Dans son livre blanc sur le panorama de la menace informatique 2021, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a recensé une hausse de 37% des intrusions informatiques en France par rapport à 2020, justifiée par une spécialisation et une professionnalisation des cybercriminels, combinée à une mauvaise maîtrise des usages numériques des différentes organisations.
Une transformation digitale progressive des maisons de luxe augmentant leur exposition aux risques cyber
A cet égard, les maisons du luxe ont longtemps exprimé une réticence face à la digitalisation de leurs processus métiers. Ce refus est initialement lié à la volonté de conserver une expérience client de « main à main » entretenant un sentiment d’exclusivité, de rareté et d’authenticité, que seul le service physique peut procurer. Mais cette digitalisation s’est fortement développée depuis la crise du COVID-19 où de nombreuses maisons du luxe ont opté pour une stratégie omnicanale afin d’assurer la continuité de leurs services : de la vente en ligne aux défilés et showrooms virtuels, le secteur du luxe a accéléré sa transformation digitale en faisant appel à de nouvelles technologies (infrastructure Cloud, intelligence artificielle, prestataire de développement logiciel…).
Néanmoins, cette transformation numérique a augmenté la surface d’attaque de ces entreprises : dans son étude, l’ANSSI souligne que les attaques indirectes via supply chain sont de plus en plus courantes à cause de l’interconnexion croissante des systèmes d’information avec les tiers, parfois mal maîtrisée ou peu sécurisée.
Face à l’augmentation du nombre d’attaques en France et dans le monde, accru par les tensions internationales actuelles marquées par le retrait de certaines maisons du luxe de la Russie comme Hermès, LVMH, Chanel et Kering, ce secteur d’activité doit plus que jamais prendre en compte la cybersécurité dans sa gestion des risques.
L’accélération de la transition numérique des maisons de luxe au service de la valorisation de la donnée, clé de voûte de l’expérience omnicanale et de la connaissance client
Bien qu’initialement réticentes à réaliser leur transformation numérique, les maisons du luxe ont pour la plupart dû s’adapter à une nouvelle clientèle plus jeune et davantage connectée à internet. Gucci, Prada, Burberry, Hermes, Rolex, Balenciaga et bien d’autres assument l’usage des réseaux sociaux ou le recours à l’e-commerce : l’émergence des smartphones et des tablettes a joué un rôle majeur dans cette transformation numérique. Selon une étude Google, 8 ventes de produits de luxe sur 10 sont influencées par le digital, faisant de ces clients une population ultra connectée.
Le digital au service de l’expérience client
Ainsi, le secteur du luxe a repensé sa stratégie d’expérience client en s’appuyant sur le développement de nouvelles technologies telles que la réalité virtuelle ou la réalité augmentée, afin de recréer une immersion émotionnelle semblable à celle d’une boutique.
Durant la crise sanitaire, la maison Dior a développé une application de « Virtual Try On » en collaboration avec Snapchat, permettant aux clients d’essayer virtuellement des chaussures grâce à la réalité augmentée. Gucci a également créé des expériences virtuelles personnalisées, notamment en permettant une visite virtuelle d’une de leurs boutiques, où le personnel présente des articles à l’écran. Au travers du développement des Internet of Things (IoT), les maisons du luxe collectent, traitent et stockent une nouvelle typologie de données via la reconnaissance faciale et pose la question de la protection de ces images.
La protection des données, condition sine qua non à la transformation digitale
A l’instar des autres secteurs d’activité, les données des clients sont essentielles aux maisons du luxe qui souhaitent proposer une expérience client exclusive. Au-delà des données à caractère personnel « classiques » (nom, prénom, adresse-e-mail, téléphone, coordonnées bancaires…) connaître les historiques d’achat, les préférences ou le comportement en ligne permet d’identifier des opportunités d’achat ou des ventes additionnelles. Ces données stratégiques, souvent recueillies grâce aux cookies de navigation, peuvent être exploitées par des outils d’analyse prédictive permettant de suggérer des produits pertinents aux clients. Ces procédés sont largement utilisés par les maisons du luxe dont certaines fondent leur stratégie marketing sur des campagnes média 100% online.
En comparaison des sites e-commerce proposant des produits à prix accessibles, les maisons de luxe ont des exigences de confidentialité renforcées pour conserver une image de marque irréprochable. Ainsi, afin de se conformer au Règlement Général sur la Protection des Données (RGPD), elles doivent mettre en œuvre des mesures de sécurité suffisantes pour protéger leur système d’information contre toute altération des données clients. Ces mesures ne sont pas détaillées dans le texte, il revient à chaque structure de mettre en place des mesures de sécurité adaptées aux risques identifiés. Bien que les maisons de luxe victimes de cyberattaques communiquent rarement publiquement, cela ne signifie pas que ce secteur est épargné : Moncler et Chanel Korea ont par exemple confirmé une violation de données à la suite d’une cyberattaque en 2021.
Mais ces dernières ne sont pas les seules informations à forte valeur pour les maisons du luxe : les éléments constitutifs de la propriété intellectuelle des marques, tels que les secrets de fabrication, les designs, les collections ou des noms de domaine sont à protéger. Aujourd’hui, ces éléments sont stockés dans des outils numériques tels que des logiciels de design ou des ERP et sont très souvent sous-traités par des prestataires.
Onepoint a identifié 6 risques cyber liés à la perte de confidentialité des données critiques et/ou représentant un impact majeur sur l’image de marque de ces maisons.
La confidentialité est le critère de sécurité fondamental pour les maisons de luxe : préserver la vie privée de ses clients ainsi que les secrets de fabrication de la maison sont des enjeux primordiaux pour maintenir une image de marque exclusive et prestigieuse.
Risque 1 : Vol et diffusion de secrets de fabrication ou de données de clients
Une attaque par ransomware est l’exécution d’un logiciel malveillant qui, une fois introduit dans un système d’information, chiffre l’ensemble des actifs auxquels il a accès (postes de travail, serveurs, fichiers, bases de données…) et exige le paiement d’une rançon en l’échange du déchiffrement. Selon l’attaquant, le système d’information peut être simplement chiffré, mais dans d’autres cas, les données peuvent être exfiltrées et diffusées : généralement, elles sont soit rendues publiques soit vendues sur le darkweb.
Ce malware s’introduit généralement via le téléchargement d’une pièce-jointe infectée contenue dans un e-mail de phishing, et exploite les vulnérabilités du système d’information pour réaliser une élévation de privilèges et causer un maximum de dommages.
Si des données à caractère personnel de collaborateurs ou de clients sont concernées par cet incident, l’entreprise risque des sanctions juridiques en cas d’absence de déclaration à l’autorité compétente de même que dans le cas où elle n’aurait pas mis en œuvre des mesures de sécurité suffisantes pour protéger ces données. En divulguant des informations de clients parfois VIP, l’image de marque et la relation de confiance pourraient être fortement altérées.
Risque 2 : Arrêt de l’entreprise par ransomware
Dans la continuité du risque précédent, une attaque par ransomware n’implique pas uniquement la perte de données, mais cause également l’interruption du système d’information provoquée par le chiffrement des postes de travail ou des systèmes (serveurs, Active Directory etc.).
Pour des maisons de luxe, ce scénario pourrait provoquer l’interruption des services « supports » tels que le service après-vente ou la paye, mais également auprès des métiers, tels que la production manufacturière ou le système d’encaissement en boutique. En effet, la perte d’activité et le coût réputationnel liés à la fermeture d’ateliers ou de boutiques ne sont pas négligeables.
Risque 3 : Indisponibilité du site web vitrine
Une attaque par déni de service, ou Distributed Denial of Service (DDoS), est une attaque visant à saturer un site web grâce à l’envoi de multiples requêtes sur un serveur, empêchant ainsi l’accès au service. Ces attaques sont fréquentes car tout système d’information exposé à internet peut être vulnérable. Elles peuvent être combinées à une demande de rançon pour mettre fin à l’attaque.
En plus de l’attaque par déni de service, d’autres types d’attaques peuvent également engendrer l’indisponibilité du site web vitrine. Parmi ces attaques on cite particulièrement l’attaque par injection SQL et l’attaque XSS (Cross-Site Scripting).
Considérés comme une véritable vitrine commerciale des maisons de luxe, les sites web peuvent être pris pour cible à des fins de déstabilisation ou de décrédibilisation. En effet, cette attaque a une répercussion directe sur l’image de marque puisque l’utilisateur final est témoin de l’interruption des services. Pour une maison de luxe, une telle attaque rendrait inopérants les services en ligne tels que la vente, la prise de rendez-vous, ou le service client.
Risque 4 : Réalisation de contrefaçons numériques
Le cybersquatting est l’utilisation du nom de domaine d’une organisation dans le but d’usurper son identité : il peut s’effectuer par l’envoi d’e-mails de phishing ou par la création de sites web dont quelques caractères de l’adresse url ont été modifiés afin de duper un utilisateur. Par exemple : giivenchy.com ou louisvitton.com. Le site web usurpé peut prendre l’apparence du site légitime, voire vendre des produits contrefaits. Ainsi, l’attaquant détourne une grande partie du trafic web du site légitime vers le site malveillant : au-delà de récupérer les informations de navigation des utilisateurs, leurs données à caractère personnel peuvent être interceptées (données de paiement, adresse e-mail, adresse postale) et réutilisées pour réaliser du phishing : la confiance et la réputation de la marque peuvent être fortement altérées.
Les maisons de luxe ont toujours été confrontées à la contrefaçon « physique » de leurs produits en faisant valoir le droit de la propriété intellectuelle, mais qu’en est-il de la contrefaçon numérique ?
Risque 5 : Non-conformité RGPD du site web
Les cookies et traceurs sont l’ensemble des technologies permettant aux sites web de reconnaitre les utilisateurs, leur rappelle les informations de connexion, leurs préférences liés au ciblage publicitaire. Il existe différentes typologies de cookies, les cookies strictement nécessaires qui consiste à garder en mémoire les informations élémentaires (panier d’achats), les cookies de performance servant à mesurer des statistiques, des cookies de fonctionnalité permettant à l’utilisateur de naviguer librement sur un site, les cookies de ciblage marketing ou encore les cookies de réseaux sociaux permettant de partager du contenu.
Les maisons de luxe doivent donc veiller à respecter les recommandations de la CNIL sur la gestion du consentement liée à la collecte des cookies, à savoir :
- L’utilisateur doit être informé de la finalité des cookies
- Donner la possibilité d’accepter ou de refuser les différents types de cookies (hors cookies techniques)
- Possibilité d’intégrer un bouton « tout accepter » et « tout refuser » ou « continuer sans accepter ». La fermeture du bandeau doit être considérée comme un refus, la demande de consentement doit être décochée par défaut
- Ajouter un lien renvoyant à la fenêtre de paramétrage du dépôt de cookies
- Pas de pratiques de design trompeuses
Dans certains cas, la CNIL tolère que le contenu d’un site web puisse être restreint si l’utilisateur refuse la collecte des cookies. Cette tolérance est permise au cas par cas et à condition que l’accès au site ne soit pas intégralement refusé (cookie wall).
En cas de non-conformité, la CNIL peut prononcer des sanctions financières et peuvent faire l’objet de rapports publics. Par exemple en 2021, Google a été sanctionné de 150 millions d’euros car les utilisateurs de Google et de YouTube n’avaient pas la possibilité de refuser les cookies aussi facilement que de les accepter.
Risque 6 : Le vol de NFT
Ces dernières années, de nouvelles technologies ont émergé et ont été appropriées par le secteur du luxe : les non-fungible tokens, ou NFT. Les NFT sont des jetons numériques non-fongibles comparables à des certificats d’authenticité rendant les œuvres uniques, inviolables et traçables. Actuellement, l’achat des NFT s’effectue principalement via la blockchain Etherum. De nombreuses marques de luxe ont opté pour les NFT afin de rendre l’expérience client ultra-personnalisée et d’éviter la contrefaçon, par exemple, la collection Chanel OpenSea et la collection Louis The Game.
Les maisons de luxe vendent ces œuvres numériques via une plateforme dédiée ou en développant leur propre plateforme. Or, les NFT proposés par les marques de luxe sont pour la plupart valorisés à plusieurs millions d’euros et représentent une cible très convoitée des attaquants. Un attaquant cherchera à transférer les jetons du portefeuille du propriétaire vers un « crypto wallet » lui appartenant. Pour y parvenir, il doit avoir accès au compte du propriétaire sur la marketplace, qui peut être accessible via une faille de sécurité sur la plateforme de vente ou via une attaque de phishing ciblée permettant d’obtenir les accès des portefeuilles de crypto-monnaies.
Bien que la majorité des marques aient recours à des plateformes d’achat-vente de NFT, il reste important d’assurer la sécurité des comptes de leurs clients ainsi qu’une protection optimale de toutes les données concernées par cette nouvelle technologie. Le transfert et le stockage de ces données doit notamment être sécurisé afin de réduire la surface d’attaque.
Onepoint recommande une approche hybridée pour traiter les cyber risques du Luxe
Les 6 risques cyber peuvent impacter la totalité des métiers de la chaine de valeur du luxe, de la création à la production, jusqu’à l’après-vente (voir infographie).
Aujourd’hui, les risques cyber ne peuvent pas être traités indépendamment des différents métiers et nécessitent la coopération de chacun dans leur remédiation : c’est ce modèle que nous avons en place chez onepoint pour favoriser transversalité et développement des synergies tout en permettant à chaque talent de développer des filières d’expertises.
Onepoint recommande aux maisons du luxe d’adopter une approche transversale dans la remédiation des cyber risques, autour de trois prismes complémentaires : des mesures techniques, organisationnelles et technico-juridiques.
Les mesures techniques :
- Sécurisation des infrastructures : élaboration d’une stratégie de sécurisation des systèmes et des réseaux tels que la gestion des pare feux, des outils de détection et de protection (anti-virus, EDR…), de répartiteurs de charge, des stratégies de sauvegardes
- Gestion des identités et des accès ; gestion des habilitations (utilisateurs et comptes techniques)
- Audits techniques : réalisation de scans de vulnérabilités, de tests d’intrusion, de revue de code
Les mesures organisationnelles :
- Analyse de risque : adoption du « security by design » pour les nouveaux services et produits, intégration de la sécurité dans les projets
- Gestion des tiers : réalisation d’une cartographie des fournisseurs, étude de la criticité des fournisseurs, réalisation d’audits de conformité, formalisation de plans d’assurance sécurité (PAS), etc.
- Sensibilisation et formation : construction d’un plan de formation et de sensibilisation à la sécurité (intégration de la sécurité les projets, conformité RGPD des sites web), réalisation de serious games, mise en œuvre d’exercices de crise faisant intervenir les métiers
Les mesures technico-juridiques :
- Veille : réalisation d’une veille juridique sur l’usurpation des noms de domaine
- Mise en conformité RGPD des sites web : audit sur les mécanismes de recueil du consentement, design du bandeau des cookies, formalisation et publication d’une politique de confidentialité, audit sur la conservation des données, etc
Avec l’accélération de la digitalisation des processus métiers des maisons du luxe, les risques liés à la cybersécurité ne peuvent plus être ignorés : leur maîtrise n’est pas uniquement l’affaire du service informatique, mais nécessite désormais une coordination et une collaboration de la totalité des métiers.
