Les risques de sécurité SI pour le monde du luxe

L’architecture des Systèmes d’Information a été profondément modifiée dans une volonté d’ouverture et d’interconnexion des systèmes. Nombreuses sont désormais les entreprises fournissant un accès direct, total ou partiel, à leur Système d’Information à leurs fournisseurs, leurs prestataires ou encore leurs clients. Les interfaces d’accès à l’information se sont multipliées et, par conséquent, l’exposition aux menaces de sécurité a fortement augmenté, notamment pour les sociétés interconnectées au réseau mondial Internet.

Mon site Internet est-il piratable ?

L’avènement des années 2000 et de la « bulle Internet » a vu de nombreuses entreprises créées leur site Internet. Ces sites Internet qui n’étaient initialement qu’une « plaquette de communication numérique » représentative de la société et des produits qu’elle vendait se sont étoffés et sont devenus, avant tout, des sites marchands, des boutiques virtuelles et des têtes de gondole des sociétés.

Ils sont la principale vitrine des entreprises et véhiculent l’image de marque de cette dernière à travers le monde. Malheureusement, ils sont également la première cible des attaques des personnes malveillantes (pirates, clients insatisfaits, concurrence, etc.).

Dans le monde du luxe et de la mode, le site Internet est d’autant plus critique que l’image de marque de l’entreprise ou du produit est primordiale. Elle ne doit en aucun cas être dégradée car les préjudices financiers causés peuvent être très importants. Une mauvaise presse, une fausse rumeur ou un « buzz Internet » peuvent provoquer une diminution du chiffre d’affaires significative. Le piratage de son site Internet et la dégradation de son image sont des menaces sérieuses pour une marque de luxe.

La contrefaçon est également une des menaces à laquelle doivent faire face les acteurs de ce marché. Cette dernière, au delà de l’impact qu’elle peut avoir sur l’image de la marque, fait peser un risque de perte financière et diminue la visibilité de la marque. Il suffit de saisir, par exemple,  « Louis Vuitton » dans une recherche Google pour s’apercevoir que la majorité des sites trouvés sont des sites proposant des produits de contrefaçon.

Face à ces menaces, les sociétés doivent alors s’assurer du niveau de sécurité de leur site Internet et ne peuvent se permettre le moindre risque. C’est pourquoi il est essentiel, pour mener à bien un projet de site Internet, de joindre, aux compétences marketing ou commercial, une expertise des Directions des Systèmes d’Information afin de s’assurer que les normes et standards internes ou de place (notamment l’utilisation de communication chiffrée « https ») concernant la sécurité des sites web est mise en œuvre. Les bonnes pratiques veulent également que tout site web soit soumis avant sa mise en production à des tests de sécurité afin de corriger si nécessaire des faiblesses de ce dernier. Un test de sécurité qui identifiera des faiblesses sera évidemment moins impactant que si ces failles sont mises en avant par un pirate lors du lancement du site Internet.

La sécurité du paiement sur Internet.

L’achat sur Internet s’est largement démocratisé ces dernières années. Désormais, il est presque possible de tout acheter sur Internet. Les sociétés du monde du luxe suivent cette tendance et certaines d’entre elles ont déjà ouvert leur « e-boutique » (boutique en ligne). Outre les problèmes de sécurité évoqués précédemment (image de marque, contrefaçon), l’ouverture d’une boutique en ligne expose fortement la société aux malveillances et aux fraudes, notamment aux fraudes bancaires, dans le cas d’achats en ligne.

La problématique de la vente en ligne repose sur la confiance des utilisateurs envers le site Internet vendeur. Si une faille de sécurité permet à un pirate de voler les numéros de cartes bancaires des acheteurs, il est certain que ces derniers n’oseront plus acheter de produits sur le site Internet incriminé. Pour se prémunir de cela, les sociétés doivent donc s’assurer du bon niveau de sécurité de leur boutique en ligne et du processus de paiement en ligne.

Le processus du paiement en ligne est, dans la majorité des cas, sous-traité à une plateforme de paiement externe spécialisée. Il s’agit généralement d’acteurs majeurs du marché bancaire. Ces derniers sont capables de gérer les risques de fraude bancaire et mettent en place des contrôles qui permettent de refuser les cartes bancaires volées, les faux numéros et d’identifier le porteur de la carte. Ces plateformes de paiement en ligne permettent donc de réaliser des transactions bancaires en toute sécurité et d’apporter le niveau de sécurité attendu par les acheteurs.

Afin de renforcer la confiance des utilisateurs et des marchands dans le paiement en ligne, le standard PCI DSS (Payment Card Industry Data Security Standard) a vu le jour en 2004. Ce standard définit un ensemble de 12 chapitres tant organisationnels que techniques (sécurité des réseaux, hébergement, gouvernance, correctif et mise à jour, etc.) et environ 200 règles dont la plupart sont semblables aux autres référentiels tels le Système de Management de la Sécurité ISO 2700x, le référentiel de contrôle COBIT ou encore les bonnes pratiques de production informatique ITIL. La certification PCI DSS des plateformes de paiement en ligne est devenue un gage de sérieux et permet aux sociétés vendant sur Internet de se rassurer elles-mêmes quant aux risques de fraude bancaire et de rassurer leurs clients quant à la gestion de leurs données bancaires. Il est donc nécessaire de s’assurer, par des contrôles internes ou externes, que les pratiques mises en œuvre par la Direction des Systèmes d’Information sont conformes au standard PCI-DSS et en étudiant, avec les Banques et les Assurances, les mesures à prendre pour diminuer le risque de fraude. Il est également possible de fixer des règles de gestion permettant de diminuer son exposition aux risques de fraude, par exemple en expédiant les commandes passées sur Internet seulement après acquittement du paiement, ou encore en s’assurant de ne pas prendre en compte une commande lorsqu’une même carte de paiement semble avoir été utilisée pour différents paiement d’article en quelques minutes sur un même site. Ce projet tant de sécurité que de contrôle interne doit être mené, par des spécialistes, dès l’initiative du projet de paiement sur Internet.