L’évolution des comportements d’achat et la montée en puissance des sites de vente en ligne poussent les professionnels de la grande distribution à transformer sensiblement leurs approches. Une transformation rapide du métier de commerçant s’opère, avec un recentrage sur le client et ses données. Cette mutation expose les grandes enseignes à une multiplication des risques cyber. Quels sont-ils et comment s’y préparer ?
Une transformation rapide
Le secteur de la grande distribution est un secteur qui, de longue date, a eu coutume de se transformer afin d’adapter ses méthodes de vente à l’évolution des attentes et comportements d’achat des consommateurs.
Cette transformation s’est sensiblement accélérée sous la pression conjuguée des attentes de nouvelles générations de clients, de l’évolution des usages et des innovations technologiques, ainsi que de l’éclosion et du rôle prédominant des acteurs du Web.
Ainsi, les positions des grandes enseignes, les pratiques et donc le métier du commerce de détail subissent-ils de véritables bouleversements depuis deux décennies.
Afin de faire de ces défis une opportunité, les acteurs de la grande distribution doivent sans cesse réinventer leurs pratiques : compréhension toujours plus fine des comportements d’achat, personnalisation des messages et des offres, nouveaux formats de magasins, magasins connectés et utilisation de réalité virtuelle/augmentée, réingénierie en matière de logistique et de livraison client ...
Cette réinvention continue repose fortement sur la transformation numérique, devenue une clé de voûte de l’évolution du commerce de détail, ainsi que sur les approches et innovations technologiques associées : approches agiles, Cloud Computing, recueil d’informations et capacités d’analyse des données, transactions en ligne, IoT, approches Data Centric ...
L’adoption continue de nouvelles technologies, tout comme la collecte de volumes de plus en plus importants de données clients, sont nécessaires à la mise en œuvre de cette transformation.
Dans le même temps, elles participent à accroître sensiblement l’exposition des « retailers » aux risques de cyber attaques.
Des risques accrus
En effet, les acteurs de la grande distribution traitent des volumes de données de plus en plus importants, des informations personnelles voire des données de cartes de crédit, réparties sur le Cloud, chez les partenaires, sur de multiples sites (points de vente, Datacenters…) et particulièrement attrayantes pour les cybercriminels. Les grandes enseignes commerciales sont ainsi de plus en plus exposées aux cyberattaques, aux risques de fuite ou vol de données et à leurs impacts, que ce soit en termes de pertes financières, d’atteinte à la marque, de perte de confiance ou d’érosion de la clientèle … sans parler des risques réglementaires (RGPD) !
L’utilisation de nouvelles technologies - IoT, Cloud… - et leur multiplication, y compris en magasin (caméras de vidéosurveillance, systèmes de points de vente, RFID, kiosques et tablettes de magasin…), amènent de nouveaux vecteurs d’attaques et en élargissent la surface. De la même manière, l’accélération des mises en production dans le cadre d’approches de type agile et DevOps rendent plus difficiles la gestion et la correction des vulnérabilités du code applicatif.
Ainsi, les risques par exemple de piratage de site de commerce, de fraude interne ou externe lors de transactions en ligne, de fuite de données, ou encore d’indisponibilité d’un magasin ou d’une partie plus large du système d’information sont-ils démultipliés.
Concernant la logistique, les attentes et exigences de services étant de plus en plus élevées, il convient d’être irréprochable de bout en bout : depuis la commande des produits, la prise en compte des demandes du client, jusqu’à la livraison effective. Tout incident jouera sur le taux de satisfaction et donc sur la réputation du commerçant, l’exigence de continuité de service étant de plus en plus forte.
Quelle approche pour se protéger ?
Il n’existe pas de solution sur étagère pour éliminer ces risques.
La première étape consiste déjà à avoir une vision claire des risques, à savoir :
- Cerner les processus métier clés de l’entreprise (achats, approvisionnements, coûts, produits, vente en ligne, livraisons clients…) et ce faisant les actifs, traitements et données, qui ont une valeur particulièrement forte pour l’entreprise ;
- Comprendre les menaces et les évènements que l’entreprise pourrait redouter, scénariser les attaques associées, la probabilité de subir ces attaques et les conséquences qu’elles pourraient engendrer.
Il est aussi nécessaire d’être en mesure de gérer l’évolution de ces risques dans le temps en fonction de différents paramètres, entre autres : évolution de la menace, du système d’information, des vulnérabilités, …
Cette première étape permet ensuite de définir le système de défense nécessaire ainsi que les dispositifs de sécurité associés (et le niveau d’urgence ou de priorité de mise en œuvre) pour couvrir les risques identifiés, gérer les vulnérabilités qui peuvent altérer le fonctionnement des services, ou encore prévenir la fuite de données secrètes ou personnelles…
La mise en place de protections adéquates et l’application de règles de sécurité sont d’autant plus cruciales que le secteur de la distribution fait appel à un nombre conséquent de sous-traitants, prestataires et intérimaires avec un renouvellement (turn over) important.
Sur la base de notre expérience et des projets que nous menons, des questions essentielles doivent donc être traitées et ce, sous les angles techniques et organisationnels :
- L’application de règles « d’hygiène » de l’IT tel que la gestion de l’obsolescence, des vulnérabilités (et patches) ou encore le durcissement[1] des équipements et systèmes (serveurs, postes utilisateurs, équipements réseaux…) ;
- La sécurité et la segmentation (voire micro-segmentation) des réseaux pour limiter la propagation d’éventuelles attaques et en réduire les impacts ;
- La mise en place de dispositifs de protection des données, entre autres des techniques de chiffrement ou encore de DLP[2] ;
- Une stricte gestion des identités et des accès, en particulier des consommateurs
- La sécurité des applications ;
- La mise en place d’un SOC (Security Operations Center), essentiel pour détecter et répondre aux incidents de sécurité, mais aussi pour analyser les nouveaux scénarios d’attaque via des techniques de Threat Intelligence (renseignement/veille, étude des risques…) et ainsi adapter en continu les capacités de prévention et de protection au sein de l’environnement informatique.
Enfin, face à une utilisation constamment croissante du Cloud, les commerçants doivent se questionner sur la façon de sécuriser de bout en bout les infrastructures, applications et données dans un environnement hybride et « multicloud ».
Les équipes œuvrant sur la sécurité doivent travailler à un rythme rapide, avec des cycles courts. Une amélioration en continu des protections est alors essentielle. L’expertise en matière de sécurité étant rare et coûteuse, il peut être difficile pour les entreprises de mettre en place les équipes nécessaires. Fort heureusement, il est tout à fait possible d’externaliser les tâches de Threat Intelligence et le SOC lui-même, sur le niveau 1 (détection des incidents), 2 (confinement des incidents), voire 3 (remédiation des incidents).
Il est essentiel toutefois de faire appel, afin de challenger et compléter les capacités des équipes internes, à un partenaire de confiance capable de partager son savoir-faire, de mettre en place des bonnes pratiques, puis de suivre l’entreprise dans son évolution.
[1] Durcissement : définition et mise en place des éléments strictement nécessaires sur les équipements afin d’en réduire la surface d’attaque.
[2] DLP : Data Loss Prevention, afin de détecter et d’éviter les fuites ou pertes de données
