Ce blog traite de la manière dont la transformation numérique transforme le secteur de la vente au détail, car les marques veulent impressionner les clients. La digitalisation s’accompagne toutefois de nouveaux risques. Nous présentons quelques exemples de commerces de détail où des entreprises ont perdu des millions de dollars suite à des cyberattaques. Et nous montrons quelles solutions sont disponibles pour optimiser la cybersécurité, la conformité et la résilience.
La transformation numérique dans le secteur de la vente au détail se poursuit. Les investissements dans les logiciels continuent d’augmenter. Les investissements informatiques mondiaux s’élevaient à 196,5 milliards de dollars en 2023 et devraient augmenter de 6,5 % en 2024 pour dépasser les 209 milliards de dollars.1
Grâce à leurs investissements informatiques, les détaillants espèrent notamment réduire les coûts de stockage, améliorer la satisfaction des clients, rationaliser ou automatiser le contrôle des stocks, optimiser les prévisions et renforcer la cybersécurité. En fin de compte, les détaillants souhaitent bien sûr que la technologie fasse augmenter leur chiffre d’affaires. Les ventes au détail dans le monde augmentent d’année en année. En 2024 seulement, elles représenteront plus de 30,5 billions de dollars américains (27,7 billions d’euros).2
Comme les clients d’aujourd’hui aiment fouiller, découvrir des marques et acheter à la fois en ligne et hors ligne, les détaillants misent de plus en plus sur la technologie. Les clients souhaitent être contactés par les marques sur différents canaux. Cela oblige les marques de détail à être présentes de manière omnicanale, en offrant une expérience cohérente sur tous les canaux. Cela inclut également une expérience client personnalisée.
Ainsi, de nombreux détaillants utilisent la personnalisation basée sur l’IA pour augmenter le nombre de clics, le temps passé par les clients dans la boutique en ligne et le net promoter score.
Le géant américain de la distribution Walmart a investi dans l’intelligence artificielle générative (Generative Artificial Intelligence, GenAI) afin d’améliorer l’expérience d’achat numérique de ses clients. Walmart utilise la GenAI pour permettre à ses clients de rechercher et de découvrir facilement des produits.
Cela devrait améliorer l’interaction avec le client et la satisfaction générale de ce dernier.3 De plus en plus de détaillants utilisent des technologies telles que les chatbots, les plateformes de commerce électronique, les étagères intelligentes, les applications mobiles, les achats assistés par la voix, les assistants IA, les paiements sans contact, les robots de magasin et bien d’autres.
Si de telles innovations transforment le commerce de détail, elles entraînent également de nouveaux problèmes, notamment des risques de cybersécurité. Les détaillants sont de plus en plus vulnérables aux cyberattaques en raison de l’utilisation croissante de la technologie. Imaginez le scénario suivant : dans le but d’être présent dans le monde numérique, un magasin fixe introduit des applications mobiles et web. L’introduction de ces applications nécessite les services suivants dans le backend :
Ce scénario simple se complique avec la transformation numérique à grande échelle. Le nombre de portes d’entrée digitales est en augmentation. Des acteurs malveillants tentent d’accéder à ces points d’entrée et de pirater les systèmes, ce qui entraîne des violations de données, des attaques par rançongiciel et d’autres incidents de sécurité. Les introductions rapides de technologies sans mesures de sécurité solides rendent les entreprises vulnérables, et les attaquants attendent simplement que les vannes s’ouvrent.
Le commerce de détail est l’un des secteurs les plus attaqués ; environ une attaque sur quatre vise une entreprise de commerce de détail.4
En 2023, par exemple, 69 % de toutes les entreprises de vente au détail ont été confrontées à des attaques de rançongiciel. Plus d’une demande de rançon sur deux dépassait 1 million de dollars ; dans un incident sur trois, les pirates demandaient 5 millions de dollars ou plus.5
D’autres attaques fréquentes sont le credential phishing, les malwares ou encore le Distributed Denial of Services (DDoS). Le coût moyen d’une violation de la protection des données dans le secteur de la vente au détail était de 2,96 millions de dollars en 2023. En 2024, ce coût moyen a déjà atteint 3,48 millions de dollars. Cela correspond à une augmentation de 18 %.6
En 2022, Zoetop, la société mère du détaillant de mode en ligne Shein, a été confrontée à une grave violation de la protection des données, au cours de laquelle les données de plus de 39 millions de clients de Shein dans le monde ont été volées. Selon les rapports, des données de clients telles que les noms, adresses électroniques, informations sur les cartes de crédit, mots de passe, etc. avaient été volées,
puis vendues sur le darknet pendant environ deux ans. Pour compliquer les choses, l’entreprise a nié pendant un certain temps l’ampleur de l’attaque et a balayé l’affaire sous le tapis. Lorsque l’incident a été rendu public et que les autorités ont enquêté, l’entreprise s’est vu infliger une amende de 1,9 million de dollars pour ses manquements à la protection des données financières de ses clients, ces données étant couvertes par la norme PCI DSS (Payment Card Industry Data Security Standard).7
L’enquête a révélé que l’entreprise ne disposait pas de mesures de sécurité suffisantes. Il manquait notamment un système de gestion des mots de passe, la sécurité des API, un système de surveillance de la sécurité et un plan de réaction aux incidents. L’entreprise a alors pris des mesures dans le but d’améliorer les mesures de sécurité.
Cet incident montre l’importance des mesures de sécurité pour éviter de tels incidents qui entraînent des pannes, des pertes de chiffre d’affaires, des violations de la loi, des sanctions judiciaires et des atteintes à la réputation. La réputation est un atout important pour toute marque. Plus de la moitié de la valeur marchande d’une marque peut être attribuée à sa réputation. Cela explique pourquoi, après des événements négatifs, les entreprises subissent des pertes de valeur de la marque et de chiffre d’affaires.8
Quels systèmes et quelles ressources les détaillants doivent-ils protéger ? Quelles solutions de sécurité sont disponibles ?
1. Données des clients :
Les données des clients qui contiennent des informations personnelles et financières doivent être protégées au plus haut point, car elles constituent une cible lucrative pour les acteurs malveillants. En outre, il existe des réglementations, comme la norme PCI-DSS, qui s’appliquent aux entreprises traitant des données liées aux paiements. La norme PCI-DSS oblige les entreprises à respecter une douzaine d’exigences en matière de sécurité du réseau, de cryptage des données, de gestion des accès, etc.9
Le terme Secure Access Service Edge (SASE) désigne une solution de sécurité qui peut aider les détaillants à protéger les données de leurs clients. Le SASE empêche les pertes de données en identifiant et en bloquant les données sensibles avant qu’elles ne puissent être exfiltrées. Il offre également un cryptage des données qui peut rendre les données inutilisables par les pirates, même si elles sont volées. La protection contre les intrusions, les passerelles web sécurisées et les pare-feux web sont d’autres fonctions du SASE.
Lorsque les entreprises utilisent des outils de gestion de la relation client (CRM), elles doivent mettre en place des contrôles d’accès basés sur les rôles, une authentification multi-facteurs, un cryptage des données et d’autres mesures pour protéger les données des clients et de l’entreprise. Ces options font également partie des fonctionnalités du SASE.
2. Sites web, applications mobiles et plates-formes de commerce en ligne
Les sites web de vente au détail, les applications mobiles et les plateformes de commerce en ligne traitent des transactions sensibles, des interactions avec les clients et des données à caractère personnel. Ils sont vulnérables aux attaques telles que les injections SQL, le cross-site scripting (XSS) et l’utilisation abusive des API, ce qui peut entraîner des atteintes à la protection des données ou des interruptions de service.
Les solutions de sécurité telles que les pare-feu applicatifs web (WAF) et SASE (autrement dit, l’authentification multi-facteurs et la sécurité du pare-feu) bloquent le trafic malveillant visant le site web ou les applications mobiles. En outre, les détaillants peuvent protéger leurs communications entre les applications et les systèmes back-end avec la sécurité API. Les entreprises doivent également vérifier la vulnérabilité de leurs systèmes en effectuant des tests d’intrusion et en comblant les éventuelles failles avant qu’elles ne soient exploitées.
3. Réseaux et serveurs
Le réseau d’un détaillant relie ses systèmes POS (acronyme de Point of Sale), ses bases de données, ses serveurs et son infrastructure cloud. Sur les serveurs et dans l’infrastructure informatique se trouvent également des applications importantes, des bases de données et des données clients. Les atteintes à la sécurité de l’infrastructure informatique ou du réseau peuvent se propager rapidement et entraîner d’importantes perturbations de l’exploitation.
Une solution de sécurité qui s’appuie sur la microsegmentation peut diviser les réseaux en unités plus petites et appliquer des directives de sécurité distinctes. Cela permet de limiter l’attaquant à un segment et de contenir l’attaque. Les solutions SASE peuvent assurer une sécurité pare-feu robuste et garantir également que les utilisateurs non autorisés ne puissent pas accéder aux ressources critiques. Les systèmes de détection des intrusions permettent de détecter et de bloquer les tentatives d’accès non autorisées ou les activités réseau suspectes.
Outre les réseaux, d’autres infrastructures informatiques doivent être protégées afin de garantir la continuité des activités. Tout dysfonctionnement dans ce domaine peut entraîner des pannes et des arrêts. Un exemple : en 2022, Metro AG, une entreprise commerciale internationale basée en Allemagne, a été confrontée à une attaque qui a entraîné des pannes informatiques massives dans plusieurs de ses magasins.
Dans un premier temps, l’entreprise a supposé qu’il s’agissait d’un problème informatique. Ce n’est que plus tard qu’on a constaté que les systèmes avaient été piratés, ce qui a mis hors service les étiquettes électroniques ainsi que les systèmes de paiement et de caisse. L’attaque ne s’est pas limitée aux magasins fixes, mais a également touché les systèmes de commande en ligne, ce qui a entraîné des retards supplémentaires.10
Les systèmes POS sont un point important pour le traitement des transactions des clients. Si un système POS est compromis, cela peut entraîner le skimming de cartes, le vol de données de paiement et l’accès non autorisé au réseau du détaillant. Comme les appareils des employés, tels que les ordinateurs portables et les smartphones, sont également utilisés pour accéder aux données et aux systèmes sensibles de l’entreprise, ils doivent être protégés.
En 2013, le détaillant américain Target a dû faire face à une cyberattaque dévastatrice qui a exposé au public les données de 70 millions de clients. En outre, 40 millions de numéros de cartes de crédit et de débit étaient concernés. Le réseau de l’entreprise présentait des vulnérabilités qui ont été exploitées par des e-mails de phishing. Les pirates ont eu accès aux appareils POS qui collectaient les données des cartes des clients et ont exfiltré ces données.
Target a attendu quatre jours pour avertir les clients après la découverte de l’incident et a donné la priorité à la sécurisation des systèmes. Ce retard et la violation de la sécurité elle-même ont entraîné des dommages considérables en termes d’argent et de réputation, à savoir des coûts estimés à 1 milliard de dollars, plusieurs poursuites judiciaires et une perte de confiance des consommateurs. L’incident a souligné les risques liés à un défaut de sécurité des fournisseurs et à une segmentation insuffisante du réseau, et a incité le monde des entreprises à prendre la cybersécurité plus au sérieux.11
En outre, l’incident a accéléré le passage des États-Unis aux cartes de crédit à puce et à code PIN et a mis en évidence la nécessité de mesures de cybersécurité robustes et de plans de gestion de crise. L’incident a eu des conséquences pour Target. Le CEO et le CIO ont tous deux démissionné. Cette affaire est devenue un exemple dissuasif en matière de cybersécurité et de gouvernance d’entreprise.
Cet incident aurait pu être évité si une bonne stratégie de sécurité avait été mise en place. Avec des solutions de sécurité qui protègent les terminaux, une segmentation du réseau qui limite la liberté de mouvement des pirates sur les réseaux et un cryptage des données qui aurait rendu leur utilisation plus difficile par les pirates. L’entreprise aurait pu corriger les failles de sécurité à l’origine de ce fiasco en recherchant des correctifs et vulnérabilités sur les systèmes.
Les solutions de sécurité pour les points finaux peuvent protéger les systèmes et les appareils POS contre les malwares, le vol de données et les accès non autorisés. Elles contribuent également à prévenir les attaques par des logiciels malveillants et à garantir le traitement sécurisé des informations de paiement dans les systèmes POS. De même, les solutions SASE vérifient en permanence les demandes d’accès des utilisateurs aux données de l’entreprise et n’accordent l’accès qu’après vérification. Ce contrôle est effectué en continu et non pas une seule fois, de sorte que tout accès non autorisé est exclu.
La sécurité SASE protège également les systèmes de communication par e-mail contre les attaques de phishing, la compromission des e-mails professionnels (BEC) et les fuites de données.
1. Une plus grande confiance des clients : protéger les données des clients permet d’instaurer la confiance et d’accroître la fidélité des clients et les affaires ultérieures.
2. Respect de la législation et de la réglementation : le respect de la norme PCI-DSS et des règles de protection des données permet d’éviter les amendes et les problèmes juridiques. Les amendes pour non-respect des exigences PCI-DSS peuvent aller de 5000 à 10 000 dollars US selon le volume de cartes, mais peuvent parfois atteindre 100 000 dollars US. En plus de ces amendes, les clients peuvent également poursuivre les entreprises individuellement, ce qui entraîne des coûts d’une toute autre ampleur.12 En fonction de la localisation, il existe par ailleurs d’autres réglementations, par exemple le règlement général sur la protection des données (RGPD) ou le California Consumer Privacy Act (CCPA). Le coût moyen mondial de la non-conformité (tous secteurs confondus) s’élève à 14,82 millions de dollars.13 Les entreprises commencent à comprendre qu’il est plus sage d’investir dans des solutions de sécurité et de conformité qui permettent de protéger les données et d’éviter des pertes importantes dues à la non-conformité.
3. Exploitation commerciale ininterrompue : la sécurisation des sites web, des applications mobiles et des réseaux permet de prévenir les cyberattaques qui pourraient entraîner des interruptions de services et des temps d’arrêt. Les temps d’arrêt coûtent cher. Pour les grandes entreprises commerciales, chaque heure d’immobilisation peut coûter jusqu’à 1,1 million de dollars.14
4. Meilleure protection des revenus : prévenir les failles de sécurité dans les plates-formes de commerce électronique et les systèmes POS permet de protéger les revenus contre la fraude et le vol de données.
5. Amélioration de l’efficacité opérationnelle : la microsegmentation et les solutions SASE minimisent l’impact des attaques et réduisent le temps de récupération et les coûts associés.
6. Moins de fraude financière : La sécurité des points finaux pour les systèmes POS garantit des transactions sécurisées et réduit le risque de fraude financière.
7. Protection contre les violations de données : un cryptage et un contrôle d’accès solides empêchent tout accès non autorisé aux données sensibles des clients et de l’entreprise.
8. Moins de risques de phishing via la messagerie électronique : la sécurisation des systèmes de messagerie réduit le risque de phishing et prévient les fuites de données et les atteintes à la réputation.
9. Une meilleure sécurité pour tous les appareils des employés : le contrôle continu des utilisateurs et la protection permanente des points terminaux réduisent le risque que les appareils compromis des employés accèdent aux systèmes de l’entreprise.
10. Détection précoce des menaces : la détection des intrusions et les tests d’intrusion permettent d’identifier rapidement les éventuelles vulnérabilités et de minimiser les risques avant qu’ils n’aient un impact sur l’entreprise.
Avec les bonnes solutions de sécurité, les détaillants peuvent éviter les pannes inutiles qui accompagnent les incidents de sécurité. En outre, ils peuvent éviter les coûts liés à la non-conformité, les problèmes juridiques et les atteintes à la réputation.
T-Systems propose des solutions de sécurité telles que SASE, la microsegmentation, la détection et la réponse aux points finaux, des tests de pénétration automatisés et bien plus encore, afin d’améliorer non seulement l’état de la sécurité, mais aussi la résilience générale. Grâce à nos solutions complètes de sécurité managée, nous pouvons aider les détaillants à anticiper les menaces, à y répondre en temps réel et à revenir rapidement à la normale après un incident. Si vous souhaitez en savoir plus sur nos solutions de sécurité ou sur la manière dont vous pouvez protéger votre marque, contactez-nous dès aujourd’hui.
1 IT Spending in Retail Forecast, 2024, Gartner
2 Global Retail Sales, 2024, Statista
3 Gen AI Article, 2024, Walmart
4 Retail Cyber Security Statistics, 2023, Fortinet
5 State of Ransomware in Retail, 2024, Sophos
6 Average Cost of Retail Data Breach, 2024, CSA
7 Shein Data Breach Article, 2022, Cyber Security Hub
8 Reputation and Market Value Press Release, 2020, PR Newswire
9 Article PCI Compliance, 2024, Digital Guardian
10 Metro Cyber Attack News, 2022, Security Week
11 Article Target Data Breach, 2021, Entech
12 PCI DSS Non-Compliance Costs, 2024, Comforte
13 True Cost of Non-Compliance, 2024, Colligo
14 Article Average Cost of Downtime, 2023, Solarwinds Pingdom