L'e-commerce français face aux menaces de cybersécurité
Publié par Didier Nguyen (Limelight Networks) le - mis à jour à
Alors que l'e-commerce est le secteur le plus touché par les attaques de robots malicieux, les entreprises peinent encore à prendre la pleine mesure du risque, explique Didier Nguyen, directeur commercial Europe du Sud de Limelight Networks.
Les menaces de cybersécurité ne cessent de s'intensifier et les attaques sont de plus en plus sophistiquées, s'adaptant constamment aux évolutions rapides d'un environnement technologique en mouvement. À l'heure actuelle, n'importe quel site web ou service en ligne est susceptible d'être victime d'une cyberattaque, et si certaines de ces attaques ne provoquent que des perturbations modérées, les plus sévères peuvent mettre toute une entreprise à genoux.
Il n'est donc pas surprenant qu'à la lumière des dernières cyberattaques majeures en Europe et dans le monde, ainsi que de la nouvelle législation européenne sur la protection des données, la cybersécurité soit devenue une priorité absolue en France, tant pour le gouvernement que pour les entreprises du pays, et en particulier celles du secteur de l'e-commerce.
Dans quelle mesure la France est-elle prête à faire face à ces menaces?
En juin dernier, un rapport de la Délégation interministérielle aux industries de sécurité et à la lutte contre les cybermenaces (DMISC) alertait sur le caractère protéiforme et la forte augmentation des menaces à la cybersécurité en France. Des menaces visant particulièrement les entreprises, qui sont près de 80% à déclarer avoir été victime d'au moins une attaque en 2017. Et le coût pour les entreprises touchées est lourd: plusieurs centaines de milliers d'euros en moyenne pour une entreprise de taille moyenne dans le cas d'une faille de sécurité et un préjudice pouvant atteindre jusqu'à plusieurs millions d'euros dans le cas d'un détournement de données.
Au niveau mondial, c'est le secteur de l'e-commerce qui est le plus touché par les attaques sophistiquées de "bad bots" (robots malicieux) devant des secteurs comme la santé ou l'aérien. À cette menace s'ajoute un risque de condamnations et de pénalités particulièrement important pour ses acteurs en cas de mesures de protection des données clients jugées insuffisantes. De manière inquiétante, le budget informatique alloué à la sécurité dans la majorité des entreprises reste faible même si, selon un rapport Deloitte paru en début d'année, 75% des entreprises interrogées affirment avoir mis en place des mesures de sécurité supplémentaires suite aux attaques WannaCry ou Petya.
Dans le rapport Global Cybersecurity Index de 2017 des Nations Unies, indicateur de performance, de développement technologique et de bonne pratiques relatifs à la cybersécurité et dont l'objectif est d'aider les pays à identifier les domaines d'amélioration, la France est classée en 8e position. Bien que dynamique et incontestablement diversifié, le marché français de la cybersécurité se heurte à des faiblesses d'ordre structurel, comportemental et à des politiques gouvernementales encore en développement.
Des investissements encore insuffisants
Ce marché est complexe, avec plusieurs niveaux de protection possibles de différents types de partenaires technologiques. Le pays souffre par ailleurs d'un manque d'experts en cybersécurité, la France cumulant un réel retard en matière de formation. Néanmoins le rapport indique également que la France fait partie des pays les plus fortement engagés dans l'amélioration de la cybersécurité, avec notamment la création récente de postes supplémentaires dédiés au ministère de l'Intérieur et l'annonce d'un investissement de 1,6 milliard d'euros dans le secteur de la part du gouvernement. Il est indéniable que le gouvernement et les entreprises privées doivent unir leurs forces pour mettre en oeuvre des stratégies de sécurité nationale et des politiques publiques afin d'améliorer les réponses en matière de cybersécurité, avec notamment un accent sur la R&D et les transferts de compétences.
Pourtant, il est estimé que 80% des entreprises en France n'ont pas encore de protection de cybersécurité, selon BPI France, un chiffre alarmant lorsque l'on connaît les enjeux. Il est donc capital pour les acteurs de l'e-commerce de prendre les devants et de mettre en place une stratégie de défense solide à leur échelle afin de protéger leur infrastructure mais également les données de leurs clients. Il peut par exemple s'avérer nécessaire de s'équiper d'un pare-feu pour les applications web (Web Application Firewall ou WAF) avec une mise en place des correctifs à partir du cloud, afin d'identifier et de bloquer immédiatement les activités frauduleuses. Pour une défense plus complète, l'idéal est de coupler cette protection WAF à une solution de détection et de protection contre les attaques DDoS, ce qui permettra de réduire drastiquement l'impact des attaques en masse les plus sophistiquées sur les performances des sites web.
Didier Nguyen est directeur commercial Europe du Sud chez Limelight Networks depuis deux ans. Didier Nguyen exerce des fonctions commerciales depuis une dizaine d'années. Limelight Networks Inc. est spécialisé dans le domaine de la diffusion de contenu numérique, de la vidéo, de la sécurité dans le cloud et des services d'Edge computing. En périphérie du réseau, la plateforme de services proposés par Limelight s'appuie sur une combinaison d'infrastructure privée de logiciels intelligents et d'experts.