Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Cybersécurité et e-commerce MAITRISER LES RISQUES, SENSIBILISER SUR LES ENJEUX

Cybersécurité et e-commerce MAITRISER LES RISQUES, SENSIBILISER SUR LES ENJEUX fédération e-commerce et vente à distance octobre 2016 livre blanc Avec le soutien de 2 Livre blanc - octobre 2016 PRÉFACE Marc LOLIVIER DÉLÉGUÉ GÉNÉRAL DE LA FEVAD Le marché du e-commerce devrait franchir un nouveau cap cette année avec plus de 70 milliards d’euros en 2016. Ce développement est révélateur de la place prise par le numérique qui imprègne et irrigue progressivement non seulement tous les secteurs de l’économie mais aussi tous nos compor- tements de consommateur et de citoyen (éducation, communication, médias, loisirs… ). Mais nous voyons parallèlement se développer de nouveaux paradigmes de criminalités qui eux aussi investissent ces nouveaux espaces. Les acteurs du e-commerce qui ont la responsabilité des données personnelles qui leur sont confiées par leurs clients, sont naturellement particulièrement attentifs à ce phénomène. Car l’enjeu est pour eux vital. Il y va de la confiance des consom- mateurs et donc de leur avenir. Car sans confiance, l’e-commerce ne peut prospérer. Pour se protéger de ces menaces, de nombreuses solutions techniques voient le jour en réponse à “l’imagination et la créativité” de la cyber-délinquance. Ces solutions sont souvent utiles mais certainement pas suffisantes pour prémunir les entreprises contre les risques qu’elles encourent. La sécurité informa- tique est aussi une question de mobilisation interne des entreprises. Ce sujet ne peut plus être confié au seul responsable des systèmes d’information. Il doit être partagé par tous, au sein des entreprises ! Car si en matière de sécurité le risque zéro n’existe pas, il peut être maîtrisé par cette prise de conscience indispensable et la mise en place de moyens techniques et humains appropriés. Mais la réponse se doit aussi d’être collective. Le succès, le développement et la pérennité de l’économie numérique, et notamment du e-commerce, en dépendent car ils reposent sur la confiance. Or l’écho médiatique donné à quelques affaires récentes, souvent entretenu par les vendeurs de services ou de solutions, brouille la vision d’ensemble et le cap à tenir. Et la faillite d’un acteur, en écornant la confiance du public peut parfois suffire à affecter l’activité de tout un secteur. C’est la raison pour laquelle la Fevad, organisation représentative des acteurs du e-commerce, s’est empa- rée de longue date du sujet, notamment à travers les travaux menés par sa Commission Paiements et Sécurité qui permettent aux professionnels d’échanger, de partager et au final de progresser ensemble. Cette nouvelle étude s’inscrit dans cette démarche de dialogue et de progrès. Elle vise à sensibiliser les dirigeants d’entreprises, à montrer ce que réalisent un certain nombre d’entre eux qui témoignent ici, et à proposer une démarche, des outils, des références pour l’ensemble des acteurs du secteur. 3 Livre blanc - octobre 2016 Ce Livre Blanc ne s’adresse pas à des spécialistes IT mais plus prioritairement aux chefs d’entreprises et aux responsables “métiers” qui souhaitent maîtriser ces risques et protéger leur activité dans la durée. Il est fondé sur des interviews réalisées chez des e-commerçants, auprès de praticiens qui vivent au quotidien ce qu’est la cybersécurité dans un site de e-commerce. Nous les remercions pour la sincérité de leurs témoignages et de l’effort de vulgarisation qu’ils ont dû faire vraisemblablement pour nous expliquer en quoi consistait leur métier. Il est enrichi de contributions de spécialistes (prestataires, institutionnels, juristes) offrant chacun dans leur domaine des points de vue et des clés de compréhension complémen- taires aux enjeux de la cybersécurité. Ce Livre Blanc est donc un ouvrage collectif : il témoigne de la capacité des adhérents de la FEVAD à se mobiliser autour d’un enjeu majeur. Il nous renforce également dans notre conviction que les solutions au fléau que constitue la cybercriminalité seront forcément collectives et nécessiteront la mobilisation de compétences les plus nombreuses et variées. Enfin, ce Livre Blanc, loin d’être un aboutissement, doit trouver des prolongements nombreux à la Fevad (ateliers, commissions…) et dans les entreprises. Il doit alimenter le nécessaire dialogue entre “techniciens” et “métiers”, entre obligations réglementaires (ou techniques) et développement de l’activité, entre entre- prises et autorités en charge de la prévention et de la lutte contre la cybercriminalité… C’est ce à quoi nous allons désormais nous employer. Car plus que jamais, la cybersécurité est devenue l’affaire de tous ! Je vous souhaite une très bonne lecture. Marc LOLIVIER DÉLÉGUÉ GÉNÉRAL DE LA FEVAD 4 Livre blanc - octobre 2016 PRÉFACE SYNTHÈSE LES CYBER-ATTAQUES : UN PHÉNOMÈNE QUI A PRIS BRUTALEMENT DE L’AMPLEUR Si certains e-commerçants que nous avons rencontrés dans le cadre de l’élaboration de ce Livre Blanc tiennent à rappeler que le phénomène n’est pas en soit nouveau (postérieur au boom du e-commerce), ils sont unanimes pour considérer que les cyber-attaques qui les visent sont maintenant plus nombreuses, de plus en plus “ciblées” et de plus en plus sophistiquées. Tous les e-commerçants rencontrés dans le cadre de l’élaboration de ce Livre Blanc sont unanimes : les cyber-attaques qui les visent sont : plus nombreuses, de plus en plus “ciblées” et de plus en plus sophistiquées. Aux attaques “tout azimuth”, les sites de e-commerce doivent maintenant aussi faire face à des attaques par “déni de services” à des “ransomware” qui nécessitent la mise en place de véritables “stratégies de défense”. MAINTENIR ET DÉVELOPPER LA CONFIANCE DU CONSOMMATEUR, UN ENJEU ESSENTIEL POUR LE E-COMMERCE On l’oublie parfois, mais un site de e-commerce est aussi une entreprise comme une autre ! À ce titre, les sites e-commerce ont dû faire face à l’émergence de nouvelles menaces et de nouveaux risques cyber au même titre que n’importe quelle autre entreprise (ouverture des systèmes d’information, recours de plus en plus fréquent au “cloud”, apparition de nouvelles façons de travailler “Bring Your Own Device”…) Mais, évidemment, les sites e-commerce ont des spécificités propres qui les exposent encore plus que n’importe quelles autres entreprises aux risques cyber. Pour des commerçants “à distance”, la confiance de leurs clients dans les systèmes qui enregistrent et qui traitent leurs données personnelles et financières est absolument vitale ! La responsabilité des e-commerçants est engagée. La lutte contre la cybercriminalité est donc un enjeu essentiel pour le e-commerce. LES ATTAQUES NE VIENNENT PAS QUE DE L’EXTÉRIEUR, LES SOLUTIONS NE SONT PAS QUE TECHNIQUES Focalisées sur les risques “venant de l’extérieur”, les premières mesures prises consistent souvent à dresser une “ligne Maginot”, des “lignes de défense” entre le site et les potentielles attaques extérieures. Les résultats sont souvent probants. Mais, alors que des solutions souvent technologiquement évoluées sont déployées pour se protéger de l‘extérieur, on occulte complètement que la menace peut aussi, malheureusement, venir de l’intérieur ! 5 Livre blanc - octobre 2016 C’est le tristement célèbre Post it sur lequel sont inscrits les identifiants donnant l’accès au Back Office clients, qui reste affiché sur l’écran de l’ordinateur. C’est aussi la gestion peu rigoureuse des autorisations d’accès au système : un même identifiant pour l’ensemble de l’équipe de développement (parce que c’est plus pratique et que ça fait gagner du temps) ou bien encore la non suppression des accès de ceux qui quittent l’entreprise. Or, de tels manquements peuvent avoir des conséquences dramatiques avec l’usage de plus en plus rependu de solutions disponibles dans “le cloud”. LA CYBERSÉCURITÉ, UNE QUESTION DE CULTURE D’ENTREPRISE… Les interviews sont particulièrement éloquentes sur ce point : mettre en place une politique de gestion du risque cyber ne se fait pas du jour au lendemain. Elle résulte d’un processus, plus ou moins long selon les organisations, qui doit beaucoup à la culture de l’entreprise. Aucune des entreprises que nous avons interviewées ne possédaient cette “culture de la gestion du risque cyber” de façon innée. Toutes ont dû l’acquérir. Cet apprentissage n’a rien eu de spontané. À l’origine, on trouve souvent un incident “cyber” dont les conséquences auraient pu être désastreuses. … QUI DOIT SE DÉCLINER OPÉRATIONNELLEMENT Le tout n’est pas d’avoir conscience des enjeux de la cybersécurité (et parfois de ses propres faiblesses), encore faut-il pouvoir engager l’organisation vers la maîtrise du risque cyber. Or, les difficultés pour y parvenir peuvent être multiples. Cela nécessite très souvent des choix d’arbitrage parfois compliqués. Un interviewé nous a décrit combien il mesurait l’importance des enjeux de la cybersécurité (lors d’un tour de table, l’un de ses investisseurs s’était d’ailleurs fait fort de le lui rappeler). Mais, dans une start-up comme la sienne, la priorité absolue reste spontanément la croissance de l’activité qui accapare l’essentiel des ressources. LA SÉCURITÉ EST L’AFFAIRE DE TOUS Comment développer une “culture” de la cybersécurité au sein d’une organisation ; car finalement, n’est-ce pas la mission principale de toute équipe de cybersécurité ? Compte tenu du rythme d’innovation qu’impose le e-commerce et le très grand nombre de projets qui sont lancés en parallèle, les sites les plus matures ont compris qu’il était illusoire de vouloir concentrer la responsabilité de la cybersécurité sur une seule entité. “La sécurité doit être l’affaire de tous !” ; oui, mais comment pratiquement transforme-t-on ce “mantra” en une réalité concrète ? Les interviewés décrivent comment ils parviennent, au travers d’actions de sensibilisation et de formation, uploads/Finance/ fevad-cybersecurite-et-e-commerce-maitriser-les-risques-sensibiliser-sur-les-enjeux-livre-blanc-fevad-2016-pdf 1 .pdf