Faute de rapports complets et lisibles sur les transactions en ligne, la lutte contre la fraude numérique reste complexe et difficile à orchestrer.
En particulier, un script peut planifier des requêtes espacées dans le temps, donc apparemment légitimes, pour exfiltrer des identifiants ou d’autres données privées.
Confronté à ce problème, Carrefour Banque a mis en place une analyse automatisée de scripts sur sa plateforme de détection Bot Defender, fournie par Human Security. Avec, à la clé, des bénéfices substantiels et une nouvelle sérénité appréciée par l’équipe informatique, confirme Christophe Vannier, le CISO de Carrefour Banque.
Observabilité, traçabilité et mise en conformité doivent être menées de concert : « Je travaille sur la mise en conformité DORA depuis 2019 (NDLR: cette réglementation européenne d’harmonisation des notifications en cas d’incidents cyber et de résilience opérationnelle numérique du secteur financier devra s’appliquer au plus tard le 17 janvier 2025, dans tous les états membres de l’UE). Donc sur la continuité de services. Or, c’est particulièrement délicat lorsqu’on a beaucoup d’externalisation. Nous sommes tenus de superviser finement tous nos prestataires, de réviser leurs contrats et plans de sortie, » précise-t-il lors de l’événement Ready for IT de Monaco (lire la vidéo ci-dessous).
Pour ses applications critiques, Carrefour Banque s’appuie sur des infrastructures clouds privées avec le soutien d’hébergeurs de proximité. Les clouds GCP de Google et Azure de Microsoft sont également retenus par la filiale bancaire du distributeur.
Un combat bientôt imposé par la norme PCI DSS 4.0
« Des scripts de partenaires légitimes (NDLR: tels que des agrégateurs bancaires), déployés profondément dans le système d’informations, peuvent donner accès à des informations personnelles, » confirme Vincent Meysonnet, Solution Architect chez Human Security.
Selon lui, les robots préparés par les hackers sont de plus en plus sophistiqués ; hybrides et soigneusement dissimulés, ils simulent des activités humaines pour exfiltrer davantage de données privées.
Toutes les entreprises proposant des pages de paiement en ligne sont potentiellement ciblées par ces fraudes numériques.
D’ailleurs, la lutte contre ce type de menaces deviendra vite imposée : « La nouvelle norme PCI DSS 4.0, obligatoire en mars 2025, exigera des sites de commerce en ligne un inventaire complet de leurs scripts et entêtes de pages de paiement. »
La plateforme Human détecte la compromission de comptes pour mieux agir, en mode préventif comme a posteriori. « Carrefour Banque détectait déjà les bots avant la mise en place de Bot Defender, mais sans résolution ni rapports faciles à lire, peu d’actions correctives étaient menées. Dès la phase de tests de notre plateforme, nous avons pu détecter des pénétrations récurrentes inhabituelles et tracer les informations personnelles sortantes. »
