Le 15 février 2022 - Ce n'est pas surprenant que le secteur de la vente au détail soit l'un des plus ciblés au monde. Rien qu’aux US, les ventes au détail devraient atteindre 5,2 milliards de dollars en 2022. Depuis des années, l'argent et les données des consommateurs sont très prisés par les cybercriminels. La flambée des investissements IT et du nombre d’acheteurs en ligne provoquée par la pandémie n'a rendu le commerce de détail que plus attrayant pour les pirates potentiels. Les initiés malveillants, le personnel négligent et les logiciels mal configurés ou vulnérables sur les réseaux et les terminaux point de vente (POS) ont agrandi la surface d'attaque de l'entreprise.La cyber-sécurité joue donc un rôle essentiel dans la protection des données personnelles et financières des clients, la lutte contre les rançongiciels et la préservation de la réputation de la marque. C'est finalement un moyen de saisir l'opportunité de renforcer l'engagement des clients et de développer l'entreprise.Comme le démontre un nouveau rapport d'ESET, la pandémie a déjà eu un impact démesuré sur le secteur. La capacité des détaillants à gérer la flambée de menaces en ligne peut déterminer leur succès à long terme dans un monde post-pandémique.Quel est l’enjeu?Le COVID-19 a poussé les organisations de vente au détail à se transformer du back-office au terminal POS. Dès lors, cela les expose à de nouveaux cyber-risques. Le télétravail a rendu les outils comme Microsoft Exchange et Kaseya populaires pour la gestion et la communication mais ils ont été exploités massivement pour le vol de données et l'extorsion.Les détaillants sont donc exposés à plusieurs points de leur infrastructure IT : bases de données clients, terminaux POS, automatisation du marketing, outils d'optimisation de recherche web et plates-formes de traitement des paiements et services. On a tout vu, du phishing aux rançongiciels, des attaques 'homme du milieu’ à l'échange de cartes SIM et aux applications mobiles truquées. Les tactiques, techniques et procédures (TTP) utilisées dans les attaques sur le thème de la COVID sont toutes présentes dans les campagnes ciblant les clients du détail et les entreprises.Du POS à l’e-commerceIl y a plusieurs années, lors des violations très médiatisées de dizaines de millions de comptes chez Target et Home Depot (US), le POS était la cible première des attaquants avides de données. Aujourd’hui, la menace existe toujours. On l’a vu avec la découverte du maliciel ModPipe POS et les attaques de chaînes d'approvisionnement Kaseya sur les systèmes POS de certains détaillants. L'adoption généralisée des cartes EMV (Europay, Mastercard, Visa) - ne pouvant être clonées facilement à l'aide de données POS volées - et de nouveaux systèmes comme Apple Pay commencent à générer davantage d'activités malveillantes en ligne.Cette tendance a été fortement stimulée suite au COVID-19. En 2020, les ventes en ligne, dans le total des ventes au détail, sont passées de 16 à 19 %. Voici un aperçu de certaines menaces typiques du commerce électronique d’aujourd'hui :• Les maliciels d’écrémage pour cartes numériques de type Magecart sont devenus un risque majeur pour les détaillants en ligne. Un gang a compromis plus de 2 800 magasins numériques en quelques jours. Une autre campagne a touché British Airways qui a payé une amende de 20 millions de GBP(£20 million fine for British Airways).• Du maliciel plus sophistiqué a été trouvé caché dans des fichiers CSS (CSS files), des icônes de partage de médias sociaux et des métadonnées favicon (favicon metadata), dans le but de déjouer les outils de sécurité.• Le maliciel IIStealer, découvert par les chercheurs d'ESET, est un moyen très sophistiqué de voler les données des cartes de crédit des clients. Il compromet les serveurs web en attendant que les utilisateurs vérifient et paient leurs articles. Après avoir enregistré les informations des cartes de crédit sans affecter l'expérience utilisateur, le maliciel fournit les données aux attaquants en les cachant dans le trafic légitime du site. Même le cadenas HTTPS ne protège pas les utilisateurs, car IIStealer attend que les demandes soient déchiffrées côté serveur avant d'enregistrer les informations nécessaires.• Le maliciel plug-in d’e-commerce : telle la campagne de 2020 qui exploitait des bogues du plug-in WordPress WooCommerce pour fournir un accès à la base de données du site.Protéger les serveurs d’e-commercePour les détaillants, ces risques sont encore accrus depuis les réglementations rigoureuses en protection des données telles le RGPD et le CCPA californien, ainsi que la norme sécuritaire des données du secteur PCI DSS. La non-conformité peut entraîner des amendes importantes et une atteinte à la réputation avec perte de clients - un risque sérieux dans un secteur où la fidélité est difficile à gagner mais facilement perdue.Il n'y a pas de solution miracle pour résoudre ces défis. Les meilleures pratiques en cyber-sécurité doivent comporter plusieurs couches, depuis l'utilisateur final jusqu’au terminal. Mais les équipes de sécurité informatique du commerce de détail peuvent aider à atténuer certains de ces risques en sécurisant mieux leurs serveurs back-end. Voici quelques conseils:• Utiliser, pour les administrateurs, des comptes dédiés avec mots de passe forts et uniques• Exiger une authentification multi facteur (MFA) sur tous les comptes administratifs et privilégiés afin d’avoir une protection supplémentaire• Mettre le système d'exploitation du serveur et les applications régulièrement à jour et examiner attentivement les services exposés à Internet pour réduire le risque d'exploitation• Protéger les données client avec du chiffrement, ce qui les rendra inutiles aux voleurs• Utiliser un pare-feu d'application Web et une solution de sécurité réputée sur le serveur• Implémenter des défenses robustes et multicouches pour terminaux afin de prévenir, détecter et répondre aux menaces.Les environnements informatiques des détaillants couvrent tout, de la logistique back-end et du CRM à la vitrine e-commerce et aux terminaux POS dans les magasins physiques : une vaste cible pour les malfrats. 