PCI DSS est la norme de référence : L'importance de protéger les applications web et les API dans le commerce électronique

Bien que cela ne soit pas nouveau, la dernière norme PCI élargit considérablement la portée de ses recommandations. Une idée reçue répandue au fil des ans peut se résumer ainsi : « Je suis protégé, j’ai un pare-feu, vérifiez. » Cette idée reçue peut désormais être considérée comme un mythe.

La modernisation des applications, l'essor des points de contact numériques omnicanaux et les progrès constants en matière de sophistication des attaquants obligent à ajouter de nombreux contrôles de sécurité pour assurer la conformité PCI DSS, notamment la sécurité des scripts de paiement, la protection des API, la détection et la réponse rapides aux identifiants compromis, ainsi que des analyses régulières des vulnérabilités.

Comme indiqué dans le Guide du marché Gartner 2025 pour la protection des applications web et des API dans le cloud, la protection côté client devient de plus en plus essentielle, car la dernière norme PCI impose des contrôles de sécurité pour tous les scripts de paiement.

Les applications web deviennent de plus en plus complexes en raison de la décentralisation de l'architecture et de la distribution des composants logiciels dans des environnements hybrides et multicloud. Ce découplage de l'infrastructure applicative et l'expansion des chaînes d'approvisionnement en logiciels ouvrent la porte (et les fenêtres) aux menaces qui ciblent la logique métier et les navigateurs clients dans le cadre du cycle de vie des attaques industrialisées.

Les attaques côté client comme les infostealers peuvent servir à récolter les identifiants utilisateur, qui sont ensuite exploités dans des attaques automatisées à grande échelle, pouvant entraîner une prise de contrôle de compte et des fraudes si elles ne sont pas atténuées.

Le formjacking injecte du JavaScript malveillant dans des formulaires en ligne pour enregistrer les saisies des utilisateurs au niveau du navigateur. Il est souvent réalisé en exploitant les vulnérabilités des scripts tiers, ce qui le rend difficile à détecter avec les contrôles de sécurité centralisés traditionnels.

Magecart est un terme générique désignant un ensemble de groupes de cybercriminels spécialisés dans le skimming web, ciblant les sites de commerce électronique en injectant du code JavaScript qui vole les données de paiement lors du paiement.

Les pare-feu applicatifs (WAF) restent un contrôle de sécurité stratégique, d'autant plus que la nouvelle norme indique que toutes les vulnérabilités offrent une opportunité potentielle aux attaquants et doivent être traitées régulièrement. De nombreux WAF peuvent protéger les API, mais la rapidité de développement des applications modernes exige des capacités supplémentaires pour détecter dynamiquement et protéger automatiquement les points de terminaison profondément enfouis dans la logique métier ou intégrés dans des écosystèmes tiers, idéalement dans le code et lors des tests.

Alors que les processus du cycle de vie des logiciels et les techniques de codage sécurisées constituent la référence, il faut que les évaluations des risques soient continues, et il est souvent nécessaire de recourir à une sécurité d'exécution robuste en production — y compris dans le navigateur client, l'application web frontale et les API back-end — pour contrer efficacement les attaques sur plusieurs vecteurs de menace dans des expériences numériques hautement interconnectées. 

Les vulnérabilités sont des défauts ou des faiblesses dans les logiciels qui peuvent être exploités par des attaquants. Étant donné que les applications fonctionnent désormais principalement via des API, les fonctions de logique métier côté serveur présentent un risque élevé d’abus.

Laboratoires F5 recherche détaille comment le secteur du commerce électronique a enregistré l’une des plus fortes proportions d’attaques avancées, avec 44,82 % de credential stuffing mobiles étant sophistiquée. Ces attaquants mobilisent divers outils pour simuler le comportement du navigateur, du mobile et de l’utilisateur afin d’échapper à la détection, notamment en générant des jetons valides, en usurpant des signaux de télémétrie et en imitant les événements du clavier et de la souris. Ils révisent constamment leurs méthodes pour contourner les défenses, passant des applications web aux applications mobiles ou en intensifiant leurs tactiques, techniques et procédures.

Les attaques contre le secteur du commerce électronique utilisent également des robots revendeurs qui abusent de la fonction d'ajout au panier, ce qui peut empêcher les vrais clients d'effectuer des transactions. Plus d'une transaction d'ajout au panier sur cinq, observée parmi plus de 200 milliards de requêtes web et API analysées, a été automatisée.

{"0":"De plus, des bots manipulent les avis des utilisateurs pour générer de faux avis réalistes, souvent avec l\u2019aide de l\u2019intelligence artificielle générative."}

Même dans le commerce électronique, la recherche en matière de menaces menée par F5 Labs démontre que l'industrie de la mode est la plus touchée par les scrapers, qui extraient d'importantes quantités de données et de contenu de leurs cibles, représentant 53,23 % de tout le trafic web. Le scraping peut désavantager votre entreprise en matière de tarification et mettre en péril la propriété intellectuelle.

La dernière PCI DSS recommande plusieurs approches pour privilégier une analyse des risques ciblée par rapport aux évaluations traditionnelles à l’échelle de l’entreprise.

En particulier, la norme mise à jour répond à la menace croissante des attaques côté client avec deux exigences côté client en vigueur à compter du 31 mars 2025, mais ne prescrit pas de manière spécifique comment les organisations doivent les satisfaire.

Ces nouveaux mandats reconnaissent que les scripts malveillants côté client représentent une menace croissante dans l'industrie des cartes de paiement.  Les stratégies établies pour gérer ces risques, comme les politiques de sécurité du contenu (CSP) pour bloquer les injections de code non autorisées et les méthodes Web d'intégrité des sous-ressources (SRI) pour vérifier que les applications tierces n'ont pas été modifiées, sont difficiles à mettre en œuvre et à maintenir, surtout à l'ère de l'IA où la compétition pour la part d'attention des clients pousse à améliorer continuellement les expériences numériques.

Les clients s’attendent à effectuer des transactions facilement et ne tolèrent pas les retards, les problèmes et surtout les incidents de sécurité. Les contrôles de sécurité largement utilisés, tels que les solutions de pare-feu application web, peuvent ne pas étendre de manière adéquate les protections au navigateur client ou aux API back-end. Les solutions de gestion des robots qui injectent des défis aux utilisateurs via CAPTCHA sont largement inefficaces pour dissuader les abus de la part de cybercriminels qualifiés, mais sont très efficaces pour frustrer les utilisateurs. Même l’authentification multifactorielle peut être contournée.

Les attaquants adaptent leurs techniques en fonction de la plateforme, du secteur et de la logique commerciale qu'ils peuvent exploiter. Dans le commerce électronique, l'impossibilité pour un acheteur potentiel d'ajouter un article à son panier représente une menace majeure. La transaction, les revenus qui en découlent et la fidélité des clients sont tous en jeu.