Vous savez ce sentiment quand vous vous réveillez d’un cauchemar que votre carte de crédit a été volée avec le solde de votre compte et votre identité? Pour la plupart d’entre nous, c’est juste un cauchemar qui disparaît de notre banque mémoire au petit déjeuner, mais pour beaucoup d’autres, c’est une réalité qui mène à un appel immédiat à votre fournisseur de carte de crédit.
Imaginez maintenant que vous êtes ce fournisseur de carte de crédit ou le site de commerce qui accepte vos données et que vous perdez des revenus importants, la fidélité de la clientèle et un sentiment de sécurité perdu. L’intégrité de vos scripts de page de paiement exécutés dans le navigateur du consommateur compte. Cela fait partie de votre propre identité, donc lorsqu’elle est compromise, l’impact se fait sentir de façon exponentielle.
Aujourd’hui, les attaques de navigateur ciblent la chaîne d’approvisionnement des logiciels de manière importante, et beaucoup deviennent nerveux pour une bonne raison.
Sur une période de cinq mois chez Ticketmaster en 2018, 40 000 cartes de crédit ont été compromises, grâce au travail de Magecart. En plaçant des logiciels malveillants sur l’une des pages du service client, des informations personnelles et des informations de carte de paiement ont été volées.
Mais ce n’est pas le premier et certainement pas le dernier. Parallèlement à l’évolution de la technologie, qui inclut bien sûr l’émergence directe de l’IA, est venue une forte augmentation des cybermenaces de tous côtés. Selon Veracode State of Software Security, 55 % des applications JavaScript présentaient au moins une vulnérabilité OWASP Top 10 et près de 10 % présentaient des défauts de gravité élevée. Avec l’omniprésence des bibliothèques JavaScript côté client utilisées dans les applications modernes, le besoin de protection côté client n’a jamais été aussi grand.
Alors que les applications Web s’appuient de plus en plus sur la logique côté client et intègrent davantage de ressources tierces, les attaques côté client sont en augmentation. Jusqu’à il y a quelques années, les attaques qui ciblaient les applications côté serveur, le plus souvent pour exfiltrer les données des bases de données dorsales, compromettre les serveurs Web et d’autres réseaux infra, ou servir de point d’entrée à partir duquel les attaquants pouvaient se déplacer latéralement dans une organisation, attiraient beaucoup plus d’attention.
Les attaques côté client, qui incluent les attaques Magecart, ciblent directement les données sensibles des clients, entraînant des violations des réglementations en matière de confidentialité des données. Pour faire face à cette menace en constante évolution, la norme PCI DSS 4,0 a introduit de nouvelles mesures de sécurité centrées sur le client.
Les organisations qui traitent des informations relatives aux cartes de paiement doivent suivre la nouvelle norme, la version (4,0), de la norme de sécurité des données (DSS) de l’industrie des cartes de paiement (PCI) d’ici la fin de mars 2025. Le non-respect de la norme PCI DSS peut entraîner des amendes importantes et des restrictions sur l’utilisation de la plate-forme de paiement à l’avenir.
Alors, que doit faire un fournisseur de carte de crédit ou un site de commerce électronique?
La protection côté client (CSP) aide à se protéger contre l’exfiltration des données des utilisateurs finaux, protège les sites Web contre les menaces JavaScript, bloque les scripts incorrects et prend en charge plusieurs stratégies de sécurité du contenu. Il fournit également des informations exploitables dans une vue de tableau de bord unique et fournit des alertes pour limiter l’activité de script nuisible.
En utilisant une approche en couches à la périphérie, le nouveau CSP d’Edgio surveille en permanence ces scripts et API côté client afin que les données sensibles des clients ne soient pas compromises dans des événements tels que les attaques XSS, clickjacking, form jacking et les attaques Magecart comme celle qui a affecté Ticketmaster. Les équipes peuvent facilement gérer les scripts autorisés à s’exécuter, par page, tout en se conformant à la nouvelle version (4,0) de la PCI DSS d’ici l’année prochaine.
Selon le rapport 2023 de Verizon sur les enquêtes sur les violations de données, environ 18 % des violations de données sont attribuées aux attaques Magecart.
Edgio CSP devient encore plus redoutable avec la prise en charge d’une application Web et de la protection API (WAAP), une plate-forme qui protège les actifs Web contre un large éventail de menaces critiques – des attaques DDoS et de code malveillant aux attaques API et Bot – le tout à la périphérie. Avec WAAP, vous bénéficiez d’une défense en profondeur contre les attaques multi-vecteurs à partir d’une console unique et intuitive, pour une meilleure observabilité sur toutes les applications et moins de frais généraux.
La protection côté client vous offre tout ce dont vous avez besoin pour des applications sécurisées et performantes.
Les offres groupées d’applications Edgio Protect and Perform fournissent tout ce dont vous avez besoin pour créer, sécuriser et fournir des applications hautes performances avec un tarif fixe prévisible sans frais supplémentaires. De plus, des services de sécurité gérés de pointe sont inclus dans les offres groupées d’applications, afin d’aider les équipes en proposant un service 24/7 qui vous prépare aux attaques en constante évolution et améliore continuellement votre sécurité.
Edgio s’engage à continuer à évoluer avec le paysage évolutif de la technologie, à être au top de ce dont nos clients ont besoin, peu importe où il nous mène… et cela inclut d’être du bon côté de la protection!
