Commerce de détail en danger : défis et solutions en matière de cybersécurité
Qu’il s’agisse d’un géant multinational tel qu’Amazon ou d’une entreprise plus régionalisée comme Safeway, les systèmes de vente au détail sont omniprésents dans le monde entier. Mais les cyberattaques sont tout aussi omniprésentes – et bon nombre de ces attaques visent directement les systèmes de vente au détail : 64 % des détaillants signalent chaque mois une tentative d’attaque.
Un certain nombre de facteurs font des systèmes de vente au détail des cibles attrayantes pour les pirates informatiques. Heureusement, il existe également des dispositifs de sécurité efficaces contre ces attaques.
L’état de la technologie dans le commerce de détail
L’une des principales raisons pour lesquelles les pirates informatiques ciblent fréquemment les systèmes de vente au détail se trouve dans la technologie mixte qui les compose. Ainsi, il est courant qu’un système de vente au détail utilise une combinaison de technologies anciennes et nouvelles – anciens systèmes de point de vente (PDV) et caisses enregistreuses au début du processus, par exemple – avec des systèmes basés sur le cloud alimentant le commerce électronique, la logistique et les systèmes administratifs en aval.
L’état technologique mixte de la vente au détail est en partie motivé par la volonté de l’industrie de fournir des points de contact omnicanaux aux consommateurs. Autrement dit, il existe un besoin impérieux de commodité pour le client, qu’il soit en magasin ou en ligne. Ainsi, les détaillants tardent à mettre à niveau des éléments tels que les caisses enregistreuses et les systèmes de point de vente, à la fois parce que le client les connaît bien, mais aussi parce que le personnel du magasin les maîtrise aussi et peut se charger efficacement d’un grand nombre de clients en magasin. Cependant, le revers de la médaille est que les détaillants reconnaissent aussi la nécessité d’offrir aux consommateurs une commodité en ligne et ont donc également mis en place des nouvelles technologies telles que le commerce électronique dans leurs opérations. Ensemble, ces anciens et nouveaux systèmes répondent aux objectifs en matière d’efficacité et d’évolutivité des détaillants, mais ils présentent également de multiples vecteurs d’attaque potentiels pour les pirates informatiques.
Cyber-(in)sécurité dans le commerce de détail
Les cyberattaques contre le secteur du commerce de détail sont une préoccupation constante : Depuis le premier trimestre 2018, des attaques réussies contre des grands détaillants, notamment Best Buy, Macy’s, Sears et Under Armour, ont toutes été rapportées. De telles attaques sont coûteuses : Le coût moyen du piratage d’un site de commerce électronique est de 4 millions de dollars, avec un prix moyen de 172 dollars par ensemble de données. Et ces coûts sont en hausse de 29 % depuis 2013 – étant donné que les Big Data ne cessent de croître, les coûts associés à une attaque réussie devraient également continuer à augmenter.
Outre les technologies mixtes inhérentes au secteur de la vente au détail, il existe également plusieurs autres raisons pour lesquelles le commerce de détail est particulièrement vulnérable aux attaques.
- Les données clients ont souvent une valeur élevée car elles contiennent des informations telles que des numéros de carte de crédit, des numéros de téléphone, des questions et réponses de sécurité, etc. et sont donc recherchées par les pirates informatiques.
- Le taux de roulement du personnel est traditionnellement élevé, ce qui signifie qu’en l’absence d’une gestion adaptée, il existe aussi un taux élevé d’accès à des systèmes via des comptes d’accès à privilèges qui ne devraient pas exister mais qui sont bel et bien présents.
- La prédominance des systèmes de commerce électronique signifie qu’il existe une application frontale accessible au public qui est connectée aux systèmes critiques en arrière-plan.
- Chacun des fournisseurs et sous-traitants devant accéder au système est un vecteur d’attaque potentiel.
- Les solutions automatisées d’entreposage et de logistique de l’IoT fournissent également un grand nombre de points d’entrée potentiels dans un système de vente au détail.
Simplification de la sécurité de la vente au détail
Les risques évoqués ci-dessus mettent en évidence, directement ou indirectement, la nécessité d’une gestion solide des accès à privilèges. Les accès à privilèges désignent les types d’accès aux ressources du système qui nécessitent des autorisations élevées, comme la possibilité d’interroger les serveurs de bases de données, par exemple, ou même de les voir dans le réseau en premier lieu.
La gestion des accès à privilèges (PAM) s’assure à son tour que les utilisateurs sans autorisations élevées ne puissent pas accéder aux ressources privilégiées – et que les utilisateurs disposant d’un accès à privilèges ne voient que les ressources qui leur sont nécessaires et appropriées, et dans certaines circonstances également (par exemple, l’heure et le lieu).
Étant donné que de nombreux risques de cybersécurité inhérents au commerce de détail sont liés à un accès à privilèges, une solution PAM solide couvrant l’ensemble du système le rend beaucoup plus sécurisé qu’il ne le serait autrement et simplifie cette sécurité dans le processus. Pour ce faire, cette solution n’accorde que des privilèges appropriés, mais elle les révoque également lorsqu’ils ne sont plus adaptés. Voici comment une solution PAM doit gérer chacun des risques décrits ci-dessus :
- Les attaques via un point d’accès public tel qu’une connexion d’e-commerce sont arrêtées avant qu’elles ne puissent causer des dommages systémiques ou se propager, car le système PAM n’accorde jamais à ces utilisateurs un accès à privilèges au système.
- Les comptes utilisateurs obsolètes sont découvrables et les informations d’identification privilégiées sont facilement (ou automatiquement) annulées, ce qui empêche les pirates informatiques de réussir leurs attaques via des comptes d’employés caducs.
- Les tiers tels que les fournisseurs et sous-traitants ne peuvent voir que les systèmes qui leur sont utiles et ne peuvent pas « rebondir » sur des systèmes sans rapport. Par exemple, un fournisseur peut se voir accorder un accès à privilèges à une certaine fonctionnalité logistique mais il ne connaîtra pas les autres éléments du système et n’aura encore moins accès à celui-ci. Ou encore, un sous-traitant peut se voir accorder un accès à privilèges pour travailler sur un serveur, mais uniquement à un moment donné et pour une durée déterminée. Dans les deux cas, même si un pirate informatique disposait d’un login tiers, il ne pourrait toujours pas causer de dommages importants car la solution PAM empêcherait tout accès ultérieur.
- Une solution PAM solide sécurise également les éléments de machine à machine (M2M) au sein d’un système. Ainsi, même si un pirate informatique prend le contrôle d’un périphérique IoT dans un entrepôt automatisé, par exemple, la solution PAM n’a pas accordé d’accès à privilèges à ce périphérique. Le pirate ne peut donc pas s’en servir comme plate-forme à partir de laquelle il peut poursuivre ses exploits.
Pour sécuriser davantage le système, une solution PAM complète devrait être capable de surveiller en temps réel toute activité de session à privilèges mais aussi de mettre automatiquement fin aux sessions suspectes ou d’alerter un administrateur (ou les deux).
Simplification de la conformité à la réglementation en matière de commerce de détail
Le secteur du commerce de détail est soumis à un grand nombre de règlements différents auxquels les entreprises doivent se conformer – PCI DSS, GDPR, NIST et SOX – pour n’en citer que quelques-uns. Et outre les capacités de surveillance des sessions, si la solution PAM enregistre également chaque session et permet de la consulter, il existe toujours une piste d’audit pour faciliter le respect de tous ces règlements. De plus, les sessions enregistrées sont également utiles pour les examens de sécurité ainsi que pour la formation des membres de l’équipe de sécurité.
Activité risquée : Webinar sur la cybersécurité dans le commerce de détail
La cybersécurité dans le secteur du commerce de détail est compliquée, mais une solution reposant sur une gestion des accès à privilèges ne doit pas l’être. Pour en savoir plus sur le sujet, n’oubliez pas de regarder le webinar d’où est tiré ce qui précède, Activité risquée : Cybersécurité dans le commerce de détail, présenté par Eric GAUDIN, expert en cybersécurité chez WALLIX. Eric aborde tous les sujets ci-dessus, donne son propre point de vue basé sur des années d’expérience dans l’industrie de la cybersécurité et raconte ensuite l’histoire (vraie !) d’un grand détaillant d’articles de sport qui a utilisé le WALLIX Bastion pour améliorer sensiblement sa cybersécurité.