Sécurité des sites e-ommerce 2015 : des efforts sont à faire

LE MARCHÉ DU
E-COMMERCE
DANS LE VERT
Mais une sécurité à améliorer...
Une belle croissance
64
+13.7%
Mds€
CA 2015 estimé
de CA au 1er trimestre
164 200
+14 500
Sites e-commerce
Nouveaux sites au cours des 12 derniers mois
La mobilité devient une norme
Les principaux acteurs sont présents sur le mobile
Site mobile
le marché du
M-commerce
est estimé à
Application mobile
53%
43%
4
31%
Mds€
25%
19%
11%
2013
2014
2015
Un panier d’achat en baisse
-3€ 79€
Mais une fréquence d’achat en hausse
6.8 achats
Env.
par internaute pour le 1er trimestre 2015
Des transactions toujours
plus nombreuses
650
Millions
de transactions en ligne par an
Essentiellement
par CB
80%
des transactions
sont effectuées
par CB
Les actions entreprises contre
la fraude à la CB portent leurs fruits
Un taux de fraude en baisse en 2013
0.251%
du montant des transactions
Mais demeure
+ de 20x
supérieur au taux de fraude constaté
sur les paiements de proximité
Des internautes sensibles
à la sécurité des sites
des internautes français
estiment que la sécurité a
une importance dans le choix
d’un site e-commerce
85%
Une sécurité qui pourrait être améliorée
70%
14%
45%
des e-commerçants
se montreraient
imprudents quant à la
protection des mots
de passe des
internautes
d’entre eux ont mis en
place des processus
obligeant les
utilisateurs à
complexifier leurs
identifiants et mot
de passe
des sites continuent
d’envoyer en clair les
identifiants et les mots
de passe sur les
boites mails des
clients
DANS
LE RETAIL
Les sites e-commerce
une cible de choix pour les hackers
31% des attaques
sont des
Directory Traversal*
Injections
SQL
53% des attaques
sont des
injections SQL
Une moyenne de 749 requêtes
par incident pour une durée moyenne
de 22 minutes…
(contre 298 requêtes d’une durée moyenne de 12 minutes pour les autres sites)
*Directory traversal (attaque dite de « traversement de répertoires ») :
il s’agit d’une technique de navigation qui a pour objectif d’accéder à un contenu protégé.
Plus de 11 %
des sites web utilisant HTTPS
présentent une vulnérabilité : les contenus mixtes*
* Contenus mixtes : On parle de contenus mixtes lorsque, dans une page HTTPS,
des ressources sont chargées dans la version non sécurisée du protocole.
Selon l’OWASP*,
En 2013, 97% des applications Web restent exposées
à des vulnérabilités connues.
En 2015,
80% des attaques réussies exploiteront
des vulnérabilités connues.
*OWASP (Open Web Application Security Project)
197
34%
jours
Pour le e-commerce
pour détecter une attaque profonde
sur son système d’information
(98 pour le secteur financier)
Seulement 34 %
des sites e-commerces
ont mis en place des
procédures de réponse
aux incidents
Quelques solutions pour protéger
son site e-commerce
Respecter les bonnes pratiques dès la phase de développement
Détecter et protéger le site en temps réel (WAF, IDS/IPS,...)
Analyser régulièrement votre site grâce à des scans de vulnérabilités
Héberger l’application dans un environnement certifié (PCI DSS, HADS, ISO,...)
Mettre en place une politique de gestion des mots de passe et des accès
HÉBERGEMENT WEB ET INFOGÉRANCE APPLICATIVE
WWW.RUNISO.COM
Sources
http://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-2014-Gestion-vulnerabilites-tome-1.pdf
http://www.imperva.com/docs/HII_Web_Application_Attack_Report_Ed4.pdf
http://www.verisigninc.com/fr_FR/domain-names/online/implement/ecommerce-site/index.xhtml
http://www.journaldunet.com/ebusiness/commerce/sites-e-commerce-securite-0114.shtml
http://www.maddyness.com/outils/2015/02/18/performance-ecommerce/
Etude E-commerce Magazine – Juin 2015
https://observatoire.banque-france.fr/uploads/media/OSCP_Rapport_internet_2013.pdf
http://www.fevad.com/uploads/files/enjeux2014/RA_2014.pdf
http://www.cio-online.com/actualites/lire-securite%C2%AO-la-menace-des-delais-de-detection-d-incidents-trop-longs-7621.html
http://www.zdnet.fr/actualites/chiffres-cles-l-e-commerce-en-france-39381111.htm