Elles ne font pas les manchettes, mais les attaques contre les transactions électroniques entre entreprises sont tout aussi dangereuses et dommageables que celles qui touchent les consommateurs. Ces attaques constituent une des principales sources de fuites et de vols de données concurrentielles ainsi que de pertes de contrats.

" Vos concurrents ne demandent qu'à mettre la main sur vos fichiers clients, les coordonnées et les profils d'acheteurs ", avertit Sylvain Poirier, directeur, solutions de sécurité en technologie de l'information, d'Okiok.

Les PME dans la mire

Bon nombre d'entreprises au Canada, en particulier les plus petites, négligent ces menaces.

Un sondage publié à la fin de février par Ipsos Reid et Visa Canada révèle que 41 % des petites entreprises canadiennes se croient à l'abri des pirates et des voleurs de données en raison de leur taille. " Malheureusement, ces entrepreneurs sont dans le faux : en 2008, 85 % des atteintes aux données en Amérique du Nord ont été commises dans des petites entreprises ", remarque Gord Jamieson, chef, risque du système de paiement, de Visa Canada.

On recense grosso modo deux types d'attaques : les attaques passives, qui englobent l'écoute en ligne et l'interception des données, et les attaques actives, comprenant la manipulation et la non- délivrance de données (les clients et fournisseurs qui cherchent à consulter le catalogue de l'entreprise qui vend en ligne peuvent être trompés par un site contrefait).

Les transactions électroniques entre entreprises représentent la très grande majorité des transactions électroniques mondiales. Au Canada, selon les données les plus récentes publiées par Statistique Canada, les seules ventes électroniques interentreprises représentaient 31,4 milliards de dollars en 2007, soit 62 % de tout le commerce électronique canadien.

Ces transactions électroniques comprennent bien sûr les ventes entre entreprises, mais également tous les échanges de données numérisées liés à ces transactions. Parmi ces échanges figurent notamment l'envoi et la réception de factures, de bons de commandes, d'ordres de paiement, de devis et autres informations nécessaires à l'exécution du contrat et à la vente du bien ou du service.

Comment se protéger ?

La sécurisation des transactions électroniques entre entreprises passe par l'identification du partenaire et la protection des messages échangés. Plusieurs mesures peuvent être appliquées.

" Par exemple, il doit toujours y avoir une identification mutuelle des deux parties ", dit M. Poirier. Il faut s'assurer de la cohérence des envois, que cela soit toujours le même expéditeur, le même canal d'échange, etc.

Il convient aussi de s'assurer de la robustesse et de la fiabilité du canal de transmission. Pour cela, il faut vérifier si ce canal dispose de protocoles à jour, y compris le chiffrement des données. " On constate aujourd'hui qu'un simple chiffrement du canal ne suffit plus, observe toutefois M. Poirier. Certaines entreprises chiffrent désormais aussi les données très sensibles comme les numéros de carte de crédit. On parle alors de double chiffrement. "

85 %

Proportion des atteintes aux données commises en Amérique du Nord dirigées contre les petites entreprises.

41 %

Proportion des petites entreprises canadiennes qui se croient à l'abri des pirates et des voleurs de données en raison de leur taille, d'après un sondage Ipsos Reid/Visa Canada.

jerome.plantevin@transcontinental.ca