La cybersécurité dans les transactions d’achat

Avec la transition digitale, les risques liés à la cybersécurité dans les transactions d'achat ont explosé. De plus en plus d'entreprises réalisent que la protection des données et des transactions financières est désormais une priorité absolue.

Les risques majeurs de cybersécurité dans les transactions d'achat

Les chiffres qui caractérisent la cybersécurité en France sont assez alarmants. 🔎 Selon le Baromètre de la cybersécurité en société CESIN 2022, 1 entreprise sur 2 aurait été victime d’une cyberattaque durant l’année 2021 soit 54 % des entreprises françaises. Elles touchent particulièrement les transactions numériques, y compris celles liées aux achats. Il faut aussi savoir que le coût médian d’une cyberattaque est de 50 000 euros. Les directions achats doivent donc intégrer des stratégies de cybersécurité pour protéger leurs processus d’approvisionnement et assurer la continuité des activités.

Phishing et fraude aux emails

Le phishing, ou hameçonnage, reste l'une des menaces les plus répandues en cybersécurité. Dans le cadre des achats, les pirates envoient des courriels frauduleux, souvent déguisés en factures ou commandes, dans le but de voler des identifiants de connexion ou des informations financières. D’après le baromètre de CESIN, le phishing reste le vecteur d’attaques le plus rependu (73% des cryberattaques). Les vols de données représentent 30% des incidents, avec dans 14% des cas des compromission d'informations.

Ransomwares et logiciels malveillants

Les ransomwares sont des logiciels malveillants qui cryptent les données d'une entreprise et exigent une rançon pour les débloquer. 59 % des organisations françaises ont été victime d’attaques de ransomware en 2021. Ce type d’attaques était devenu un véritable fléau mondial durant la pandémie du Covid, la France a été d’ailleurs largement touchée. Avec 5,5 milliards de dollars en frais d’indemnisation et de récupération liés aux ransomwares, la France arrive en seconde place après les États-Unis en matière de dommages totaux.

Les services achats, souvent en possession de données critiques comme les contrats et informations financières, sont des cibles privilégiées. Entre 2020 et 2022, le nombre d'attaques par ransomware a augmenté de 300%. Elles touchent particulièrement les petites et moyennes entreprises. Ces types d’entreprise sont en effet perçues comme des cibles plus vulnérables en raison de leur protection insuffisante.

En 2020, l'entreprise Colonial Pipeline a subi une attaque par ransomware qui a paralysé ses opérations pendant plusieurs jours. Bien que cette attaque ait touché les infrastructures critiques, les transactions d'achat pour le carburant ont également été affectées et ont entrainé des perturbations dans l'ensemble de la chaîne d'approvisionnement.

L’une des plus longues attaques DDoS du début de l’année 2022 a duré 549 heures, une durée record.

Compromission des comptes

Les comptes utilisateurs compromis sont une autre menace majeure. 14% des incidents sont liés aux informations d'identification volées ou compromises. Si un pirate réussit à accéder aux comptes d'un responsable achat ou d’un fournisseur via des identifiants volés, il peut manipuler les transactions d'achat, détourner des fonds ou voler des informations sensibles.

Les entreprises qui n'utilisent pas de systèmes d'authentification renforcés, comme l’authentification multifactorielle (MFA), sont particulièrement vulnérables à ce type d'attaques. En France, il faut en moyenne 218 jours pour identifier une violation et 76 jours pour la contenir.

Quant au baromètre, il nous dévoile que 34% des cyberattaques visaient des tentatives de connexion frauduleuses tandis que 32% concernaient des usurpations d’identité. De plus, les attaques indirectes par rebond via un prestataire externe ont représenté 21% des incidents, un chiffre en constante augmentation. Cette tendance souligne la dépendance croissante des entreprises vis-à-vis de leurs fournisseurs externes. Surtout que 62% des attaques abusent de la confiance des clients envers leurs fournisseurs.

Les conséquences d'une faille de cybersécurité dans les transactions d'achat

Les conséquences d’une faille de cybersécurité dans les transactions d'achat sont graves et ont des répercussions financières, légales et réputationnelles importantes.

Pertes financières

Le vol de données ou la fraude lors des transactions peut causer des pertes financières significatives. 🔎 Une étude de IBM révèle que qu’en 2024, le coût moyen d'une violation de données en France a atteint 3,85 millions d'euros. Ce montant couvre les paiements frauduleux, la récupération des données, les enquêtes ainsi que les sanctions légales. Dans le domaine des achats, une attaque par ransomware, qui immobilise temporairement le système de gestion des commandes, retarde la chaîne d'approvisionnement et peut entrainer des pénalités contractuelles pour non-livraison à temps.

Atteinte à la réputation

Les cyberattaques peuvent également porter un coup à la réputation de l'entreprise. Si les transactions sensibles ne sont pas suffisamment protégées, les partenaires commerciaux, fournisseurs et clients risquent de perdre confiance. En 2023, plusieurs multinationale de l'industrie automobile ont vu leur réputation sérieusement affectée après une fuite de données. Dans le domaine des achats, si une entreprise ne parvient pas à sécuriser correctement ses transactions d'achat, des informations confidentielles comme les tarifs négociés, les contrats fournisseurs ou les conditions de paiement peuvent être divulguées. Cet incident peut ensuite provoquer une réaction en chaîne avec des fournisseurs cherchant à revoir leurs relations commerciales par exemple.

Interruption des activités

Enfin, les cyberattaques peuvent également provoquer des interruptions des opérations commerciales. Un système d'achat compromis peut entraîner des retards dans les approvisionnements, des erreurs dans les paiements ou la paralysie complète des chaînes d'approvisionnement.

Les meilleures pratiques pour sécuriser les transactions d'achat

Mettre en place des outils de sécurité avancés

La première étape pour sécuriser les transactions d'achat est d’investir dans des outils de cybersécurité robustes. Cette démarche inclut :

• Pare-feux et antivirus : pour protéger les systèmes contre les logiciels malveillants.
• Systèmes de détection des intrusions (IDS) : pour identifier toute activité suspecte.
• Chiffrement des données : pour s’assurer que les informations sensibles soient cryptées, à la fois en transit et au repos.

Les entreprises peuvent également adopter des solutions d'authentification multifactorielle (MFA) pour protéger l'accès aux systèmes critiques.

Selon les études déjà citées :

• 91% des entreprises utilisent des VPN pour sécuriser leurs connexions lors des transactions,
• 81% s'appuient sur des proxys pour anonymiser et protéger les flux d’informations,
• 68% ont adopté des solutions de détection et de réponse aux menaces (EDR),
• 56% des entreprises utilisent des solutions de chiffrement pour protéger leurs données sensibles.

En plus de ces mesures, l'authentification multifactorielle (MFA) est un autre moyen efficace de sécuriser l'accès aux systèmes critiques.

A noter que 7 entreprises sur 10 disposent d’une cyber assurance pour couvrir les éventuelles pertes financières liées à une cyberattaque.

Former les employés aux risques de cybersécurité

🔎 Selon le World Economic Forum, 95% des failles de cybersécurité sont liées à une erreur humaine.  C’est pourquoi il est essentiel de former régulièrement les équipes aux risques de sécurité. Les responsables achats doivent organiser des ateliers de sensibilisation et former les collaborateurs à reconnaître les menaces potentielles dans leurs transactions quotidiennes. 81% des collaborateurs sont désormais mieux sensibilisés aux enjeux de cybersécurité.

Mettre en place des protocoles d’approbation sécurisés

Pour prévenir la fraude, il est essentiel de mettre en place plusieurs niveaux d'approbation pour chaque transaction importante, notamment pour les paiements. L’utilisation de plateformes d’achat sécurisées, dotées de mécanismes d’approbation automatique et de journaux d’audit, permet d’identifier rapidement les anomalies.

L'IA et l'automatisation de la sécurité

🔎 Selon IBM, 70 % des entreprises françaises utilisent désormais l'IA et l'automatisation pour renforcer la prévention et la lutte contre les violations de sécurité. Une organisation qui a largement adopté ces technologies a pu notamment détecter et maîtriser un incident 97 jours plus tôt en moyenne. Cette réactivité lui a aussi permis d’économiser 1,83 million d’euros. Il s'agit de la plus grande réduction de coûts mise en évidence dans ce rapport 2024.

Suivre et surveiller les transactions d'achat

Utiliser des systèmes de surveillance en temps réel

En surveillant en temps réel les transactions, les équipes de sécurité peuvent détecter rapidement toute activité suspecte comme des commandes inhabituelles ou des tentatives de modification des informations de paiement. Des outils comme SIEM (Security Information and Event Management) permettent d’analyser les données en temps réel et de générer des alertes automatiques en cas de comportement suspect.

Effectuer des audits de sécurité réguliers

Les audits de cybersécurité permettent d’évaluer les points faibles d’un système d’achat et de mettre en place des actions correctives. Un audit inclue la révision des protocoles d'accès, la vérification des logs de transaction et l’évaluation des risques associés aux fournisseurs.

En conclusion, gérer les risques liés à la cybersécurité dans les transactions d'achat est aujourd'hui un impératif pour toutes les entreprises. Les menaces peuvent avoir des conséquences financières et réputationnelles graves. En appliquant ces bonnes pratiques, les entreprises minimisent les risques et assurent la continuité de leurs activités.