Les grosses entreprises du secteur FMCG (telles que Kellogg’s, Nestlé, J&J, General Mills…) gèrent une quantité impressionnante de données consommateurs. Les multiples sites Internet qu’elles possèdent sont autant de menaces potentielles à ces données.
Ces entreprises font par ailleurs face à un challenge de protection d’image de marque (probablement plus gros que celui de la protection des données utilisateurs). En effet, de nombreuses entités externes tentent de causer des dommages à ces marques, à cause de la compétition qui fait rage et pour d’autres multiples raisons.

De plus, bon nombre de ces entreprises externalisent le développement de leurs sites Internet vers de multiples agences techniques externes, rendant les contrôles de qualité et de sécurité un peu plus complexes que si tout était fait maison.

security compass illustration

Les agences techniques travaillant pour ces entreprises FMCG sont donc forcées de suivre des procédures plus ou moins strictes, audits et contrôles, visant à assurer que l’externalisation des développements se passe au mieux.

  • Audit global IT, afin de vérifier que l’infrastructure technique de l’agence technique est assez robuste
  • Audit des applications web sur différents critères (confidentialité et sécurité, parmi d’autres)
  • Audit de l’environnement d’hébergement des sites

Scans de vulnérabilités d’applications web et tests d’intrusion

Toutes les grosses entreprises du secteur FMCG ne suivent pas cette politique, mais d’après les informations que nous possédons et avons pu collecter, certaines le font depuis des années, d’autres ont récemment commencé à l’appliquer (depuis quelques mois). Au final, plus de la moitié des du top 10 FMCG réalise au moins des scans de vulnérabilités sur ses applications web ou des test d’intrusion, en particulier sur les applications gérant des données personnelles (PII – Personally Identifiable Information).

Le fait de procéder à des contrôles de sécurité sur les applications web s’avère parfois difficile, pénible et stressant pour les agences techniques, surtout si elles ne sont pas sensibilisées aux problématiques de sécurité. Mais il s’agit d’une étape nécessaire, considérant les risques associés aux données et à l’image des marques. Le procédé est encore plus difficile pour les agences marketing, soumises à des deadlines serrées, plutôt focalisées sur l’ergonomie, la créativité, le design, le ROI, et peu habituées à des contraintes de sécurité drastiques.

Les sites Internet ainsi développés subissent une batterie de tests (à minima sécurité, parfois accessibilité et confidentialité) et ne passent pas en ligne avant que les vulnérabilités critiques et intermédiaires aient été résolues. Une seconde série de tests vient confirmer la correction.
Après chaque mise à jour technique majeure du site, la sécurité est re-vérifiée en scannant au moins la portion du site ayant été modifiée.

Revues du design technique

Comme vous pouvez l’imaginer, la plupart de ces sites ne sont pas des pages statiques, des jeux ou campagnes autonomes. La majorité de ces sites visent à collecter des données, ou à minima utilisent des données existantes et sont ainsi connectés à une plateforme globale et utilisent des services externes. Des risques liés aux échanges de données sont donc également élevés. En conséquence, certaines de ces entreprises du secteur FMCG prennent part dans le design technique des sites qu’elles externalisent, au cours de réunions techniques.

Atténuation des risques

Comme précisé dans les premières lignes de cet article, les risques auxquels les FMCG font face avec leurs sites Internet se situent principalement sur les données consommateurs et sur l’image de marque. Les unes récentes comme celles pointant du doigt Dominos Pizza, s’étant fait volé sa base de données et d’autres encore, poussent les grandes entreprises à prendre des mesures : ces contrôles de qualité et de sécurité sont une stratégie d’atténuation de risques.

N’oublions pas que ces grandes entreprises gèrent des volumes de données importants, en faisant des cibles évidentes, mais les plus petites ne sont pas épargnées, ni immunisées contre les attaques. Elles sont juste plus petites.