Démarrer  Contacter notre équipe 

Paiements

Revenus

Gestion des fonds

Plateformes et marketplaces

Par type d'entreprise
Par cas d'usage
Par secteur
Documentation
Guides
Ressources
Formation
Service de support
Entreprise
Démarrer  Contacter notre équipe 

Mesures de sécurité pour les entreprises d’e-commerce japonaises

Radar
Radar

Luttez contre la fraude grâce à la puissance du réseau Stripe.

En savoir plus 
  1. Introduction
  2. Pourquoi les mesures de sécurité sont-elles nécessaires dans l’e-commerce ?
    1. Mesures pour prévenir les dommages liés à la fraude à la carte de crédit
    2. Protéger les données personnelles des clients
    3. Le risque continu de cyberattaques
  3. Incidents de sécurité courants affectant les entreprises d’e-commerce
    1. Arrêts du système
    2. Altération de site Web
    3. Accès non autorisé
    4. Ransomware
  4. Directives de sécurité pour les sites d’e-commerce
  5. Mesures de sécurité de base pour les sites d’e-commerce
    1. Intégrer Three-Domain Secure (3D Secure) 2.0 pour la vérification d’identité
    2. Conformité à la norme Payment Card Industry Data Security Standard (PCI DSS)
    3. Mettre en œuvre la détection de la fraude à la carte de crédit
  6. Comment répondre à une menace de sécurité dans l’e-commerce
    1. Infection par virus ou ransomware
    2. Fuites de données
    3. Arrêt du système
  7. Comment les entreprises d’e-commerce au Japon peuvent-elles améliorer la sécurité ?
  8. Comment Stripe Radar peut aider
  9. Démarrer avec Stripe 

Avec la popularité croissante des achats en ligne et des paiements numériques, les sites d’e-commerce sont devenus une partie indispensable de la vie quotidienne au Japon. Cependant, les risques de sécurité, tels que la fraude à la carte de crédit, les fuites d’informations personnelles et les cyberattaques, augmentent d’année en année. De nombreuses entreprises d’e-commerce ont du mal à déterminer comment gérer ces problèmes en raison de ressources limitées.

Dans cet article, nous expliquons les mesures de sécurité de base pour les entreprises d’e-commerce au Japon et certaines méthodes pour répondre aux paiements frauduleux et aux fuites d’informations.

Contenu de cet article

  • Pourquoi les mesures de sécurité sont-elles nécessaires dans l’e-commerce ?
  • Incidents de sécurité courants affectant les entreprises d’e-commerce
  • Directives de sécurité pour les sites d’e-commerce
  • Mesures de sécurité de base pour les sites d’e-commerce
  • Comment répondre à une menace de sécurité dans l’e-commerce
  • Comment les entreprises d’e-commerce au Japon peuvent-elles améliorer la sécurité ?
  • Comment Stripe Radar peut aider

Pourquoi les mesures de sécurité sont-elles nécessaires dans l’e-commerce ?

À mesure que le marché de l’e-commerce s’étend, les méthodes de fraude et les cyberattaques deviennent plus sophistiquées. Les dommages causés par les attaques sur les informations de carte de crédit deviennent de plus en plus graves chaque année. Par conséquent, les mesures de sécurité doivent être renforcées.

Mesures pour prévenir les dommages liés à la fraude à la carte de crédit

Selon la Japan Consumer Credit Association (JCA), les pertes dues à la fraude à la carte de crédit en 2024 ont atteint un record de ¥55,5 milliards de yens. Ce montant a plus que doublé en seulement cinq ans. Cela montre que la fraude augmente proportionnellement à la croissance du marché de l’e-commerce.

La majorité de ces pertes (c.-à-d. plus de 90 %) ont été causées par le vol de numéros de carte de crédit sur des sites d’e-commerce. Ce vol est effectué par des e-mails de phishing, de faux sites d’achat et le piratage de systèmes d’exploitation d’e-commerce. Sans contre-mesures de base, une réduction de ces pertes est peu probable. Les directives de sécurité des cartes de crédit exigent également que les entreprises d’e-commerce mettent en œuvre des mesures spécifiques.

Protéger les données personnelles des clients

Les sites d’e-commerce traitent beaucoup d’informations de carte de crédit. De plus, ils gèrent des informations personnelles, telles que des noms, adresses, numéros de téléphone et adresses e-mail. Lorsque des informations personnelles fuient, les dommages ne se limitent pas à une seule personne. En général, une grande quantité de données clients fuit, entraînant des dommages financiers majeurs et un coup porté à la réputation de l’entreprise.

Les titulaires de carte qui deviennent victimes de fraude en raison du vol de numéro pourraient constater des débits inattendus et pourraient également se sentir anxieux et insatisfaits de la fuite d’informations. Cela pourrait leur faire perdre confiance dans le site d’e-commerce. Pour restaurer la confiance, l’entreprise devrait consacrer du temps et des ressources au service client et aux enquêtes. Cependant, les fuites de données peuvent endommager la crédibilité et la rentabilité de l’entreprise dans son ensemble.

Le risque continu de cyberattaques

Les sites d’e-commerce sont des cibles attrayantes pour les cyberattaques. C’est parce qu’ils sont accessibles à tout moment et contiennent une grande quantité de données de transaction. Un rapport du Ministère de l’Économie, du Commerce et de l’Industrie (METI) souligne que l’accès non autorisé, le phishing et les piratages de systèmes de paiement sont en hausse. Ces dernières années, les méthodes d’attaque sont devenues de plus en plus sophistiquées. Elles se sont étendues pour inclure des méthodes de fraude automatisées connues sous le nom d’« attaques de type Credit Master » et des escroqueries par phishing utilisant l’intelligence artificielle (IA).

Incidents de sécurité courants affectant les entreprises d’e-commerce

De nombreux types différents d’incidents de sécurité peuvent survenir sur les sites d’e-commerce. Voici quelques exemples courants et leurs risques :

Arrêts du système

Cela se produit lorsque le site d’e-commerce s’arrête et devient indisponible en raison d’une défaillance du serveur ou du système. Lorsqu’un site s’arrête, il peut perdre des ventes et la confiance des clients. De plus, les efforts de rétablissement peuvent entraîner des coûts de main-d’œuvre et financiers.

L’agence de promotion des technologies de l’information (IPA) fournit des directives de sécurité pour la construction et l’exploitation de sites d’e-commerce qui recommandent de se préparer à ces situations en sauvegardant régulièrement les données, en introduisant des redondances, en mettant en œuvre un contrôle d’accès et en utilisant des logs.

Selon une enquête menée par l’IPA et la commission de protection des informations personnelles (PPC), la perte moyenne de ventes due à l’arrêt d’un site d’e-commerce est estimée à ¥57 millions. Le coût moyen de réponse à ce type d’incident est estimé à 240 millions de yens.

Altération de site Web

Si des virus ou des logiciels malveillants s’infiltrent dans les terminaux administrateurs ou les serveurs, ils peuvent causer des dommages aux systèmes ou aux données. Une entreprise d’e-commerce devrait installer un logiciel antivirus, mettre à jour régulièrement les systèmes d’exploitation et les logiciels, et établir un système de détection de piratage.

Selon l’Agence nationale de la police (NPA), il y a eu de multiples signalements d’un crime appelé « web skimming ». Cela implique que des programmes illégaux soient intégrés dans des sites d’e-commerce légitimes pour dérober les informations de carte bancaire des clients.

Accès non autorisé

Cela se produit lorsqu’un tiers obtient un accès non autorisé aux écrans administratifs ou aux bases de données pour voir, modifier ou supprimer des données. Les directives de sécurité mentionnées ci-dessus incluent des contre-mesures clés, telles que l’authentification multifacteur, l’évaluation des vulnérabilités, le contrôle d’accès et la détection d’anomalies de connexion.

Les sites d’e-commerce construits à l’aide de logiciels open source (OSS) pourraient être particulièrement à risque. Selon l’IPA, 97 % des sites d’e-commerce touchés ont été construits en interne, beaucoup utilisant des systèmes OSS. Bien que les systèmes OSS soient pratiques, leurs vulnérabilités sont aussi plus faciles à découvrir. Par exemple, si les correctifs ne sont pas appliqués rapidement ou correctement, un système OSS peut facilement devenir une cible pour un accès non autorisé.

Ransomware

Cette cyberattaque implique des acteurs frauduleux chiffrant des systèmes ou des données et exigeant de l’argent en échange de leur restauration. Les entreprises peuvent réduire le risque de cette attaque grâce à des sauvegardes régulières, un stockage séparé, des restrictions des privilèges d’administrateur et une formation à la récupération.

Selon un rapport de la Japan Network Security Association (JNSA), les attaques par ransomware ont causé des pertes financières de 10 millions de yens à plusieurs centaines de millions. Cela inclut les petites et moyennes entreprises, certains cas signalant des pertes dépassant 100 millions de yens.

Directives de sécurité pour les sites d’e-commerce

Les directives de sécurité pour la construction et l’exploitation de sites d’e-commerce publiées par l’IPA fournissent des directives de sécurité spécifiques pour créer et exploiter en toute sécurité des sites d’e-commerce. Elles sont principalement destinées aux petites et moyennes entreprises et aux vendeurs indépendants.

Les principales directives sont :

  • Prévenir les incidents de sécurité.
  • Corriger les vulnérabilités de conception et d’exploitation.
  • Fournir un soutien au personnel non spécialiste.
  • Clarifier les responsabilités entre les parties concernées pour les systèmes internes et externalisés.

Les directives de sécurité sont plus qu’un manuel technique. Elles articulent le travail opérationnel et la prise de décision en soulignant l’importance des mesures de sécurité en tant que décisions de gestion. De plus, les directives fournissent des exemples de causes, d’effets et de risques d’incidents de sécurité qui se sont produits ou pourraient se produire.

Cause

Effet et risque

Avoir des vulnérabilités de système de gestion de contenu (CMS) qui mènent à une altération du site

Les données personnelles, y compris les informations de carte de crédit, pourraient fuiter

Fuite des identifiants et mots de passe des écrans d’administration

Des tiers pourraient voir ou supprimer des données clients confidentielles

Confier l’évaluation de la configuration du système et des vulnérabilités à des prestataires sans former le personnel interne

Lorsqu’un incident survient, la cause pourrait ne pas être facilement identifiée, prolongeant l’incident et son impact

Rendre l’environnement de développement et les pages de test accessibles au public

Des acteurs frauduleux potentiels peuvent voir les vulnérabilités, laissant le système susceptible d’intrusion

Négliger les mises à jour et les paramètres Secure Sockets Layer (SSL)

Les risques d’« attaques man-in-the-middle » et d’interception des communications augmentent

Dans tous les cas d’incidents de sécurité, la cause principale est un manque de clarté concernant qui est responsable et ce qui doit être protégé. Les directives divisent les mesures de sécurité en trois catégories basées sur les parties impliquées dans la prévention des incidents. Elles clarifient et expliquent également les rôles de chaque partie.

Les opérateurs de sites d’e-commerce devraient :

  • Décider des politiques de création, de construction et d’exploitation du site
  • Clarifier l’externalisation et la sélection des fournisseurs, les contrats et la gestion
  • Établir une politique de protection des informations clients

Les fournisseurs de développement et de construction devraient :

  • Concevoir et mettre en œuvre des systèmes sans vulnérabilité
  • Effectuer des vérifications et des tests
  • Mettre à jour et gérer les logiciels

Les fournisseurs d’exploitation et de maintenance devraient :

  • Effectuer des actions régulières de gestion des vulnérabilités sur les serveurs et les logiciels
  • Établir des systèmes de gestion des logs et de surveillance
  • Établir un plan de réponse en cas d’incident

Mesures de sécurité de base pour les sites d’e-commerce

Pour de nombreuses entreprises, il peut sembler compliqué de mettre à jour et de renforcer les mesures de sécurité. Cependant, il est important de commencer par des étapes simples qui peuvent être faites immédiatement, telles que le renforcement des mots de passe et la révision des paramètres de partage. Ensuite, les entreprises peuvent progressivement construire des systèmes de sécurité robustes. Voici quelques mesures spécifiques que les entreprises d’e-commerce devraient envisager :

Intégrer Three-Domain Secure (3D Secure) 2.0 pour la vérification d’identité

3D Secure 2.0 est un système qui améliore l’authentification d’identité pour les paiements par carte bancaire. Les codes d’accès à usage unique et l’authentification biométrique peuvent empêcher les paiements non autorisés qui utilisent des tactiques d’usurpation d’identité.

Ce système offre également une expérience client améliorée par rapport aux méthodes par mot de passe conventionnelles, tout en équilibrant sécurité et praticité. Cela l’a rendu de plus en plus populaire parmi les sociétés de cartes de crédit et les prestataires de services de paiement. Les sites d’e-commerce qui n’ont pas encore intégré 3D Secure sont à risque de rétrofacturations et de refus de transaction. Par conséquent, les entreprises d’e-commerce devraient envisager de l’adopter tôt.

Conformité à la norme Payment Card Industry Data Security Standard (PCI DSS)

La norme PCI DSS est une norme de sécurité internationale pour les entreprises qui traitent des informations de carte de crédit. Cette norme fournit des spécifications détaillées, telles que le chiffrement des informations, le contrôle d’accès et la gestion des logs. Une conformité stricte est requise lors du traitement des informations de carte en interne.

Cependant, gérer toutes ces exigences en interne peut être un fardeau important, donc de nombreuses entreprises utilisent des prestataires de services de paiement conformes à la norme PCI DSS pour réduire ce fardeau tout en respectant les exigences.

Mettre en œuvre la détection de la fraude à la carte de crédit

Les transactions frauduleuses ne sont pas toujours évidentes au début. Souvent, les entreprises les découvrent après que les achats ont été effectués. Cela rend important d’avoir un système qui détecte et répond aux signes de transactions frauduleuses en temps réel, surtout avant que les transactions ne soient faites ou réglées. Voici quelques qualités qui devraient signaler des transactions comme suspectes :

  • Accès depuis des zones avec un historique de fraude
  • Entrées de carte consécutives depuis la même adresse IP (Internet Protocol)
  • Informations client et nom du titulaire de la carte ne correspondant pas
  • Multiples achats de grande valeur sur une courte période

Utiliser un système qui bloque ou met automatiquement en attente les transactions pour vérification lorsqu’elles sont classées comme risquées peut prévenir les dommages avant qu’ils ne surviennent.

Comment répondre à une menace de sécurité dans l’e-commerce

Mettre en œuvre des mesures de sécurité peut aider à réduire l’occurrence des incidents de sécurité. Cependant, l’augmentation du nombre de cas de fraude signifie que la plupart des entreprises sont susceptibles de subir une brèche de sécurité d’une sorte ou d’une autre. Cela peut se produire même si l’entreprise met en place des contre-mesures. Voici quelques moyens de répondre à des incidents de sécurité spécifiques :

Infection par virus ou ransomware

Arrêtez d’utiliser l’ordinateur ou le serveur infecté, et déconnectez-le du réseau. Après cela, signalez l’incident aux partenaires commerciaux et clients affectés, ainsi qu’à toute agence gouvernementale pertinente. Par exemple, au Japon, les infections par virus et ransomware doivent être signalées à l’IPA. Ensuite, procédez à votre enquête et aux travaux de restauration. Sauvegarder les données régulièrement peut minimiser les dommages de ce type d’incident.

Fuites de données

Les fuites de données incluent l’accès non autorisé aux réseaux, les activités illégales commises par des employés (c.-à-d. une mauvaise conduite interne), les e-mails mal dirigés et la publication accidentelle sur le Web. Si cela se produit, confirmez le type et la quantité de données qui ont fuité, ainsi que l’état des mesures de sécurité telles que le chiffrement et les restrictions d’accès.

En cas d’accès non autorisé, déconnectez immédiatement l’appareil du réseau et suspendez les services. C’est important car il y a un risque que des informations personnelles ou des informations confidentielles soient divulguées. Si des informations de carte de crédit ou de compte ont fuité, contactez la société de carte de crédit et faites suspendre le(s) compte(s).

Dans le cas d’une mauvaise conduite interne, restreignez l’accès aux systèmes internes et préservez les preuves, telles que les ordinateurs personnels. Si des e-mails ont été envoyés aux mauvais destinataires, contactez-les et demandez-leur de supprimer les e-mails. Si des informations ont été publiées par erreur sur le site Web de l’entreprise, supprimez-les immédiatement ou restreignez l’accès pour qu’elles ne puissent pas être vues de l’extérieur de l’organisation.

Après avoir pris ces mesures, assurez-vous de signaler et de notifier les parties concernées selon les besoins :

  • Si des informations fuitées (telles que des informations de compte) pouvaient être utilisées à mauvais escient, alertez les individus et entreprises affectés pour prévenir des dommages secondaires.
  • Si des informations personnelles fuitent, signalez-le à la PPC.
  • Si la cause de la fuite d’informations est de nature criminelle (telle qu’un accès non autorisé ou une mauvaise conduite interne), signalez les détails à la police.
  • Si la cause de la fuite d’informations est un virus informatique ou un accès non autorisé, signalez l’incident au bureau de signalement de l’IPA.

Ensuite, enquêtez sur la portée, la cause et les dommages des informations fuitées. Puis, procédez aux efforts de rétablissement pour prévenir la récidive.

Arrêt du système

Si un arrêt du système se produit, il peut être difficile d’identifier immédiatement la cause. Les causes potentielles incluent une défaillance générale de l’équipement et des brèches de sécurité, telles que des cyberattaques et des bugs logiciels. Si la cause est inconnue, l’entreprise devrait réagir comme s’il s’agissait d’un problème de sécurité.

S’il y a des dysfonctionnements système, des pannes, des arrêts ou des signes imminents que l’un d’eux pourrait survenir, contactez l’administrateur système ou le responsable de la sécurité de l’information. Selon la situation, la partie responsable pourrait basculer ou arrêter les serveurs si nécessaire.

Après cela, contactez les partenaires commerciaux et signalez l’incident aux agences gouvernementales pertinentes. S’il y a un virus ou un accès non autorisé, signalez-le au bureau de signalement de l’IPA. Enquêtez sur la cause de l’incident et procédez à la restauration et à la prévention de la récidive.

Comment les entreprises d’e-commerce au Japon peuvent-elles améliorer la sécurité ?

Les mesures de sécurité e-commerce sont importantes pour protéger les opérations quotidiennes. Peu importe la taille de l’entreprise, la fraude à la carte bancaire et les fuites de données sont toujours des risques que les entreprises doivent s’efforcer de combattre.

Ces dernières années, il est devenu plus facile d’adopter et d’intégrer une variété de mesures, telles que 3D Secure, pour renforcer la vérification d’identité (c.-à-d. les procédures Know Your Customer [KYC]). Les entreprises peuvent également suivre les normes de l’industrie, telles que la norme PCI DSS, et introduire des services de détection de fraude. Il est important de rester vigilant et de prendre des mesures proactives à l’avance. Ce n’est pas parce qu’une entreprise n’a pas rencontré de problèmes de sécurité qu’elle doit se relâcher. Les propriétaires d’entreprises devraient renforcer les mesures de sécurité pour leurs sites d’e-commerce afin d’assurer la fiabilité, la confiance et la continuité de leurs entreprises d’e-commerce.

Comment Stripe Radar peut aider

Stripe Radar utilise des modèles d’IA pour détecter et prévenir la fraude, entraînés sur des données du réseau mondial de Stripe. Il met à jour continuellement ces modèles en fonction des dernières tendances de fraude, protégeant votre entreprise à mesure que la fraude évolue.

Stripe propose également Radar for Fraud Teams, qui permet aux utilisateurs d’ajouter des règles personnalisées traitant des scénarios de fraude spécifiques à leurs entreprises et d’accéder à des analyses avancées sur la fraude.

Radar peut aider votre entreprise :

  • Prévenir les pertes dues à la fraude : Stripe traite plus de 1 000 milliards de dollars de paiements par an. À ce niveau d’échelle, Radar peut détecter et prévenir la fraude avec précision, ce qui vous permet de réaliser des économies.
  • Augmenter les revenus : Les modèles d’IA de Radar sont entraînés sur des données réelles de litiges, des informations clients, des données de navigation, et plus encore. Cela permet à Radar d’identifier les transactions risquées et de réduire les faux positifs, augmentant vos revenus.
  • Gagner du temps : Radar est intégré à Stripe et ne nécessite aucune ligne de code pour être configuré. Vous pouvez également surveiller vos performances anti-fraude, écrire des règles, et plus encore dans une plateforme unique, augmentant l’efficacité.

En savoir plus sur Stripe Radar, ou démarrer aujourd’hui.

Le contenu de cet article est fourni à des fins informatives et pédagogiques uniquement. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de solliciter l'avis d'un avocat compétent ou d'un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation.

Plus d'articles

  • Un problème est survenu. Veuillez réessayer ou contacter le service de support.

Envie de vous lancer ?

Créez un compte et commencez à accepter des paiements rapidement, sans avoir à signer de contrat ni à fournir vos coordonnées bancaires. N'hésitez pas à nous contacter pour discuter de solutions personnalisées pour votre entreprise.
Radar

Radar

Luttez contre la fraude grâce à la puissance du réseau Stripe.

Documentation Radar

Utilisez Stripe Radar pour protéger votre entreprise contre la fraude.