Pleins feux sur le commerce de détail : sécurité des informations et confidentialité des données

Selon l'Office des statistiques nationales, en novembre 2023, 30 % de toutes les ventes au détail en Grande-Bretagne ont été réalisées en lignee. Pendant ce temps, un rapport de la société de sécurité Sophos a révélé que deux entreprises sur trois dans le secteur du commerce de détail ont signalé des attaques de ransomware en 2022. Avec autant de consommateurs effectuant des achats en ligne, les données clients constituent une récompense tentante pour les pirates informatiques qui peuvent tirer profit de la vente ou de l’utilisation abusive de ces données.

En plus des cybermenaces croissantes, les détaillants doivent se conformer à plusieurs réglementations en matière de cybersécurité. Ces réglementations et le risque d'attaques de la part d'acteurs menaçants signifient que la cybersécurité du commerce de détail doit être au premier plan des préoccupations des marques.

Comment pouvez-vous respecter les meilleures pratiques en matière de cybersécurité dans le commerce de détail face aux avancées technologiques, aux réglementations strictes et aux cybermenaces ?

Les cybermenaces auxquelles est confronté le secteur de la vente au détail

La première étape pour garantir la résilience de la sécurité des informations consiste à comprendre les défis de cybersécurité auxquels votre entreprise pourrait être confrontée. La cybersécurité du commerce de détail présente toute une série de menaces, allant des cyberattaques intentionnelles aux failles de sécurité accidentelles.

Phishing

Dans une tentative de phishing, les cybercriminels se font passer pour des individus ou des entreprises de confiance pour convaincre la victime de révéler des informations personnelles, telles que des mots de passe, qui peuvent ensuite être utilisées pour accéder aux comptes et aux données sensibles des clients. Un rapport de Zscaler ThreatLabz a constaté que le secteur de la vente au détail a connu une augmentation de 436 % des attaques de phishing entre 2020 et 2021.

Attaques au point de vente

Dans les attaques sur les points de vente (PDV), les attaquants exploitent la faiblesse de la sécurité du réseau en installant des logiciels malveillants sur les systèmes utilisés pour effectuer des transactions financières. Grâce à ce malware, les cybercriminels peuvent facilement voler les données de paiement des clients, y compris les données de carte de crédit, dans les systèmes de caisse.

Ransomware

Les ransomwares sont des logiciels malveillants conçus pour empêcher une organisation d'accéder à ses systèmes en chiffrant ses données et en exigeant une rançon.

chez Sophos État des ransomwares dans le commerce de détail 2023 Le rapport révèle que 69 % des organisations de vente au détail ont été confrontées à des attaques de ransomware en 2023, soit une diminution par rapport à 77 % en 2022. Cependant, 71 % de ces organisations ont déclaré que les attaquants avaient réussi à chiffrer leurs données, et seulement un détaillant sur quatre (26 %) a arrêté attaques avant que leurs données ne soient cryptées.

Attaques de la chaîne d'approvisionnement

Attaques de la chaîne d'approvisionnement cibler les détaillants en se concentrant sur les vulnérabilités de leurs chaînes d'approvisionnement, généralement par l'intermédiaire de fournisseurs dotés d'une sécurité faible et qui ont accès aux logiciels ou aux systèmes des détaillants. En utilisant ces tiers, les cybercriminels infiltrent le système ou le réseau du détaillant cible pour accéder à des données sensibles.

Quelles sont les normes et réglementations critiques en matière de sécurité des informations dans le commerce de détail

Une fois que vous avez compris les risques auxquels les organisations de vente au détail sont confrontées, l’étape suivante consiste à parcourir la pléthore de normes et de réglementations dont votre organisation doit être consciente et à laquelle elle doit se conformer. Selon l'endroit où vous opérez et les clients que vous servez, il peut y avoir de nombreux éléments à prendre en compte ; Vous trouverez ci-dessous un résumé des principaux éléments que les détaillants doivent prendre en compte.

Le règlement général sur la protection des données (RGPD)

Les détaillants et les entreprises de commerce électronique doivent respecter le règlement général sur la protection des données (RGPD) de l'UE. lors de la collecte et du traitement des données des clients européens, qu'il s'agisse ou non d'une organisation basée dans l'UE. Le RGPD exige que les entreprises obtiennent un consentement clair et affirmatif lorsqu'elles collectent des informations personnelles telles que des noms, des coordonnées, des historiques d'achat et toute donnée utilisée à des fins de profilage comportemental ou de publicité ciblée.

Plus précisément, un avis transparent et un consentement explicite sont requis pour traiter les données personnelles des clients à des fins de publicité comportementale. Cela inclut la création de profils qui analysent ou prédisent les préférences personnelles, les intérêts, les habitudes de dépenses et d’autres caractéristiques. Les entreprises doivent clairement expliquer que ce type de traitement a lieu et permettre aux clients de choisir s'ils sont d'accord.

Les entreprises doivent également permettre aux clients d'accéder à leurs informations personnelles stockées et leur permettre de corriger et de supprimer les erreurs sur demande. Des politiques de confidentialité faciles à comprendre doivent expliquer quelles données un détaillant collecte et comment il les utilise. Des règles strictes régissent également le transfert international des données des clients en dehors de l’UE. De plus, les grandes entreprises doivent nommer des délégués à la protection des données pour surveiller la conformité au RGPD dans l’ensemble de leurs opérations.

Si un détaillant est confronté à une violation de données susceptible de mettre en danger les droits et libertés de ses clients, il doit en informer sans délai son autorité de protection des données. Dans certains cas, ils peuvent également avoir besoin de communiquer les détails de la violation directement aux personnes concernées. Par conséquent, l’établissement de procédures robustes de détection, d’enquête et de divulgation des violations constitue une obligation essentielle de conformité au RGPD pour les détaillants.

California Consumer Privacy Act (CCPA)

Le CCPA couvre les entreprises à but lucratif qui atteignent certains seuils, comme avoir un chiffre d'affaires annuel de plus de 25 millions de dollars ou acheter/vendre les données personnelles de plus de 50,000 XNUMX consommateurs californiens chaque année.

Pour les détaillants et les boutiques en ligne qui satisfont à ces seuils, le CCPA exige une transparence, des divulgations et des droits supplémentaires concernant les données personnelles des consommateurs californiens. Les entreprises doivent divulguer les types d’informations personnelles qu’elles collectent et comment elles sont utilisées. Les consommateurs doivent être autorisés à refuser que leurs données soient vendues à des tiers.

Les détaillants doivent également mettre en œuvre des procédures de sécurité raisonnables telles que le cryptage, les contrôles d'accès, la détection des intrusions et des tests réguliers pour protéger ces données contre les violations ou les utilisations abusives. Si une entreprise est confrontée à une violation affectant plus de 500 résidents californiens, elle doit en informer immédiatement les consommateurs. Le fait de ne pas disposer d'une sécurité raisonnable ou d'informer correctement les consommateurs en cas de violation peut entraîner de lourdes sanctions civiles en vertu du CCPA.

Alors que la Californie ouvre la voie en matière de lois sur la confidentialité numérique, la CCPA marque un changement important pour les fournisseurs de commerce électronique, les entreprises de technologie marketing, les chaînes de vente au détail physiques et d'autres leaders du commerce de détail aux États-Unis. La Virginie, le Colorado, l'Utah et le Connecticut ont tous introduit des lois similaires qui entreront en vigueur en 2024.

De nombreux autres États ont également des lois sur la notification des violations qui exigent que les consommateurs soient informés si une violation de données affecte les résidents de cet État. Ainsi, les détaillants doivent se conformer aux lois sur la confidentialité en évolution rapide au niveau des États dans une grande partie du pays, en plus du CCPA en Californie.

La loi Gramm-Leach-Bliley (GLBA)

De nombreux détaillants proposent à leurs clients des produits et services financiers tels que des cartes de crédit, des programmes de financement et des programmes de fidélité. En vertu de la loi fédérale américaine Gramm-Leach-Bliley Act (GLBA), les détaillants proposant ce type d'offres financières doivent respecter des exigences strictes en matière de transparence, de confidentialité des données et de sécurité.

Plus précisément, la GLBA exige que les détaillants divulguent clairement leurs pratiques de collecte et de partage d'informations directement aux clients. Dans de nombreux cas, les entreprises doivent permettre aux consommateurs de se désinscrire avant de partager des données avec des parties externes.

Les détaillants doivent également mettre en œuvre des contrôles et des garanties stricts pour protéger les données des clients. Cela comprend la désignation d'un coordinateur de sécurité, la réalisation d'évaluations des risques, l'utilisation de technologies de cryptage et l'élimination appropriée des enregistrements. Plus important encore, GLBA définit les exigences de conformité en cas de violation de données, notamment en informant rapidement les clients concernés. Avec l'augmentation des vulnérabilités des données et des cyberattaques à l'échelle mondiale, l'adhésion de la GLBA est cruciale pour les détaillants axés sur les services financiers afin de maintenir la confiance des clients et d'éviter les mesures d'application de la réglementation.

Directive sur la sécurité des réseaux et de l'information (NIS2)

NIS2 vise à établir un niveau plus élevé de cybersécurité et de résilience au sein de l'UE avec des obligations plus strictes en matière de cybersécurité. Il désigne spécifiquement les marchés en ligne, les moteurs de recherche, les services cloud, etc. comme des entités « essentielles » ou « importantes » qui seront réglementées à partir d'octobre 2024. Cela signifie que de nombreux détaillants et sociétés de commerce électronique comme Amazon, Shopify et eBay tomberont. dans le cadre de NIS2. Les entreprises de vente au détail fournissant des services essentiels tels que les paiements et la logistique peuvent également relever du NIS2.

Dans le cadre du NIS2, les détaillants couverts doivent évaluer de manière exhaustive les risques pesant sur leurs systèmes informatiques, applications, réseaux et données. Cela signifie évaluer :

• Sécurité de l'infrastructure
• Vulnérabilités logicielles
• Menaces internes
• Risques liés aux fournisseurs/fournisseurs tiers

 

En fonction des risques identifiés, les détaillants devront alors justifier la mise en œuvre de mesures de cybersécurité telles que l'authentification multifacteur (MFA), le cryptage des données en transit et au repos, la sauvegarde régulière des données, les tests d'intrusion et l'analyse des vulnérabilités en cours, ainsi que les technologies et processus. pour la détection des menaces, la réponse aux incidents et la gestion des risques de la chaîne d’approvisionnement.

NIS2 crée également des exigences contraignantes en matière de déclaration des cyberincidents pour les détaillants. En cas de violation ou de cyberattaque ayant un impact significatif sur les opérations ou la disponibilité des données, ils doivent en informer les autorités nationales de chaque État de l'UE dans lequel ils opèrent et communiquer de manière proactive les détails aux clients concernés.

Avec des chaînes d'approvisionnement numériques et des flux de données complexes, les grands détaillants du monde entier devraient se préparer dès maintenant aux vastes obligations de cybersécurité de NIS2 liées à leurs connexions à la zone économique de l'UE. Une préparation avancée aidera les grandes marques à renforcer leur résilience tout en évitant des mesures coercitives perturbatrices.

La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS)

Tout détaillant qui accepte les cartes de crédit courantes ou traite les paiements électroniques doit se conformer aux Norme de sécurité des données du secteur des cartes de paiement (PCI DSS). Considéré comme l'un des protocoles de sécurité des données les plus largement adoptés au monde, PCI DSS est un ensemble de contrôles techniques et politiques gérés par le Conseil des normes de sécurité PCI pour protéger les informations sensibles des titulaires de carte et les données de transaction.

Plus précisément, les détaillants traitant les paiements doivent prouver leur conformité en mettant en œuvre :

• Cryptage de bout en bout
• Maintenir des systèmes et des applications sécurisés conformément aux directives PCI
• Restreindre l'accès aux données de paiement
• Créer des pare-feu autour des environnements des titulaires de cartes
• Protéger l'infrastructure informatique avec des protections anti-malware.

Les détaillants doivent également effectuer des analyses de vulnérabilité externes et internes, effectuer des tests d'intrusion, établir des procédures de réponse aux incidents, surveiller tous les fournisseurs tiers et se soumettre à des audits de conformité annuels ou trimestriels, en fonction du volume de transactions.

En mars 2022, PCI-DSS a été mis à jour de la version 3.2.1 à la version 4.0, en mettant l'accent sur le maintien d'une sécurité continue et l'amélioration des processus de validation des paiements. Les organisations ont jusqu’au 31 mars 2024 pour adopter la version mise à jour – avec un délai de 18 mois pour parvenir à une conformité totale d’ici mars 2025.

La norme PCI DSS v4.0 comprend 12 exigences organisées en six catégories, notamment :

• Accent accru sur la sécurité en tant que processus continu
• Plus de flexibilité dans la manière dont les organisations peuvent atteindre leurs objectifs de sécurité
• De nouvelles exigences pour les fournisseurs de services, notamment l'utilisation de l'authentification multifacteur et la mise en œuvre d'une architecture zéro confiance
• Exigences révisées pour le développement de logiciels, y compris des pratiques de codage sécurisées et l'utilisation d'outils automatisés pour l'analyse des vulnérabilités et les tests d'intrusion
• Des règles plus strictes pour la gestion des mots de passe, notamment l'utilisation de phrases secrètes et l'interdiction de certains types de mots de passe
• Encourager un chiffrement plus systématique et plus efficace, notamment en soutenant l'introduction d'une cryptographie à sécurité quantique

 

Les 12 contrôles de la norme PCI DSS 4.0 ont été mis à jour pour suivre le rythme des évolutions du secteur et des tactiques cybercriminelles.

Les conséquences des mauvaises pratiques de sécurité des informations et des données dans le commerce de détail

Ne pas prendre au sérieux la sécurité des informations et la confidentialité des données peut avoir de profondes répercussions sur les détaillants, les fournisseurs de commerce électronique et les organisations de commerçants.

Le résultat financier de la non-conformité 

Toutes les réglementations et normes présentées dans ce blog sont accompagnées de sanctions financières en cas de non-respect. Les entreprises qui enfreignent le RGPD s'exposent à des sanctions sévères et peuvent se voir infliger une amende pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial, selon le montant le plus élevé. En outre, les personnes physiques (personnes concernées) peuvent demander réparation des dommages.

Une entreprise en violation de la norme PCI-DSS peut être condamnée à une amende de 5,000 100,000 à 4,000 80,000 dollars par mois (environ XNUMX XNUMX à XNUMX XNUMX GBP) selon la taille de l'entreprise ainsi que la durée et l'étendue de la non-conformité.

En outre, la banque peut imposer d’autres sanctions, telles qu’une augmentation des frais de transaction ou la fin pure et simple de la relation. Des amendes supplémentaires, qui augmentent avec le temps, peuvent être imposées en cas d'infractions répétées.

Les entreprises qui enfreignent la GLBA s'exposent à des amendes allant jusqu'à 100,000 10,000 dollars par infraction, et les personnes responsables de ces entreprises peuvent se voir infliger une amende de XNUMX XNUMX dollars par infraction, pouvant aller jusqu'à cinq ans de prison.

NIS 2 est soumis à des exigences d'application beaucoup plus strictes que son prédécesseur. Les sanctions pour non-conformité vont d'un audit de sécurité et de l'obligation de suivre des recommandations définies à des amendes de 10 millions d'euros ou 2 % du chiffre d'affaires mondial total de l'organisation, selon le montant le plus élevé.

La sanction civile maximale pour une violation involontaire du CCPA est de 2,500 7,500 $ par violation. Pour les violations intentionnelles, l’amende maximale est de XNUMX XNUMX $ par violation. Les montants maximum des sanctions semblent relativement modestes, mais s’il s’avère qu’une entreprise a intentionnellement commis des milliers, voire des centaines de milliers de violations intentionnelles, par exemple en ne respectant pas les exigences de non-participation du CCPA, le montant total pourrait être énorme.

La CCPA permet également aux consommateurs de réclamer 750 $ par consommateur et par incident ou de demander des dommages réels lorsqu'il peut être démontré qu'une perte s'est produite en raison de la violation.

Comme vous pouvez le constater, les implications financières d'une non-conformité peuvent être importantes et avoir un impact à long terme sur les résultats financiers et la rentabilité à long terme d'une entreprise.

La réputation est tout 

La non-conformité va au-delà des implications financières les plus évidentes et inclut :

Atteinte à la réputation : Une violation de données personnelles peut nuire considérablement à la réputation d'une organisation, entraînant une perte de clients et une diminution de la confiance. L’impact négatif sur la réputation d’une entreprise peut prendre des années à être réparé.

Procès Les organisations peuvent faire face à des poursuites judiciaires de la part de personnes dont les données personnelles ont été violées, entraînant des sanctions financières supplémentaires et une atteinte à leur réputation.

Diminution de la confiance des clients : Lorsque des données personnelles sont violées, les clients peuvent perdre confiance dans l'organisation, ce qui entraîne une réduction de leur engagement et peut potentiellement nuire à la marque et à la réputation de l'organisation.

Diminution de la valeur du stock : Les violations de données peuvent nuire à la valeur boursière d'une entreprise, car les investisseurs s'inquiètent des sanctions financières potentielles et des dommages à leur réputation.

Un contrôle accru de la part des organismes de réglementation : Les organisations confrontées à de fréquentes violations de données ou à des problèmes de non-conformité peuvent être confrontées à un nombre croissant d'audits et d'enquêtes de la part des agences de réglementation. L’organisation risque d’imposer des réglementations encore plus strictes si les problèmes persistent.

Une approche basée sur des normes pour la cybersécurité du commerce de détail

L’adoption d’un cadre de sécurité des informations établi est l’un des moyens les plus efficaces pour les détaillants de rassurer leurs clients et partenaires sur le fait qu’ils disposent de bases de sécurité solides. Le ISO 27001 Ce cadre est une norme internationale mondialement reconnue pour les systèmes de gestion de la sécurité de l'information (ISMS) qui fournit une approche systématique et basée sur les risques pour sécuriser les actifs d'informations sensibles.

En mettant en œuvre le cadre ISO 27001, les détaillants peuvent élaborer une approche globale de gestion de la sécurité de l'information qui comprend des politiques, des procédures, des contrôles et des pratiques de gestion des risques pour se protéger contre les menaces et vulnérabilités potentielles en matière de sécurité et garantir la sécurité des données de leurs clients et des preuves de leurs capacités. .

Certaines des exigences fondamentales de la norme ISO 27001 permettront aux organisations de démontrer des niveaux élevés de confiance numérique, notamment :

Adopter une approche basée sur les risques : Le cadre ISO 27001 exige que les organisations identifient et évaluent les risques liés à leurs actifs informationnels et mettent en œuvre des contrôles appropriés pour atténuer ces risques. Cette approche garantit que les mesures de sécurité des informations sont adaptées aux risques et aux besoins spécifiques de l'organisation, ce qui contribue à instaurer la confiance avec les clients et les parties prenantes.

Assurer le respect de la réglementation : Le cadre ISO 27001 est conçu pour aider les organisations à se conformer à diverses exigences réglementaires liées à la sécurité de l'information, notamment les lois sur la protection des données, les réglementations sur la confidentialité et les réglementations spécifiques au secteur. Les organisations peuvent instaurer la confiance auprès des régulateurs et des autres parties prenantes en démontrant leur conformité à ces réglementations.

Permettre l'amélioration continue : Le cadre ISO 27001 souligne la nécessité d'une surveillance, d'une révision et d'une amélioration continues du système de gestion de la sécurité de l'information. En améliorant continuellement leurs mesures de sécurité, les organisations peuvent démontrer leur engagement à protéger les informations sensibles et à instaurer la confiance avec les parties prenantes.

Gérer efficacement les fournisseurs tiers : La certification ISO 27001 est reconnue mondialement comme une validation du système de gestion de la sécurité de l'information d'une organisation. En obtenant la certification, les organisations peuvent démontrer aux clients, partenaires et autres parties prenantes qu'elles ont mis en œuvre un système de gestion de la sécurité des informations complet et efficace.

PCI-DSS et ISO 27001:2022

Il est intéressant de noter que de nombreux principes PCI-DSS peuvent être directement mappés à la norme ISO 27001, créant ainsi la possibilité d'adopter une approche intégrée pouvant offrir des avantages en termes de coûts et d'efficacité opérationnelle, réduisant ainsi les ressources requises en se concentrant sur les exigences communes des cadres.

D'autres avantages incluent l'amélioration de la posture de sécurité globale contre un plus large éventail de menaces en exploitant les points forts des deux normes pour identifier et combler les lacunes. En fin de compte, la perspective intégrée facilite une amélioration continue grâce à des examens réguliers et une meilleure adaptabilité aux menaces émergentes.

Nous avons créé un guide pratique qui décrit cette approche de conformité simultanée avec ISO 27001 et PCI-DSS v4, auquel vous pouvez accéder ici : Mappage du cadre PCI-DSS v4 avec la norme ISO 27001:2022 mise à jour

Adoptez une position sûre contre les menaces de cybersécurité dans le commerce de détail

Alors que le paysage du commerce de détail continue d’évoluer en ligne, la cybersécurité doit être une priorité absolue pour les détaillants de toutes tailles. Entre les cybermenaces croissantes, les réglementations complexes comme le RGPD et la PCI DSS et les risques de réputation liés aux violations de données, les marques de vente au détail ont de gros enjeux en matière de protection des données de leurs clients.

Les détaillants doivent prendre des mesures cruciales pour mettre en œuvre des contrôles de sécurité robustes, atteindre des normes mondialement reconnues comme ISO 27001 et adopter une approche intégrée pour répondre aux obligations de conformité. Suivre les meilleures pratiques en matière de cybersécurité et tirer parti des technologies avancées contribuera à sécuriser les systèmes et les données sensibles.

Plus important encore, les détaillants doivent faire de la cyber-résilience un processus continu plutôt qu’un projet ponctuel. À mesure que les menaces et les réglementations évoluent, les cyberdéfenses doivent évoluer également. En faisant de la sécurité des informations un débat régulier au sein du conseil d'administration et en y consacrant des ressources adéquates, les détaillants peuvent devenir des gestionnaires plus sûrs et plus fiables des données clients. Les conséquences financières, réputationnelles et juridiques de l’inaction sont trop importantes pour être ignorées.

Renforcez votre conformité dès aujourd’hui

Si vous souhaitez commencer votre voyage vers la conformité PCI-DSS V4, nous pouvons vous aider.

Notre solution ISMS permet une approche simple, sécurisée et durable de la norme PCI-DSS et de la gestion de l'information avec la norme ISO 27001 et plus de 100 autres cadres. Réalisez votre avantage concurrentiel dès aujourd’hui.

Réserver une démonstration