Category

Marketing digital

Category

Trop petit pour être hacké

S’il y a bien un mythe en cybersécurité que nous entendons régulièrement et qui doit absolument être déboulonné, c’est bien celui-là : « Pourquoi quelqu’un nous attaquerait-il ? Nous sommes trop petits, trop jeunes, personne ne nous connaît, nous n’avons rien en ligne, … nous ne sommes pas intéressants à hacker. »

Eh bien, si, en fait, vous êtes intéressants.

Prenons chaque point séparément :

– Pourquoi quelqu’un nous attaquerait-il ? Personne ne nous connaît.

Ecommerce christmas time and securityAvec les fêtes de fin d’année qui arrivent et les soldes de janvier qui suivent, les achats en ligne sont au programme. Vos annonces, visuels et promotions sont prêts, mais avez-vous pensé à la sécurité de votre site ?
Nous n’allons pas vous rappeler de faire vos mises à jour et installer les patchs ou de surveiller les opérations suspectes (ce que vous faites déjà), mais nous concentrer sur trois éléments pour protéger les données de vos clients et les rassurer sur votre sécurité.

1/ Le certificat HTTPS

Utiliser HTTPS est indispensable pour un site e-commerce. Les utilisateurs attendent de voir le fameux cadenas vert sur les pages où ils donnent leurs informations. Nombreux sont ceux qui se basent seulement sur une URL commençant par HTTPS et le cadenas pour estimer la fiabilité d’un site.

Cependant, les hackers malveillants le savent également. Ils créent désormais des sites avec le certificat HTTPS pour tromper les utilisateurs. Une étude de PhishLabs (en anglais) estime qu’au 3e trimestre 2018, 49% des sites de phishing utilisent un certificat HTTPS.
(Nous détaillons ici comment identifier les emails suspects pour éviter les différentes stratégies de phishing, qui peuvent piéger même les utilisateurs expérimentés.)

C’est une question que nous entendons souvent. Désolés, nous n’avons pas de formule ROI= … à vous révéler. Quel ROI pour un audit de sécuritéLe retour sur investissement d’un test d’intrusion est complexe à évaluer, mais nous vous donnons 4 clés pour démontrer l’intérêt financier d’un pentest. La sécurité ne sert pas seulement à éviter d’éventuels problèmes, elle crée surtout de la valeur pour encourager les ventes !

1/ Investir pour éviter une perte ou une dépense future plus élevée

Les tests d’intrusion sont une action de prévention. Les pentests, par la simulation réaliste d’attaques de hackers malveillants, permettent de détecter des failles de sécurité techniques comme logiques (cet article détaille plus précisément ce que sont les failles logiques).

Le numérique offre de belles possibilités pour la vie quotidienne et pour les affaires. Site internet, emails, applications mobiles, objects connectés…
Mais si les entrepreneurs apprécient le numérique comme opportunité pour leurs affaires, peut-on imaginer à quel point les hackers malveillants en sont contents également ?
Attaques directes, phishing, interception d’informations, vol de données… De leur point de vue, les possibilités d’attaques augmentent avec l’utilisation croissante du numérique, en faisant grossir la surface d’attaque.

Que faire pour protéger son activité ? Connaissez-vous le hacking éthique ?

https://www.youtube.com/watch?v=OrqZLwT8x3s&feature=youtu.be

Digitalisation, E-commerce & Sécurité.

La digitalisation des entreprises, une coquille vide ou une réelle opportunité pour les entreprises ? D’après un rapport de la Commission Européenne, 62% des français achètent sur internet, mais seulement 16% des entreprises françaises ont une activité de vente en ligne (1). Cela souligne bien la réelle opportunité que représente le « digital » pour les entreprises françaises. Que ce soit à travers un site vitrine, une plateforme de e-commerce, ou du marketing local, chaque position est bonne à prendre et constitue un avantage comparatif sur des concurrents qui n’osent pas sauter le pas de la digitalisation.

Agences de marketing digital, freelances spécialisés en e-commerce, CMS, l’offre pour assister à la création de site web ne manque pas. La concurrence sur ce marché est féroce et l’argument prix est souvent un déterminant majeur pour les PME souhaitant lancer un site e-commerce. Et si le site réalisé est souvent fidèle aux attentes du client en termes de visuel et de fonctionnalités, il ne faut pas s’arrêter là pour autant, car les risques de piratage d’un site web sont élevés (y compris pour les « petits » sites).

Quelle place pour la sécurité ?

Pour les entreprises décidant de se faire accompagner par des professionnels du web, il va être nécessaire de bien se préparer au chantier que représente la construction d’un site internet digne de ce nom. A savoir se mettre d’accord sur le budget que vous êtes prêt à investir. Ce dernier sera conditionné par la « taille » désirée du site internet, ses fonctionnalités, son design, sa maintenance (comprendre : mises à jour du site internet) mais il devra également prendre en compte l’aspect cybersécurité. Ce dernier aspect est souvent ignoré afin de pouvoir proposer des prix plus abordables, mais il représente pourtant un enjeu majeur.

ecommerce hack

Il faut bien comprendre qu’un développeur web, aussi talentueux soit-il, n’est pas nécessairement expert en sécurité web. Il s’agit bien là de deux métiers distincts faisant appel à des compétences bien différentes. Il est important de comprendre cette distinction pour pouvoir questionner son prestataire sur cette problématique. Quelles garanties peut-il apporter ? A-t-il notamment prévu de conduire des tests de sécurité ? Qui aura la responsabilité en cas de piratage ? L’enjeu est bien là, et si rien n’est contractualisé, ou mentionné dans un cahier des charges, il y a de fortes chances pour que le client ne puisse rien faire valoir comme droit et qu’il doive assumer seul les conséquences d’un piratage.

La sécurité fait partie des demandes des clients BtoB (notamment grands-comptes) lors d’un processus d’achat de solution logicielle.

Quelles garanties faut-il apporter ? Comment valoriser une démarche de sécurisation logicielle?

Testé - sécurité web

1) Les certifications

Passer une certification est un « must » pour attester de son niveau de cybersécurité. ISO 27001 pour le management de la sécurité de l’information, PCI-DSS pour les instruments de paiement… Il existe différentes normes adaptées à différents secteurs d’activité voire à des secteurs géographiques.

Engager une procédure de certification est une démarche lourde, à construire dans la durée, et qui peut venir impacter le fonctionnel. Quand la certification n’est pas obligatoire pour exercer une activité métier (par exemple pour les moyens de paiement), la démarche est plutôt recommandée à des entreprises assez matures qu’à des startups.

Une alternative consiste à viser la conformité partielle avec une norme, et non une conformité intégrale, et de valoriser cette démarche même si cela ne donne pas lieu à une certification. Des professionnels de la sécurité (dont Vaadata) peuvent accompagner ce type de démarche.

En permettant d’agréger, de structurer et d’exploiter les données, les technologies du Big Data ont un impact considérable sur le Marketing. La publicité en ligne évolue peu à peu vers une approche personnalisée et plus respectueuse des consommateurs. Mais le Big Data démultiplie également les responsabilités en matière de sécurité des données stockées et exploitées.

Analyser les données récoltées relève le plus souvent des équipes marketing, cependant les questions de sécurité sont généralement attribuées aux seules équipes techniques. Une question cruciale se pose: En travaillant avec des données sensibles, les Responsables Marketing peuvent ils faire courir des risques à leur entreprise sans même s’en rendre compte?

Big Data is watching you

Si vous avez un site web, vous avez sans doute entendu parler d’HTTPS. Il s’agit d’un protocole de sécurité des échanges sur internet. Mais cela est-il nécessaire ? Nous vous proposons de lire ces quelques lignes afin de savoir si vous êtes concerné.

Comment fonctionne HTTPS ?

Le certificat HTTPS permet d’authentifier le serveur auquel se connecte l’utilisateur. On évite donc le risque de se connecter à un serveur frauduleux qui intercepterait les données (un type courant de cyber-attaque).

Grâce à HTTPS, le serveur et le navigateur web se mettent d’accord sur une clé secrète à utiliser pour communiquer de manière sécurisée. Les données d’échange sont donc cryptées. L’ensemble de la connexion au site web est sécurisée.

HTTPS illustration

Prenons un exemple simple, pour un voyageur qui se connecterait à un site de réservation d’hôtel avec son login et son mot de passe :

  • Si le site n’est pas en HTTPS, le login et le mot de passe transitent sans cryptage sur le réseau internet. Si la connexion internet utilisée est publique (par exemple un hotspot wifi), alors ces données peuvent être facilement interceptées, et réutilisées par des personnes pas forcément bien intentionnées !
  • Mais si le site est en HTTPS, alors le login et le mot de passe sont cryptés, donc non visibles par celui qui intercepterait les données.

Tout comme les acheteurs de produits alimentaires ou automobiles, les « consommateurs digitaux » ont besoin d’être rassurés sur la sécurité des produits qu’ils utilisent.

Afficher la provenance des ingrédients, et en particulier celle de la viande, est devenu un standard de qualité dans de nombreux restaurants. Ne pas indiquer la provenance peut faire fuir certains clients, hésitants face au manque d’information.

Une tendance similaire est apparue sur Internet, cette fois focalisée sur la sécurité des données personnelles et bancaires. Avec les récents scandales de piratage, de données dérobées et revendues, exploitées par des malfaiteurs, la sécurité sur Internet est devenue un critère croissant de confiance et de succès.

Communiquer sur la sécurité

Dès lors qu’une application web (site Internet ou application mobile) traite des données, les utilisateurs sont à la recherche de signes prouvant que l’application utilisée est digne de confiance.
Cette recherche de signaux est plus ou moins consciente, mais dans tous les cas un manque de confiance se traduit par des abandons d’achat ou d’inscription à un service.

Illustration - Femme faisant ses courses sur Internet