Pendant que les acheteurs en ligne cliquent, ce sont les voleurs qui collectent

Par Danny Bradbury • 10 mai 2023

Le commerce électronique est en plein essor, tout comme les cyberattaques qui frappent les détaillants et les clients. À mesure que les transactions de commerce électronique numérique se développent, la course aux solutions fintech qui peuvent aider à freiner le flux de données clients – et d’argent – vers les attaquants en ligne est lancée.

Le commerce électronique a explosé pendant la pandémie, lorsque tout le monde était obligé de faire ses achats depuis chez soi. Même maintenant que l’urgence est passée, les ventes en ligne continuent d’augmenter. Emarketeur prédit une croissance de 4.2 milliards de dollars de ventes en ligne mondiales en 2020 à 7.4 milliards de dollars en 2025. Les ventes du commerce électronique en proportion du total des ventes au détail augmenteront également de 17.9 % en 2020 à 23.6 % en 2025, ajoute-t-il.

Une vague croissante de menaces pour la sécurité

À mesure que le commerce électronique se développe, les risques de cybersécurité auxquels il est confronté augmentent également. L'état de la sécurité d'Imperva dans le commerce électronique 2022 enquête trouvé diverses menaces en ligne ciblant les fournisseurs de commerce électronique.

L’un des types d’attaques les plus répandus sur les sites de commerce électronique est le piratage de compte. L'enquête d'Imperva indique que les tentatives de piratage des comptes clients représentaient 22.6 % de toutes les connexions aux sites de vente au détail, soit près du double de la proportion dans tous les secteurs. De plus en plus de détaillants en ligne proposent des services d'achat immédiat (BNPL), ce qui constitue une autre opportunité de fraude pour les pirates de compte.

Les criminels automatisent souvent leurs attaques sur les sites de commerce électronique. Ils peuvent mener des attaques de credential stuffing pour des rachats de comptes, mais également automatiser les achats pour aspirer des stocks recherchés que les scalpers peuvent revendre plus tard pour réaliser de gros profits. Selon le rapport Imperva, les robots malveillants représentent un peu moins d’un quart du trafic des sites de commerce électronique de détail.

Selon Imperva, les attaques côté client figuraient parmi les risques les plus importants pour les fournisseurs de commerce électronique. Ces attaques, caractérisées par des groupes comme Magecart, insèrent du JavaScript malveillant dans des pages Web compromises. Les détaillants sont les troisièmes plus susceptibles d'inclure du JavaScript sur leurs sites Web, dont la plupart sont des scripts tiers. Ces scripts parcourent les détails de la carte de crédit lorsque les clients passent une commande.

Au lieu de voler des données, certaines cyberattaques rendent simplement difficile le fonctionnement des sites de commerce électronique. Imperva a déclaré que les détaillants de commerce électronique représentaient environ une attaque sur 20 par déni de service distribué (DDoS), ce qui représente un nombre relativement faible par rapport aux services financiers (29.5 %). Néanmoins, cela reste une préoccupation pour les détaillants en ligne qui perdent de l’argent à chaque minute d’arrêt.

Règlement

À ceux du numérique, on peut ajouter un autre risque commercial : la réglementation. L’application des pratiques essentielles de cybersécurité et de confidentialité dans le commerce électronique relève d’un ensemble hétéroclite de lois fédérales qui incluent certaines protections en matière de cybersécurité. Même si le Congrès américain n'a pas encore adopté une position ferme sur des lois ciblées visant à renforcer la sécurité du commerce électronique, il existe des règles à enfreindre.

Les entreprises de commerce électronique relèvent de la Federal Trade Commission Act (FTCA), que les procureurs peuvent utiliser pour punir les entreprises qui ne gèrent pas correctement leur cybersécurité. Les entreprises de commerce électronique qui gèrent mal leur cybersécurité pourraient également enfreindre la loi sur la protection de la vie privée en ligne des enfants.

Il existe également des lois étatiques qui s’appliquent aux fintechs et, dans certains cas, aux détaillants qui utilisent leurs services. Par exemple, le California Consumer Protection Act (CCPA) et son successeur, le California Privacy Rights Act, couvrent les entreprises d'une certaine taille qui collectent et utilisent des données sur les consommateurs, y compris les vendeurs de commerce électronique. La Virginie et le Colorado ont également mis en œuvre leurs propres lois sur la protection des données des consommateurs, en l'absence d'une loi fédérale équivalente.

Le secteur des paiements a également ses propres réglementations. L'un est le Norme de sécurité des données PCI (PCI DSS) du Conseil des normes de sécurité PCI. Cette spécification décrit en détail les mesures de sécurité nécessaires pour protéger les données des titulaires de cartes de crédit. Le non-respect peut entraîner des pénalités allant de 5,000 100,000 $ à XNUMX XNUMX $ pour chaque mois de non-conformité, selon la taille de l'entreprise et l'étendue de la violation.

Le Conseil publié la dernière version de la norme, 4.0, en mars 2022. Elle comprend davantage de contrôles pour protéger les données des cartes de crédit en ligne, notamment en rendant obligatoire l'authentification multifaction (MFA) pour accéder aux données des titulaires de carte et en utilisant des analyses de risques ciblées pour adapter les mesures de cybersécurité à des entreprises spécifiques. Il a également abordé la menace Magecart en fournissant des conseils sur la gestion des scripts de paiement que les sites chargent et exécutent dans le navigateur du consommateur.

Une attention accrue portée aux technologies financières de cybersécurité

La Fintech est un pilier de la protection de la sécurité dans le domaine du commerce électronique. La Fintech a été créée pour accélérer et améliorer les flux de travail financiers tels que les demandes de prêt et les paiements. Les entreprises de commerce électronique utilisent les services fintech pour les aider à résoudre leurs propres problèmes d’efficacité et de cybersécurité. Les entreprises Fintech peuvent réduire les frictions liées à la demande de crédit auprès d’un fournisseur de commerce électronique. Ils peuvent rationaliser et accélérer les paiements et utiliser l'analyse des données et la recherche d'enregistrements pour détecter et prévenir la fraude.

La course est lancée pour trouver des solutions fintech susceptibles de contribuer à renforcer la sécurité des entreprises de commerce électronique et d’autres partenaires. Pulse of Fintech de KPMG rapport Le second semestre 2022 était préoccupé par les investissements dans les technologies financières qui couvraient la cybersécurité et la conformité réglementaire.

Alors que le commerce électronique est appelé à accaparer une part croissante des revenus du commerce de détail, les détaillants seront jugés sur leur capacité à interagir avec les clients en ligne et à protéger leurs données de manière adéquate. Il n’est pas étonnant que l’attention se tourne vers les technologies financières qui peuvent aider à lutter contre la fraude et garantir que seules les transactions légitimes soient effectuées.

Danny Bradbury

Danny Bradbury est journaliste de presse écrite spécialisé en technologie depuis 1989 et écrivain indépendant depuis 1994. Il a écrit pour des publications nationales des deux côtés de l'Atlantique et a remporté des prix pour son travail de journalisme d'investigation sur la cybersécurité.

Lire la suite de Danny Bradbury

La cyber-sécurité 18 December 2025

Comment s'y retrouver dans le labyrinthe de la conformité en matière d'IA aux États-Unis

En matière de réglementation, le terme « États-Unis » est un oxymore. Les lois des États sont loin d'être unifiées, chaque juridiction ayant ses propres traditions…

Danny Bradbury

La cyber-sécurité 20 November 2025

Ce que les violations de Salesforce nous apprennent sur la responsabilité partagée (bannière)

Ce que les violations de données de Salesforce nous apprennent sur la responsabilité partagée

L'année 2025 n'a pas été favorable aux clients de Salesforce. Un groupe criminel peu scrupuleux a mené une série d'attaques contre ses clients, affectant finalement…

Danny Bradbury

La cyber-sécurité 13 November 2025

Évaluation du changement de cap de l'administration Trump en matière de politique de cybersécurité américaine

Les récentes mesures exécutives et restructurations d'agences marquent un changement significatif dans la stratégie fédérale en matière de cybersécurité, soulevant des questions sur la résilience nationale...

Danny Bradbury

Pendant que les acheteurs en ligne cliquent, ce sont les voleurs qui collectent

Une vague croissante de menaces pour la sécurité

Règlement

Une attention accrue portée aux technologies financières de cybersécurité

Danny Bradbury

Articles connexes

L’ère de la conformité : comment la réglementation, la technologie et le risque redéfinissent les normes commerciales

Cinq tendances en matière de sécurité et de conformité à surveiller en 2026

Rapport sur l'état de la sécurité de l'information : 11 statistiques et tendances clés pour le secteur juridique

Lire la suite de Danny Bradbury

Comment s'y retrouver dans le labyrinthe de la conformité en matière d'IA aux États-Unis

Ce que les violations de données de Salesforce nous apprennent sur la responsabilité partagée

Évaluation du changement de cap de l'administration Trump en matière de politique de cybersécurité américaine