sécurisation applicatives pour le e-commerce
DESCRIPTION
Présentation de Jean-Nicolas ITRUST sur VADEMECOM 2010TRANSCRIPT
Sécurité des paiementsSécurité du Ecommerce
Mr Piotrowski Jean-Nicolas, fondateur gérant, ITrust
LA FRAUDE SUR INTERNET
Problématique et risques
Commerçants :Perte de marge : impayés
Perte de temps : contrôles
ConsommateursContestation : mécontentement et image négative
État des lieux 2008 (taux de fraude)
Montant: 2,69%
Nombre : 2,07%
Panier Moyen : 435€ (activité…)Source Fia_Net sur 2,6 Md € analysés
La Fraude sur Internet
2 grands types de fraudes :
1/ Attaque à la fausse carte (Ecarding)
2/ Attaque sur les sites afin d’initier des transactions frauduleuses (panier à 1 Euro, attaques Paypal)
Risques et responsabilitésRisques Responsabilités
ConsommateursKeylogger, Phising…
Sécurisation de l’ordinateur
E-CommerçantsAttaque Web,
Spoofing…
Sécurisation du site et des données
Banques Carding…Sécurisation des opérations et des
données CB
Sécuriser son site de E-CommercePourquoi : Eviter la perte de données confidentielles (fichier client) Respecter les règlementations liées à la vie privée
(données client) Sécuriser son panier (éviter les paniers falsifiés) Eviter le defacing
Comment : Auditer son site régulièrement Programmer « sécurisé » Travailler avec un hébergeur de qualité
Sécuriser la transaction avec le centre de paiement
HTTPS La transaction vers la banque est elle chiffrée Traçabilité, conservation des données
Risques : The man in the middle Preuve
Moyens de paiement et authentification
La Carte Bancaire CB, Visa, Mastercard…Amex, JCB, Dinners…
Les tokens (usb, cartes, etc …) La E-Card Visa ou Matercard
Génération de n°à utilisation unique La E-Monnaie
Échange de compte à compte (Paypal…)
Authentification : 3D Sécure : Mot de passe de confirmation
Sécurité pour l’acheteur ? Garantie de paiement pour le E-Commerçant ? Information internautes ?
Les alertes à la fraude 1/2 Les ventes "miracles" Les commandes incohérentes Les adresses à risque Les "Multinationaux" (Carte – IP – Livraison)
Les contrôles possibles L’appel téléphonique… Les documents justificatifs… Le paiement de substitution
Les alertes à la fraude 2/2 Attaques de masse Ecarding Attaques de sites Spoofing d’identité
Les normes et meilleures pratiques
Normes internationales : 27001,X Normes propriétaires : PCI DSS Labels : Fianet, hackersafe, Verisign
Les 8 conseils Sécuriser son code, son système Auditer son site et son application Tracer les transactions Consolider sa comptabilité Vérifier l’HTTPS pour le paiement client Un serveur dédié (si possible) Sécuriser l’administration de son site Utiliser les bons outils afin de monitorer l’activité de son
magasin
© ITrust Cabinet de conseil en sécurité informatique : Les données et support présents sont la propriété
exclusive d’ITrust. Document à diffusion restreinte. 12
Cabinet de conseil en sécurité informatique
Lauréat E-Entreprise Labels TIC 2009
An Innovative Solutionfor Real Time Analysis
Tableau de bord décisionnel global : La Maîtrise de le Qualité de Service et de la Sécurité
Le E-commerce
C’est 20 milliard de CA généré en 2007
C’est 22,5 millions d’acheteurs internautes Français Internet au 2e trimestreUne augmentation de 7%
C’est 110 millions de transactions e-commerce, soit 5,7 commandes effectuées par cyber-acheteurs au 1er semestre 2009
C’est un panier moyen de 89€
C’est 56 000 Cybermarchands français en 2009
C’est moins de 100 transactions par mois pour 70 % des sites web de e-commercePour 1,4 % qui réalisent plus de 10 000 transactions par mois
C’est 12 501 000 de visiteurs uniques pour le site web le plus visité au 2ème trimestre 2009
Et vous ?© ITrust Cabinet de conseil en sécurité informatique : Les données et support
présents sont la propriété exclusive d’ITrust. Document à diffusion restreinte. 13
Cabinet de conseil en sécurité informatique
E-commerce & Observations
Comment augmenter la disponibilité opérationnelle de ma e-boutique ?
Quel est l'impact des contenus tiers (publicité, contenus web services importés) sur la performance perçue par vos utilisateurs ?
Comment augmenter mon niveau de performance par rapport à mes concurrents ?
Quel est le temps d'autorisation/d'acceptation de paiement par carte bancaire ?
La home page est elle toujours disponible et rapide à charger ?
Quelles sont les conséquences d’une attaque virale sur les e-revenus ?
Suis-je en train de perdre des clients / des visiteurs ?
Mon infrastructure tiendra-t-elle sous l’affluence des acheteurs de noël (Problématique de Saturation) ?
Comment anticiper la perte de bande passante ?
Comment éviter un defacing de site web, un déni de service ?
Comment corriger mon taux d’échecs de connexions ?© ITrust Cabinet de conseil en sécurité informatique : Les données et support
présents sont la propriété exclusive d’ITrust. Document à diffusion restreinte.
314
Cabinet de conseil en sécurité informatique
E-commerce & Enjeux
Retours d’expériences / Exemples concretsLes retours d’expériences des Bêta testeurs de notre solution « IKare© » :
Une multiplication par 4 du trafic en période de Noël
Un coût variable entre 2K€ et au-delà de 50K€ de prestations Web AgenciesDont les modalités contractuelles et techniques échappent à la maitrise des E-
commerçants
Un délai de 0,5 seconde supplémentaire sur une transaction panier : Perte de 20% de CA
Un ralentissement du temps de chargement des objets Web de la page d'accueil :Chute de 21% du nombre de visites
Une indisponibilité du prestataire technique (hébergeur) pendant 24h :40K€ de perte sèche
Et vous ?© ITrust Cabinet de conseil en sécurité informatique : Les données et support
présents sont la propriété exclusive d’ITrust. Document à diffusion restreinte. 15
Cabinet de conseil en sécurité informatique
E-commerce & Observations
Etes-vous préparé ?
A l’exploitation de bug de paiement en ligne permettant de modifier le montant de votre panier (ex. faire passer le montant du panier de 500€ à 0€ et passer la
commande) ?
A une indisponibilité de service de vos partenaires techniques ?
A une interruption de service de votre partenaire bancaire ?
A la détection des origines de l’indisponibilité de votre site web ?
A réagir contre la typosquatting ? Un virus ? Un trojan ?Ou toute autre problématique « économique- technique-juridique » ?
…
Nos clients : Oui.© ITrust Cabinet de conseil en sécurité informatique : Les données et support
présents sont la propriété exclusive d’ITrust. Document à diffusion restreinte. 16
Cabinet de conseil en sécurité informatique
E-commerce & Enjeux
Démonstration
Projet reconnu :• Comités experts • Retour d’avis des clients- Soutenu par Oséo
© ITrust Cabinet de conseil en sécurité informatique : Les données et support présents sont la propriété
exclusive d’ITrust. Document à diffusion restreinte. 17
IKare© Solution modulaire paramétrable sur des fonctions à valeur ajoutée évaluant
La qualité de service (QoS)La qualité de perception (QoE)
La sécuritéLa visibilité
La performanceL’intégrité
Chaine de liaison
En fonction :
Du temps (analyse temporelle)De l’atteinte des objectifs (par exemple : niveau de sécurité)
D'une configuration type ou n-1D'un lieu (sonde US <> sonde FR)
D'un media (GSM, Iphone, internet ...)D'une moyenne , comparative
Des règlementationsDes gainsDes pertesDes risques
Des best practices
Monitoring de site web E-commerce
© ITrust Cabinet de conseil en sécurité informatique : Les données et support présents sont la propriété
exclusive d’ITrust. Document à diffusion restreinte. 18
Démonstration
© ITrust Cabinet de conseil en sécurité informatique : Les données et support présents sont la propriété
exclusive d’ITrust. Document à diffusion restreinte. 19
Démonstration
Démonstration : Module CA
20© ITrust Cabinet de conseil en sécurité informatique : Les données et support présents sont la propriété exclusive d’ITrust. Document à diffusion restreinte.