theNet by CLOUDFLARE

La sécurité de l'e-commerce pendant la période des fêtes

Préparer les commerçants aux cybermenaces à venir

Sans surprise, la période des fêtes entraîne avec elle un accroissement des opportunités de cyberattaques, dont le secteur de l'e-commerce se révèle la cible principale. Les événements spéciaux conduisent à des pics de trafic Internet, certains d'entre eux malveillants. Par ailleurs, les dirigeants chargés de la sécurité et de l'IT dans le secteur de l'e-commerce se trouvent souvent surchargés de travail pendant cette période, surtout s'ils doivent gérer une multitude de solutions dédiées et spécialisées.

Face à cette tendance, la question n'est pas de se demander s'il convient de se préparer pour une attaque, mais plutôt de savoir quels types d'attaques posent le plus grand risque pour votre entreprise.

La préparation du commerce électronique pour la période des fêtes exige un certain degré de priorisation. En plus d'établir une base solide de protection contre les menaces courantes visant les applications web, telles que les attaques DDoS et les exploitations de vulnérabilités zero-day, les détaillants en ligne doivent planifier et se préparer aux types d'attaques spécialisées susceptibles d'affecter leur activité et leurs revenus pendant les fêtes, et se préparer en conséquence.

Les trois questions ci-dessous peuvent vous aider à lancer le processus de hiérarchisation. En y répondant, les entreprises d'e-commerce seront mieux positionnées pour réussir lors de la période des fêtes à venir, qui représente une partie des 1 570 à 1 600 milliards de dollars de ventes en ligne et hors magasin prévues pour 2025, soit une croissance susceptible d'atteindre les 9 % par rapport à l'année précédente.

  1. À quel point vos produits sont-ils sensibles à l'évolution des prix ?

  2. Quel est le risque que votre entreprise soit confrontée à une pénurie de stock ?

  3. Comptez-vous sur les API pour renforcer votre présence en ligne ?

Question 1 : À quel point vos produits sont-ils sensibles à l'évolution des prix ?

Pour certains produits et services (tels que ceux qui présentent un tarif peu élevé, sont fortement banalisés ou largement disponibles), de petites divergences de prix entre entreprises concurrentes peuvent affecter considérablement la décision d'achat des clients. Une entreprise pratiquant des prix légèrement plus chers que son concurrent pendant une promotion proposée à l'occasion des Fêtes pourrait ainsi constater une chute importante de ses ventes.

Aussi, lors de la période des fêtes, les entreprises qui vendent des produits sensibles à l'évolution des prix doivent donc se montrer particulièrement vigilantes à l'égard des bots d'extraction, qui parcourent les sites web à la recherche d'informations tarifaires et renvoient ces données à un concurrent. Si l'extraction web n'est pas une nouveauté, les progrès de l'IA ont rendu les bots beaucoup plus efficaces pour extraire des données tarifaires, du contenu et bien davantage. Grâce à ces informations, le concurrent en question peut faire en sorte que ses produits soient légèrement moins chers et ainsi s'assurer un avantage significatif.

Les bots d'extraction de prix peuvent se révéler plus difficiles à identifier que les autres types de bots, car ils n'entraînent pas de conséquences visibles, comme une augmentation des échecs d'authentification, des achats inhabituels ou un pic de création de nouveaux comptes client. Les signaux permettant d'identifier ces bots comprennent les suivants :

  • Les pics de trafic qui ne correspondent pas au comportement attendu des consommateurs, car les bots d'extraction de prix analysent votre site en permanence.

  • Une dégradation des performances de votre site, pour les mêmes raisons.

  • Augmentation du volume de trafic provenant des robots d'indexation IA vers vos sites/applications

  • Le fait que les adresses IP des serveurs d'origine du trafic pointent vers les sites de vos concurrents.

Si vous parvenez à identifier des bots d'extraction de prix sur votre site, ou si vous soupçonnez que vous pourriez en être la cible lors d'un événement promotionnel proposé à l'occasion des fêtes, diverses techniques peuvent vous aider à les empêcher de nuire aux performances de votre site, comme le contrôle du volume des requêtes, par exemple. Toutefois, il sera probablement encore nécessaire d'investir dans un service de gestion des bots plus avancé, alliant un ensemble d'informations en temps réel sur les menaces à la capacité d'identifier et de filtrer automatiquement les bots malveillants (notamment les bots d'extraction de contenu IA).

Question 2 : dans quelle mesure votre entreprise est-elle vulnérable aux ruptures de stock ?

La pénurie de produits peut résulter de tactiques marketing planifiées, de chaînes d'approvisionnement tendues ou d'une demande excessive. Les produits électroniques grand public très médiatisés, les billets de concert et les articles de mode en édition limitée en sont de bons exemples.

Les entreprises qui vendent ce type de produits doivent faire preuve d'une vigilance supplémentaire à l'égard des bots d'accaparement de stock (également connus sous le nom de « Grinch bots ») pendant la période des fêtes de fin d'année. Ces bots achètent des produits ou des services de manière automatisée, plus rapidement que les humains n'en sont capables, généralement dans le but de les revendre sur le marché de l'occasion avec une marge bénéficiaire. Les chaussures de sport en édition limitée, par exemple, sont devenues la cible d'une catégorie spéciale de bots, que l'on nomme les « sneaker bots » (bots baskets). Un artiste musical à succès a même tenté de lutter contre les sneaker bots en majorant le prix d'un facteur 100 si les acheteurs ne disposaient pas du code proposé par son fan-club.

Les effets des bots d'accaparement de stocks (comme l'épuisement de produits en quelques minutes) ne sont pas difficiles à repérer. Malheureusement, ils ne sont repérés qu'une fois qu'ils ont eu lieu. Afin de bloquer ces bots plus tôt, vous pouvez envisager les tactiques suivantes :

  • Tests gérés : le recours aux tests gérés permet de s'assurer que seuls les utilisateurs humains sont en mesure de procéder à un achat. Toutefois, les CAPTCHA (la forme de test la plus courante dans le secteur) peuvent agacer les clients. De même, il existe toujours une possibilité que les modèles IA parviennent à y répondre. Des alternatives aux CAPTCHA sont désormais disponibles sous forme de tests gérés permettant de confirmer la nature humaine d'un utilisateur sans les inconvénients posés par les CAPTCHA.

  • Contrôle du volume des requêtes : limite la fréquence à laquelle une personne (ou quelque chose) peut répéter une action dans un délai donné. Cela permet de limiter la fréquence à laquelle les bots et les faux utilisateurs peuvent ajouter des articles à leur panier, pour ensuite les abandonner.

  • Mise en place d'un honeypot : le terme de honeypot (ou « pot de miel ») désigne une fausse cible conçue pour tromper les acteurs malveillants et qui révèle la nature malveillante de ces derniers lorsqu'ils accèdent au butin tant convoité. Dans le cas d'un bot, un honeypot peut se présenter sous la forme d'une page interdite d'accès aux bots dans le cadre du fichier robots.txt. Les bots légitimes consultent le fichier robots.txt et évitent la page web, tandis que certains bots malveillants vont interagir avec. Il est ensuite possible d'identifier et de bloquer les bots malveillants en remontant l'adresse IP des bots qui ont accédé au honeypot.

Certaines de ces techniques peuvent malheureusement nuire à l'expérience utilisateur ou ne pas parvenir à arrêter les bots les plus avancés. Les entreprises présentant un risque accru d'accaparement de stock doivent investir dans un système de gestion des bots dédié reposant sur l'apprentissage automatique (Machine Learning) et des outils avancés d'analyse comportementale.

Question 3 : dans quelle mesure comptez-vous sur les API pour renforcer votre présence en ligne ?

En plus des menaces permanentes telles que les pannes de site web et la fraude aux paiements, des risques accrus liés à l’élargissement des surfaces d’attaque pèsent sur les commerçants. Par exemple, de nombreuses entreprises d'e-commerce dépendent fortement des API pour la gestion de leur CMS, de leur stock de produits, de leurs chatbots et de leurs systèmes de paiement, pour ne citer que ces fonctionnalités. L'adoption croissante du commerce sans tête pour permettre des expériences hyper-personnalisées intensifie encore la dépendance aux API.

Chaque nouvelle API constitue une nouvelle surface d'attaque potentielle. Il n'est toutefois pas possible de protéger ce que l'on ne peut voir et près d'un tiers des entreprises ne disposent d'aucun inventaire précis de leurs API. Les « API fantômes » inconnues laissent les entreprises vulnérables à l'exposition des données, aux mouvements latéraux et à d'autres cyber-risques.

Si l'API présente une vulnérabilité inconnue ou se montre vulnérable aux risques figurant dans le Top 10 des risques de sécurité affectant les API, les acteurs malveillants pourraient se retrouver en position d'intercepter des informations de carte bancaire. Les mêmes conséquences pourraient se produire lors d'une attaque par authentification, au cours de laquelle l'acteur malveillant dérobe une clé d'API pertinente ou intercepte et utilise un jeton d'authentification.

La première étape du processus de prévention de ces attaques consiste à identifier les API. Le recours à un service d'identification des points de terminaison d'API à l'approche de la période des fêtes permet d'identifier les éventuels points de terminaison à risque. Il ne reste ensuite plus qu'à leur appliquer les tactiques suivantes :

  • Validation de schéma : plus spécifiquement, il s'agit ici du blocage des appels d'API qui ne sont pas conformes à la « logique » de l'API, c'est-à-dire la logique des requêtes qu'elle est censée recevoir.

  • Détection de l'utilisation abusive spécifique aux API : ce type de service permet de comprendre le trafic abusif et d'utiliser une fonctionnalité de limitation du débit orientée API afin de bloquer l'excès de trafic abusif lié aux API, en se basant sur l'analyse jusqu'à la minute près du trafic de chaque point de terminaison d'API.

L'empreinte numérique des commerçants continue de s'étendre, notamment avec l'essor de l'IA générative, de la vente en direct et d'autres technologies reposant sur des API. Sur le long terme, le passage à une approche DevSecOps peut permettre de s'assurer que la sécurité est bien intégrée à chaque phase du cycle de développement des applications et des API.

Poursuivre le processus de hiérarchisation

Les réponses à ces questions constituent une étape importante du processus de hiérarchisation des risques, mais elles ne marquent que le début. Idéalement, une entreprise doit pouvoir être en mesure d'analyser les données provenant des périodes de Fêtes précédentes afin de prédire l'arrivée de futures attaques. Les entreprises peuvent également considérer les facteurs suivants :

  • Les types d'attaques susceptibles d'avoir le plus fort impact financier, qu'il s'exprime en termes de perte de chiffre d'affaires ou en coûts d'atténuation.

  • Les types d'attaques véhiculant le plus grand risque de perte de données ou de compromission.

  • Les attaques présentant le plus de chances d'entraîner une interruption de service du site.

  • Est-ce que la sécurité des applications/API peut s'intégrer aux mesures de sécurité protégeant les utilisateurs internes (c'est-à-dire les employés, les sous-traitants, les développeurs) ?

Assainir les opérations d'e-commerce grâce à un cloud de connectivité

Pour garder une longueur d'avance sur les attaques et les tendances de l'e-commerce tout au long de l'année, il faut disposer d'une plateforme de sécurité cloud-native, à faible latence, sécurisée et fiable.

Pour vous aider à réduire les coûts, à améliorer l'agilité, à protéger les données sensibles et à vous défendre contre des menaces toujours en évolution, le cloud de connectivité de Cloudflare améliore à la fois la sécurité et les performances. Le cloud de connectivité est une plateforme unifiée et intelligente de services cloud-native programmables, qui offre aux entreprises une meilleure visibilité et un plus grand contrôle sur leurs environnements informatiques.

Cloudflare réunit la sécurité des applications web, la sécurité des API, la sécurité des outils tiers, les services Zero Trust et bien d'autres fonctionnalités au sein d'une interface unique, tous les services étant soutenus dans leurs efforts par un ensemble inégalé d'informations sur les menaces.

Cloudflare peut vous aider à bénéficier d'une sécurité et de performances exceptionnelles sur l'ensemble de votre expérience client numérique, tandis que vous reprenez le contrôle et gagnez en agilité à tous les niveaux de la pile informatique.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.

Points clés

  • Les stratégies de cybersécurité à privilégier pour les commerçants pendant la période des fêtes

  • Conseils de sécurité pour l'e-commerce : protection contre les bots malveillants qui nuisent à l'expérience utilisateur et menacent les revenus

  • Stratégies de préparation aux fêtes pour se défendre contre l'utilisation abusive des API

Ressources associées

Approfondir le sujet

Découvrez comment redynamiser votre stratégie de résilience et découvrez des informations supplémentaires sur les forces qui façonnent le panorama actuel de la sécurité dans le rapport Cloudflare Signals 2025 : la résilience à grande échelle.

Recevez un récapitulatif mensuel des tendances Internet les plus populaires !

S'abonner à theNET

DÉMARRAGE

SOLUTIONS

SUPPORT

CONFORMITÉ

INTÉRÊT PUBLIC

ENTREPRISE

© 2025 Cloudflare, Inc.Politique de confidentialitéConditions d’utilisationSignaler des problèmes de sécuritéFiabilité et sécuritéMarque commerciale