Les technologies numériques actuelles permettent aux entreprises de vente au détail d’améliorer l’efficacité de leur gestion en magasin et de se connecter en ligne avec des clients du monde entier. Mais ces mêmes technologies peuvent rendre les détaillants vulnérables aux cyber-risques - des risques qui peuvent porter un coup fatal à la santé globale de votre marque et de votre entreprise.
Si les systèmes informatiques des magasins et les sites Internet destinés aux consommateurs sont une aubaine pour les détaillants et leurs clients, les données qu’ils collectent et conservent (numéros de cartes de crédit, adresses personnelles et autres types d’informations sensibles) en font une cible pour la cybercriminalité.
Ce risque cyber de plus en plus sophistiqué et croissant s’accompagne d’obligations en matière de protection de la vie privée des clients et de respect d’une multitude de réglementations mondiales et locales régissant ces obligations.
Malgré les meilleures intentions d’une entité de vente au détail, des cyberattaques peuvent se produire. Cet article donne un aperçu de la cybercriminalité et quelques conseils sur la façon dont les détaillants peuvent atténuer ce risque.
Pour les cybercriminels, les données sont synonymes de profit. Les pirates informatiques utilisent les failles pour accéder à un système, à l’aide de méthodes et de logiciels en constante évolution et de plus en plus sophistiqués. Voici quelques termes que les détaillants doivent connaître :
L’un des cybercrimes les plus simples et les plus courants, qui consiste pour un employé à cliquer sur un e-mail factice. Celui-ci libère un logiciel malveillant (malware) et permet à des acteurs malveillants d’accéder aux systèmes de l’entreprise.
Utilisant également des logiciels malveillants, ces attaques surchargent et bloquent le site Internet d’un détaillant pour permettre l’accès au système et à ses données.
Logiciel introduit dans le système pour le mettre hors service et le prendre en « otage ». Le cybercriminel demande alors une rançon (généralement en cryptomonnaie intraçable) en échange d’une clé pour « libérer » le système.
Le point commun de toutes ces attaques est qu’elles perturbent les activités et peuvent coûter aux détaillants des centaines de milliers de dollars en pertes de chiffre d’affaires, en frais juridiques, en amendes et en coûts de réparation. Les réparations nécessitent généralement l’intervention non seulement d’experts techniques et financiers, mais aussi de professionnels des relations publiques, en raison des dommages potentiels causés à la confiance des clients et à la fidélité à la marque. Au total, les ressources allouées et les dépenses peuvent suffire à paralyser sérieusement, voire à fermer, une entreprise de vente au détail.
Pour découvrir d’autres termes clés de la cybersécurité, consultez Les termes de cybersécurité à connaître (article en anglais).
Bien entendu, la meilleure défense contre la cybercriminalité, c’est l’attaque. Voici quelques conseils pour se protéger contre cette menace toujours plus présente et croissante :
Créez une cartographie des données et une politique de conservation des données qui permettent aux employés de comprendre quelles données sont collectées et conservées par votre entreprise, pendant combien de temps, etc. Il s’agit d’informations essentielles pour l’évaluation des risques et elles constituent un élément essentiel d’un plan d’intervention en cas de cyberincident.
Vous avez l’obligation de prendre des mesures défensives pour protéger vos systèmes de vente au détail et les informations personnelles et financières de vos clients. Les mesures de sécurité des données comprennent : l’installation d’une authentification à deux facteurs pour les employés et les clients, l’utilisation de la technologie de carte à puce et l’utilisation du chiffrement de bout en bout.
La charge réglementaire qui pèse sur un détaillant peut être complexe et varier considérablement en fonction des produits, des sites physiques de l’entreprise et de l’emplacement de ses clients. À l’échelle mondiale, les réglementations évoluent aussi rapidement que les cybermenaces. Il est essentiel de comprendre les lois et réglementations spécifiques auxquelles votre activité est soumise pour garantir la conformité et éviter les sanctions ou les amendes.
L’externalisation d’une partie de vos activités ne signifie pas nécessairement l’externalisation de votre responsabilité. Si vos fournisseurs sont exposés, vous pouvez être exposé et responsable en dernier ressort de tout sinistre. Il est donc important de choisir des partenaires qui font preuve d’une grande cybervigilance et qui investissent dans une police de cyber-assurance complète.
L’origine de la majorité des cyberattaques dans le secteur de la vente au détail est interne. Une mauvaise cyber-hygiène des employés (comme l’utilisation répétée du même mot de passe, le laxisme en matière de courrier électronique et l’absence d’utilisation d’un réseau Internet sécurisé) est une cause avérée de cyberattaques. Des politiques de cybersécurité écrites et appliquées, ainsi qu’une formation régulière du personnel, peuvent réduire considérablement ce risque.
Lorsqu'un incident se produit, savoir quelles sont vos ressources et qui elles sont peut faire la différence entre un temps de réponse rapide et efficace et la perte excessive de jours d’activité et de bénéfices. L’équipe d’intervention peut être à la fois interne et externe : personnel informatique, gestionnaire des risques, consultant en cyberintervention, juricomptable, assureur, équipe de RP en situation de crise, etc.
Une compagnie d’assurance mondiale possédant à la fois une expertise en matière de vente au détail et de cybersécurité peut vous aider à évaluer et à gérer vos risques, à personnaliser une police adaptée à votre activité, à comprendre les réglementations locales, à fournir des ressources pour former vos employés, à vous mettre en relation avec des professionnels de la cyber-intervention et de la cyber-réparation - et, bien sûr, à atténuer les pertes ou les dépenses professionnelles.
Ce document est d’ordre informatif et constitue une ressource à utiliser conjointement avec les recommandations de vos conseillers en assurance entreprise dans le cadre de votre programme de prévention des sinistres. Il s’agit d’une simple présentation qui n’a pas vocation à se substituer à un rendez-vous avec votre courtier d’assurance ou à des recommandations d’ordre juridique, technique et professionnel. Chubb est le nom commercial utilisé pour désigner les filiales de Chubb Limited qui fournissent des services d’assurance et connexes. Pour obtenir une liste de ces filiales, veuillez consulter notre site Web sur www.chubb.com. Certains produits peuvent ne pas être disponibles dans tous les pays. Cette communication comporte uniquement des présentations de produit. La couverture est soumise à la langue des polices d’assurance réellement émises.
Nos équipes vous répondent et peuvent vous accompagner avec l'aide de votre courtier pour trouver des solutions d'assurance.