Alors que de plus en plus d’entreprises adoptent de nouvelles façons de rationaliser leurs activités, les cybercriminels redoublent d’ingéniosité pour accéder illégalement à des informations sensibles. Ils compromettent les systèmes de paiement sécurisés, laissant les entreprises faire face aux dommages financiers et de réputation.
La sécurité des paiements reste un sujet de préoccupation malgré des mesures proactives telles que la sécurité des paiements par carte à puce avec code PIN et des efforts législatifs tels que le règlement général sur la protection des données (RGPD).
En 2017, les secteurs du commerce de détail et de l’hôtellerie restauration ont perdu plusieurs millions d’euros en raison des cybercrimes.
Cet article étudie les tendances actuelles en matière de sécurité des paiements, avec des perspectives et conseils d’experts du secteur sur la façon de protéger votre infrastructure de paiements.
Entreprises ciblées par les cybercriminels
Rob May , expert en cybersécurité explique : « Je pense que la presse se trompe sur la manière dont les entreprises sont ciblées. Pour moi, tout le monde peut être une cible. Il existe deux types d’entreprises : celles qui ont été victimes d’une cyberattaque et celles qui ne le savent pas. L’important, c’est que nous savons maintenant que lorsqu’une entreprise a été compromise, il peut s’écouler des mois, voire des années, avant que les cybercriminels n’encaissent leur butin. Ils infiltrent des organisations et comprennent comment elles fonctionnent et quelle est leur ligne de commandement. La cybercriminalité est de plus en plus sophistiquée et les sommes dépensées pour la cybersécurité augmentent. »
Le marché croissant de la cybersécurité indique à quel point les entreprises ont donné la priorité à la sécurité des données.
Au niveau mondial, le marché de la cybersécurité devrait atteindre 270 milliards d’euros en 2020, soit une augmentation de 114 milliards d’euros par rapport à 2017.
Menaces importantes pour la sécurité des paiements
L’hameçonnage par email et les arnaques au PDG, ou les emails frauduleux de quelqu’un se faisant passer pour du personnel autorisé, comme un PDG d’entreprise, sollicitant de l’argent ou des informations, constituent la plus grande menace pour les entreprises.
Selon une récente étude, parmi les atteintes à la cybersécurité en 2018, 75 % étaient des emails frauduleux ou des tentatives de redirection du trafic vers des sites frauduleux, 24 % étaient des virus, des logiciels espions ou malveillants et 28 % étaient des imposteurs, en ligne ou par email.
Si l’on en juge par les récentes compromissions de données parmi les grandes marques de vente au détail et de voyagistes en 2018, les points de vulnérabilité actuels sont très divers.
En juillet dernier, Dixons Carphone a confirmé que les données de cartes de paiement de 105 000 clients avaient été compromises parce qu’elles n’étaient pas protégées par une carte à puce avec code PIN. L’enquête est toujours en cours.
Ticketmaster UK a annoncé, en juin dernier, qu’un logiciel malveillant s’était introduit dans un produit d’assistance aux clients et avait compromis les informations sensibles des cartes de paiement de près de 40 000 utilisateurs. Il a été déterminé « qu’un seul bloc de code JavaScript » était à l’origine de la violation.
Rail Europe a confirmé, en avril, que son système de paiement en ligne avait été piraté sur une période de trois mois. Il a fallu trois mois pour identifier les logiciels malveillants susceptibles d’avoir compromis les informations de paiement sensibles et les données personnelles.
Les coûts liés à la sécurité des paiements (ou à l’absence de sécurité)
La croissance du marché de la cybersécurité témoigne de son importance pour les entreprises et du risque encouru si l’on renonce à se protéger.
Pour 32 % des cadres dirigeants interrogés, les atteintes à la cybersécurité constituent la troisième plus grande menace à la croissance du commerce de détail.
Les atteintes à la cybersécurité coûtent 9280 euros par incident aux entreprises de taille moyenne, sachant que 67 % d’entre elles ont connu une atteinte à la cybersécurité en 2018.
Par ailleurs, 79 % des entreprises de taille moyenne ont demandé, au cours des 12 derniers mois, des informations, des conseils ou des orientations sur les menaces à la cybersécurité auxquelles leur organisation est confrontée.
Trois façons dont la technologie peut permettre des paiements sécurisés
Les structures de paiement pour l’hôtellerie restauration ainsi que pour le commerce de détail sont intrinsèquement complexes car les systèmes qui gèrent et alimentent ces entreprises sont variés. De plus, les canaux qui transportent et stockent les données de paiement sensibles sont également complexes.
En raison de ce risque d’exposition, la sécurité des paiements doit s’étendre au-delà de la conformité PCI (norme de sécurité du secteur des cartes de paiement).
Votre solution devrait prendre en compte ces différentes complexités, s’assurer que les employés et les clients comprennent les mesures de sécurité et les points de contrôle en place, et utiliser les bons outils afin de renforcer la sécurité en cas d’erreur humaine.
À un niveau de base, il existe une combinaison de trois technologies que l’hôtellerie et la restauration ainsi que les commerces de détail peuvent utiliser pour protéger les données de paiement.
1. Le cryptage point à point
Le cryptage, ou la traduction des données en un code indéchiffrable au fur et à mesure de leur transfert, fait partie des solutions reconnues pour les données transférées électroniquement.
« Les solutions technologiques continuent d’évoluer. Si vous remontez quelques années en arrière, la protection s’arrêtait à un pare-feu et un logiciel antivirus. Maintenant, vous avez l’analyse du comportement numérique, le filtrage Internet, le filtrage des emails etc. »
Pour une sécurité de paiement élevée, les solutions de paiement offrent le P2PE (cryptage point à point), la norme de sécurité la plus élevée établie par le Payment Card Industry Security Standards Council (Conseil des normes de sécurité pour les cartes de paiement). Cela protège les renseignements relatifs à la carte bancaire au fur et à mesure qu’ils sont transmis du point de vente (où la carte est glissée ou le numéro de carte entré) à la fin de la transaction. Les données de la carte ne sont visibles par personne, pas même par le commerçant, tout au long du processus.
Une fois que les codes cryptés se trouvent dans la zone de données sécurisée de l’interface de paiement, ils sont décryptés et remplacés par les numéros de carte d’origine, puis transmis à la banque émettrice pour autorisation.
« Tout ce que nous pouvons faire pour atténuer les erreurs humaines est une approche logique. Les criminels sont toujours à la recherche de moyens de pénétrer le point d’entrée le plus fragile. Il nous incombe de tirer parti de la technologie la plus récente pour nous protéger. Si un vandale veut vraiment cambrioler votre maison, il le fera. Mais si votre maison semble mieux sécurisée que les autres maisons du quartier, le cambrioleur sera plus susceptible de pénétrer dans la maison de votre voisin. »
Dans le monde de l’hôtellerie, de nombreux hôtels ont mis à niveau leurs systèmes de réservation par téléphone avec des lecteurs P2PE ou des logiciels permettant aux opérateurs de centres d’appels de saisir les numéros de cartes de crédit dans des dispositifs sécurisés et de les « tokeniser » (utiliser des données bancaires de manière unique, qui seront détruites une fois le paiement fait) avant de finaliser la réservation, ou avec des logiciels téléphoniques qui « tokenisent » les numéros de cartes lorsqu’ils sont transmis par téléphone.
Les détaillants qui cherchent à profiter d’une expérience d’achat omni-canal (par le biais de boutiques en ligne et mobiles) devraient également envisager le P2PE pour répondre à ce risque.
2. La tokenisation
C’est ce qui rend les achats en ligne en un seul clic possibles. Cette technologie crée un token pour chaque nouvelle transaction, protégeant les données sensibles en les remplaçant par un numéro généré de façon algorithmique. Même si votre système de traitement est infiltré, les données seront inutiles pour le détenteur si le token n’est pas déchiffré.
Ce système permet également à vos clients d’enregistrer leur carte sur votre site Internet. C’est la solution idéale pour les détaillants et les hôteliers qui souhaitent mettre en place des paiements récurrents. Le vrai numéro de la carte n’est disponible sur le réseau que lors de la transaction initiale.
Ensuite, l’entreprise utilise un token qui représente la carte originale pour les paiements récurrents ou pour suivre l’historique des transactions par client.
3. Les API
Les interfaces de programmation d’applications (API) deviendront prochainement la principale technologie de paiement en tant que sous-produit de l’offre Open Banking.
L’Open Banking est le nom donné à un projet de grande envergure qui demande aux grandes banques de créer des passerelles sécurisées pour accéder aux données des comptes bancaires.
Cela signifie un nouveau monde de produits financiers abordables auxquels les entreprises auront accès, tous basés sur les mesures de sécurité les plus modernes, comme l’exige la deuxième directive sur la sécurité des paiements (PSD2).
Paradoxalement, l’un des domaines élémentaire et apparemment les plus négligés qui pourraient avoir besoin d’un renouveau en matière de sécurité est celui des processus de back-office qui soutiennent les finances et les rapprochements d’un hôtel ou d’un détaillant.
De nombreux systèmes de suivi, comme les systèmes de rapports sur les frais de déplacement, les systèmes de rapprochement bancaire et les systèmes analytiques d’entreprise, communiquent de grandes quantités de données sur les cartes de crédit.
La technologie API peut rationaliser ces processus, améliorant ainsi les flux de trésorerie et libérant des ressources humaines pour les réinjecter dans l’entreprise.
Sécuriser les paiements de l’intérieur vers l’extérieur
Formation du personnel
« Peu importe combien d’argent vous dépensez en technologie, l’être humain sera toujours le maillon le plus faible de la chaîne », indique Rob.
La création, l’apprentissage et la documentation des politiques de sécurité et des meilleures pratiques est un facteur clé pour atténuer les risques liés à la sécurité des paiements, d’autant plus que de plus en plus d’entreprises s’orientent vers la numérisation des processus opérationnels.
Une majorité des entreprises de taille moyenne disposent à présent d’une politique formelle qui couvre la cybersécurité, mais seulement une entreprise sur trois formes activement son personnel (bien que cela soit un élément obligatoire du RGPD).
« Lorsque j’interviens auprès d’un client suite à une intrusion, son PDG m’interroge inéluctablement sur les raisons d’une telle intrusion alors même qu’il a suivi tous mes conseils », explique Rob.
Je compare cela à la sécurisation d’un bâtiment.
Imaginons que votre entreprise est un bâtiment. Vous avez acheté le meilleur système de sécurité qui soit, avec des barreaux aux fenêtres, des serrures sur toutes les portes et des caméras partout. Vous avez fait de votre mieux pour sécuriser le bâtiment. Une intrusion prendrait la forme d’un malfrat qui s’approcherait de la porte d’entrée, ferait retentir la sonnette et parviendrait à pénétrer dans les locaux grâce à un employé peu regardant.
« La formation continue sur les meilleures pratiques en matière de sécurité est un mode de défense aussi important que les autres. »
Formez vos clients
Les clients doivent être tout aussi conscients des risques cybernétiques et des mesures qu’ils peuvent prendre pour aider à lutter contre les attaquants.
Il déclare : « L’évolution vers une expérience numérique est positive et c’est un catalyseur pour les entreprises. Tout le monde recherche le côté pratique et une certaine expérience, mais il faut éviter d’aller trop vite en besogne (lors de la mise en œuvre).
Indiquez à vos clients quels sont vos processus de paiement sécurisé et ce que vous faites pour les protéger. La plupart des escrocs ne font qu’imiter les grandes organisations.
Expliquez à quoi ressemblent certaines communications de votre entreprise et le type d’informations qu’elles fourniront afin que vos clients sachent toujours à quoi s’attendre. De cette manière, ils sauront comment réagir si quelque chose leur paraît suspect. »
Quelles mesures de paiement sécurisé utilisez-vous pour votre entreprise ?