Les solutions de commerce électronique ciblent les consommateurs et les entreprises
Le commerce électronique fait désormais partie de notre vie quotidienne. La taille de ce marché est telle qu’il a été considéré comme une infrastructure critique du marché unique numérique européen.
Une approche globale de la sécurité du commerce électronique Les écosystèmes économiquement dynamiques attirent toujours les criminels et les commerçants sans scrupules, et le commerce électronique ne fait pas exception. «La pierre angulaire est de savoir comment assurer la confiance», déclare Luís Sousa, responsable du projet ENSURESEC chez INOV, au Portugal. «Cela signifie qu’il faut instaurer un certain niveau de confiance entre tous les acteurs du commerce électronique, y compris les fournisseurs de logiciels, les opérateurs de commerce électronique, les fournisseurs de services de paiement, les sociétés de livraison et les clients.» Luís Sousa et ses collègues ont estimé qu’il manquait une approche globale de la protection de l’ensemble du secteur. C’est le point de départ du projet ENSURESEC.
Cartographier les actifs critiques cybernétiques et physiques L’équipe de projet a commencé par cartographier les actifs les plus critiques du secteur du commerce électronique: les serveurs, les camions de livraison, les sites web de commerce électronique, etc. Ils ont ensuite évalué l’interconnexion de ces actifs, afin d’identifier les principales vulnérabilités et menaces. «Nous avons construit un ensemble substantiel de connaissances à partir de ce travail», ajoute Luís Sousa. «Cela nous a permis d’identifier les principales vulnérabilités, notamment les logiciels tiers souvent utilisés par les PME.» Il s’agit d’une faille que les criminels cherchent souvent à exploiter.
Un autre domaine clé de risque concerne la vulnérabilité humaine. Par exemple, des criminels peuvent se faire passer pour des marques connues et encourager les consommateurs à cliquer sur un mauvais lien, ou des vendeurs peu scrupuleux peuvent les induire en erreur avec de faux avis. Apprendre aux consommateurs à être vigilants en ligne Pour répondre à ces préoccupations, le projet a cherché à fournir des solutions à la fois techniques et axées sur le consommateur. «Nous avons lancé une campagne de formation et de sensibilisation pour lutter contre le “facteur humain”», indique Luís Sousa. «Nous voulions aider les consommateurs à identifier et à éviter non seulement l’hameçonnage et d’autres menaces courantes d’ingénierie sociale, mais aussi les pratiques non éthiques. Si nous sommes en mesure de mieux éduquer les citoyens à identifier les menaces et à y réagir, alors l’ensemble de l’écosystème du commerce électronique devient plus résilient.»
Un site web dédié aux consommateurs, contenant des vidéos de sensibilisation et des conseils, a été lancé depuis. Cette ressource est gratuite, et actuellement disponible en six langues. Une boîte à outils complète pour la sécurité du commerce électronique Sur le plan technique, l’équipe du projet a développé une plateforme intégrée d’outils pour prévenir, surveiller, évaluer et atténuer les principales vulnérabilités et menaces identifiées au sein des infrastructures critiques du commerce électronique.
Il s’agit notamment d’outils qui parcourent les systèmes et vérifient les failles pendant la phase de conception, ainsi que d’outils qui cartographient tous les actifs cybernétiques, physiques et humains afin de fournir aux utilisateurs un retour d’information sur les risques potentiels. Il existe également des solutions qui permettent d’évaluer la maturité des organisations de commerce électronique en matière de pratiques de sécurité.
Près de 19 outils ont également été conçus pour surveiller les interactions entre les serveurs, les ordinateurs et les actifs physiques, et pour réagir aux incidents. Ils peuvent, par exemple, fournir aux utilisateurs une liste de suggestions d’actions d’atténuation.
La plateforme est modulaire, de sorte que les utilisateurs peuvent sélectionner les outils et les configurations qui répondent le mieux à leurs besoins. La solution ENSURESEC a été démontrée dans trois cas d’utilisation différents visant respectivement les cyberattaques sur la plateforme de commerce électronique d’un grand détaillant, des attaques physiques sur la chaîne d’approvisionnement d’une pharmacie en ligne, et des attaques cyber-physiques sur une banque fournissant des services de paiement en ligne.
L’équipe du projet a également élaboré des recommandations politiques, afin d’aider les législateurs à faire en sorte que la confiance soit au cœur des réglementations concernant le commerce électronique.
À l’avenir, Luís Sousa et ses collègues ont l’intention d’affiner plusieurs de ces outils, en vue de rapprocher la plateforme de la commercialisation. L’idée consiste à faire en sorte que cette ressource soit pleinement accessible aux PME.
Source/ End-to-end Security of the Digital Single Market’s E-commerce and Delivery Service Ecosystem - Résultats de la recherche de l'UE.