KnowBe4 plateforme mondiale de cybersécurité reconnue pour sa gestion complète des risques liés aux agents humains et à l'IA, souligne que les périodes de forte consommation saisonnière, comme le Black Friday et Noël, figurent parmi les périodes de plus grand risque cyber pour les entreprises d'Amérique latine.
Durant ces périodes, l'augmentation du trafic numérique, du volume d'emails et la surcharge des équipes informatiques créent un contexte propice aux cyberattaques. Ce scénario est aggravé par des facteurs propres au secteur du commerce de détail, tels que le recours à du personnel temporaire non formé et la complexité des environnements multicanaux qui combinent magasins physiques, e-commerce, applications et systèmes de paiement.
D'après le Rapport mondial sur le commerce de détail 2025 , le secteur de la distribution figure parmi les cinq secteurs les plus ciblés au monde. Le coût moyen d'une violation de données dans ce secteur a atteint 3,48 millions de dollars américains en 2024 (IBM), soit une hausse de 18 % par rapport à l'année précédente. L'Amérique latine se classe deuxième région la plus touchée, avec 32 % des tentatives d'attaque, juste derrière l'Amérique du Nord (56 %). Le Brésil compte parmi les cinq pays les plus affectés par les rançongiciels dans le secteur du commerce de détail.
Comment fonctionnent les arnaques les plus courantes
Les cybercriminels profitent de l'accélération du rythme et de l'intensification des communications durant cette période pour diffuser des messages frauduleux qui se fondent parmi les messages légitimes. Ces attaques affectent aussi bien les entreprises, dont les systèmes peuvent être compromis, que les consommateurs, qui partagent souvent des données personnelles et bancaires lors de promotions en ligne.
L'une des arnaques les plus fréquentes consiste à utiliser de fausses promotions imitant celles de grandes enseignes et redirigeant les utilisateurs vers des sites web clonés. Sur ces pages, les identifiants et mots de passe, professionnels ou personnels, sont volés et revendus sur des forums malveillants.
Une autre tactique courante consiste à envoyer des messages imitant des alertes techniques, telles que des mises à jour logicielles, des réinitialisations de mot de passe ou des notifications de livraison. Rédigées de manière professionnelle et paraissant légitimes, ces communications incitent l'utilisateur à cliquer sur des liens ou à ouvrir des pièces jointes, ce qui entraîne l'installation de logiciels malveillants ou de logiciels espions capables de surveiller son activité, de voler ses cookies de session et de capturer ses identifiants.
Ces escroqueries exploitent des facteurs psychologiques comme l'urgence, la perspective d'une récompense et la familiarité. Un courriel signé par un collègue ou le service informatique, par exemple, a moins de chances d'être remis en question lorsque la charge de travail est importante et les délais serrés. Le facteur humain devient ainsi la principale porte d'entrée des cyberattaques.
Réduire les risques par la culture, les comportements et la formation continue.
Lutter contre ce type de fraude exige un changement de culture au sein des organisations. Des programmes de sensibilisation continus et des simulations d'hameçonnage peuvent réduire jusqu'à 88 % la probabilité qu'un employé interagisse avec des messages malveillants sur une période de 12 mois. Le rapport souligne qu'avant la formation, le taux de vulnérabilité moyen à l'hameçonnage (indice Phish-prone™) est de 30,7 % dans les petites entreprises, de 32 % dans les entreprises de taille moyenne et de 42,4 % dans les grandes entreprises. Après 90 jours, ces taux chutent à environ 20 %.
« Cette évolution montre que le comportement humain est désormais reconnu comme l'un des piliers les plus efficaces de la défense contre les cybermenaces, en particulier lorsque les employés apprennent à identifier les signes subtils de fraude, à comprendre les tactiques de manipulation psychologique et à devenir des participants actifs à la défense de la cybersécurité de l'entreprise », déclare Rafael Peruch, conseiller technique CISO chez KnowBe4.
Outre la formation, il est essentiel de renforcer les politiques de sécurité internes lors des périodes de forte activité, de revoir les flux de communication et de mettre en œuvre l'authentification multifacteurs (AMF) sur tous les systèmes. Des ressources telles que le coaching en temps réel et les alertes anti-hameçonnage automatisées permettent de réagir immédiatement aux tentatives de fraude.
« L’automatisation aide à détecter les menaces, mais c’est la gestion humaine des risques qui permet de les réduire véritablement. Grâce à l’intelligence artificielle, nous pouvons identifier les schémas comportementaux et créer des programmes de sensibilisation adaptés à chaque organisation », conclut Peruch.
