Sans surprise, la période des Fêtes entraîne avec elle des opportunités accrues de cyberattaques, avec le secteur de l'e-commerce en tête de la liste des cibles. Peu importe ce qu'une entreprise vend en ligne (qu'il s'agisse de vêtements, d'électronique, de voyages ou d'autres services/produits), les promotions proposées à l'occasion des Fêtes constituent malheureusement une cible populaire pour les acteurs malveillants, car la sécurité informatique et la plateforme informatique sont souvent surchargées à cette période et donc plus susceptibles de se retrouver prises au dépourvu.
Face à cette tendance, la question n'est pas de se demander s'il convient de se préparer pour une attaque, mais plutôt de savoir quels types d'attaques posent le plus grand risque pour votre entreprise.
En plus de l'établissement d'une solide base de protection contre les menaces courantes visant les applications web (comme les attaques DDoS et les exploitations de vulnérabilités zero-day), une sécurité efficace nécessite un certain degré de hiérarchisation et la capacité de prédire quels types d'attaques spécialisées seront plus enclins à affecter l'entreprise pendant les Fêtes, sans oublier les moyens de se préparer en conséquence.
Les quatre questions ci-dessous peuvent vous aider à lancer le processus de hiérarchisation. En y répondant, les entreprises d'e-commerce seront mieux positionnées pour réussir lors de la période des Fêtes à venir, qui peut représenter près de 30 % de leur chiffre d'affaires annuel.
À quel point vos produits sont-ils sensibles à l'évolution des prix ?
Vos produits sont-ils disponibles en quantités limitées ?
Utilisez-vous un système de paiement tiers ?
Acceptez-vous les paiements en cryptomonnaies ?
Pour certains produits et services (tels que ceux qui présentent un tarif peu élevé, sont fortement banalisés ou s'avèrent largement disponibles), de petites divergences de prix entre entreprises concurrentes peuvent affecter considérablement la décision d'achat des clients. Une entreprise pratiquant des prix légèrement plus chers que son concurrent pendant une promotion proposée à l'occasion des Fêtes (suite à une baisse de prix de ce dernier) pourrait ainsi constater une chute importante de ses ventes.
Aussi, lors de la période des Fêtes, les entreprises qui vendent des produits sensibles à l'évolution des prix doivent donc se montrer particulièrement vigilantes à l'égard des bots d'extraction de prix, qui parcourent les sites web à la recherche d'informations tarifaires et renvoient ces données à un concurrent. Grâce à ces informations, le concurrent en question peut faire en sorte que ses produits soient légèrement moins chers et ainsi s'assurer un avantage significatif.
Les bots d'extraction de prix peuvent se révéler plus difficiles à identifier que les autres types de bots, car ils n'entraînent pas de conséquences visibles, comme une augmentation des échecs d'authentification, des achats inhabituels ou un pic de création de nouveaux comptes client. Les signaux permettant d'identifier ces bots comprennent les suivants :
Les pics de trafic qui ne correspondent pas au comportement attendu des consommateurs, car les bots d'extraction de prix analysent votre site en permanence.
Une dégradation des performances de votre site, pour les mêmes raisons.
Le fait que les adresses IP des serveurs d'origine du trafic pointent vers les sites de vos concurrents.
Si vous parvenez à identifier des bots d'extraction de prix sur votre site, ou si vous soupçonnez en être la cible au cours d'une promotion proposée à l'occasion des Fêtes, les techniques telles que la limitation du débit peuvent vous aider à les empêcher d'affecter les performances du site. Toutefois, vous devrez probablement encore investir dans un service de gestion des bots plus avancé, reposant sur l'apprentissage automatique et un corpus d'informations détaillées sur les menaces pour filtrer le trafic automatisé.
La rareté peut représenter une précieuse technique marketing pour certains produits. Les produits électroniques grand public très médiatisés, les billets de concert, les articles de mode en édition limitée, voire les NFT, peuvent en constituer quelques exemples.
Les entreprises qui vendent ce type de produits doivent faire preuve d'une vigilance supplémentaire à l'égard des bots d'accaparement de stocks (également connus sous le nom de « Grinch bots ») pendant la période des Fêtes de fin d'année. Ces bots effectuent automatiquement des achats de produits ou de services plus rapidement que les humains n'en sont capables, généralement afin de les revendre avec une marge bénéficiaire sur le marché de l'occasion. Les baskets en édition limitée, par exemple, sont devenues la cible d'une catégorie spéciale de bots, que l'on nomme les « sneaker bots ».
Les effets des bots d'accaparement de stocks (comme l'épuisement de produits en quelques minutes) ne sont pas difficiles à repérer. Le problème, toutefois, est que lorsque vous les remarquez, les dégâts ont déjà eu lieu et vos clients humains sont déjà contrariés. Afin d'empêcher ces bots d'atteindre leur objectif, vous pouvez envisager les tactiques suivantes :
Tests : l'utilisation de tests gérés permet de s'assurer que seuls les utilisateurs humains peuvent effectuer un achat. Des alternatives aux CAPTCHA sont désormais disponibles sous forme de tests gérés permettant de confirmer la nature humaine d'un utilisateur sans leur faire subir l'expérience déplorable liée aux CAPTCHA.
Limitation du débit : cette technique permet de limiter la fréquence à laquelle un bot peut effectuer des achats en vue de s'accaparer des stocks.
Mise en place d'un honeypot : un honeypot (ou « pot de miel ») constitue une fausse cible destinée à tromper les acteurs malveillants et qui révèle la nature malveillante de ces derniers lorsqu'ils accèdent au pot de miel. Dans le cas d'un bot, un pot de miel peut se présenter sous la forme d'une page interdite aux bots par le fichier robots.txt. Les bots utiles consultent le fichier robots.txt et évitent la page, tandis que certains bots malveillants vont interagir avec. En remontant l'adresse IP des bots qui ont accédé au pot de miel, les bots malveillants peuvent ainsi être identifiés et bloqués.
Malheureusement, certaines de ces techniques peuvent nuire à l'expérience utilisateur, voire échouer à arrêter les bots les plus avancés. Les entreprises menacées par l'accaparement de stocks peuvent donc également avoir à investir dans une solution de gestion des bots dédiée, reposant sur l'apprentissage automatique et l'analyse comportementale avancée.
Chaque entreprise d'e-commerce doit protéger son système de paiement contre une variété de menaces au cours de la période des Fêtes. Ainsi, les attaques par Credit Card Stuffing (bourrage de numéros de carte bancaire) bombardent les systèmes de paiement sous une avalanche de numéros volés, tandis que les attaques Magecart clonent les numéros de carte bancaire des clients.
En outre, les entreprises qui passent par un système de paiement tiers ont encore un autre domaine dont se soucier : la sécurisation de l'API de paiement. Si l'API présente une vulnérabilité inconnue ou se montre vulnérable aux risques figurant dans le Top 10 des risques de sécurité affectant les API, les acteurs malveillants pourraient se retrouver en position d'intercepter des informations de carte bancaire. Les mêmes conséquences pourraient se produire lors d'une attaque par authentification, au cours de laquelle l'acteur malveillant dérobe une clé d'API pertinente ou intercepte et utilise un jeton d'authentification.
La première étape sur le chemin visant à empêcher ces attaques consiste souvent à identifier les API. Parmi les différents secteurs, c'est celui du commerce de détail qui a connu la deuxième croissance la plus rapide en matière de trafic lié aux API. Il s'avère donc important pour les entreprises d'e-commerce d'utiliser un service d'identification des points de terminaison d'API dans la période précédant celle des Fêtes. Une fois qu'elles ont identifié les points de terminaison à risque, elles peuvent employer les techniques suivantes :
Validation de schéma : plus spécifiquement, il s'agit ici du blocage des appels d'API qui ne se conforment pas au « schéma » de l'API, c'est-à-dire le schéma des requêtes qu'elle est censée recevoir.
Détection de l'utilisation abusive spécifique aux API : ce type de service permet de comprendre le trafic abusif et d'utiliser une fonctionnalité de limitation du débit orientée API afin de bloquer l'excès de trafic abusif lié aux API, en se basant sur l'analyse jusqu'à la minute près du trafic de chaque point de terminaison d'API.
Les techniques de sécurité des API se révèlent tout aussi importantes pour les autres services tiers (p. ex. trackers de stocks, services géolocalisés et outils de tarification dynamiques), mais les systèmes de paiement peuvent constituer la cible la plus séduisante en raison de leur utilisation de données financières. Ils méritent donc une attention toute particulière pendant la période des promotions proposées à l'occasion des Fêtes.
Toutes les transactions en cryptomonnaies sont enregistrées sur une blockchain correspondante (une longue liste d'enregistrements résidant sur un réseau décentralisé composé de nombreux ordinateurs). Pour connecter leurs boutiques en ligne à ces réseaux décentralisés, la plupart des entreprises utilisent une API spécialisée ou un service de passerelle.
En théorie, les transactions situées sur une blockchain ne peuvent être ni falsifiées ni altérées, mais le cas n'est pas vrai de l'API correspondante. Ces connecteurs sont souvent pris pour cible lors des vols de cryptomonnaies. De même, comme les cryptomonnaies forment un marché non régulé et à évolution rapide, leurs API et passerelles correspondantes peuvent ne pas bénéficier de la même vigilance en matière de sécurité que les autres outils de paiement.
Pour empêcher les menaces de perturber les paiements en cryptomonnaies pendant la période des Fêtes, les entreprises d'e-commerce doivent envisager les mêmes techniques de sécurité des API que celles mentionnées ci-dessus : c'est-à-dire, la validation de schéma et les règles de pare-feu WAF.
Les réponses à ces questions constituent une étape importante du processus de hiérarchisation des risques, mais elles ne marquent que le début. Idéalement, une entreprise doit pouvoir être en mesure d'analyser les données provenant des périodes de Fêtes précédentes afin de prédire l'arrivée de futures attaques. Les entreprises peuvent également considérer les facteurs suivants :
Les types d'attaques susceptibles d'avoir le plus fort impact financier, qu'il s'exprime en termes de perte de chiffre d'affaires ou en coûts d'atténuation.
Les types d'attaques véhiculant le plus grand risque de perte de données ou de compromission.
Les attaques présentant le plus de chances d'entraîner une interruption de service du site.
Cloudflare peut vous aider dans le processus de hiérarchisation. Le centre de sécurité Cloudflare est inclus dans chaque offre et aide les entreprises à inventorier leurs ressources informatiques, à dresser la liste des risques de sécurité potentiels et à enquêter plus facilement sur les menaces potentielles.
En outre, les services de sécurité des applications de Cloudflare peuvent vous aider à atténuer l'ensemble des menaces décrites dans cet article, de même que les attaques DDoS, les attaques de bots de toutes sortes et les vulnérabilités zero-day, parmi bien d'autres exemples.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Les menaces spécialisées dans les applications web qui constituent le plus grand risque pour votre entreprise
Les moments auxquels accorder une attention particulière à la sécurité des API, à la gestion des bots et aux autres considérations de sécurité
Les raisons pour lesquelles renforcer votre stratégie de sécurité pendant les Fêtes revêt une grande importance
En savoir plus sur les considérations importantes en termes de sécurité des applications web. Consultez le rapport Gartner Magic Quadrant consacré à la protection des API et des applications web (Web Application and API Protection).