Sécurité des paiements Sécurité du Ecommerce Mr Piotrowski  Jean-Nicolas, fondateur gérant, ITrust
LA FRAUDE SUR INTERNET <ul><ul><li>Problématique et risques </li></ul></ul><ul><ul><li>Commerçants : </li></ul></ul><ul><u...
La Fraude sur Internet <ul><ul><li>2 grands types de fraudes : </li></ul></ul><ul><ul><li>1/ Attaque à la fausse carte (Ec...
Risques et responsabilités Risques Responsabilités Consommateurs Keylogger, Phising… Sécurisation de l’ordinateur E-Commer...
Sécuriser son site de E-Commerce <ul><li>Pourquoi : </li></ul><ul><li>Eviter la perte de données confidentielles (fichier ...
Sécuriser la transaction avec le centre de paiement <ul><li>HTTPS </li></ul><ul><li>La transaction vers la banque est elle...
Moyens de paiement et authentification <ul><li>La Carte Bancaire </li></ul><ul><ul><li>CB, Visa, Mastercard…Amex, JCB, Din...
Les alertes à la fraude 1/2 <ul><li>Les ventes &quot;miracles&quot; </li></ul><ul><li>Les commandes incohérentes </li></ul...
Les alertes à la fraude 2/2 <ul><li>Attaques de masse </li></ul><ul><li>Ecarding </li></ul><ul><li>Attaques de sites </li>...
Les normes et meilleures pratiques <ul><li>Normes internationales : 27001,X </li></ul><ul><li>Normes propriétaires : PCI D...
Les 8 conseils  <ul><li>Sécuriser son code, son système </li></ul><ul><li>Auditer son site et son application </li></ul><u...
© ITrust Cabinet de conseil en sécurité informatique : Les données et support présents sont la propriété exclusive d’ITrus...
Le E-commerce  C’est  20 milliard  de CA généré en 2007 C’est  22,5 millions  d’acheteurs internautes Français Internet au...
Comment augmenter la  disponibilité  opérationnelle de ma e-boutique ?  Quel est l'impact des contenus tiers ( publicité, ...
Retours d’expériences / Exemples concrets Les retours d’expériences des Bêta testeurs de notre solution  « IKare© »  : Une...
Etes-vous préparé ? A  l’exploitation de bug de paiement en ligne  permettant de modifier le montant de votre  panier ( ex...
Démonstration <ul><li>Projet reconnu : </li></ul><ul><li>Comités experts  </li></ul><ul><li>Retour d’avis des clients </li...
IKare©  S olution modulaire paramétrable sur des fonctions à valeur ajoutée évaluant La qualité de service (QoS) La qualit...
Démonstration © ITrust Cabinet de conseil en sécurité informatique : Les données et support présents sont la propriété exc...
Démonstration : Module CA © ITrust Cabinet de conseil en sécurité informatique : Les données et support présents sont la p...
Prochain SlideShare
Chargement dans…5
×

Sécurisation applicatives pour le e-commerce

1 459 vues

Publié le

Présentation de Jean-Nicolas ITRUST sur VADEMECOM 2010

Publié dans : Business
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 459
Sur SlideShare
0
Issues des intégrations
0
Intégrations
15
Actions
Partages
0
Téléchargements
42
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • 2008 Fia-Net
  • perte de visiteurs - saturation de l’infrastructure - augmentation des temps de réponse - perte de bande passante - défaillance du système de paiement - defacing de site, déni de service - taux d’échecs de connexions apparition de mots clé interdits (pornographie, concurrence) Mon site est-il toujours en ligne ? Mon site est-il fiable ? Mon site est-il bien visible sur internet ? Mon site est-il performant ? La prise de commande est-elle rapide et efficace ? Comment optimiser mes gains et diminuer mes pertes ? IKare© QOE QOS PERFORMANCES SECURITY VISIBILITY www.ikare-monitoring.com Problématique des e-commercants Mon site est-il toujours en ligne ? Mon site est-il fiable ? Mon site est-il bien visible sur internet ? Mon site est-il performant ? La prise de commande est-elle rapide et efficace ? Comment optimiser mes gains et diminuer mes pertes ? Tel +33 (0)9.80.08.36.12 Fax +33 (0)9.80.08.37.23 Immeuble ACTYS 1 Avenue l&apos;Occitane BP 67303 -31673 LABEGE CEDEX http://www.itrust.fr Cabinet de Conseil &amp; d’Audit en Sécurité Informatique : - Pour un management des risques du système d’information - Pour une protection du patrimoine informationnel de l’entreprise - Avec du personnel habilité confidentiel défense - Doté d’un regard juridique - Créé par des experts reconnus de la gestion des risques - Doté d’une indépendance technique et financière - Bâti autour d’équipes techniques stables ( Paris &amp; Toulouse) - Respectant des normes et méthodologies reconnues et abouties - Disposant d’un laboratoire technique Dont les valeurs sont : - L’éthique, l’intégrité et les compétences - La volonté de faire bénéficier d’un savoir-faire et non d’un concept - Le respect d’une charte d’intégrité, de déontologie et de valeurs internes Lauréat des labels TIC 2009 An Innovative Solution for Real Time Analysis My Business Monitoring in Real Time a solution by IKare©
  • Sécurisation applicatives pour le e-commerce

    1. 1. Sécurité des paiements Sécurité du Ecommerce Mr Piotrowski Jean-Nicolas, fondateur gérant, ITrust
    2. 2. LA FRAUDE SUR INTERNET <ul><ul><li>Problématique et risques </li></ul></ul><ul><ul><li>Commerçants : </li></ul></ul><ul><ul><ul><li>Perte de marge : impayés </li></ul></ul></ul><ul><ul><ul><li>Perte de temps : contrôles </li></ul></ul></ul><ul><ul><li>Consommateurs </li></ul></ul><ul><ul><ul><li>Contestation : mécontentement et image négative </li></ul></ul></ul><ul><ul><ul><li>État des lieux 2008 (taux de fraude) </li></ul></ul></ul><ul><ul><ul><li>Montant: 2,69% </li></ul></ul></ul><ul><ul><ul><li>Nombre : 2,07% </li></ul></ul></ul><ul><ul><ul><li>Panier Moyen : 435€ (activité…) </li></ul></ul></ul><ul><ul><ul><li>Source Fia_Net sur 2,6 Md € analysés </li></ul></ul></ul>
    3. 3. La Fraude sur Internet <ul><ul><li>2 grands types de fraudes : </li></ul></ul><ul><ul><li>1/ Attaque à la fausse carte (Ecarding) </li></ul></ul><ul><ul><li>2/ Attaque sur les sites afin d’initier des transactions frauduleuses (panier à 1 Euro, attaques Paypal) </li></ul></ul>
    4. 4. Risques et responsabilités Risques Responsabilités Consommateurs Keylogger, Phising… Sécurisation de l’ordinateur E-Commerçants Attaque Web, Spoofing… Sécurisation du site et des données Banques Carding… Sécurisation des opérations et des données CB
    5. 5. Sécuriser son site de E-Commerce <ul><li>Pourquoi : </li></ul><ul><li>Eviter la perte de données confidentielles (fichier client) </li></ul><ul><li>Respecter les règlementations liées à la vie privée (données client) </li></ul><ul><li>Sécuriser son panier (éviter les paniers falsifiés) </li></ul><ul><li>Eviter le defacing </li></ul><ul><li>Comment : </li></ul><ul><li>Auditer son site régulièrement </li></ul><ul><li>Programmer « sécurisé » </li></ul><ul><li>Travailler avec un hébergeur de qualité </li></ul>
    6. 6. Sécuriser la transaction avec le centre de paiement <ul><li>HTTPS </li></ul><ul><li>La transaction vers la banque est elle chiffrée </li></ul><ul><li>Traçabilité, conservation des données </li></ul><ul><li>Risques : </li></ul><ul><li>The man in the middle </li></ul><ul><li>Preuve </li></ul>
    7. 7. Moyens de paiement et authentification <ul><li>La Carte Bancaire </li></ul><ul><ul><li>CB, Visa, Mastercard…Amex, JCB, Dinners… </li></ul></ul><ul><li>Les tokens (usb, cartes, etc …) </li></ul><ul><li>La E-Card Visa ou Matercard </li></ul><ul><ul><li>Génération de n°à utilisation unique </li></ul></ul><ul><li>La E-Monnaie </li></ul><ul><ul><li>Échange de compte à compte (Paypal…) </li></ul></ul><ul><li>Authentification : 3D Sécure : Mot de passe de confirmation </li></ul><ul><ul><li>Sécurité pour l’acheteur ? </li></ul></ul><ul><ul><li>Garantie de paiement pour le E-Commerçant ? </li></ul></ul><ul><ul><li>Information internautes ? </li></ul></ul>
    8. 8. Les alertes à la fraude 1/2 <ul><li>Les ventes &quot;miracles&quot; </li></ul><ul><li>Les commandes incohérentes </li></ul><ul><li>Les adresses à risque </li></ul><ul><li>Les &quot;Multinationaux&quot; (Carte – IP – Livraison) </li></ul>Les contrôles possibles <ul><li>L’appel téléphonique… </li></ul><ul><li>Les documents justificatifs… </li></ul><ul><li>Le paiement de substitution </li></ul>
    9. 9. Les alertes à la fraude 2/2 <ul><li>Attaques de masse </li></ul><ul><li>Ecarding </li></ul><ul><li>Attaques de sites </li></ul><ul><li>Spoofing d’identité </li></ul>
    10. 10. Les normes et meilleures pratiques <ul><li>Normes internationales : 27001,X </li></ul><ul><li>Normes propriétaires : PCI DSS </li></ul><ul><li>Labels : Fianet, hackersafe, Verisign </li></ul>
    11. 11. Les 8 conseils <ul><li>Sécuriser son code, son système </li></ul><ul><li>Auditer son site et son application </li></ul><ul><li>Tracer les transactions </li></ul><ul><li>Consolider sa comptabilité </li></ul><ul><li>Vérifier l’HTTPS pour le paiement client </li></ul><ul><li>Un serveur dédié (si possible) </li></ul><ul><li>Sécuriser l’administration de son site </li></ul><ul><li>Utiliser les bons outils afin de monitorer l’activité de son magasin </li></ul>
    12. 12. © ITrust Cabinet de conseil en sécurité informatique : Les données et support présents sont la propriété exclusive d’ITrust. Document à diffusion restreinte. Cabinet de conseil en sécurité informatique Lauréat E-Entreprise Labels TIC 2009 An Innovative Solution for Real Time Analysis Tableau de bord décisionnel global : La Maîtrise de le Qualité de Service et de la Sécurité
    13. 13. Le E-commerce C’est 20 milliard de CA généré en 2007 C’est 22,5 millions d’acheteurs internautes Français Internet au 2e trimestre Une augmentation de 7% C’est 110 millions de transactions e-commerce, soit 5,7 commandes effectuées par cyber-acheteurs au 1er semestre 2009 C’est un panier moyen de 89€ C’est 56 000 Cybermarchands français en 2009 C’est moins de 100 transactions par mois pour 70 % des sites web de e-commerce Pour 1,4 % qui réalisent plus de 10 000  transactions par mois C’est 12 501 000 de visiteurs uniques pour le site web le plus visité au 2 ème trimestre 2009 Et vous ? © ITrust Cabinet de conseil en sécurité informatique : Les données et support présents sont la propriété exclusive d’ITrust. Document à diffusion restreinte. Cabinet de conseil en sécurité informatique E-commerce & Observations
    14. 14. Comment augmenter la disponibilité opérationnelle de ma e-boutique ? Quel est l'impact des contenus tiers ( publicité, contenus web services importés ) sur la performance perçue par vos utilisateurs ? Comment augmenter mon niveau de performance par rapport à mes concurrents ? Quel est le temps d'autorisation/d'acceptation de paiement par carte bancaire ? La home page est elle toujours disponible et rapide à charger ? Quelles sont les conséquences d’une attaque virale sur les e-revenus ? Suis-je en train de perdre des clients / des visiteurs ? Mon infrastructure tiendra-t-elle sous l’affluence des acheteurs de noël ( Problématique de Saturation ) ? Comment anticiper la perte de bande passante ? Comment éviter un defacing de site web, un déni de service ? Comment corriger mon taux d’échecs de connexions ? © ITrust Cabinet de conseil en sécurité informatique : Les données et support présents sont la propriété exclusive d’ITrust. Document à diffusion restreinte. 3 Cabinet de conseil en sécurité informatique E-commerce & Enjeux
    15. 15. Retours d’expériences / Exemples concrets Les retours d’expériences des Bêta testeurs de notre solution « IKare© » : Une multiplication par 4 du trafic en période de Noël Un coût variable entre 2K€ et au-delà de 50K€ de prestations Web Agencies Dont les modalités contractuelles et techniques échappent à la maitrise des E-commerçants Un délai de 0,5 seconde supplémentaire sur une transaction panier : Perte de 20% de CA Un ralentissement du temps de chargement des objets Web de la page d'accueil : Chute de 21% du nombre de visites Une indisponibilité du prestataire technique (hébergeur) pendant 24h : 40K€ de perte sèche Et vous ? © ITrust Cabinet de conseil en sécurité informatique : Les données et support présents sont la propriété exclusive d’ITrust. Document à diffusion restreinte. Cabinet de conseil en sécurité informatique E-commerce & Observations
    16. 16. Etes-vous préparé ? A l’exploitation de bug de paiement en ligne permettant de modifier le montant de votre panier ( ex. faire passer le montant du panier de 500€ à 0€ et passer la commande ) ? A une indisponibilité de service de vos partenaires techniques ? A une interruption de service de votre partenaire bancaire ? A la détection des origines de l’indisponibilité de votre site web ? A réagir contre la typosquatting ? Un virus ? Un trojan ? Ou toute autre problématique « économique- technique-juridique » ? … Nos clients : Oui. © ITrust Cabinet de conseil en sécurité informatique : Les données et support présents sont la propriété exclusive d’ITrust. Document à diffusion restreinte. Cabinet de conseil en sécurité informatique E-commerce & Enjeux
    17. 17. Démonstration <ul><li>Projet reconnu : </li></ul><ul><li>Comités experts </li></ul><ul><li>Retour d’avis des clients </li></ul><ul><li>Soutenu par Oséo </li></ul>© ITrust Cabinet de conseil en sécurité informatique : Les données et support présents sont la propriété exclusive d’ITrust. Document à diffusion restreinte.
    18. 18. IKare© S olution modulaire paramétrable sur des fonctions à valeur ajoutée évaluant La qualité de service (QoS) La qualité de perception (QoE) La sécurité La visibilité La performance L’intégrité Chaine de liaison En fonction : Du temps (analyse temporelle) De l’atteinte des objectifs (par exemple : niveau de sécurité) D'une configuration type ou n-1 D'un lieu (sonde US <> sonde FR) D'un media (GSM, Iphone, internet ...) D'une moyenne , comparative Des règlementations Des gains Des pertes Des risques Des best practices Monitoring de site web E-commerce © ITrust Cabinet de conseil en sécurité informatique : Les données et support présents sont la propriété exclusive d’ITrust. Document à diffusion restreinte.
    19. 19. Démonstration © ITrust Cabinet de conseil en sécurité informatique : Les données et support présents sont la propriété exclusive d’ITrust. Document à diffusion restreinte. Démonstration
    20. 20. Démonstration : Module CA © ITrust Cabinet de conseil en sécurité informatique : Les données et support présents sont la propriété exclusive d’ITrust. Document à diffusion restreinte.

    ×