Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Les ch’tis, le Cercle et l’e-commerce

auteur de l'article Jerome Saiz , dans la rubrique Marché

Commentaires Commentaires fermés sur Les ch’tis, le Cercle et l’e-commerce

Quoi de plus normal pour Lille, capitale historique de la vente à distance, que de s’intéresser de près au commerce électronique ? Et par extension, bien sûr, à sa sécurité ?

C’est en tout cas l’observation faite par Joseph Graceffa, Directeur Technique d’ADVENS et vice-président et coordinateur du club RSSI Infonord. Il participait récemment à la première soirée Lilloise du pourtant très parisien Cercle Européen de la Sécurité . Le débat était animé par Thierry Evangelista , coordinateur du Cercle, et Mauro Israël , habitué de ces tribunes.

En guise d’introduction du sujet, les quelques quatre vingt participants ont pu revoir des extraits du reportage consacré à la cyber-criminalité et diffusé récemment sur France 2. Dès lors le débat était posé : à l’image de certaines banques en ligne, la vente électronique doit-elle migrer elle aussi vers des solutions d’authentification forte afin de palier la faiblesse du mot de passe traditionnel ? (le login-passoire, comme l’appelle Mauro Israel).

Au delà de l’aspect purement sécuritaire, Joseph Graceffa a d’ailleurs fait observer que de telles solutions peuvent aussi contribuer à conserver des clients en ligne. Car à l’image de la victime montrée dans le reportage bien des internautes, une fois dépouillés, sont des clients perdus pour le commerce électronique.

Reste la question du coût du déploiement de ces outils auprès d’un public très large. Pour Jospeh Graceffa, les internautes belges ou britanniques sont souvent déjà équipés – par leur banque – de telles « calculatrices » et autres jetons d’authentification forte. Est-il alors imaginable qu’un même outil d’authentification forte puisse un jour être mutualisé entre une banque et des sites de commerce électronique ? (considérant l’absence criante déjà de certificats multi-usages, et une certaine « territorialité » des banques, cela semble toutefois compromis, nldr)

Ce ne serait en tout cas pas du luxe : les participants ont notés l’intervention de l’ancienne responsable juridique d’eBay, qui a détaillé les méthodes mises en oeuvre par les cyber-criminels afin de mener leurs opérations. Intimidation, manipulations, utilisations de passeurs, paiements difficiles à tracer via Western Union… ils utilisent en définitive des techniques que l’on retrouve plus généralement dans les trafics de stupéfiants, tout en prenant beaucoup de moins de risques !

Le débat, enfin, a rapidement abordé le problème de la conformité réglementaire (PCI-DSS notamment), une obligation à laquelle ils ne sont pas toujours bien préparés. Car bien que ces normes soient généralement concrètes et pragmatiques, c’est la définition du périmètre à prendre en compte qui est généralement difficile. Et sans périmètre maîtrisé, un numéro de carte bancaire peut se trouver n’importe où sur le Système d’Information !

(Cette actualité a été rédigée sur la base d’un compte rendu écrit par Joseph Graceffa, que nous remercions)


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.