Les cyberattaques contre des entreprises comme MediaMarkt, Casa International et Metro ont fait les gros titres l’année dernière, et ce n’est pas une coïncidence : en 2022, le commerce de détail était le cinquième secteur le plus ciblé par les cybercriminels.
Attraction pour les pirates
Fin 2021, la chaîne de magasins d’électroménager MediaMarkt a été victime d’une prise d’otages cybernétique internationale, qui a notamment forcé la déconnexion des systèmes de caisse dans les magasins : les pirates ont exigé une rançon de plus de 40 millions d’euros. L’été dernier, c’était le tour de Casa International : ses systèmes informatiques ont été cryptés et certaines données personnelles ont été divulguées. Une cyberattaque de grande envergure contre Metro, l’automne dernier, a provoqué des problèmes informatiques qui se sont prolongés pendant des semaines, entraînant notamment la défaillance des systèmes de caisse et des étiquettes de prix électroniques et entravant gravement la liquidation des stocks de la filiale belge Makro, en faillite.
Ces trois exemples illustrent à quel point les détaillants sont la cible des gangs de pirates informatiques. De nombreux incidents ne sont pas relayés par les médias. Le commerce de détail était la cinquième industrie la plus ciblée par les cybercriminels en 2022, représentant 8,7 % de toutes les attaques dans les 10 principales industries, contre 7,3 % en 2021, selon le dernier indice X-Force Threat Intelligence d’IBM. Avec un montant annuel de 2,72 billions d’euros de transactions de vente au détail en ligne – en hausse de 20 % par rapport à l’année précédente – le commerce de détail est un secteur attractif pour les cybercriminels, compte tenu des grandes quantités de données sensibles.
Ouverture de portes dérobées
Le type d’attaque le plus courant contre les détaillants était l’envoi d’e-mails de phishing ciblés contenant un lien malveillant (33 %). Les principales conséquences de ces attaques étaient l’extorsion (50%), le vol de données (25%) et la perte financière (25%). Les pirates ne se contentent pas de pêcher les données des clients pour extorquer les détaillants, ils visent aussi plus fréquemment à perturber les services, laissant les détaillants dans l’incapacité de commercer, explique Eben Louw, qui dirige en Europe de X-Force, la division cybersécurité d’IBM.
En 2021, IBM a constaté une utilisation plus fréquente des ransomwares. L’année dernière, la situation a changé : « Après le déclenchement de la guerre en Ukraine, nous avons constaté une augmentation des attaques à partir de la fin avril. L’objectif de ces attaques était principalement d’ouvrir des portes dérobées, puis de pénétrer très lentement et secrètement dans les systèmes pour voler des données. »
Dans le commerce de détail, ce sont souvent les serveurs d’application et les opérations en ligne qui sont vulnérables. Une fois que les cybercriminels parviennent à pénétrer dans les systèmes, ils ont le champ libre, étant donné les relations de confiance entre le serveur d’applications et les bases de données back-end. « Souvent, ils n’ont même pas besoin de craquer les comptes. Par exemple, il n’y a pas de pare-feu entre les applications. De plus, les comptes se voient souvent attribuer trop de droits d’administration. Les développeurs prennent souvent des raccourcis car ils sont soumis à la pression du temps. »
Aucune garantie
Lorsque les détaillants se remettent rapidement en marche après une cyberattaque signalée, vous pouvez vous demander ce qui s’est passé en coulisses : ont-ils payé une rançon ? Le problème est qu’on ne peut jamais faire confiance aux cybercriminels. « Ils disent effectivement : payez-nous et nous détruirons toutes les données que nous vous avons volées. Nous ne nous impliquons jamais dans ces négociations, mais nos recherches nous ont permis de comprendre que vous n’obtenez jamais de réelles garanties. »
Et il ne s’agit pas seulement des données volées, mais aussi des identifiants : les pirates peuvent s’introduire par une fuite dans le système, mais aussi par des noms d’utilisateur et des mots de passe volés. Dans la pression du temps pour que les systèmes redeviennent opérationnels très rapidement, cette porte dérobée est souvent laissée ouverte et les pirates peuvent frapper à nouveau s’ils le souhaitent. « Un système dans lequel des pirates sont intervenus ne peut plus être fiable. Vous devez le réinstaller et restaurer vos sauvegardes. Souvent, les entreprises ne le font pas parce qu’elles n’ont pas le matériel, la capacité de stockage, le personnel ou le temps. Parfois, elles n’ont même plus les mots de passe des anciens systèmes réseau, car ils ont été configurés par des fournisseurs avec lesquels elles ne travaillent plus. »
Des systèmes de point de vente vulnérables
Est-il même possible de sécuriser parfaitement vos systèmes ? « Vous ne serez jamais sûr à 100%. Nous recommandons de sécuriser vos systèmes dans la mesure où cela devient si difficile pour les criminels qu’ils préfèrent essayer ailleurs. Ce sont des opportunistes qui ont un modèle de revenu. Ils peuvent tenter de pénétrer votre système pendant un ou deux jours, mais si cela échoue, ils déplaceront leur tentative vers l’entreprise suivante. »
Cartographiez votre surface d’attaque externe, conseille Louw : que peuvent voir les cybercriminels de l’extérieur et comment peuvent-ils vous attaquer ? « Vous devez comprendre cela et l’améliorer. Ensuite, vous commencez à examiner en interne les vulnérabilités de vos systèmes. Les caisses enregistreuses, par exemple, fonctionnent souvent encore sur d’anciens systèmes opérationnels. Si les pirates parviennent à les mettre hors service, le détaillant est paralysé. Vous devez également auditer fréquemment tous vos comptes utilisateurs locaux et vos comptes de domaine. » Paradoxalement, le système antivirus est souvent la porte dérobée idéale, car il permet un accès fluide à tous les systèmes sans aucun seuil. Il en va de même pour les serveurs de sauvegarde.
La sensibilisation des utilisateurs est également essentielle, affirme Louw. « Elle s’est accrue, car nous constatons que les e-mails de phishing sont devenus moins importants. » Mais la direction doit également prendre conscience de l’importance de l’impact commercial et financier d’un incident. Ce qui ne s’avère pas toujours être le cas. « Un détaillant portugais frappé par une cyberattaque avait mis de côté un budget pour améliorer la sécurité. Mais quelques semaines après l’incident, alors que l’équipe voulait commencer à mettre en œuvre les mesures convenues, le budget semblait avoir disparu… »
