Sécurité des sites e-ommerce 2015 : des efforts sont à faire
Transcription
Sécurité des sites e-ommerce 2015 : des efforts sont à faire
LE MARCHÉ DU E-COMMERCE DANS LE VERT Mais une sécurité à améliorer... Une belle croissance 64 +13.7% Mds€ CA 2015 estimé de CA au 1er trimestre 164 200 +14 500 Sites e-commerce Nouveaux sites au cours des 12 derniers mois La mobilité devient une norme Les principaux acteurs sont présents sur le mobile Site mobile le marché du M-commerce est estimé à Application mobile 53% 43% 4 31% Mds€ 25% 19% 11% 2013 2014 2015 Un panier d’achat en baisse -3€ 79€ Mais une fréquence d’achat en hausse 6.8 achats Env. par internaute pour le 1er trimestre 2015 Des transactions toujours plus nombreuses 650 Millions de transactions en ligne par an Essentiellement par CB 80% des transactions sont effectuées par CB Les actions entreprises contre la fraude à la CB portent leurs fruits Un taux de fraude en baisse en 2013 0.251% du montant des transactions Mais demeure + de 20x supérieur au taux de fraude constaté sur les paiements de proximité Des internautes sensibles à la sécurité des sites des internautes français estiment que la sécurité a une importance dans le choix d’un site e-commerce 85% Une sécurité qui pourrait être améliorée 70% 14% 45% des e-commerçants se montreraient imprudents quant à la protection des mots de passe des internautes d’entre eux ont mis en place des processus obligeant les utilisateurs à complexifier leurs identifiants et mot de passe des sites continuent d’envoyer en clair les identifiants et les mots de passe sur les boites mails des clients DANS LE RETAIL Les sites e-commerce une cible de choix pour les hackers 31% des attaques sont des Directory Traversal* Injections SQL 53% des attaques sont des injections SQL Une moyenne de 749 requêtes par incident pour une durée moyenne de 22 minutes… (contre 298 requêtes d’une durée moyenne de 12 minutes pour les autres sites) *Directory traversal (attaque dite de « traversement de répertoires ») : il s’agit d’une technique de navigation qui a pour objectif d’accéder à un contenu protégé. Plus de 11 % des sites web utilisant HTTPS présentent une vulnérabilité : les contenus mixtes* * Contenus mixtes : On parle de contenus mixtes lorsque, dans une page HTTPS, des ressources sont chargées dans la version non sécurisée du protocole. Selon l’OWASP*, En 2013, 97% des applications Web restent exposées à des vulnérabilités connues. En 2015, 80% des attaques réussies exploiteront des vulnérabilités connues. *OWASP (Open Web Application Security Project) 197 34% jours Pour le e-commerce pour détecter une attaque profonde sur son système d’information (98 pour le secteur financier) Seulement 34 % des sites e-commerces ont mis en place des procédures de réponse aux incidents Quelques solutions pour protéger son site e-commerce Respecter les bonnes pratiques dès la phase de développement Détecter et protéger le site en temps réel (WAF, IDS/IPS,...) Analyser régulièrement votre site grâce à des scans de vulnérabilités Héberger l’application dans un environnement certifié (PCI DSS, HADS, ISO,...) Mettre en place une politique de gestion des mots de passe et des accès HÉBERGEMENT WEB ET INFOGÉRANCE APPLICATIVE WWW.RUNISO.COM Sources http://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-2014-Gestion-vulnerabilites-tome-1.pdf http://www.imperva.com/docs/HII_Web_Application_Attack_Report_Ed4.pdf http://www.verisigninc.com/fr_FR/domain-names/online/implement/ecommerce-site/index.xhtml http://www.journaldunet.com/ebusiness/commerce/sites-e-commerce-securite-0114.shtml http://www.maddyness.com/outils/2015/02/18/performance-ecommerce/ Etude E-commerce Magazine – Juin 2015 https://observatoire.banque-france.fr/uploads/media/OSCP_Rapport_internet_2013.pdf http://www.fevad.com/uploads/files/enjeux2014/RA_2014.pdf http://www.cio-online.com/actualites/lire-securite%C2%AO-la-menace-des-delais-de-detection-d-incidents-trop-longs-7621.html http://www.zdnet.fr/actualites/chiffres-cles-l-e-commerce-en-france-39381111.htm