Avec la popularité croissante des achats en ligne et des paiements numériques, les sites de commerce en ligne sont devenus un élément indispensable de la vie quotidienne au Japon. Cependant, les risques de sécurité, tels que la fraude par carte de crédit, les fuites de données personnelles et les cyberattaques, augmentent d’année en année. De nombreuses entreprises de commerce en ligne ont du mal à comprendre comment gérer ces problèmes en raison de ressources limitées.

Dans cet article, nous expliquons les mesures de sécurité de base pour les entreprises de commerce en ligne au Japon et certaines méthodes pour répondre aux paiements frauduleux et aux fuites d’informations.

Sommaire

• Pourquoi les mesures de sécurité sont-elles nécessaires dans le commerce en ligne?
  
• Incidents de sécurité courants affectant les entreprises de commerce en ligne
  
• Consignes de sécurité pour les sites de commerce en ligne
  
• Mesures de sécurité de base pour les sites de commerce en ligne
  
• Comment réagir à une menace de sécurité dans le commerce en ligne
  
• Comment les entreprises de commerce en ligne au Japon peuvent-elles améliorer la sécurité?
  
• Comment Stripe Radar peut aider
  

Pourquoi les mesures de sécurité sont-elles nécessaires dans le commerce en ligne?

À mesure que le marché du commerce en ligne se développe, les méthodes de fraude et de cyberattaques deviennent plus sophistiquées. Les dommages causés par les attaques sur les informations de carte de crédit deviennent de plus en plus graves chaque année. Par conséquent, les mesures de sécurité doivent être renforcées.

Mesures pour prévenir les dommages liés à la fraude par carte de crédit

Selon l’ Association japonaise de crédit à la consommation (JCA), les pertes liées à la fraude par carte de crédit ont atteint un niveau record de 55,5 milliards de yens en 2024. Ce montant a plus que doublé en seulement cinq ans, ce qui montre que la fraude croît proportionnellement à l’expansion du marché du commerce en ligne.

La majorité de ces pertes (c’est-à-dire plus de 90 %) ont été causées par le vol de numéros de carte de crédit sur les sites de commerce en ligne. Ce vol est réalisé par le biais de courriels de phishing, de sites de vente factices et du piratage des systèmes de gestion des sites de commerce en ligne. Sans contre-mesures de base, il est peu probable que ces pertes diminuent. Les directives en matière de sécurité des cartes de crédit exigent également que les entreprises de commerce en ligne mettent en place des mesures spécifiques.

Protéger les données personnelles des clients

Les sites de commerce en ligne traitent beaucoup d’informations sur les cartes de crédit. De plus, ils traitent des données personnelles, notamment les noms, les adresses, les numéros de téléphone et les adresses courriel. Lorsque des données personnelles fuitent, les dommages ne se limitent pas à une seule personne. En règle générale, une grande quantité de données clients fuite, ce qui entraîne des dommages financiers importants et un coup à la réputation de l’entreprise.

Les titulaires de carte qui sont victimes de fraude en raison d’un vol de numéro peuvent se retrouver avec des frais inattendus et ressentir de l’anxiété ou de l’insatisfaction face à la fuite d’informations. Cela peut leur faire perdre confiance dans le site de commerce en ligne. Pour rétablir cette confiance, l’entreprise doit consacrer du temps et des ressources au service client et aux enquêtes. Cependant, les fuites de données peuvent nuire à la crédibilité et à la rentabilité de l’entreprise dans son ensemble.

Le risque permanent de cyberattaques

Les sites de commerce en ligne sont des cibles attrayantes pour les cyberattaques. En effet, ils sont accessibles à tout moment et incluent une grande quantité de données de transaction. Un rapport duMinistère de l’Économie, du Commerce et de l’Industrie (METI) souligne que les accès non autorisés, le phishing et les piratages de systèmes paiement sont en augmentation. Ces dernières années, les méthodes d’attaque sont devenues de plus en plus sophistiquées. Elles se sont élargies pour inclure des méthodes de fraude automatisées connues sous le nom de « crédit master attaques » et les escroqueries par hameçonnage utilisant l’intelligence artificielle (IA).

Incidents de sécurité courants affectant les entreprises de commerce en ligne

De nombreux types d’incidents de sécurité peuvent se produire sur les sites de commerce en ligne. Voici quelques exemples courants et leurs risques :

Arrêts du système

Cela se produit lorsque le site de commerce en ligne ferme et devient indisponible en raison d’une défaillance du serveur ou du système. Lorsqu’un site ferme, il peut perdre des ventes et la confiance des clients. De plus, les efforts de récupération peuvent entraîner des coûts sur le plan de la main-d’œuvre et sur le plan financier.

L’Agence de promotion des technologies de l’information (IPA) fournit des Directives en matière de sécurité pour la création et l’exploitation de sites de commerce en ligne qui recommandent de se préparer à ces situations en sauvegardant régulièrement les données, en introduisant des redondances, en mettant en place un contrôle d’accès et en utilisant journaux.

Selon une enquête menée par l’IPA et la Commission de protection des informations personnelles (PPC), la perte moyenne de ventes due à la fermeture d’un site de commerce en ligne est estimée à [57 millions de yens]](https://www.ppc.go.jp/files/pdf/220316_shiryou-2-2.pdf). Le coût moyen de l’intervention en cas d’incident de ce type est estimé à 240 millions de yens.

Modification du site web

Si des virus ou des logiciels malveillants s’infiltrent dans les terminaux ou les serveurs des administrateurs, ils peuvent endommager les systèmes ou les données. Une entreprise de commerce en ligne doit installer un logiciel antivirus, mettre régulièrement à jour les systèmes d’exploitation et les logiciels, et établir un système de détection des piratages.

Selon l’ Agence nationale de police (NPA), il y a eu plusieurs rapports d’un crime appelé « web skimming ». Cela implique l’intégration de programmes illégaux dans des sites de commerce en ligne légitimes pour acquérir les informations des cartes des clients.

Accès non autorisé

Cela se produit lorsqu’un tiers obtient un accès non autorisé à des écrans administratifs ou à des bases de données pour afficher, modifier ou supprimer des données. Les directives de sécurité mentionnées ci-dessus incluent des contre-mesures clés, telles que l’authentification multifacteur, l’évaluation des vulnérabilités, le contrôle d’accès et la détection des anomalies de connexion.

Les sites de commerce électronique créés à l’aide de logiciels collaboratifs (OSS) pourraient être particulièrement à risque. Selon l’IPA, 97 % des sites de commerce en ligne concernés ont été construits en interne, beaucoup utilisant des systèmes OSS. Bien que les systèmes OSS soient pratiques, leurs vulnérabilités sont également plus faciles à découvrir. Par exemple, si les correctifs ne sont pas appliqués rapidement ou correctement, un système OSS peut facilement devenir la cible d’un accès non autorisé.

Rançongiciel

Cette cyberattaque implique des acteurs frauduleux qui chiffrent des systèmes ou des données et exigent de l’argent en échange de leur restauration. Les entreprises peuvent réduire le risque de cette attaque en effectuant des sauvegardes régulières, en utilisant un stockage séparé, en limitant les privilèges administratifs et en formant le personnel aux procédures de récupération.

Selon un rapport de l' Association japonaise de sécurité des réseaux (JNSA), les attaques de rançongiciel ont causé des pertes financières qui vont de 10 à plusieurs centaines de millions de yens. Il s’agit notamment des petites et moyennes entreprises, dont certaines ont signalé des pertes supérieures à 100 millions de yen.

Consignes de sécurité pour les sites de commerce en ligne

Les directives de sécurité pour la création et l’exploitation de sites de commerce électronique, publiées par l’IPA, fournissent des recommandations précises pour concevoir et exploiter en toute sécurité des sites de vente en ligne. Elles s’adressent principalement aux petites et moyennes entreprises ainsi qu’aux commerçants indépendants.

Les principales lignes directrices sont les suivantes :

• Prévenir les incidents de sécurité.
  
• Corriger les vulnérabilités en ce qui concerne la conception et l’exploitation.
  
• Apporter un soutien au personnel non spécialisé.
  
• Clarifier les responsabilités des parties concernées pour les systèmes internes et ceux externes.
  

Les directives de sécurité sont plus qu’un simple manuel technique. Elles combinent le travail pratique et la prise de décision en soulignant l’importance des mesures de sécurité dans la gestion. De plus, elles fournissent des exemples de causes, d’effets et de risques d’incidents de sécurité, qu’ils se soient produits ou pourraient se produire.

Dans tous les cas d’incidents de sécurité, la cause principale est un manque de clarté quant aux responsabilités et aux éléments à protéger. Les lignes directrices répartissent les mesures de sécurité en trois catégories, selon les parties impliquées dans la prévention des incidents. Elles précisent et expliquent également le rôle de chacune de ces parties.

Les opérateurs de sites de commerce en ligne doivent :

• Décider de la création du site et des politiques de construction et d’exploitation
  
• Clarifier l’externalisation et la sélection des fournisseurs, les contrats et la gestion
  
• Établir une politique de protection des informations des clients
  

Les fournisseurs de services d’aménagement et de construction doivent :

• Concevoir et mettre en œuvre des systèmes sans vulnérabilité
  
• Effectuer des vérifications et des tests
  
• Mettre à jour et gérer les logiciels
  

Les fournisseurs chargés de l’exploitation et de la maintenance devraient :

• Réaliser un suivi régulier des vulnérabilités des serveurs et logiciels
  
• Mettre en place des systèmes de gestion et de surveillance des journaux
  
• Mettre en place un système d’intervention en cas d’accident
  

Mesures de sécurité de base pour les sites de commerce en ligne

Pour de nombreuses entreprises, il peut sembler compliqué de mettre à jour et de renforcer les mesures de sécurité. Cependant, il est important de commencer par des étapes simples qui peuvent être effectuées immédiatement, notamment le renforcement des mots de passe et la révision des paramètres de partage. Ensuite, les entreprises peuvent progressivement mettre en place des systèmes de sécurité robustes. Voici quelques mesures spécifiques que les entreprises de commerce en ligne devraient envisager :

Intégrez Three-Domain Secure (3D Secure) 2.0 pour la vérification d’identité

3D Secure 2.0 est un système qui améliore l’authentification de l’identité pour les paiements par carte de crédit. Les codes d’accès à usage unique et l’authentification biométrique peuvent empêcher les paiements non autorisés qui utilisent des tactiques d’usurpation d’identité.

Ce système offre également une expérience client améliorée par rapport aux méthodes de mot de passe conventionnelles, tout en équilibrant sécurité et commodité. Cela l’a rendu de plus en plus populaire parmi les sociétés de cartes de crédit et les fournisseurs de solutions de paiement. Les sites de commerce en ligne qui n’ont pas encore intégré 3D Secure s’exposent à des oppositions au paiement et à des refus de transaction. Par conséquent, les entreprises de commerce en ligne devraient envisager de l’adopter dès le début.

Conformité aux normes en matière de sécurité des données de l’industrie des cartes de paiement (PCI DSS)

PCI DSS est une norme de sécurité internationale pour les entreprises qui gèrent des informations de carte de crédit. Cette norme fournit des spécifications détaillées, telles que le chiffrement des informations, le contrôle d’accès et la gestion des journaux. Une conformité stricte est requise lors de la manipulation interne des informations de carte.

Cependant, la gestion de toutes ces exigences en interne peut représenter un fardeau important, c’est pourquoi de nombreuses entreprises font appel à des agents de paiement conformes à la norme PCI DSS afin de réduire cette charge tout en respectant les exigences.

Mettre en place un système de détection de la fraude par carte de crédit

Les transactions frauduleuses ne sont pas toujours détectables au premier abord. Souvent, les entreprises les découvrent une fois les achats terminés. Il est donc important de disposer d’un système capable de détecter et de répondre aux signes de transactions frauduleuses en temps réel, surtout avant que les transactions ne soient effectuées ou réglées. Voici quelques éléments qui devraient permettre de signaler des transactions comme suspectes :

• Accès à partir de zones ayant des antécédents en matière de fraude
  
• Entrées consécutives de carte à partir de la même adresse IP (Internet Protocol)
  
• Informations client et nom du titulaire de la carte incompatibles
  
• Plusieurs achats de grande valeur dans un court laps de temps
  

L’utilisation d’un système qui bloque ou retient automatiquement les transactions pour qu’elles soient vérifiées lorsqu’elles sont classées comme risquées peut prévenir les dommages avant qu’ils ne se produisent.

Comment répondre à une menace de sécurité dans le commerce en ligne

La mise en œuvre de mesures de sécurité peut contribuer à réduire l’occurrence d’incidents de sécurité. Cependant, l’augmentation du nombre de cas de fraude signifie que la plupart des entreprises sont susceptibles de subir une violation de la sécurité d’une manière ou d’une autre. Cela peut se produire même si l’entreprise met en place des contre-mesures. Voici quelques façons de réagir à des incidents de sécurité spécifiques :

Infection virale ou rançongiciel

Arrêtez d’utiliser l’ordinateur ou le serveur infecté et dissociez-le du réseau. Ensuite, signalez l’incident aux entreprises partenaires concernées et aux clients, ainsi qu’à tous les organismes gouvernementaux concernés. Par exemple, au Japon, les infections par virus et rançongiciels doivent être signalées à l’IPA. Ensuite, procédez à vos travaux d’investigation et de restauration. Une sauvegarde régulière des données permet de minimiser les dommages causés par ce type d’incident.

Fuites de données

Les fuites de données comprennent l’accès non autorisé aux réseaux, les activités illégales commises par les employés (c’est-à-dire une mauvaise conduite en interne), les courriels mal acheminés et la publication accidentelle sur le Web. Si cela se produit, confirmez le type et la quantité de données qui ont fuité, ainsi que l’état des mesures de sécurité, notamment le chiffrement et les restrictions d’accès.

En cas d’accès non autorisé, dissociez immédiatement l’appareil du réseau et suspendez les services. Il est important de le faire, car il existe un risque de fuite de données personnelles ou d’informations confidentielles. En cas de fuite d’carte de crédit ou d’informations compte, contactez le carte entreprise de crédit et faites suspendre le ou les compte.

En cas d’inconduite interne, limitez l’accès aux systèmes internes et conservez les preuves, notamment les ordinateurs personnels. Si les courriels ont été envoyés aux mauvais bénéficiaires, contactez-les et demandez leur de supprimer les courrie²ls. Si des informations ont été publiées par erreur sur le site Web de l’entreprise, supprimez-les immédiatement ou restreignez-en l’accès afin qu’elles ne puissent pas être consultées de l’extérieur de l’organisation.

Après avoir pris ces mesures, assurez-vous de signaler et d’informer les parties concernées si nécessaire :

• Si des renseignements divulgués, comme des renseignements sur les comptes, pourraient être utilisés à mauvais escient, alertez les personnes et les entreprises concernées afin d’éviter des dommages secondaires.
  
• En cas de fuite de données personnelles, signalez-le au PPC.
  
• Si la cause de la fuite d’information est de nature criminelle, comme un accès non autorisé ou une inconduite interne, signalez les détails à la police.
  
• Si la cause de la fuite d’information est un virus informatique ou un accès non autorisé, signalez l’incident au bureau de signalement de l’IPA.
  

Ensuite, enquêtez sur la portée, la cause et les dommages causés par les informations divulguées. Ensuite, poursuivez les efforts de récupération pour éviter que cela ne se reproduise plus.

Arrêt du système

En cas d’arrêt du système, il peut être difficile d’en identifier immédiatement la cause. Les causes potentielles comprennent les pannes générales de l’équipement et les failles de sécurité, telles que les cyberattaques et les bogues logiciels. Si la cause est inconnue, l’entreprise doit réagir comme s’il s’agissait d’un problème de sécurité.

En cas de dysfonctionnement du système, de pannes, d’arrêts ou de signes imminents qu’un dysfonctionnement du système pourrait se produire, contactez l’administrateur système ou le responsable de la sécurité de l’information. Selon la situation, la partie responsable peut basculer ou arrêter les serveurs si nécessaire.

Ensuite, contactez les partenaires commerciaux et signalez l’incident aux organismes gouvernementaux compétents. S’il s’agit d’un virus ou d’un accès non autorisé, informez-en le bureau de signalement de l’IPA. Analysez la cause de l’incident, puis procédez à la restauration et à la prévention de toute récurrence.

Comment les entreprises de commerce en ligne au Japon peuvent-elles améliorer la sécurité?

Les mesures de sécurité pour le commerce en ligne sont importantes pour protéger les opérations quotidiennes. Quelle que soit la taille de l’entreprise, la fraude par carte et les fuites de données représentent toujours un risque que les entreprises doivent s’efforcer de combattre.

Ces dernières années, il est devenu plus facile d’adopter et d’intégrer diverses mesures, telles que 3D Secure, pour renforcer la vérification d’identité (c’est-à-dire les procédures de connaissance du client [KYC]). Les entreprises peuvent également se conformer aux normes du secteur, telles que PCI DSS, et mettre en place des services de détection des fraudes. Il est important de rester vigilant et de prendre des mesures proactives à l’avance. Ce n’est pas parce qu’une entreprise n’a pas été confrontée à des problèmes de sécurité qu’elle doit se reposer sur ses lauriers. Les propriétaires d’entreprise doivent renforcer les mesures de sécurité de leurs sites de commerce en ligne afin d’assurer la fiabilité, la confiance et la continuité de leurs activités en ligne.

Comment Stripe Radar peut aider

Stripe Radar utilise des modèles d’IA pour détecter et prévenir la fraude, entraînés sur les données du réseau mondial de Stripe. Il met continuellement à jour ces modèles en fonction des dernières tendances en matière de fraude, protégeant ainsi votre entreprise au fur et à mesure que la fraude évolue.

Stripe propose également Radar for Fraud Teams, qui permet aux utilisateurs d’ajouter des règles personnalisées afin de traiter des scénarios de fraude spécifiques à leurs entreprises et d’accéder à des informations avancées sur la fraude.

Radar peut aider votre entreprise à :

• Prévenir les pertes dues à la fraude : Stripe traite plus de 1 trillion de dollars en paiements chaque année. Cette échelle permet à Radar de détecter et de prévenir la fraude avec précision, vous faisant économiser de l’argent.
  
• Augmenter les revenus : les modèles d’IA de Radar sont formés sur des données réelles de litiges, d’informations clients, de données de navigation, et plus encore. Cela permet à Radar d’identifier les transactions à risque et de réduire les faux positifs, augmentant ainsi vos revenus.
  
• Gagner du temps : Radar est intégré à Stripe et ne nécessite aucune ligne de code pour être configuré. Vous pouvez également surveiller vos performances en matière de fraude, rédiger des règles, et plus encore sur une seule plateforme, augmentant ainsi l’efficacité.
  

Pour en savoir plus sur Stripe Radar, ou démarrer dès aujourd’hui.