Cybersécurité pour le commerce et le retail : protégez vos équipes contre le phishing

Le commerce et le retail dans le viseur des attaquants

Le commerce est le troisième secteur le plus ciblé par les cyberattaques selon le Verizon 2024 Data Breach Investigations Report. La raison tient à la nature même de l’activité : chaque commerçant, du magasin de quartier à la chaîne de franchise, collecte et traite quotidiennement des données de paiement par carte bancaire et des données personnelles clients. Pour un attaquant, chaque point de vente est une porte d’entrée vers ces données.

Le secteur combine plusieurs vulnérabilités structurelles qui en font une cible de choix. Les marges faibles limitent les investissements en cybersécurité. Le turnover élevé du personnel signifie que la majorité des employés n’ont jamais reçu de formation aux cybermenaces. Les réseaux de franchise multiplient les points d’entrée avec des niveaux de sécurité hétérogènes d’un magasin à l’autre. Et les systèmes de caisse, souvent connectés au réseau de l’entreprise, tournent sur des logiciels rarement mis à jour.

Fausses factures fournisseurs : le fléau du retail

Les commerçants travaillent avec des dizaines de fournisseurs et traitent des volumes importants de factures chaque mois. Les attaquants exploitent ce flux en envoyant de fausses factures imitant un fournisseur régulier, avec des coordonnées bancaires modifiées. C’est une forme de BEC (Business Email Compromise) qui touche particulièrement le retail. L’email est souvent crédible : il reprend le logo, le format de facturation et les références habituelles du fournisseur. Un comptable ou un responsable achats pressé par les délais de paiement valide le virement sans vérifier le RIB. Le FBI IC3 a enregistré 2,9 milliards de dollars de pertes liées au BEC en 2023 aux États-Unis, toutes industries confondues.

Les franchises : un maillon faible par conception

Un réseau de franchise présente un paradoxe en cybersécurité : la marque est unifiée, mais chaque franchisé gère son propre système informatique, sa propre messagerie et ses propres pratiques de sécurité. Un attaquant qui identifie un franchisé vulnérable peut s’en servir comme point d’entrée pour cibler le réseau. Les emails émanant prétendument du siège de la franchise (directives opérationnelles, nouvelles procédures, changements de fournisseurs) sont un vecteur de phishing particulièrement efficace. Le franchisé est conditionné à suivre les directives du siège sans les remettre en question.

Marketplaces et e-commerce : arnaques aux vendeurs

Les commerçants qui vendent sur des marketplaces (Amazon, Cdiscount, Fnac Marketplace, Rakuten) reçoivent quotidiennement des notifications : commandes, retours, litiges, mises à jour de politique. Les attaquants imitent ces notifications pour diriger les vendeurs vers de fausses pages de connexion et voler leurs identifiants. Un compte marketplace compromis permet de détourner les paiements, de modifier les coordonnées bancaires du vendeur ou de lancer des commandes frauduleuses. L’ANSSI a documenté la progression de ces attaques ciblant les PME du e-commerce dans son panorama de la cybermenace 2024.

Compromission des systèmes de caisse via phishing

Les terminaux de paiement et les logiciels de caisse enregistreuse sont connectés au réseau interne du commerce. Un malware installé sur un poste de travail via un email de phishing peut se propager latéralement jusqu’aux systèmes de caisse et intercepter les données de carte bancaire en transit. Le groupe Magecart a utilisé cette technique à grande échelle, compromettant les systèmes de paiement de centaines de commerçants en ligne et physiques. L’attaque commence presque toujours par un email piégé ouvert par un employé.

Ce que disent les chiffres

Notre analyse : 2 915 entreprises commerciales passées au crible

Nous avons analysé les configurations de sécurité email (SPF, DKIM, DMARC) des domaines de 2 915 entreprises du secteur commerce et retail en France. Le constat : 28 % obtiennent un score faible (D, E ou F). Près d’un tiers des commerçants analysés présentent des failles dans leurs protections email qui permettent à un attaquant d’usurper leur identité par email. Un domaine sans DMARC correctement configuré ou avec un SPF trop permissif signifie que n’importe qui peut envoyer des emails en se faisant passer pour votre enseigne — y compris à vos clients, vos fournisseurs et vos partenaires.

Si le score du retail (28 %) est inférieur à celui observé dans d’autres secteurs, il ne reflète que la configuration technique des domaines. Il ne mesure pas la vulnérabilité humaine, qui reste le premier vecteur d’attaque : le Verizon DBIR 2024 confirme que l’élément humain est impliqué dans 68 % des violations de données.

Les statistiques du secteur

Le retail figure parmi les secteurs les plus exposés aux violations de données à l’échelle mondiale. Le rapport IBM Cost of a Data Breach 2024 évalue le coût moyen d’une violation de données dans le retail à 3,48 millions de dollars, un chiffre en hausse de 18 % par rapport à 2023.

En France, la CNIL a multiplié les contrôles et les sanctions dans le commerce. En 2023, l’enseigne CRITEO a été sanctionnée de 40 millions d’euros pour des manquements au RGPD liés au traitement de données personnelles à des fins de ciblage publicitaire. En 2021, Carrefour France et Carrefour Banque avaient écopé de 3,05 millions d’euros d’amendes cumulées pour des manquements à la protection des données clients. Ces sanctions montrent que les acteurs du commerce sont sous surveillance réglementaire active.

Le Verizon DBIR 2024 détaille les vecteurs d’attaque dans le retail : les attaques par ingénierie sociale (dont le phishing) et les intrusions dans les systèmes web représentent la majorité des violations dans le secteur. Les données de paiement par carte restent la cible principale, suivies par les données personnelles clients.

L’ANSSI observe que les PME commerciales françaises sont de plus en plus ciblées par des ransomwares qui chiffrent les systèmes de caisse et les bases de données clients, paralysant l’activité. Le panorama de la cybermenace 2024 confirme que les TPE/PME représentent 34 % des victimes de ransomware signalées à l’ANSSI, avec le commerce parmi les secteurs les plus touchés.

Les attaques qui visent votre secteur

Chaque secteur a ses scénarios d’attaque propres. Voici ceux que les cybercriminels déploient contre les commerçants et les enseignes retail.

Fausse facture fournisseur avec nouveau RIB

L’attaquant usurpe l’identité d’un fournisseur régulier (grossiste, transporteur, prestataire logistique) et envoie une facture accompagnée de nouvelles coordonnées bancaires. Le prétexte : un changement de banque ou une réorganisation comptable. L’email arrive au format habituel, avec le bon logo et les bonnes références de commande. Le service comptabilité ou le gérant, habitué à régler ce fournisseur, valide le paiement. C’est une forme classique de BEC dont le coût moyen atteint 59 000 euros par incident pour une PME selon le CESIN.

Fausse notification de marketplace

Un email imite Amazon Seller Central, Cdiscount Pro ou une autre plateforme de vente et signale un problème sur le compte du vendeur : suspension imminente, litige non résolu, vérification de paiement requise. Le lien mène vers une page de connexion contrefaite qui capture les identifiants. Une fois dans le compte, l’attaquant redirige les paiements, modifie les coordonnées bancaires ou passe des commandes frauduleuses. Les techniques de typosquatting rendent ces pages difficiles à distinguer des vraies.

Faux email de suivi de livraison

Avec des centaines de colis expédiés et reçus chaque semaine, les commerçants reçoivent un flux constant de notifications de Colissimo, Chronopost, UPS et DHL. L’attaquant envoie un faux avis de livraison (« Votre colis est en attente de confirmation ») contenant un lien de suivi piégé qui installe un malware ou redirige vers une page de vol d’identifiants. Ce scénario est redoutable car le réflexe de cliquer sur un lien de suivi est automatique dans le commerce.

Fausse alerte de mise à jour du terminal de paiement

Un email prétendument envoyé par le fournisseur du terminal de paiement (Ingenico, Verifone, SumUp) demande une mise à jour logicielle ou une reconfiguration du TPE. Le lien mène vers un formulaire qui demande les identifiants d’accès à l’interface d’administration du terminal. Avec ces identifiants, l’attaquant peut intercepter les transactions ou installer un malware sur le terminal. Ce spear phishing technique cible particulièrement les gérants de petits commerces qui gèrent eux-mêmes leur équipement.

Fausse directive du siège de franchise

Dans un réseau de franchise, l’attaquant se fait passer pour le siège et envoie une directive urgente : nouveau fournisseur à référencer, nouveau prestataire de paiement, nouvelle procédure de remontée de chiffre d’affaires. Le franchisé, habitué à appliquer les consignes du réseau, suit les instructions sans vérifier. Ce type d’ingénierie sociale exploite la relation de confiance hiérarchique propre au modèle de franchise.

Fausse réclamation client avec pièce jointe malveillante

Un email imite une réclamation client (produit défectueux, commande non reçue, demande de remboursement) avec une pièce jointe présentée comme une photo du produit ou un justificatif. Le fichier contient un malware qui s’exécute à l’ouverture. Les équipes du service client, habituées à traiter des dizaines de réclamations par jour, ouvrent ces pièces jointes par réflexe professionnel.

PCI DSS, RGPD et vos obligations

Le cadre réglementaire impose aux commerçants des obligations précises en matière de protection des données de paiement et des données personnelles. La non-conformité expose à des sanctions financières et opérationnelles lourdes.

PCI DSS : protéger les données de carte bancaire

La norme PCI DSS (Payment Card Industry Data Security Standard) s’applique à toute entité qui stocke, traite ou transmet des données de carte bancaire. Un commerce de proximité avec un TPE, une boutique en ligne, un réseau de franchise — tous sont concernés, quelle que soit leur taille.

L’exigence 12.6 de PCI DSS est explicite sur la sensibilisation :

Un programme formel de sensibilisation à la sécurité doit être mis en place pour que tout le personnel ait connaissance de la politique de sécurité des données de cartes et des procédures associées.

Concrètement, PCI DSS exige :

• Un programme de sensibilisation pour tous les employés ayant accès aux données de carte, dès l’embauche
• Un renouvellement annuel de la formation, au minimum
• Des tests de sécurité réguliers pour vérifier l’efficacité des contrôles (les simulations de phishing en font partie)
• La documentation des programmes et de leur fréquence

En cas de non-conformité PCI DSS, les conséquences vont au-delà des amendes. L’acquéreur (la banque du commerçant) peut augmenter les frais de transaction, imposer des audits coûteux et, dans les cas graves, retirer la capacité à accepter les paiements par carte — ce qui revient à stopper l’activité commerciale.

RGPD : les données clients sous protection

Le RGPD protège les données personnelles des clients : noms, adresses, emails, historiques d’achats, données de fidélité. Un incident de phishing qui expose ces données déclenche l’obligation de notification à la CNIL dans les 72 heures, et potentiellement l’obligation d’informer individuellement chaque client concerné.

Les sanctions RGPD sont proportionnelles au chiffre d’affaires : jusqu’à 4 % du CA annuel mondial ou 20 millions d’euros. Pour un réseau de franchise réalisant 50 millions d’euros de CA, l’amende peut atteindre 2 millions d’euros. La CNIL a montré qu’elle n’hésite pas à sanctionner les acteurs du commerce, comme en témoignent les décisions contre Carrefour et CRITEO.

L’article 32 du RGPD impose des « mesures techniques et organisationnelles appropriées » pour protéger les données. La formation et la sensibilisation du personnel au phishing font partie de ces mesures organisationnelles. En cas de violation, la CNIL vérifie si l’entreprise avait mis en place des mesures préventives : l’absence de programme de sensibilisation est un facteur aggravant.

Pour un panorama complet de vos obligations de conformité et de la manière dont nos rapports y répondent, consultez notre page Conformité.

Des scénarios de simulation adaptés au commerce

Les simulations de phishing génériques ne fonctionnent pas dans le retail. Un email « Vous avez gagné un iPhone » ne piège pas un responsable de magasin. En revanche, un faux email de Chronopost signalant un colis bloqué ou une fausse notification Amazon Seller Central le fera cliquer sans hésiter. Les scénarios de simulation doivent reproduire les menaces réelles que vos équipes rencontrent au quotidien.

Faux emails fournisseurs avec changement de RIB

Un email imite un fournisseur habituel (grossiste alimentaire, distributeur textile, prestataire logistique) et demande la mise à jour de ses coordonnées bancaires. Le message est envoyé au service comptabilité ou directement au gérant. Ce scénario mesure la capacité des équipes à appliquer les procédures de vérification avant tout changement de RIB fournisseur.

Fausses notifications de livraison

Un email imite Colissimo, Chronopost ou UPS et signale un problème de livraison nécessitant une action immédiate. Le lien mène vers un faux portail de suivi qui demande des identifiants ou installe un fichier malveillant. Ce scénario teste le réflexe de vérification de l’URL avant de cliquer — un réflexe rare dans un environnement où les notifications de livraison sont traitées à la chaîne.

Fausses demandes de remboursement client

Un email imite un client mécontent qui joint un « justificatif » ou une « photo du produit défectueux ». La pièce jointe contient un fichier exécutable masqué ou un document avec une macro malveillante. Ce scénario cible les équipes du service client et les responsables de magasin.

Fausses alertes de terminal de paiement

Un email prétend provenir du prestataire de paiement et signale une mise à jour de sécurité obligatoire ou un problème de conformité PCI DSS sur le terminal. Le formulaire de réponse capture les identifiants d’administration du TPE. Ce scénario est particulièrement pertinent pour les gérants de petits commerces qui gèrent l’aspect technique seuls.

Fausses directives de réseau de franchise

Un email imite une communication officielle du siège de la franchise : nouvelle procédure de reporting, nouveau prestataire logistique, mise à jour du logiciel de caisse. Le lien mène vers un faux intranet qui capture les identifiants réseau. Ce scénario exploite la dynamique de confiance hiérarchique propre aux réseaux de franchise.

Chaque simulation ratée déclenche une micro-formation de 3 à 5 minutes sur les signaux d’alerte du scénario. Pas de vidéo de 45 minutes ni de quiz déconnecté de la réalité : un retour contextuel et immédiat sur l’erreur commise, adapté au quotidien du commerce.

Protéger votre entreprise commerciale

La protection contre le phishing dans le commerce suit quatre étapes progressives qui couvrent la technique, l’humain et la conformité.

Étape 1 : Auditer votre sécurité email

Avant de former vos équipes, vérifiez que votre domaine email n’est pas vulnérable à l’usurpation d’identité. Un domaine sans DMARC en mode « reject », sans DKIM correctement configuré ou avec un SPF trop permissif permet à n’importe qui d’envoyer des emails en se faisant passer pour votre enseigne. Nos données montrent que 28 % des entreprises commerciales analysées présentent un score faible.

Testez gratuitement la sécurité email de votre domaine en 30 secondes. Le rapport détaille votre configuration SPF, DKIM, DMARC et MTA-STS, avec des recommandations de correction prioritaires.

Étape 2 : Lancer une simulation de référence

La première campagne de simulation établit votre taux de clic de référence (baseline). Nous utilisons des scénarios adaptés au commerce : faux emails fournisseurs, fausses notifications de livraison, fausses alertes marketplace. Selon nos données agrégées, le taux de clic initial dans les PME du retail se situe entre 20 % et 35 % — des chiffres qui diminuent significativement après trois mois de simulation et formation continues.

Étape 3 : Former par micro-learning contextuel

Chaque collaborateur qui échoue à une simulation reçoit immédiatement une micro-formation de 3 à 5 minutes sur les signaux d’alerte du scénario en question. Un vendeur en magasin qui clique sur un faux email Chronopost apprend à vérifier l’adresse d’expédition et l’URL de destination. Un comptable qui valide une fausse facture fournisseur revoit la procédure de vérification de RIB. Le format court et contextuel est plus efficace que les sessions annuelles de deux heures que personne ne retient.

Étape 4 : Générer les rapports de conformité PCI DSS et RGPD

Chaque campagne produit automatiquement les métriques attendues par vos obligations réglementaires : taux de participation, taux de signalement, évolution du taux de clic, couverture des équipes formées. Ces rapports documentent votre conformité à l’exigence 12.6 de PCI DSS et aux mesures organisationnelles du RGPD. En cas de contrôle ou d’audit PCI, les données sont structurées et exportables en un clic.

Votre domaine email est-il protégé contre l’usurpation d’identité ? 28 % des entreprises commerciales que nous avons analysées présentent un score faible. Testez le vôtre gratuitement — le diagnostic prend 30 secondes et le rapport est immédiat.