PCI DSS est la norme de référence : L'importance de protéger les applications web et les API dans le commerce électronique

Bien que la norme PCI ne soit pas nouvelle, sa dernière version élargit considérablement son champ d’application. Une idée reçue fréquente au fil des ans se résume souvent ainsi : « Je suis tranquille, j’ai un pare-feu, c’est réglé. » Vous pouvez désormais ranger cette idée reçue au rang des mythes.

La modernisation des applications, l’essor des points de contact numériques omnicanaux et la sophistication croissante des attaquants vous obligent à renforcer vos contrôles de sécurité pour respecter la norme PCI DSS, notamment la sécurisation des scripts de paiement, la protection des API, la détection rapide et la réaction aux identifiants compromis, ainsi que des scans réguliers de vulnérabilités.

Comme le précise le Guide marché 2025 de Gartner pour la protection des applications Web et des API dans le cloud, la protection côté client prend de plus en plus d’importance, la dernière norme PCI exigeant des contrôles de sécurité pour tous les scripts de paiement.

Les applications Web deviennent de plus en plus complexes avec la décentralisation de l’architecture et la répartition des composants logiciels au sein d’environnements hybrides et multicloud. En séparant l’infrastructure applicative et en étendant les chaînes d’approvisionnement logicielle, vous exposez davantage votre entreprise aux menaces qui ciblent la logique métier et les navigateurs des utilisateurs dans le cadre du cycle de vie des attaques industrialisées.

Les attaques côté client, comme les infostealers, permettent de dérober des identifiants utilisateur, ensuite exploités lors d’attaques automatisées à grande échelle. Sans protection, cela mène à la prise de contrôle de compte et à la fraude.

Le formjacking injecte un JavaScript malveillant dans les formulaires en ligne pour saisir les données utilisateur directement dans le navigateur. Nous constatons qu’il s’appuie souvent sur des vulnérabilités de scripts tiers, ce qui rend sa détection difficile avec les contrôles de sécurité centralisés classiques.

Magecart désigne un ensemble de groupes cybercriminels spécialisés dans le skimming web, visant les sites e-commerce en injectant du code JavaScript qui dérobe les données de paiement pendant le processus de paiement.

Les pare-feu d’application web (WAF) restent un contrôle de sécurité essentiel, d’autant plus que la nouvelle norme exige de traiter régulièrement toutes les vulnérabilités, qui représentent des opportunités potentielles pour les pirates. Si beaucoup de WAF protègent les API, le rythme rapide du développement modern exige plus : vous devez pouvoir détecter dynamiquement et protéger automatiquement les points de terminaison intégrés profondément dans la logique métier ou sollicités dans des écosystèmes tiers, idéalement dès le codage et les phases de test.

Alors que les processus du cycle de vie des logiciels et les techniques de codage sécurisées constituent la référence, il faut que les évaluations des risques soient continues, et il est souvent nécessaire de recourir à une sécurité d'exécution robuste en production — y compris dans le navigateur client, l'application web frontale et les API back-end — pour contrer efficacement les attaques sur plusieurs vecteurs de menace dans des expériences numériques hautement interconnectées. 

Les vulnérabilités représentent des défauts ou des faiblesses dans les logiciels qu’un attaquant peut exploiter. Puisque les applications reposent désormais essentiellement sur des API, les fonctions de logique métier en arrière-plan sont particulièrement exposées aux abus.

Laboratoires F5 recherche détaille comment le secteur du commerce électronique a enregistré l’une des plus fortes proportions d’attaques avancées, avec 44,82 % de credential stuffing mobiles étant sophistiquée. Ces attaquants mobilisent divers outils pour simuler le comportement du navigateur, du mobile et de l’utilisateur afin d’échapper à la détection, notamment en générant des jetons valides, en usurpant des signaux de télémétrie et en imitant les événements du clavier et de la souris. Ils révisent constamment leurs méthodes pour contourner les défenses, passant des applications web aux applications mobiles ou en intensifiant leurs tactiques, techniques et procédures.

Les attaques dans le secteur du e-commerce utilisent aussi des bots revendeurs qui exploitent la fonction ajout au panier, empêchant vos vrais clients de finaliser leurs achats. Plus d'une transaction d'ajout au panier sur cinq, parmi plus de 200 milliards de requêtes web et API analysées, était automatisée.

{"0":"De plus, des bots manipulent les avis des utilisateurs pour générer de faux avis réalistes, souvent avec l\u2019aide de l\u2019intelligence artificielle générative."}

Même dans le commerce électronique, la recherche en matière de menaces menée par F5 Labs démontre que l'industrie de la mode est la plus touchée par les scrapers, qui extraient d'importantes quantités de données et de contenu de leurs cibles, représentant 53,23 % de tout le trafic web. Le scraping peut désavantager votre entreprise en matière de tarification et mettre en péril la propriété intellectuelle.

La dernière PCI DSS recommande plusieurs approches pour privilégier une analyse des risques ciblée par rapport aux évaluations traditionnelles à l’échelle de l’entreprise.

En particulier, la norme mise à jour répond à la menace croissante des attaques côté client avec deux exigences côté client en vigueur à compter du 31 mars 2025, mais ne prescrit pas de manière spécifique comment les organisations doivent les satisfaire.

Ces nouvelles directives reconnaissent que les scripts malveillants côté client représentent une menace croissante pour l'industrie des cartes de paiement.  Les méthodes classiques pour limiter ces risques – comme les Content Security Policies (CSP) pour bloquer l’injection de code non autorisé sur un site web, et les techniques Subresource Integrity (SRI) pour valider que les applications tierces n’ont pas été altérées – sont complexes à déployer et à maintenir, surtout aujourd’hui dans une ère d’IA où la concurrence pour capter l’attention des clients pousse à améliorer continuellement les expériences numériques.

Les clients veulent réaliser leurs transactions facilement et ne supportent ni retards, ni dysfonctionnements, ni surtout incidents de sécurité. Les contrôles de sécurité courants, comme les pare-feu applicatifs web, ne protègent pas toujours efficacement le navigateur client ni les API backend. Les solutions de gestion des bots utilisant des challenges CAPTCHA échouent souvent à dissuader des cybercriminels expérimentés, mais elles frustrent grandement les utilisateurs. Même l’authentification multi-facteurs peut être contournée.

Les attaquants adaptent leurs techniques selon la plateforme, le secteur et la logique commerciale cible. En e-commerce, empêcher un acheteur potentiel d’ajouter un article à son panier représente une menace majeure. La transaction, les revenus générés et la fidélité des clients sont alors directement impactés.