime en termes de perte de chiffre d'affaires ou en coûts d'atténuation.

  • Les types d'attaques véhiculant le plus grand risque de perte de données ou de compromission.

  • Les attaques présentant le plus de chances d'entraîner une interruption de service du site.

  • Est-ce que la sécurité des applications/API peut s'intégrer aux mesures de sécurité protégeant les utilisateurs internes (c'est-à-dire les employés, les sous-traitants, les développeurs) ?

Assainir les opérations d'e-commerce grâce à un cloud de connectivité

Pour garder une longueur d'avance sur les attaques et les tendances de l'e-commerce tout au long de l'année, il faut disposer d'une plateforme de sécurité cloud-native, à faible latence, sécurisée et fiable.

Pour vous aider à réduire les coûts, à améliorer l'agilité, à protéger les données sensibles et à vous défendre contre des menaces toujours en évolution, le cloud de connectivité de Cloudflare améliore à la fois la sécurité et les performances. Le cloud de connectivité est une plateforme unifiée et intelligente de services cloud-native programmables, qui offre aux entreprises une meilleure visibilité et un plus grand contrôle sur leurs environnements informatiques.

Cloudflare réunit la sécurité des applications web, la sécurité des API, la sécurité des outils tiers, les services Zero Trust et bien d'autres fonctionnalités sur un plan de contrôle unique, tous les services étant alimentés par une capacité inégalée d'informations sur les menaces.

Cloudflare peut vous aider à bénéficier d'une sécurité et de performances exceptionnelles sur l'ensemble de votre expérience client numérique, tandis que vous reprenez le contrôle et gagnez en agilité à tous les niveaux de la pile informatique.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.

Points clés

  • Stratégies de cybersécurité prioritaires pour les commerçants pendant la période des fêtes

  • Conseils de sécurité pour l'e-commerce : protection contre les bots malveillants qui nuisent à l'expérience utilisateur et menacent les revenus

  • Stratégies de préparation aux fêtes pour se défendre contre l'utilisation abusive des API

Ressources associées

Approfondir le sujet

Les performances des sites web et applications d'e-commerce accessibles aux clients sont constamment menacées par les exploitations de vulnérabilités zero-day , les attaques DDoS , les bots malveillants, les API fantômes et bien d'autres menaces. Découvrez l'évolution des risques pour la sécurité des applications (et des conseils pour les atténuer) grâce au rapport sur l'état de la sécurité des applications.

Recevez un récapitulatif mensuel des tendances Internet les plus populaires !

S'abonner à theNET

Prise en main

Ressources

Solutions

Communauté

Support

Société

© 2024 Cloudflare, Inc.Politique de confidentialitéConditions d’utilisationSignaler des problèmes de sécuritéFiabilité et sécuritéMarque commerciale