La cybercriminalité ne cesse de s’immiscer dans le commerce en ligne pour identifier de nouveaux leviers de détournement de la confiance des consommateurs. Face à cette menace, les e-commerçants doivent fournir de fortes garanties de sécurité pour conserver leur clientèle. La sécurité des emails transactionnels conditionne la fiabilité perçue d’un parcours d’achat dans le e-commerce.
Le dernier baromètre « Les Français et la cybersécurité » de la Fédération Bancaire Française révèle que 73% des Français se renseignent sur la fiabilité d’un site avant d’y effectuer un achat en ligne, et 89% ont connaissance des arnaques de type hameçonnage via e-mail (phishing) ou SMS (smishing). Si ces chiffres illustrent une conscience générale et fondée des risques d’escroqueries de la part des consommateurs, ils démontrent également à quel point ces menaces font partie du quotidien.
Les boîtes de réception sont devenues l’un des terrains d’action privilégiés des fraudeurs. Néanmoins, le problème peut être affronté en amont, notamment lorsque l’expéditeur s’appuie sur une solution d’envoi d’e-mails transactionnels dédiée avec des fonctionnalités de sécurité, et augmente ainsi le niveau de fiabilité et de sécurité des e-mails envoyés.
Chaque confirmation de commande, mise à jour d’expédition ou alerte promotionnelle est une promesse de la marque au consommateur. Lorsque cette promesse est détournée par des escrocs, les conséquences peuvent être graves pour les clients comme pour les entreprises.
Les e-mails transactionnels au coeur des enjeux de sécurité
On estime qu’un individu reçoit en moyenne 121 e-mails par jour et lors des périodes de pics commerciaux comme la Saint-Valentin le nombre d’e-mails commerciaux explose. Les e-mails transactionnels, qui confirment des achats, fournissent des détails d’expédition ou partagent des mises à jour de compte sont des vecteurs de choix pour l’usurpation d’identité. Les fraudeurs, qui comprennent le comportement humain, savent que ces messages ont une crédibilité et un caractère d’urgence, en faisant des vecteurs idéaux pour les attaques de type phishing. Une fausse notification d’expédition ou une fausse confirmation de commande peut facilement inciter un consommateur à cliquer sur un lien malveillant ou à partager des informations sensibles.
Les conséquences dépassent les victimes individuelles. Lorsque les consommateurs perdent confiance dans les communications par e-mail, ils se désengagent. Ils ignorent les mises à jour légitimes, hésitent à faire leurs achats en ligne, et remettent en question la fiabilité des marques. Dans un écosystème ultra-concurrentiel, la confiance est une monnaie d’échange, et la perdre peut coûter bien plus cher qu’une seule transaction frauduleuse.
Assurer la sécurité et la confiance
Une combinaison de protocoles peut être déployée pour sécuriser les e-mails transactionnels afin de créer une chaîne de confiance entre l’application, le domaine de l’expéditeur et le destinataire. Parmi eux, on peut citer :
* Le Sender Policy Framework (SPF), qui permet aux commerçants de définir les adresses IP autorisées à envoyer des e-mails avec leur nom de domaine. Ce protocole vérifie que les e-mails proviennent de serveurs autorisés et bloque les messages issus d’ursurpations.
* Le protocole DKIM (DomainKeys Identified Mail) appose une signature numérique aux e-mails sortants, garantissant qu’ils ne peuvent être falsifiés ou modifiés pendant leur transit, et qu’ils peuvent être validés par le serveur de messagerie destinataire. Le protocole DKIM contribue également à la délivrabilité et garantit que les messages ne finissent pas dans les dossiers spam des acheteurs.
* Le protocole DMARC (Domain-based Message Authentication, Reporting & Conformance) s’appuie sur les protocoles SPF et DKIM pour vérifier que les deux protocoles ont été respectés, signaler les e-mails qui ne rentrent pas dans ces cadres, et permettre de prendre des mesures qui offrent une visibilité sur les échecs d’authentification.
* Le filtrage des fils de discussion (Thread filtering), ou l’ajout de domaines à une liste blanche d’expéditeurs, permet aux destinataires de désigner des « expéditeurs sûrs » et d’éviter que des e-mails importants ne soient envoyés par erreur dans les spams. Cette action peut être encouragée par message de type « ajoutez-nous à votre carnet d’adresses » dans les e-mails concernés.
* Une signature des messages qui va plus loin que les protocoles SPF, DKIM et DMARC grâce à une signature S/MIME basée sur un certificat et facilement visible, qui ajoute une preuve de l’identité de l’expéditeur au niveau de l’adresse.
Réunies, ces mesures compliquent considérablement la tâche des hackers. Elles garantissent également aux consommateurs que les messages qui arrivent dans leur boîte de réception proviennent bien d’une origine fiable.
Quelles bonnes pratiques pour les e-commerçants ?
L’implémentation de ces protocoles visant à garantir la sécurité des e-mails transactionnels et à protéger les clients commence par un audit de l’infrastructure de messagerie. Cela implique d’identifier tous les domaines et sous-domaines utilisés pour l’envoi d’e-mails transactionnels. L’infrastructure des e-mails transactionnels et les autres communications commerciales doivent être des systèmes distincts. Une fois identifiés, il faut s’assurer que tous sont correctement configurés pour les protocoles SPF, DKIM et DMARC.
Ensuite, il est essentiel d’aller au-delà de la surveillance pour passer à l’application concrète. Cela peut inclure une configuration DMARC pour rejeter ou mettre en quarantaine les messages non authentifiés, afin que les envois suspects n’arrivent pas dans les boîtes de réception des acheteurs et ne causent pas de préjudice potentiel ni d’érosion de la confiance.
Trouver le bon partenaire pour les e-mails transactionnels peut également aider à garantir la conformité des communications, à augmenter leur délivrabilité, et permettre une surveillance en temps réel. Dans de nombreux cas, l’utilisation d’adresses IP dédiées pour différents types d’e-mails permet d’éviter les risques de conflits entre les communications des différentes fonctions.
L’authentification et la sécurité des e-mails doivent devenir des exigences de base. Les consommateurs sont de plus en plus avertis, et les marques qui ne parviennent pas à sécuriser leurs communications prennent des risques à la fois réputationnels et commerciaux. Les e-mails vérifiés ne sont pas seulement une mesure de sécurité : ils constituent également un avantage concurrentiel, car ils sont synonymes de professionnalisme, de fiabilité, et de respect de la sécurité des clients.
____________________________
Par Oliver Paetz, Head of Product Management Transactional E-mail chez Retarus
____________________________
puis