E-Commerce One to One 2017 : Security is a feature

Sécurité de l'information
E-Commerce One to One 2017 : Security is a feature

Cette année Advens a participé pour la première fois au salon e-Commerce 1to1 à Monaco, l’évènement de référence dans ce secteur. Du 22 au 24, plus de 1500 distributeurs se sont réunis, des pure players aux commerçants traditionnels, des marques aux distributeurs. Nous avons souhaité rencontrer ce public de décideurs et de responsables Métier pour poursuivre nos efforts de développement et de sensibilisation dans ce secteur.

 

Définir la bonne stratégie de sécurité est un vrai défi pour un acteur du e-Commerce. D’une part : la protection des données, la résilience des infrastructures et la détection des menaces. De l’autre : l’expérience Client, l’ouverture des systèmes et le « tic tac » du go-to-market. Plus que jamais la sécurité doit être intégrée au cœur des réflexions et des projets du commerce connecté.

 

Pourquoi parler de sécurité ?

Nous avons partagé notre vision lors d’un atelier sur le sujet. Cette intervention a illustré la démarche de sécurité suivie par Auchan e-Commerce France, telle que l’a expliqué Sébastien Dalle, CTO et CISO de la structure. Avec un trafic de plus de 200 millions de visiteurs annuels, le site du distributeur français est exposé à de nombreuses menaces. Si la sécurité n’est pas le cœur de métier de l’enseigne, le constat est désormais limpide : il n’est plus possible de faire l’impasse du sujet. Les enjeux de protection, de confiance, de conformité et surtout de développement du business sont trop importants.

 

« Security is a feature »

Lors du projet de refonte du site de vente en ligne, l’approche autour de la sécurité s’est résumée autour de cet adage : « la sécurité est une fonctionnalité ». Avec les méthodes agiles, centrées sur le produit, les fonctionnalités les plus techniques doivent être traitées avec soin – même s’il serait facile de penser qu’elles n’apportent pas de valeur directe au produit.

La sécurité a été traitée comme la performance et le SEO : des exigences fonctionnelles à intégrer dans chaque sprint, au même titre que le parcours du client sur le site ou la gestion du panier ! Sur cette base, il a fallu faciliter la prise en compte de ces exigences, mais aussi la mise en place des mesures associées.

La meilleure solution aura été de valoriser l’apport de la sécurité. Outre la confiance Client et la conformité, notions capitales mais intangibles, il faut chercher des gains très concrets. A titre d’exemple, un dispositif efficace de filtrage contre les bad bots et le trafic automatisé a permis des économies d’infrastructure considérables. Quoi de plus logique lorsque 50% des clics ne sont pas convertis en achat et qu’ils ne servent qu’à alimenter des comparateurs de prix ?

 

Une démarche qui doit fédérer

Au quotidien, sur le projet, les problématiques de sécurité n’ont pas été traitées que par le CISO.  Comme toujours en sécurité il ne s’agit pas que d’une histoire de serveurs. La sécurité a permis de dompter le shadow IT. Le CISO s’est mué en un véritable guide des équipes Métier dans la jungle des prestataires de marketing digital. Certes les commerçants rêvent de  connaitre leurs clients sur le bout des doigts. Mais il faut le faire avec des solutions fiables, opérées par des acteurs solides, dont les pratiques respectent les attentes du GDPR.

L’approche Sécurité, intégrant les conformités CNIL et PCI-DSS notamment, a permis de cadrer la mise en  place des solutions  de DPM et de Data analytics. Les fournisseurs doivent s’aligner avec la politique de sécurité de l’enseigne – et pour ces acteurs, les certifications ISO 27001 sont parfois de précieux sésames.

 

Des projets tous concernés

La sécurité n’est donc plus une option pour le e-Commerce, en particulier pour les commerçant « clicks and mortar ». Le sujet dépasse le strict cadre technique et ne concerne pas que le point de vente, qu’il serait trompeur de réduire au site Web. Comment garantir au client la promesse de l’enseigne sans une logistique sans faille ? Que faire si l’un des maillons de la chaine n’est plus disponible ? Pourquoi sécuriser la base Clients du e-Commerce si ces données peuvent fuiter via les outils présents en magasin ?

Ces questions soulignent la nécessité d’une démarche de sécurité positive, à valeur ajoutée pour les parties prenantes. Et la démarche doit s’étendre à toutes les initiatives autour du numérique. Les mesures de protection vont devoir se mettre à l’échelle des projets de Big Data et d’analyse massive de la donnée. Les méthodes d’audit doivent s’adapter aux objets connectés et capteurs que l’on commence à déployer en points de vente ou en entrepôts.

Au final, le secteur de la distribution est révélateur de la situation vécue ou à venir par les secteurs en pleine « digitalisation ». Le numérique et les services en ligne deviennent le nouveau relais de croissance : c’est un actif de grande importance que l’entreprise doit protéger. La sécurité est plus que jamais essentielle pour maitriser le développement économique apporté par le numérique.

Benjamin Leroux, Consultant senior en Sécurité des Systèmes d'Informations, Advens