BLOG

PCI DSS est la norme de référence : L'importance de protéger les applications web et les API dans le commerce électronique

Byron McNaught Miniature
Byron McNaught
Publié le 26 juin 2025

La version 4.0.1 du standard de sécurité des données de l’industrie des cartes de paiement (PCI DSS) impose aux détaillants et aux fournisseurs de commerce électronique de renforcer leurs défenses en matière de sécurité des applications. Les conséquences potentielles sont concrètes, les meilleures pratiques étant désormais des obligations impératives. Face à la complexité des attaquants et aux attentes des clients pour des transactions faciles, vous devez privilégier des solutions intégrées qui non seulement assurent la conformité aux exigences strictes, mais surtout protègent efficacement votre activité numérique.

Examinons quelques-unes des raisons pour lesquelles cela se produit dans cet article.

Application de panier

Les plateformes de commerce électronique garantissent une expérience client fluide et sécurisée.

Pourquoi maintenant ?

Bien que la norme PCI ne soit pas nouvelle, sa dernière version élargit considérablement son champ d’application. Une idée reçue fréquente au fil des ans se résume souvent ainsi : « Je suis tranquille, j’ai un pare-feu, c’est réglé. » Vous pouvez désormais ranger cette idée reçue au rang des mythes.

La modernisation des applications, l’essor des points de contact numériques omnicanaux et la sophistication croissante des attaquants vous obligent à renforcer vos contrôles de sécurité pour respecter la norme PCI DSS, notamment la sécurisation des scripts de paiement, la protection des API, la détection rapide et la réaction aux identifiants compromis, ainsi que des scans réguliers de vulnérabilités.

Comme le précise le Guide marché 2025 de Gartner pour la protection des applications Web et des API dans le cloud, la protection côté client prend de plus en plus d’importance, la dernière norme PCI exigeant des contrôles de sécurité pour tous les scripts de paiement.

Les applications Web deviennent de plus en plus complexes avec la décentralisation de l’architecture et la répartition des composants logiciels au sein d’environnements hybrides et multicloud. En séparant l’infrastructure applicative et en étendant les chaînes d’approvisionnement logicielle, vous exposez davantage votre entreprise aux menaces qui ciblent la logique métier et les navigateurs des utilisateurs dans le cadre du cycle de vie des attaques industrialisées.

Qu’est-ce qui peut mal tourner ? (Indice : le maillon le plus faible)

Les attaques côté client, comme les infostealers, permettent de dérober des identifiants utilisateur, ensuite exploités lors d’attaques automatisées à grande échelle. Sans protection, cela mène à la prise de contrôle de compte et à la fraude.

Le formjacking injecte un JavaScript malveillant dans les formulaires en ligne pour saisir les données utilisateur directement dans le navigateur. Nous constatons qu’il s’appuie souvent sur des vulnérabilités de scripts tiers, ce qui rend sa détection difficile avec les contrôles de sécurité centralisés classiques.

Magecart désigne un ensemble de groupes cybercriminels spécialisés dans le skimming web, visant les sites e-commerce en injectant du code JavaScript qui dérobe les données de paiement pendant le processus de paiement.

Les pare-feu d’application web (WAF) restent un contrôle de sécurité essentiel, d’autant plus que la nouvelle norme exige de traiter régulièrement toutes les vulnérabilités, qui représentent des opportunités potentielles pour les pirates. Si beaucoup de WAF protègent les API, le rythme rapide du développement modern exige plus : vous devez pouvoir détecter dynamiquement et protéger automatiquement les points de terminaison intégrés profondément dans la logique métier ou sollicités dans des écosystèmes tiers, idéalement dès le codage et les phases de test.

Alors que les processus du cycle de vie des logiciels et les techniques de codage sécurisées constituent la référence, il faut que les évaluations des risques soient continues, et il est souvent nécessaire de recourir à une sécurité d'exécution robuste en production — y compris dans le navigateur client, l'application web frontale et les API back-end — pour contrer efficacement les attaques sur plusieurs vecteurs de menace dans des expériences numériques hautement interconnectées. 

Les services tiers constituent une composante courante et une source de risques pour les applications web.

Qu'est-ce qui pourrait encore mal se passer ? (Indice… abus de plateforme)

Les vulnérabilités représentent des défauts ou des faiblesses dans les logiciels qu’un attaquant peut exploiter. Puisque les applications reposent désormais essentiellement sur des API, les fonctions de logique métier en arrière-plan sont particulièrement exposées aux abus.

Laboratoires F5 recherche détaille comment le secteur du commerce électronique a enregistré l’une des plus fortes proportions d’attaques avancées, avec 44,82 % de credential stuffing mobiles étant sophistiquée. Ces attaquants mobilisent divers outils pour simuler le comportement du navigateur, du mobile et de l’utilisateur afin d’échapper à la détection, notamment en générant des jetons valides, en usurpant des signaux de télémétrie et en imitant les événements du clavier et de la souris. Ils révisent constamment leurs méthodes pour contourner les défenses, passant des applications web aux applications mobiles ou en intensifiant leurs tactiques, techniques et procédures.

Les attaques dans le secteur du e-commerce utilisent aussi des bots revendeurs qui exploitent la fonction ajout au panier, empêchant vos vrais clients de finaliser leurs achats. Plus d'une transaction d'ajout au panier sur cinq, parmi plus de 200 milliards de requêtes web et API analysées, était automatisée.

{"0":"De plus, des bots manipulent les avis des utilisateurs pour générer de faux avis réalistes, souvent avec l\u2019aide de l\u2019intelligence artificielle générative."}

Même dans le commerce électronique, la recherche en matière de menaces menée par F5 Labs démontre que l'industrie de la mode est la plus touchée par les scrapers, qui extraient d'importantes quantités de données et de contenu de leurs cibles, représentant 53,23 % de tout le trafic web. Le scraping peut désavantager votre entreprise en matière de tarification et mettre en péril la propriété intellectuelle.

Les bots et l’automatisation malveillante renforcent le cycle industriel des attaques.

Quel rapport ont les règlements là-dedans ?

La dernière PCI DSS recommande plusieurs approches pour privilégier une analyse des risques ciblée par rapport aux évaluations traditionnelles à l’échelle de l’entreprise.

En particulier, la norme mise à jour répond à la menace croissante des attaques côté client avec deux exigences côté client en vigueur à compter du 31 mars 2025, mais ne prescrit pas de manière spécifique comment les organisations doivent les satisfaire.

Ces nouvelles directives reconnaissent que les scripts malveillants côté client représentent une menace croissante pour l'industrie des cartes de paiement.  Les méthodes classiques pour limiter ces risques – comme les Content Security Policies (CSP) pour bloquer l’injection de code non autorisé sur un site web, et les techniques Subresource Integrity (SRI) pour valider que les applications tierces n’ont pas été altérées – sont complexes à déployer et à maintenir, surtout aujourd’hui dans une ère d’IA où la concurrence pour capter l’attention des clients pousse à améliorer continuellement les expériences numériques.

Comment assurer une expérience fluide et sécurisée

Les clients veulent réaliser leurs transactions facilement et ne supportent ni retards, ni dysfonctionnements, ni surtout incidents de sécurité. Les contrôles de sécurité courants, comme les pare-feu applicatifs web, ne protègent pas toujours efficacement le navigateur client ni les API backend. Les solutions de gestion des bots utilisant des challenges CAPTCHA échouent souvent à dissuader des cybercriminels expérimentés, mais elles frustrent grandement les utilisateurs. Même l’authentification multi-facteurs peut être contournée.

Les attaquants adaptent leurs techniques selon la plateforme, le secteur et la logique commerciale cible. En e-commerce, empêcher un acheteur potentiel d’ajouter un article à son panier représente une menace majeure. La transaction, les revenus générés et la fidélité des clients sont alors directement impactés.

diagramme des plateformes, de l'industrie et des flux

L'interaction entre les plateformes, l'industrie et les flux visés par les bots et les attaques automatisées.

Au lieu de déployer une mosaïque de contrôles de sécurité faiblement intégrés pour répondre aux exigences de conformité PCI DSS, les fournisseurs de commerce électronique devraient envisager des plateformes de sécurité unifiées conçues pour protéger les applications web, les API et les clients tout au long du cycle de vie numérique contre les menaces réelles ciblant leur secteur.

Pour approfondir la norme PCI DSS, explorez ces blogs :

Pour en savoir plus, rendez-vous sur les solutions F5 pour le commerce électronique