Cybersécurité, Gestion du Risque, Grande distribution, Retail, Risk Management

La cybersécurité dans le secteur du retail : comment se protéger des cyberattaques ?

Septembre 2022

Le secteur du retail est la cible de nombreux cybercriminels. En effet, la pandémie du COVID-19 a incité un nombre important de personnes à faire des achats en ligne. Les espaces de e-commerce sont maintenant devenus une cible majeure pour les attaques. Par conséquent, les retailers doivent améliorer leurs défenses de sécurité. Rashid Ali, Entreprise Solutions Manager chez WALLIX, discute des façons dont ils peuvent le faire pour assurer un changement positif dans le secteur du retail.

Aujourd’hui, le risque cyber est tout aussi élevé pour les géants de la distribution que pour les petites entreprises régionales. Tous les retailers possèdent une multitude de données sensibles sur leurs clients : des noms, des adresses, des données sur les habitudes de consommation, les numéros de cartes bancaires et toutes autres informations personnelles identifiables. C’est une mine d’or pour les cybercriminels ! Ce n’est donc pas surprenant que les attaques soient en hausse. La bonne nouvelle, c’est qu’il existe des mesures que les retailers peuvent prendre pour renforcer leurs défenses de sécurité et se protéger.

Miser sur la technologie

L’une des principales raisons pour lesquelles le secteur du retail est considéré comme une cible privilégiée par les attaquants est que son infrastructure peut être vulnérable et facile à pénétrer. Les systèmes des retailers sont souvent créés en utilisant une combinaison de différentes technologies disponibles sur une longue période. En général, cela signifie que l’infrastructure existante est en place, ainsi que d’autres innovations numériques et basées sur le cloud. Il est par exemple possible de citer les anciens systèmes de points de vente et les caisses enregistreuses, qui sont essentiels pour répondre aux besoins des clients. Mais ces systèmes sont généralement associés à des systèmes cloud qui alimentent le volet « commerce électronique » de l’entreprise.

L’état technologique du retail est en grande partie motivé par le désir et le besoin du secteur de fournir des points de contact omnicanaux aux consommateurs. Pour rester compétitifs, les retailers doivent offrir une certaine commodité à leurs clients et proposer plusieurs moyens de paiement faciles et familiers. Par conséquent, il y a souvent une réticence à améliorer les systèmes et à mettre en œuvre des caisses enregistreuses ou de nouveaux systèmes POD. Après tout, aujourd’hui plus que jamais, chaque transaction compte et les retailers ne veulent pas être confrontés à des systèmes complexes ou à des obstacles qui pourraient empêcher les ventes.

Cependant, nous constatons que les retailers cherchent à améliorer leurs offres numériques et à se faire une place dans l’espace du e-commerce. La pandémie a certainement joué un rôle dans cette évolution, de nombreux retailers ayant été contraints d’adopter des méthodes numériques pour mener leurs activités, car c’est le seul moyen de maintenir les ventes. Mais si ces systèmes, anciens et nouveaux, répondent aux objectifs d’efficacité et d’évolutivité des retailers, ils présentent également de multiples vecteurs d’attaque potentiels pour les cybercriminels, et de nombreux retailers n’ont souvent pas conscience de ce risque accru.

Les risques liés au secteur du retail

À quelle fréquence les cyberattaques affectent-elles réellement le secteur de la distribution ?

Des études récentes font état d’une augmentation de la cybercriminalité, d’autant plus que de nombreux retailers se sont précipités vers la transformation numérique. En fait, les données sur le marché britannique montrent que le secteur est particulièrement vulnérable aux attaques par ransomware : une attaque sur cinq visant un retailer en ligne (21 %). Ces attaques sont coûteuses car elles provoquent des temps d’arrêt généralisés des systèmes et des atteintes à la réputation.

Il existe également plusieurs autres raisons pour lesquelles ce secteur est particulièrement exposé aux cyberattaques. Les données relatives aux clients sont souvent considérées comme ayant une grande valeur car elles permettent d’avoir accès à des informations personnelles et importantes. En outre, le taux de rotation du personnel est traditionnellement plus élevé dans le secteur du retail, ce qui signifie qu’en l’absence d’une gestion appropriée, il existe également un taux élevé d’accès aux systèmes par des comptes à privilèges.

La voie à suivre : simplifier et renforcer la sécurité

Tous ces risques de sécurité soulignent la nécessité d’une plateforme robuste de gestion des accès à privilège. En un mot, l’accès à privilège consiste à s’assurer qu’aucune personne n’a un accès complet à toutes les données. Il s’agit de mettre en place des niveaux d’autorisation et de s’assurer que, même si une personne est autorisée à accéder à des données très sensibles, elle prend également en compte d’autres mesures en plus du mot de passe ou des informations d’identification nécessaires, comme le lieu et l’heure de la demande. Cela signifie que tout signal d’alarme peut être immédiatement mis en évidence, protégeant ainsi l’entreprise en cas de vol d’informations d’identification par un pirate.

De nombreux risques de cybersécurité inhérents à la grande distribution et au retail sont liés à l’accès privilégié, et la mise en place d’un tel système permet d’ajouter rapidement et facilement une couche de protection supplémentaire, tout en autorisant l’accès en cas de besoin. Les attaques par le biais d’un point d’accès public tel qu’un login de commerce électronique sont arrêtées avant qu’elles ne puissent causer des dommages systémiques ou se propager à l’ensemble de l’entreprise, car le système PAM n’accorde jamais à ces utilisateurs un accès à privilège à une quelconque partie du système. Les comptes d’utilisateurs obsolètes peuvent être découverts et les informations d’identification peuvent être facilement révoquées, ce qui empêche les pirates de mener des attaques réussies en s’appuyant sur des comptes de personnel obsolètes. Cela signifie également que les tiers, tels que les fournisseurs et les sous-traitants, ne peuvent voir que les systèmes qui les concernent et ne peuvent pas se connecter à des systèmes sans rapport avec eux.

Une solution PAM robuste sécurise également les composants machine-à-machine (M2M) au sein d’un système. Ainsi, même si un pirate prend d’une manière ou d’une autre le contrôle d’un appareil IoT dans un entrepôt automatisé, par exemple, la solution PAM n’a pas accordé d’accès à privilège à cet appareil. Par conséquent, le pirate ne peut pas l’utiliser comme une plateforme à partir de laquelle il peut poursuivre ses exploits. Pour sécuriser encore plus le système, une solution PAM complète est capable de surveiller en temps réel toute l’activité des sessions privilégiées, de mettre automatiquement fin aux sessions suspectes ou d’alerter un administrateur.

Renforcer la sécurité

Non seulement ce type de technologie renforce considérablement la sécurité, mais il permet à l’entreprise de rester conforme. Le secteur du retail est soumis à une grande variété de réglementations auxquelles les entreprises doivent se conformer – par exemple, PCI DSS, GDPR, NIST et SOX, pour n’en citer que quelques-unes. En plus des capacités de surveillance des sessions, si la solution PAM enregistre également chaque session et la rend consultable, il y a toujours une piste d’audit pour aider à la conformité avec toutes ces réglementations. En outre, les sessions enregistrées sont également utiles pour les examens de sécurité, ainsi que pour la formation des membres de l’équipe de sécurité. C’est un scénario gagnant-gagnant pour les retailers.

La cybersécurité dans le secteur du retail ne doit pas être compliquée et les retailers doivent faire des compromis entre les nouvelles et les anciennes technologies. Cependant, il est essentiel que nous commencions à reconnaître les risques, à mettre en œuvre la technologie PAM qui peut les combattre et à commencer à inverser la tendance.

Cookie	Durée	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durée	Description
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Durée	Description
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Durée	Description
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durée	Description
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

La cybersécurité dans le secteur du retail : comment se protéger des cyberattaques ?

Miser sur la technologie

Les risques liés au secteur du retail

La voie à suivre : simplifier et renforcer la sécurité

Renforcer la sécurité

Comment établir une cyberstratégie face aux menaces croissantes ?

Sécurité Just-In-Time (JIT) : la sécurité par rapport à la commodité ?

À découvrir

Autres ressources

Produits

Solutions

Ressources

À propos