Avec la popularité croissante des achats en ligne et des paiements numériques, les sites de e-commerce sont devenus un élément indispensable de la vie quotidienne au Japon. Cependant, les risques de sécurité, tels que les fraude à la carte bancaire de crédit, les fuites d'informations personnelles et les cyberattaques, augmentent d'année en année. De nombreuses entreprises de e-commerce ont du mal à trouver comment gérer ces problèmes en raison de leurs ressources limitées.
Dans cet article, nous expliquons les mesures de sécurité de base pour les entreprises de e-commerce au Japon et quelques méthodes pour répondre aux paiements fraude et aux fuites d'informations.
Qu'y a-t-il dans cet article ?
- Pourquoi les mesures de sécurité sont-elles nécessaires dans le e-commerce ?
- Incidents de sécurité courants affectant les entreprises de e-commerce
- Lignes directrices en matière de sécurité pour les sites de e-commerce
- Mesures de sécurité de base pour les sites de e-commerce
- Comment réagir à une menace de sécurité dans le e-commerce ?
- Comment les entreprises de e-commerce au Japon peuvent-elles améliorer la sécurité ?
- Comment le Radar Stripe peut vous aider
Why are security measures necessary in ecommerce?
As the ecommerce market expands, methods for fraud and cyberattacks become more sophisticated. Damage caused by credit card information attacks become increasingly serious every year. Therefore, security measures must be strengthened.
Measures to prevent damage from credit card fraud
According to the Japan Consumer Credit Association (JCA), credit card fraud losses in 2024 reached a record high of ¥55.5 billion. This amount grew by more than double in just five years. This shows that fraud is increasing in proportion to the growth of the ecommerce market.
The majority of these losses (i.e., over 90%) were caused by credit card number theft on ecommerce sites. This theft is carried out through phishing emails, fake shopping sites, and hacking into ecommerce operating systems. Without basic countermeasures, a reduction in these losses is unlikely. The Credit Card Security Guidelines also require ecommerce businesses to implement specific measures.
Protecting customers’ personal data
Ecommerce sites handle a lot of credit card information. In addition, they handle personal information, such as names, addresses, telephone numbers, and email addresses. When personal information leaks, the damage is not limited to a single person. Typically, a large amount of customer data leaks, resulting in major financial damage and a hit to the business’s reputation.
Cardholders who become victims of fraud due to number theft could receive unexpected charges and could also feel anxious and dissatisfied about the information leak. This could cause them to lose trust in the ecommerce site. To restore trust, the business should spend time and resources on customer support and investigations. However, data leaks can damage the credibility and profitability of the business as a whole.
The ongoing risk of cyberattacks
Ecommerce sites are attractive targets for cyberattacks. This is because they can be accessed any time and include a large amount of transaction data. A report from the Ministry of Economy, Trade and Industry (METI) highlights that unauthorized access, phishing, and payment system hacks are on the rise. In recent years, attack methods have become increasingly sophisticated. They have expanded to include automated fraud methods known as “credit master attacks” and phishing scams using artificial intelligence (AI).
Incidents de sécurité courants affectant les entreprises de e-commerce
De nombreux types d'incidents de sécurité peuvent survenir sur les sites de e-commerce. Voici quelques exemples courants et les risques qu'ils comportent :
Arrêts du système
Cela se produit lorsque le site de e-commerce ferme et devient indisponible en raison d'une défaillance du serveur ou du système. Lorsqu'un site est fermé, il peut perdre des ventes et la confiance des clients. En outre, les efforts de rétablissement peuvent entraîner des coûts de main-d'œuvre et des coûts financiers.
L'Agence de promotion des technologies de l'information (IPA) fournit Security Guidelines for Building and Operating Ecommerce Sites qui recommande de se préparer à ces situations en sauvegardant régulièrement les données, en introduisant des redondances, en implémentant un contrôle d'accès et en utilisant des logs.
Selon une enquête menée par l'IPA et la Commission pour la protection des informations personnelles (PPC), la perte moyenne de chiffre d'affaires due à la fermeture d'un site de e-commerce est estimée à 57 millions de yens]. Le coût moyen de la réponse à ce type d'incident est estimé à 240 millions de yens.
Modification du site web
Si des virus ou des logiciels malveillants s'infiltrent dans les terminal d'administration ou les serveurs, ils peuvent endommager les systèmes ou les données. Une entreprise de e-commerce doit installer un logiciel antivirus, mettre régulièrement à jour les systèmes d'exploitation et les logiciels, et mettre en place un système de détection des piratages.
Selon l'agence de la police nationale (NPA) , de nombreux cas de délits appelés " web skimming " ont été signalés. Il s'agit de programmes illégaux intégrés dans des sites de e-commerce légitimes afin d'obtenir des informations sur les cartes des clients.
Accès non autorisé
Cela se produit lorsqu'un tiers obtient un accès non autorisé à des écrans d'administration ou à des bases de données pour visualiser, modifier ou supprimer des données. Les lignes directrices en matière de sécurité mentionnées ci-dessus comprennent des contre-mesures clés, telles que l'authentification multifactorielle, l'évaluation des vulnérabilités, le contrôle d'accès et la détection des anomalies de connexion.
Les sites de e-commerce construits à l'aide de logiciels à code source ouvert (OSS) pourraient être particulièrement menacés. Selon l'IPA, 97 % des sites de e-commerce touchés ont été construits en interne, et nombre d'entre eux utilisent des systèmes OSS. Si les systèmes OSS sont pratiques, leurs vulnérabilités sont également plus faciles à découvrir. Par exemple, si les correctifs ne sont pas appliqués rapidement ou correctement, un système OSS peut facilement devenir la cible d'un accès non autorisé.
Ransomware
Cette cyberattaque implique des acteurs fraude qui cryptent des systèmes ou des données et demandent de l'argent en échange de leur restauration. Les entreprises peuvent réduire le risque de cette attaque par des sauvegardes régulières, un stockage séparé, des restrictions des privilèges de l'administrateur et une formation à la récupération.
Selon un rapport de l'association japonaise de sécurité des réseaux (JNSA) , les attaques par ransomware ont causé des pertes financières allant de 10 millions à plusieurs centaines de millions de yens. Ces pertes concernent les petites et moyennes entreprises et, dans certains cas, dépassent les 100 millions de yens.
Lignes directrices en matière de sécurité pour les sites de e-commerce
Les lignes directrices de sécurité pour la création et l'exploitation de sites de commerce électronique publiées par l'IPA fournissent des conseils de sécurité spécifiques pour la création et l'exploitation en toute sécurité de sites de commerce électronique. Elles sont principalement destinées aux petites et moyennes entreprises et aux vendeurs indépendants.
Les principales lignes directrices sont les suivantes :
- Prévenir les incidents de sécurité.
- Corriger les faiblesses de la conception et des opérations.
- Apporter un service de support au personnel non spécialisé.
- Clarifier les responsabilités des parties concernées, tant pour les systèmes internes que pour les systèmes externalisés.
Les lignes directrices en matière de sécurité sont plus qu'un manuel technique. Elles associent le travail pratique à la prise de décision en soulignant l'importance des mesures de sécurité en tant que décisions de gestion. En outre, les lignes directrices fournissent des exemples de causes, d'effets et de risques d'incidents de sécurité qui se sont produits ou qui pourraient se produire.
Cause |
Effets et risques |
---|---|
Avoir des vulnérabilités dans le système de gestion du contenu (CMS) qui conduisent à la falsification du site. |
Des données personnelles, y compris des informations sur les carte bancaire de crédit, pourraient être divulguées. |
Fuite des identifiants et des mots de passe des écrans d'administration |
Des tiers pourraient consulter ou supprimer des données confidentielles sur les clients |
Confier l'évaluation de la configuration et des vulnérabilités des systèmes à des sous-traitants sans former le personnel interne. |
Lorsqu'un incident se produit, la cause peut ne pas être facilement identifiée, ce qui prolonge l'incident et son impact. |
Mise à disposition du public de l'environnement de développement et des pages de test |
Les acteurs fraude potentiels peuvent voir les vulnérabilités, ce qui rend le système vulnérable aux intrusions. |
Négliger les mises à jour et les paramètres du protocole SSL (Secure Sockets Layer) |
Les risques d'attaques de type " man-in-the-middle " et d'interception des communications augmentent |
Dans tous les cas d'incidents de sécurité, la cause principale est un manque de clarté concernant les responsables et ce qui doit être protégé. Les lignes directrices répartissent les mesures de sécurité en trois catégories en établi des parties impliquées dans la prévention des incidents. Elles clarifient et expliquent également le rôle de chaque partie.
Les exploitants de sites de e-commerce doivent :
- Décider de la création du site et des politiques de construction et d'exploitation
- Clarifier l'externalisation et la sélection, les contrats et la gestion des fournisseurs
- Établir une politique de protection des informations sur les clients
Les fournisseurs de services de développement et de construction devraient :
- Concevoir et implémenter des systèmes sans vulnérabilité
- Effectuer des vérifications et des essais
- Mise à jour et gestion des logiciels
Les fournisseurs de services d'exploitation et d'entretien doivent :
- Assurer une service d'assistance régulière en matière de vulnérabilité pour les serveurs et les logiciels
- Mettre en place des systèmes de gestion et de suivi des registres
- Mettre en place un système d'intervention en cas d'accident
Mesures de sécurité de base pour les sites de e-commerce
Pour de nombreuses entreprises, il peut sembler compliqué de mettre à jour et de renforcer les mesures de sécurité. Cependant, il est important de commencer par des mesures simples qui peuvent être prises immédiatement, comme le renforcement des mots de passe et la vérifier des paramètres de partage. Ensuite, les entreprises peuvent progressivement mettre en place des systèmes de sécurité robustes. Voici quelques mesures spécifiques que les entreprises de e-commerce devraient envisager :
Intégrer Three-Domain Secure (3D Secure) 2,0 pour la vérification d'identité
3D Secure 2.0 est un système qui améliore l'authentification de l'identité pour les paiements par carte de crédit. Les codes de passe à usage unique et l'authentification biométrique peuvent empêcher les paiements non autorisés qui utilisent des tactiques d'usurpation d'identité.
Ce système offre également une expérience client améliorée par rapport aux méthodes de mot de passe conventionnelles, tout en conciliant sécurité et commodité. C'est pourquoi il est de plus en plus populaire auprès des sociétés de carte bancaire de crédit et des prestataires de services de paiement. Les sites de e-commerce qui n'ont pas encore intégrer 3D Secure s'exposent à des risques de rétrofacturation et de refus de transaction. C'est pourquoi les entreprises de e-commerce devraient envisager de l'adopter rapidement.
Conformité avec la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS)
PCI DSS est une norme de sécurité internationale pour les entreprises qui traitent des informations relatives aux cartes de crédit. Cette norme fournit des spécifications détaillées, telles que le chiffrement des informations, le contrôle d'accès et la gestion des journaux. Une conformité stricte est requise lors du traitement en interne des informations relatives aux carte bancaire de crédit.
Toutefois, la gestion de toutes ces exigences en interne peut représenter une charge importante. C'est pourquoi de nombreuses entreprises font appel à agents de paiement qui sont conformes à la norme PCI DSS afin de réduire cette charge tout en continuant à respecter les normes.
Implémenter la détection des fraude à la carte bancaire de crédit
Les transactions fraude ne sont pas toujours évidentes au premier abord. Souvent, les entreprises les découvrent après que les achats ont été effectués. Il est donc important de disposer d'un système qui détecte les signes de transactions fraude et y réagit en temps réel, en particulier avant que les transactions ne soient effectuées ou régler. Voici quelques caractéristiques qui devraient permettre de détecter les transactions suspectes :
- Accès à partir de zones ayant des antécédents de fraude
- Entrées consécutives de carte bancaire provenant de la même adresse de protocole Internet (IP)
- Mauvaise correspondance entre les informations sur le client et le nom du titulaire de la carte
- Plusieurs achats de grande valeur dans un court laps de temps
L'utilisation d'un système qui bloque ou retient automatiquement les transactions pour examen lorsqu'elles sont considérées comme risquées peut prévenir les dommages avant qu'ils ne se produisent.
Comment répondre à une menace de sécurité dans le e-commerce ?
Implémenter des mesures de sécurité peut contribuer à réduire la fréquence des incidents de sécurité. Toutefois, l'augmentation du nombre de cas de fraude signifie que la plupart des entreprises sont susceptibles de subir une violation de la sécurité sous une forme ou une autre. Cela peut se produire même si l'entreprise met en place des contre-mesures. Voici quelques moyens de répondre à des incidents de sécurité spécifiques :
Infection virale ou ransomware
Cessez d'utiliser l'ordinateur ou le serveur infecté et déconnecter-le du réseau. Ensuite, signalez l'incident aux partenaires commerciaux et aux clients concernés, ainsi qu'à tout organisme gouvernemental compétent. Par exemple, au Japon, les infections par virus et ransomware doivent être signalées à l'IPA. Poursuivez ensuite votre enquête et votre travail de restauration. La sauvegarde régulière des données peut minimiser les dommages causés par ce type d'incident.
Fuites de données
Les fuites de données comprennent les accès non autorisés aux réseaux, les activités illégales commises par les employés (c'est-à-dire les fautes internes), les courriels e-mail et les publications accidentelles sur le web. Si cela se produit, confirmez le type et la quantité de données qui ont fui, ainsi que l'état des mesures de sécurité telles que le chiffrement et les restrictions d'accès.
En cas d'accès non autorisé, déconnecter immédiatement l'appareil du réseau et suspendez les services. Ceci est important car il y a un risque de fuite d'informations personnelles ou confidentielles. Si des informations relatives à une carte bancaire de crédit ou à un compte sont divulguées, contactez la société émettrice de la carte de crédit et faites suspendre le(s) compte(s).
En cas de faute interne, limitez l'accès aux systèmes internes et préservez les preuves, comme les ordinateurs personnels. Si des courriels ont été envoyés aux mauvais destinataires, contactez-les et demandez-leur de les supprimer. Si des informations ont été publiées par erreur sur le site web de l'entreprise, supprimez-les immédiatement ou limitez-en l'accès afin qu'elles ne puissent pas être consultées depuis l'extérieur de l'organisation.
Après avoir pris ces mesures, veillez à faire un rapport et à informer les parties concernées si nécessaire :
- Si les informations divulguées, telles que les données de compte, risquent d'être utilisées à mauvais escient, alertez les entrepreneur individuel et les entreprises concernées afin d'éviter des dommages secondaires.
- En cas de fuite d'informations personnelles, signalez-le au CPP.
- Si la cause de la fuite d'informations est de nature criminelle, comme un accès non autorisé ou une faute interne, signalez les détails à la police.
- Si la fuite d'informations est due à un virus informatique ou à un accès non autorisé, signalez l'incident au bureau d'information de l'API.
Ensuite, enquêtez sur la portée, la cause et les dommages de la fuite d'informations. Enfin, déployez des efforts de rétablissement afin d'éviter que la situation ne se reproduise.
Arrêt du système
En cas d'arrêt du système, il peut être difficile d'en identifier immédiatement la cause. Parmi les causes potentielles, citons les pannes générales d'équipement et les failles de sécurité, telles que les cyberattaques et les bogues de logiciels. Si la cause est inconnue, l'entreprise doit réagir comme s'il s'agissait d'un problème de sécurité.
En cas de dysfonctionnement, de panne ou d'arrêt du système, ou en cas de signes imminents, contactez l'administrateur du système ou le responsable de la sécurité de l'information. En fonction de la situation, la partie responsable pourrait basculer ou arrêter les serveurs si nécessaire.
Ensuite, contactez vos partenaires commerciaux et signalez l'incident aux agences gouvernementales compétentes. S'il s'agit d'un virus ou d'un accès non autorisé, signalez-le au bureau de déclaration de l'API. Recherchez la cause de l'incident et procédez à la restauration et à la prévention de la récurrence.
Comment les entreprises de e-commerce au Japon peuvent-elles améliorer la sécurité ?
Les mesures de sécurité en matière de e-commerce sont importantes pour protéger les entreprise quotidiennes. Quelle que soit la taille de l'entreprise, la fraude à la carte bancaire et les fuites de données constituent toujours un risque que les entreprises doivent s'efforcer de combattre.
Ces dernières années, il est devenu plus facile d'adopter et d'intégrer une série de mesures, telles que 3D Secure, pour renforcer la vérification de l'identité (c'est-à-dire les procédures [KYC] de connaissance du client). Les entreprises peuvent également suivre les normes du secteur - telles que PCI DSS - et introduire des services de détection des fraudes. Il est important de rester vigilant et de prendre des mesures proactives à l'avance. Ce n'est pas parce qu'une entreprise n'a pas été confrontée à des problèmes de sécurité qu'elle doit se reposer sur ses lauriers. Les propriétaires d'entreprises doivent renforcer les mesures de sécurité de leurs sites de e-commerce afin de garantir la fiabilité, la confiance et la continuité de leurs entreprise de e-commerce.
Comment Stripe Radar peut vous aider
Stripe Radar utilise des modèles d'IA pour détecter et prévenir la fraude en s’appuyant sur les données du réseau mondial de Stripe. Il met continuellement à jour ces modèles en fonction des dernières tendances de fraude, et protège ainsi votre entreprise à mesure que la fraude évolue.
Stripe propose également Radar for Fraud Teams, qui permet aux utilisateurs d ' ajouter des règles personnalisées pour traiter des scénarios de fraude propres à leurs entreprises et d ' accéder à des informations Avancées sur la fraude.
Radar peut aider votre entreprise à :
- prévenir les pertes dues à la fraude : Stripe traite plus de 1,000 milliards de dollars de paiements chaque année. Ce volume considérable permet à Radar de détecter et de prévenir la fraude avec précision, et de vous faire économiser de l'argent.
- augmenter les revenus : les modèles d'IA de Radar sont formés sur des données de litiges, des informations clients, des données de navigation, et d’autres données réelles. Cela permet à Radar d'identifier les transactions à risque et de réduire les faux positifs, augmentant ainsi vos revenus.
- gagner du temps : Radar est intégré à Stripe et ne nécessite aucune ligne de code pour être configuré. Vous pouvez également surveiller vos performances en matière de fraude, rédiger des règles, etc. sur la même plateforme, et gagner ainsi en efficacité.
En savoir plus sur Stripe Radar, ou démarrez dès aujourd’hui.
Le contenu de cet article est fourni à des fins informatives et pédagogiques uniquement. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de solliciter l'avis d'un avocat compétent ou d'un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation.