Un clic innocent, un achat sans prétention, une réduction irrésistible. Tout semble sûr, jusqu'à ce que la facture arrive avec un montant que vous ne reconnaissez pas. Dans les coulisses du commerce électronique, alors que les consommateurs profitent de la commodité du numérique, une guerre invisible est menée chaque jour contre des escroqueries de plus en plus sophistiquées.
En 2024, plus de la moitié des Brésiliens ont déjà été victimes d'une forme de fraude, selon Serasa Experian. Et l'impact est réel : 54,2 % ont déclaré avoir subi un préjudice financier, beaucoup d'entre eux sans même se rendre compte du moment de la fraude. Alors qu'auparavant les fraudes étaient massives et grossières, aujourd'hui elles sont chirurgicales, silencieuses et coûteuses. Le montant moyen des fraudes a augmenté de 30 % et dépasse déjà 1 300 R$ par commande.
Le crime a évolué, et la sécurité numérique doit suivre le rythme. Le commerce électronique est le nouveau terrain de jeu des cybercriminels. Les données de Febraban montrent que les pertes financières dues aux fraudes numériques au Brésil ont atteint 10,1 milliards de reais en 2024, soit une augmentation de 17 % par rapport à l'année précédente. « L'environnement numérique, en particulier pour le commerce électronique, est devenu un champ de mines », avertit Wagner Elias, PDG de Conviso, spécialisée dans la sécurité des applications.
Et l'ennemi ne dort pas. Les menaces sont variées, allant des attaques de phishing (qui représentent 15 % des cas) à l'utilisation de identifiants volés (16 %), en passant par des insiders malveillants, dont le coût moyen par violation est de 4,99 millions de dollars, le plus élevé de la liste.
Elias explique que uma das técnicas em alta são o skimming digital e o tomada de conta (ATO). Sans survol, le criminel injecte des codes malveillants directement sur la page de paiement. Déjà lors de l'ACTE, la fraude est plus froide et méthodique : avec des identifiants piratés, il accède à des comptes réels, change les mots de passe et fait des achats. Selon l'entreprise AllowMe, 72 % des fraudes dans le commerce de détail numérique proviennent de ces accès non autorisés.
Les cibles préférées ? Jeux, téléphones portables, informatique et électronique, produits à forte liquidité sur le marché informel et faciles à revendre. Les moyens de paiement préférés des escrocs restent les cartes de crédit. La raison est simple : achat rapide, peu de vérification, et on ne découvre cela qu'à l'arrivée de la facture.
Le combat
Et que peut-on faire ? La réponse réside dans la technologie et, surtout, dans la planification de la sécurité dès le début du développement des applications. La réponse réside dans la technologie, oui, mais surtout dans la manière dont elle est mise en œuvre. Attendre de penser à la sécurité seulement après que le système est en fonctionnement est une erreur fatale. Il est nécessaire d'inclure des pratiques telles que le PCI DSS dès le début du développement et d'investir dans des outils comme les WAF pour protéger les sites contre les attaques en temps réel, affirme Wagner Elias.
C'est là que des outils comme les WAF (Web Application Firewalls) entrent en jeu, qui surveillent le trafic en temps réel, bloquent les schémas suspects et protègent les sites contre des attaques telles que l'injection de code et les accès non autorisés. L'utilisation de l'IA (Intelligence Artificielle) a également été importante pour anticiper les comportements malveillants, réduisant jusqu'à 2,2 millions de dollars les coûts liés aux violations, selon l'étude « Cost of a Data Breach 2024 » d'IBM.
Un autre point essentiel est l'utilisation de pratiques conformes au PCI DSS (Payment Card Industry Data Security Standard), un ensemble de normes internationales qui aident à protéger les transactions par carte. « Les entreprises qui traitent des données de paiement doivent, par obligation et par intelligence commerciale, suivre strictement le PCI. C'est cela qui distingue un système sécurisé d'une porte ouverte à la fraude », conclut Elias.
Même avec l'avancement de la technologie, le délai moyen pour contenir une violation reste long : 258 jours. En cas de vol de identifiants, cela peut atteindre 292 jours, presque un an. Une partie de la responsabilité revient à la pénurie de professionnels spécialisés, qui a augmenté de 26,2 % au cours de la dernière année et a fait grimper le coût des violations de 1,76 million de dollars.
Cependant, l'expert avertit : ceux qui misent sur l'automatisation, la sécurité dès la base et les simulations d'attaques — appelées tests de pénétration — ont plus de chances de sortir indemnes ou, du moins, de réduire les dégâts.
Les rapports des principales autorités en cybersécurité prouvent l'efficacité des protections PCI DSS et WAF : selon le DBIR 2024 de Verizon, la conformité à la norme PCI DSS réduit de 52 % les incidents de sécurité, tandis que les WAF bloquent jusqu'à 80 % des attaques contre les applications web. De plus, l'étude Cost of a Data Breach 2023 d'IBM révèle que les entreprises équipées de WAFs économisent 1,4 million de dollars par violation, et le PCI DSS accélère de 54 % le temps de réponse aux violations. Lorsqu'elles sont combinées, ces solutions peuvent réduire les pertes financières jusqu'à 75 %, selon le Ponemon Institute (2024).
Ainsi, les entreprises qui suivent la norme PCI DSS ont la moitié des problèmes de fuites de données, et les pare-feu pour applications web (WAF) empêchent 8 attaques sur 10 de hackers. Ceux qui utilisent les deux technologies ensemble limitent les pertes financières à seulement 25 % de la valeur normalement attendue après des intrusions, explique-t-il.
Aux États-Unis, un viol coûte en moyenne 9,36 millions de dollars, le plus élevé au monde pour la 14e année consécutive. Là-bas, 63 % des entreprises admettent déjà qu'elles vont répercuter ce coût sur leurs clients, ce qui montre que investir dans la sécurité n'est pas seulement une précaution : c'est une question de compétitivité et d'image. Elias conclui: «En période de commerce électronique florissant et de données précieuses, ignorer la sécurité numérique, c'est laisser de l'argent sur la table, compromettre le chiffre d'affaires et la réputation en même temps. En plus de perdre la confiance du client et la crédibilité de la marque.»
