Les retailers toujours plus sensibles à la cyber-criminalité

L’UX a été le maître mot des retailers pendant ces 10 dernières années. Sous l’impulsion de géants tels qu’Amazon, tout est fait pour que les points de contact soient aussi efficaces que possible en matière d’expérience consommateur.

Or, si l’expérience client est positive en surface pour les marques, elle leur impose souvent de grandes complexités en matière de sécurisation. Les marques ont multiplié les points de contact digitaux, facilement personnalisables, tels que les applications et les sites e-commerce (et ces derniers sont accessibles depuis un nombre toujours plus grand de terminaux : ordinateurs, smartphones, tablettes…). De fait, chacun d’entre eux devient un point d’attaque potentiel pour tout cyber criminel.

Notons par ailleurs que les retailers sont de plus en plus nombreux à faire reposer leurs différents services digitaux dans le cloud, ou à exploiter des technologies émergentes comme l’IoT (pour laquelle on s’attend à une démultiplication des usages avec la 5G). Des facteurs accroissant d’autant plus la surface d’attaque à laquelle s’exposent les e-commerçants.

En 2019, une étude du British Retail Consortium estime ainsi que plus de la moitié (53 %) des fraudes enregistrées dans la grande distribution s’effectuent en ligne, ce qui représente un coût total direct d’environ 100 millions d'euros, rien que pour le canal e-commerce.

2020 n’arrange pas les choses puisque les entreprises doivent composer avec les effets de la COVID-19. Leurs collaborateurs étant contraints au télétravail, un grand nombre d’informations sensibles transitent entre des terminaux souvent mal sécurisés (ordinateurs personnels, etc…) créant d’autant plus de failles exploitables par les pirates et les dommages potentiels pour le business. Ce qui pourrait engendrer jusqu’à 6000 milliards de dollars de manque à gagner en 2021 pour l’économie mondiale d’après le cabinet Cybersecurity Ventures.

En effet, dans le contexte RGPD, rappelons que la responsabilité des entreprises en matière de sécurisation des données personnelles de sa clientèle s’est considérablement accrue ; l’exposant de fait à de lourdes peines en cas de manquements avérés.

Cyber sécurité : un skill gap qui continue de se creuser

Les retailers l’ont donc tous bien compris, investir dans la cyber-sécurité n’est plus une option, mais une obligation. De nombreuses entreprises développent en interne des services dédiés.

Conséquence logique : la demande en experts " cyber-sécurité " explose mondialement. Problème : il s’agit de profils professionnels très rares actuellement. D’après la célèbre MIT Review, le nombre de jobs à pourvoir dans le domaine de la cyber-sécurité croitrait de 350% sur 8 ans. Nous passerions ainsi à près de 3,5 millions de postes vacants en 2021 contre 1 million dans le domaine en 2013.

D’après Robert Herjavec, fondateur et CEO de Herjavec Group, ce skill gap est majoritairement causé par le manque d’attractivité des fonctions d’expert en cyber-sécurité, mais aussi et surtout la difficulté de trouver des talents dotés de l’ensemble des compétences requises. " Jusqu’à ce que nous ayons rectifié la qualité des enseignements et compétences transmises aux nouvelles générations de cyber experts, nous continuerons à être dépassés par les black hats [comprenez les cyber criminels, par opposition aux white hats]. "

La MIT Review estime que seulement 1 candidat sur 4 est considéré qualifié par les entreprises recrutantes. Les autres manqueraient pour la plupart de qualifications sur des soft skills comme les capacités oratoires ou de présentation ce qui rendrait difficile l’acculturation globale des entreprises.

Alors, que faire pour compenser l’un des plus grands skill gap de notre temps ? Dans ses propos, rapportés par le Cybercrime Magazine, blog du cabinet Cybersecurity Ventures, Robert Herjavec propose que tous les spécialistes de l’IT et des DSI soient formés aux principes de la cyber-sécurité. "Le temps des équipes IT et sécurité silotées est terminé. Désormais, tous les professionnels de l’IT doivent être formés à la sécurité, point final ! Etant donné la complexité de notre monde ultra connecté, nous devons absolument travailler conjointement pour protéger nos entreprises."

Et l’IA dans tout ça ?

Face à ces problématiques de compétences humaines, des entreprises tâchent de développer des solutions reposant sur le potentiel de l’intelligence artificielle. Sont ainsi nées les solutions "d’AI security."

Comme à chaque application de l’IA, l’enjeu est d’automatiser une grande partie des travaux et d’en accélérer la procédure. Pour les retailers, la cyber-sécurité revient le plus généralement (nous simplifions volontairement) à analyser des comportements sur leurs différents canaux digitaux, et de les comparer à un fichier de recensement classant les "bonnes" des "mauvaises" pratiques.

Bien que muni de nombreux outils d’écoute leur balisant le travail, les professionnels de la cyber-sécurité en sont encore bien souvent réduits à l’analyse manuelle de ces comportements, si bien qu’il faudrait en moyenne 6 mois à la plupart des entreprises pour détecter une violation de ses données… Un procédé que l’IA peut largement prendre en main et accélérer.

Par ailleurs, "les applications plus avancées de la d’AI security peuvent aller au-delà de la simple identification des bons ou des mauvais comportements en analysant de grandes quantités d'informations et en aidant à rassembler les activités associées qui pourraient indiquer un comportement suspect," explique sur son site Awake, spécialiste de l’AI security (groupe Arista Network).  "De cette manière, le comportement de l’IA de sécurité se rapproche de celle du meilleur et du plus compétent analyste humain."

Sommes-nous devant LA solution pour substituer les 3 millions d’experts sécurité manquants dans le monde ? Probablement pas, en tout cas pas seulement. Dans le domaine de la cyber-sécurité, il est primordial de savoir remettre en question les modèles d’attaque connus. Ces derniers ne cessent d’évoluer à mesure que l’environnement digital des entreprises, retailers en tête, se complexifie. Une capacité que l’intelligence artificielle, suivant fidèlement le protocole qui lui a été enseigné, ne possède pas.

Comme dans d’autres métiers - en marketing notamment - l'idée dominante est plutôt de se servir de l’intelligence artificielle comme d'un outil décuplant les performances des experts sécurité déjà en poste. Des modèles de collaboration homme - machine (ou homme – algorythme) qui seront notamment discutés lors du prochain HUBDAY Future of Retail & E-commerce, dans son track dédié aux problématiques IT et sécurité des commerçants.