Site Logo

Pourquoi la sécurité des applications sera essentielle lors du cyber-lundi

Thèmes:
23 nov. 2020
|
Brett Wolmarans

Si la ferveur d'achat associée au Black Friday et au Cyber Monday nous vient tout droit des États-Unis, ce week-end placé sous le signe de la dépense a su trouver sa place en Europe, au Royaume-Uni, en Australie et dans bien d'autres pays. Et cette période d'offres promotionnelles à foison, aussi courte soit-elle, revêt aujourd'hui une importance clé pour l'économie numérique mondiale.

Jusqu'où iriez-vous pour faire vos achats ? En 2008 déjà, des milliers d'acheteurs dans le village de Valley Stream, dans l'état de New York, s'étaient levés aux aurores pour attendre, dès 4 heures du matin et dans un froid glacial, l'ouverture du supermarché Walmart.  Impatiente, la foule a finalement forcé les portes du magasin et piétiné un membre du personnel sans même un regard en arrière, avec un seul objectif en tête : acheter.

Cette année en revanche, les détaillants devront s'assurer de renforcer leur cybersécurité. Pourquoi ? Tout simplement car nous pouvons facilement supposer que les acheteurs, plutôt que de s'amasser aux portes de leurs boutiques préférées, se rueront sur les sites de vente en ligne pour ne manquer aucune offre. Et la dernière chose que ces détaillants souhaitent, c'est bien de voir leur site piraté par un cybercriminel ou leurs inventaires et services mis à mal par des bots.

Il nous tarde de voir les résultats de ces quatre jours qui s'achèveront en beauté avec le Cyber Monday.

Car au vu des années précédentes, ils devraient être au rendez-vous ! En 2019, sans aucune restriction d'achat en boutique, les consommateurs ont dépensé plus de 9 milliards de dollars en ligne lors du Cyber Monday et pas moins de 81 milliards de dollars entre le 1er novembre et le 2 décembre. En ajoutant à cela les confinements qui restreignent actuellement les déplacements d'une bonne partie de la population mondiale, Adobe prévoit pour 2020 une augmentation de ce chiffre de 33 %.

Préparez-vous à une vague d'attaques


Mais cette situation ne présente pas que des avantages et replace la question des attaques et autres menaces numériques au centre de toutes les préoccupations : à quoi doivent s'attendre les détaillants ? C'est une question qui demeure sans réponse. Toutefois, si l'on se base sur ces dernières années, les équipes de vente en ligne doivent se préparer au pire.

Les commerçants en ligne doivent avant tout garantir un niveau de protection minimum leur permettant de faire face aux 10 principales failles répertoriées par l'OWASP. Pour la plupart d'entre eux, le moyen le plus simple d'y parvenir consiste à déployer un Web Application Firewall (WAF) avec l'assistance d'un fournisseur de confiance.

Ces 10 dernières années, les pare-feux WAF ont sécurisé des milliards de transactions en ligne : ce dispositif de sécurité demeure la méthode la plus stable et fiable, mais aussi la plus déployée, pour contrer les 10 principales failles répertoriées par l'OWASP avant qu'elles n'atteignent vos serveurs.

Un WAF peut être déployé en tant que pare-feu proxy ou comme réseau de distribution de contenu (CDN) afin de protéger un site de vente en ligne sans engendrer de nombreuses tâches à gérer pour les équipes en charge des applications.

Les bots, source de problèmes


Les WAF s'occupent certes des failles répertoriées par l'OWASP, mais cette année, il semble qu'une menace bien plus sournoise se tapisse dans l'ombre. Vous l'aurez peut-être deviné, ce sont les bots. Automatisés, sophistiqués et basés sur des scripts, les bots sont, en matière de e-commerce, une catégorie de menace à part entière. Ils ne sont pas nouveaux, mais il y a fort à parier qu'ils constitueront cette année un problème bien plus important.

D'après le Gartner, « parmi les principaux types d'attaques de bots, on retrouvera : les attaques par déni de service (DDoS), les achats frauduleux, la récupération de données Web, les analyses de vulnérabilités et les exploitations ».

En quoi consistent les bots ? Plutôt que de pirater les bases de données, les bots encombrent les sites de e-commerce avec un volume de trafic important, mais réaliste. Résultat : les sites sont plus lents, ou pire, hors service.  En d'autres termes, une attaque par déni de service. Mais les bots ne s'arrêtent pas là. Véritablement néfastes, ces intrus poursuivent avec une série de clics automatisés, ajoutant la totalité des stocks disponibles dans des paniers d'achats robotisés et empêchant ainsi les clients authentiques de finaliser leurs achats.

Et ces bots s'accompagnent d'effets secondaires pour le moins désagréables. En effet, ils compromettent les données marketing, compliquant alors l'identification des trafics réels et fictifs. Les bots peuvent également compliquer la tâche des CFO en analysant les données de tarification des produits, afin qu'un concurrent malhonnête puisse afficher des prix plus intéressants. En conclusion, plutôt que de se concentrer sur l'optimisation de l'expérience d'achat, les équipes de vente en ligne se retrouvent aux prises avec une multitude de problèmes.

Ainsi, les détaillants doivent bloquer non seulement les 10 principales failles évoquées, mais aussi les attaques lancées par les bots. L'OWASP établit une ontologie des menaces automatisées (OAT) dans laquelle sont classés les différents types d'attaques liés aux bots malveillants et ciblant les applications Web. Cela signifie que votre fidèle pare-feu WAF devra s'accompagner d'une protection contre les bots, qui fournira une couche de sécurité supplémentaire contre ces types de menaces.

OAT

Découvrez comment Barracuda peut vous aider


Par chance, Barracuda offre l'un des WAF les plus fiables et les mieux pris en charge à ce jour sur le marché ainsi qu'une protection de pointe contre les bots, déployable en tant qu'add-on sous licence en seulement quelques étapes. En tirant parti du machine learning, Barracuda Advanced Bot Protection vous évite d'avoir à gérer les bots et leurs répercussions.

Grâce à la solution Advanced Bot Protection, les clients Barracuda WAF profiteront de nouvelles fonctionnalités :

  • Détection du spam par les bots : réduisez le spam de référent et bloquez le spam des commentaires.

  • Protection contre le credential stuffing : empêchez les piratages de comptes.

  • Évaluation du risque des requêtes : bénéficiez d'outils d'analyse des comportements avancés pour déceler les attaquants.

  • Fingerprinting client : suivez les utilisateurs avec une fidélité supérieure à celle des adresses IP.

  • Interface utilisateur de réduction des bots dédiée : configurez en toute simplicité vos fonctionnalités de réduction des bots.

  • Protection contre les spams sur formulaire : bloquez le remplissage automatique des formulaires en analysant la façon dont ces derniers sont utilisés.


Analyses avancées

Les solutions Barracuda Web Application Firewall et Advanced Bot Protection sont disponibles sur toutes les plateformes, y compris dans le cloud public et privé, sous forme physique et en tant que service.

Cerise sur le gâteau : un seul et même moteur WAF optimise toutes ces plateformes, afin que les équipes de vente en ligne puissent mener leurs déploiements dans tous types d'environnements en toute sécurité, protégées par des solutions de confiance signées Barracuda Networks.

Pour commencer, rendez-vous sur https://www.barracuda.com/products/webapplicationfirewall pour obtenir votre essai gratuit de 30 jours, dans lequel est incluse la solution Advanced Bot Protection qui vous permettra de vous protéger pendant ces fêtes de fin d'année.

Barracuda espère que toutes les équipes de vente en ligne qui travaillent d'arrache-pied bénéficieront d'une saison de vente numérique aussi fructueuse que sécurisée, et surtout, sans bot !

Bloquez les robots malveillants et les attaques automatisées

Brett Wolmarans

Brett Wolmarans is Director of Application Security at Barracuda.

Billets associés :
Five tips to reduce cyber risk this Cyber Security Month
Five tips to reduce cyber risk this Cyber Security Month
Établir la confiance avec Zero Trust
Établir la confiance avec Zero Trust
 The third pillar to well-architected AWS cloud security - NetSec (Network Security)
The third pillar to well-architected AWS cloud security - NetSec (Network Security)
AppSec News Roundup: Docker, WordPress, bruteforce attacks, and more
AppSec News Roundup: Docker, WordPress, bruteforce attacks, and more