Mise en œuvre1Cela implique une gestion professionnelle et intelligente des risques de cybersécurité liés à l'existence, l'utilisation, le traitement, le stockage et la transmission de tous types d'informations (bruit non chiffré, données traitées, connaissances, etc.) et de ressources/actifs. La cybersécurité dans le commerce électronique offre de plus en plus d'avantages aux entreprises, tels que la protection de leurs opérations, la sauvegarde de leurs actifs, la mise en place de plans de reprise d'activité, l'aide à la conformité réglementaire, la prévention des divulgations embarrassantes dues à des failles de sécurité (qu'elles soient intentionnelles, dues à la négligence, à l'ignorance, à des défaillances physiques ou logiques, à des catastrophes naturelles, etc.), la protection de leur réputation, l'élargissement de leur audience en ligne, et bien plus encore. Dans le monde des affaires, on observe une augmentation du nombre de projets financés par le biais du financement participatif (contributions financières de particuliers souhaitant les promouvoir).   

 


Avantages de la cybersécurité dans le commerce électronique :
La cybersécurité est cruciale dans le commerce électronique, car les pertes financières imputables à des adversaires, des attaquants ou des concurrents sans scrupules, l’espionnage industriel en ligne, le détournement de clients (par le biais du pharming, du phishing, etc.), la fraude au clic (exploitation de marques légitimes à des fins lucratives et augmentation des coûts pour les annonceurs légitimes), et de nombreux autres cybercrimes ont un impact croissant sur l’activité commerciale mondiale. Le CSI (Computer Security Institute) estime que les pertes totales dues à la cybercriminalité dépassent dix mille milliards de dollars par an, principalement en raison de la fraude financière et du vol/fuite d’informations confidentielles. Bien que la cybersécurité ait un coût, les raisons de la mettre en œuvre sont de plus en plus nombreuses : (i) Pertes potentielles (clientèle, ventes, connaissances, innovation, etc.). (ii) Atteinte potentielle à la réputation et à l’image de l’entreprise. (iii) Avantage concurrentiel. (iv) Il s'agit d'une obligation législative et réglementaire, etc. Une cybersécurité à 100 % est pratiquement impossible en raison de la complexité des systèmes réels. La cybersécurité n'est pas une fonctionnalité du produit, mais une composante d'un processus de gestion des cyber-risques. La planification du commerce électronique implique toujours un compromis entre coûts et avantages. Les entreprises sont par nature motivées par le profit, et le déploiement d'une infrastructure de cybersécurité dans le commerce électronique exige non seulement que les coûts soient justifiés, mais aussi qu'ils répondent aux besoins de l'organisation et de ses utilisateurs. Les coûts proviennent de diverses sources. Si la charge liée à la cybersécurité est trop importante pour les utilisateurs, nuisant à leur productivité, les fonctionnalités de cybersécurité seront contournées, réduisant ainsi l'efficacité du système de protection. Selon une récente enquête d'Oracle, l'une des principales raisons de l'abandon d'une transaction en ligne (par exemple, l'achat d'articles en ligne) est la longueur excessive du processus ; les consommateurs privilégient la rapidité.


Mise en œuvre 2Types de métriques de cybersécurité dans le commerce électronique. Classification des cybermenaces.
L'objectif des métriques de cybersécurité est de fournir aux organisations les informations nécessaires pour prévenir les cyberattaques en établissant une base quantitative de mesure de la cybersécurité. Ces métriques permettent de comparer différentes options. Elles évoluent dans le temps et permettent d'établir des références pour les organisations concurrentes. On distingue plusieurs types de métriques : (1) Les métriques de retour sur investissement (ROI). Elles mesurent le ROI lié aux contrôles de cybersécurité opérationnels, informatiques, humains et physiques afin d'orienter les investissements. (2) Les métriques de conformité. Elles mesurent la conformité aux réglementations, lois et normes en vigueur en matière de cybersécurité, telles que SOX, GLBA, LOPD-RMS, HIPAA, etc. (3) Les métriques de résilience. Elles permettent de mesurer la résilience des contrôles liés à la cybersécurité physique, humaine, des technologies de l'information et de la communication, et opérationnelle, avant et après le déploiement d'un système, d'un produit ou d'un réseau.


La classification et la priorisation des cybermenaces permettent d'évaluer le niveau de protection d'un système. Plusieurs systèmes et modèles peuvent être identifiés pour prioriser les cybermenaces : (1) Modèle IIMF. Ce modèle classe les vulnérabilités potentielles en quatre catégories : Interception (une personne non autorisée accède à une ressource informationnelle, par exemple en compromettant des données confidentielles à l'aide d'un analyseur de paquets), Perturbation (une ressource est rendue inutilisable, indisponible ou perdue, par exemple lors d'une attaque par déni de service/DDoS sur un site web), Modification (une personne non autorisée altère une ressource, par exemple lors d'une attaque par défiguration sur un site web) et Fabrication (une ressource est falsifiée, par exemple lors d'attaques par usurpation d'identité sur un réseau). (2) Système STRIDE. Ce système permet la classification des cybermenaces ; il ne vise pas à hiérarchiser ou à prioriser les vulnérabilités, mais plutôt à les classer : Usurpation d'identité, Altération, Répudiation, Divulgation d'informations, Déni de service et Élévation de privilèges. De nombreuses vulnérabilités cybernétiques peuvent se chevaucher, et certaines sont des attaques de seuil qui en entraînent d'autres. (3) Système CIA-AN. Il permet de classer les vulnérabilités cybernétiques potentielles en fonction des violations des caractéristiques souhaitées d'un système (par exemple, le système d'information d'une organisation) : Confidentialité (garantir que les informations ne sont pas divulguées à des entités non autorisées), Intégrité (protection contre la modification ou la destruction non autorisée des informations. Les informations sont complètes et non corrompues), Disponibilité (accès fiable et rapide aux données et aux services d'information pour les utilisateurs autorisés. Les utilisateurs autorisés peuvent y accéder), Authentification (mesures de cybersécurité pour établir la validité d'une transmission, d'un message-PDU ou de son expéditeur. Les informations sont authentiques), Non-répudiation (garantir que l'expéditeur dispose d'une preuve de livraison des données et que le destinataire dispose d'une preuve de l'identité de l'expéditeur, afin qu'ils ne puissent pas nier ultérieurement avoir effectué le traitement des données). Parfois, trois aspects critiques supplémentaires sont ajoutés : Exactitude (les informations sont exemptes d'erreurs et ont la valeur attendue), Utilité (les informations ont de la valeur pour l'usage prévu) et Possession (les données sont sous la propriété et le contrôle autorisés).


Mise en œuvre 3La dégradation des données désigne le fait que les données d'une base de données peuvent perdre de leur valeur et de leur pertinence au fil du temps, devenant obsolètes. Il s'agit d'un problème majeur qui affecte, par exemple, les bases de données CRM (Gestion de la Relation Client) des entreprises. (4) Système DREAD. Ce système permet non seulement de classer, mais aussi de hiérarchiser les cybermenaces potentielles. Il calcule cinq aspects potentiels pour chaque cybervulnérabilité sur une échelle de un à dix. Ces aspects sont : les dommages potentiels, la reproductibilité/fiabilité, l'exploitabilité, les utilisateurs affectés et la découvrabilité (ce dernier aspect est controversé et a fait l'objet de critiques). Pour chaque vulnérabilité, les valeurs des cinq aspects sont additionnées et divisées par cinq. (5) CVSS (Common Vulnerability Scoring System). Il s'agit d'une métrique commune d'évaluation des vulnérabilités, créée par un consortium d'organisations comprenant Cisco, eBay, MITRE, IBM, Microsoft, CMU-CERT, etc., et maintenue par FIRST (Forum of Incident Response and Security Teams). Il permet d'évaluer chaque cybervulnérabilité à l'aide d'une formule complexe à trois dimensions, sur une échelle de zéro à dix. Ces trois dimensions sont : (i) Équations de référence : elles indiquent les caractéristiques de la cible de la vulnérabilité. (ii) Indicateur temporel : il indique comment le risque peut évoluer dans le temps. (iii) Indicateur environnemental : il indique comment la vulnérabilité spécifique affecte votre organisation. Un calculateur CVSS en ligne est disponible sur le site web de la NVD (National Vulnerability Database) à l'adresse : http://nvd.nist.gov/cvss.cfm?calculator. (4) Système CWE (Common Weakness Enumeration). Il s'agit d'une liste de vulnérabilités logicielles telles que : injection SQL (CWE-89), dépassement de tampon (CWE-120), perte de chiffrement de données sensibles (CWE-311), dépassement d'entier (CWE-190), utilisation d'un algorithme cryptographique défectueux ou faible (CWE-327), CSRF/falsification de requête intersite (CWE-352), etc. MITRE, en collaboration avec le SANS Institute, publie chaque année les vingt-cinq CWE les plus dangereuses.

Principales cybermenaces pesant sur l'information dans le commerce électronique. Guerre de l'information

Mise en œuvre4Le bruit est constitué de données brutes, non traitées, dont le système d'encodage est inconnu. Les données sont des données brutes, non traitées, dont le système d'encodage est connu. L'information est constituée de données traitées, dotées de pertinence et de finalité. Transformer des données en information requiert des connaissances. Les connaissances consistent en des faits, des principes ou des règles générales acceptés et utiles à des domaines spécifiques. Elles peuvent résulter d'inférences et d'implications tirées d'informations simples. Les principales caractéristiques de l'information sont l'exactitude, la cohérence, la disponibilité, la vérifiabilité, l'exhaustivité et l'actualité (c'est-à-dire, l'absence de copie). Les principales cybermenaces pesant sur l'information dans le commerce électronique sont : (1) Le vol d'actifs électroniques/physiques. La perte d'actifs électroniques est plus difficile à détecter que la perte d'actifs physiques. (2) Les erreurs ou défaillances humaines. Il s'agit d'erreurs commises par des utilisateurs autorisés qui peuvent compromettre la sécurité de l'information. (3) La violation de la propriété intellectuelle. Par exemple, le piratage de logiciels, les violations de licences de logiciels, la duplication non autorisée, etc. (4) L'accès non autorisé/l'intrusion électronique. On peut identifier trois sous-catégories : (i) L'espionnage industriel/d'entreprise. Les entreprises recueillent des informations concurrentielles auprès d'autres entreprises. Cela peut impliquer les services de renseignement nationaux. (ii) Collecte d'informations à l'insu des utilisateurs et fouille dans les poubelles. Il s'agit de l'acquisition opportuniste d'informations jetées (disques durs dans la poubelle) ou d'informations stockées sans précaution. (iii) Attaques. Elles utilisent des techniques et des outils (renifleurs de virus, enregistreurs de frappe, piratage informatique, etc.) pour localiser et identifier les vulnérabilités afin d'obtenir un accès non autorisé. (5) Extorsion. Après avoir volé des données (numéros de carte de crédit, fichiers sensibles, mots de passe, photos compromettantes, etc.), un message (chantage) est envoyé à la victime (personne physique ou morale) exigeant un paiement. Si le paiement n'est pas reçu, les données peuvent être vendues à d'autres criminels. (6) Sabotage. La forme la plus courante consiste à défigurer des pages web et des sites web. Plus dangereux encore est le sabotage des systèmes de contrôle des infrastructures critiques telles que les télécommunications, la gestion du trafic, les services d'incendie, l'approvisionnement en eau, la défense, etc. (7) Attaques logicielles via des logiciels malveillants. Des virus informatiques, des vers, des chevaux de Troie et des attaques DoS/DDoS sont utilisés. (8) Forces de la nature (volontaires ou accidentelles). Catastrophes majeures telles que les incendies (volontaires ou accidentels – négligence – courts-circuits), les inondations, les tsunamis, les tremblements de terre (qui peuvent être déclenchés par des explosifs dans des zones géologiquement sensibles), la foudre, les pluies torrentielles, les tornades, les ouragans, les raz-de-marée, les éruptions volcaniques, les glissements de terrain, etc. Leurs effets peuvent être atténués par l'assurance et une conception physique appropriée (bâtiments parasismiques). Attaques à petite échelle telles que la poussière, la pollution conductrice, les rongeurs, les dommages électrostatiques et les explosions de neutrons nucléaires dans l'atmosphère pouvant produire des impulsions électromagnétiques ponctuelles dévastatrices dans les infrastructures électroniques, etc. (9) Défaillances matérielles et logicielles. (10) Problèmes de qualité de service (QoS). Les fournisseurs de services (électricité, connectivité réseau) peuvent subir des pannes ou une dégradation de la qualité qui affectent les entreprises. Les services de secours peuvent contribuer à atténuer les effets les plus dommageables. Par exemple, avoir plusieurs fournisseurs de télécommunications ou d'électricité, ou utiliser des systèmes d'alimentation sans coupure (UPS). (11) Utilisation de technologies obsolètes. Cela peut engendrer des problèmes de maintenance dus à un manque de pièces détachées ou de mises à jour adéquates. Dans le domaine de la guerre de l'information (qui peut être menée au niveau des entreprises/organisations, des individus ou des nations, selon les trois axes suivants : motivation, moyens et opportunité), on distingue une composante offensive, sous la forme d'opérations d'information, et une composante défensive, sous la forme de la sécurité de l'information. Trois niveaux principaux peuvent être identifiés : (i) Niveau I. Il s'agit de manipuler la perception de l'adversaire par la tromperie et les opérations psychologiques, parfois appelées projection de vérité. (ii) Niveau II. Il s'agit de nier, détruire, dégrader ou déformer les flux d'information de l'adversaire afin de perturber sa capacité à mener et/ou coordonner des opérations. (iii) Niveau III. Collecte de renseignements en exploitant l'utilisation des systèmes d'information de l'adversaire/du concurrent. Les agents offensifs contre les organisations peuvent être de différents types : (1) Les initiés. Tels que les employés, les sous-traitants, les anciens employés, etc. Ce groupe représente la plus grande menace. (2) Les attaquants. (3) Les criminels. Ils obtiennent un accès non autorisé aux systèmes d'information ou en contournent les défenses à des fins lucratives, par défiance, pour asseoir leur pouvoir, par chantage, etc. (4) Les entreprises. Elles recherchent activement des renseignements sur leurs concurrents ou volent des secrets commerciaux. (5) Les gouvernements et les agences. Ils recherchent les secrets économiques, diplomatiques et militaires des gouvernements, des entreprises et des adversaires étrangers. Ils peuvent également cibler des adversaires nationaux. (6) Les terroristes. Généralement motivés par des raisons politiques et religieuses, ils cherchent à causer un maximum de dégâts aux infrastructures d'information, mettant ainsi en danger des vies et des biens.


Mise en œuvre5Domaines et niveaux de cybersécurité. Mesures de protection.
On peut identifier plusieurs domaines en cybersécurité : (1) Cybersécurité opérationnelle. Elle implique la mise en œuvre de procédures standard de cybersécurité opérationnelle qui définissent la nature et la fréquence des interactions entre les utilisateurs, les systèmes et les ressources système. Son objectif est d’atteindre et de maintenir un état de sécurité du système connu en permanence et de prévenir le vol, la divulgation, la destruction, l’altération, l’utilisation abusive et le sabotage, accidentels ou intentionnels, des ressources système. (2) Cybersécurité physique. Elle concerne la protection du matériel, des logiciels et des données contre les menaces physiques afin de réduire ou de prévenir les interruptions d’exploitation et de service ainsi que les pertes d’actifs. (3) Cybersécurité des technologies de l’information. Elle intègre les fonctions et les caractéristiques techniques qui contribuent à une infrastructure informatique garantissant la confidentialité, l’intégrité, la disponibilité, la traçabilité, l’authenticité, la fiabilité, etc. (4) Cybersécurité du personnel. La cybersécurité englobe un ensemble de mesures visant à réduire la probabilité et la gravité des altérations, destructions, détournements, utilisations abusives, erreurs de configuration, diffusions non autorisées et indisponibilités des actifs physiques et logiques d'une organisation, résultant d'actions ou d'omissions de personnel interne ou externe, tels que des partenaires commerciaux, des adversaires externes, etc. Différents éléments interagissent en cybersécurité : la technologie, les réseaux, les données, les activités et les personnes. Les mesures de protection en cybersécurité se classent en deux catégories : (1) Techniques. Elles comprennent le contrôle d'accès physique et logique, l'identification/l'authentification/la gestion fédérée des identités (IAM), la cryptographie/la stéganographie, les systèmes de détection et de prévention d'intrusion (IDS/IPS), la protection contre la perte de données (DLP), les antivirus, les pare-feu, les VPN, etc. (2) Non techniques. Elles comprennent les contrôles opérationnels et de gestion (politiques de sécurité), les procédures opérationnelles, la cybersécurité environnementale, physique et du personnel, etc.


Il existe trois façons d'investir dans la cybersécurité : (i) souscrire une assurance cyber ; ​​(ii) payer après la survenue d'un événement ou d'un incident ; (iii) acquérir et gérer sa propre cybersécurité et/ou l'externaliser. Dans une analyse coûts-avantages de la cybersécurité pour une entreprise, le bénéfice correspond à la valeur ajoutée obtenue grâce à la mise en œuvre de contrôles et de contre-mesures liés aux vulnérabilités, menaces et risques pertinents. Voici quelques indicateurs clés dans ce domaine : (i) SLE (Perte Espérée Unique). Il s'agit de la perte potentielle en cas d'exploitation d'une vulnérabilité. Le SLE est le produit de la valeur de l'actif et du facteur d'exposition. Ce dernier représente l'impact du risque sur l'actif ou le pourcentage de perte potentielle. Le SLE correspond au coût potentiel, par exemple 50 millions d'euros en cas de vol. (ii) ARO (Taux d'Occurrence Annuel). Il représente le nombre de fois où l'attaque se produira par an. Il s'agit de l'incidence/probabilité, par exemple 0,005. (iii) ALE (Perte Annuelle Espérée). Il s'agit du produit de la SLE et de l'ARO. Par exemple : 50 000 000 × 0,005 = 250 000 euros. (iv) Le ratio coût-bénéfice est obtenu en soustrayant le coût des contre-mesures de l'ALE avant leur mise en œuvre. (v) ROI (Retour sur Investissement). Il sert à comparer les investissements en cybersécurité. Une formule possible, exprimée en pourcentage bénéfice/coût sur une période de trois ans, est la suivante : ROI = ((a/(1+b)) + (a/(1+b)(1+b)) + a/(1+b)(1+b)(1+b)) / c, où a représente le bénéfice, b le taux d'actualisation et c le coût initial. Selon Security-500 (14 février 2011), les responsables de la sécurité informatique des PME consacrent 127 heures par mois à la gestion de leur infrastructure de sécurité. La fiabilité est la probabilité qu'un système donné (par exemple, un serveur web) remplisse sa fonction requise dans des conditions données et dans un délai spécifié. La disponibilité d'un système ou d'une organisation se calcule en divisant le MTBF (temps moyen entre les pannes) par la somme du MTBF et du MTTR (temps moyen de réparation). Concernant le MTTR après une attaque, l'objectif est de réduire les coûts d'indisponibilité. En 2000, Amazon estimait les pertes dues à une indisponibilité après une attaque ou une panne à 180 000 $ par heure. Une disponibilité de 99,999 % (cinq neuf) correspond à cinq minutes d'indisponibilité par an. La disponibilité opérationnelle doit prendre en compte le temps entre les opérations de maintenance, et pas seulement les pannes/attaques et les indisponibilités liées à la maintenance.


Mise en œuvre 6Considérations finales.
Actuellement, dans le commerce électronique, la cybersécurité est une priorité absolue, non seulement pour la conformité, la viabilité des modèles économiques déployés et la gestion de la réputation, mais aussi pour permettre des processus d'amélioration et de changement agiles et intelligents, sans avoir à supporter les risques accrus et importants que ces processus génèrent. Notre groupe de recherche travaille dans le domaine de la protection du commerce électronique depuis vingt ans.
Cet article s'inscrit dans le cadre des activités menées au sein du réseau thématique LEFIS.

Auteur:

Prof. Dr. Javier Areitio Bertolín – E.Mail : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer JavaScript pour la visualiser.
Professeur à la Faculté d'ingénierie.
Directeur du groupe de recherche sur les réseaux et les systèmes. Université de Deusto


Bibliographie :

Areitio, J. « Information Security: Networks, Computing and Information Systems ». Cengage Learning-Paraninfo. 2012.
Areitio, J. « Evolution of Threats and Trends in Network Security in the Web Context ». Conectrónica Magazine. N° 142. Novembre 2010.
Areitio, J. « Identification and Analysis of Web Application Protection ». Conectrónica Magazine. N° 143. Janvier 2011.
Schneier, B. « Economics of Information Security and Privacy ». Springer. 2011.
Nicastro, FM « Security Patch Management ». CRC Press. 2011.
Norman, TL « Risk Analysis and Security Countermeasure Selection ». CRC Press. 2009.

Pour plus d'informations ou un devis