Découvrez comment une solution avancée de gestion de l’exposition a évité à un client important du secteur de la vente au détail de se retrouver sur une mauvaise voie en raison d’une mauvaise configuration de sa politique de gestion des cookies. Il ne s’agissait pas là de quelque chose de malveillant, mais les environnements Web modernes étant si complexes, des erreurs peuvent survenir et les amendes pour non-conformité peuvent n’être qu’un simple oubli.
Téléchargez le étude de cas complète ici.
En tant qu’enfant, vous est-il déjà arrivé de vous faire prendre la main dans le pot à biscuits et de mériter une réprimande ? Eh bien, même si vous vous souvenez encore d’avoir été présenté comme un monstre cookie, les punitions infligées aux bêtes voleuses d’aujourd’hui sont pires. Des millions de dollars pires.
Les cookies sont un élément essentiel de l’analyse Web moderne. Un cookie est un petit morceau de données textuelles qui enregistre les préférences des visiteurs du site Web ainsi que leurs comportements, et son rôle est de les aider à personnaliser leur expérience de navigation. Tout comme vous aviez besoin du consentement parental pour accéder au pot de cookies il y a toutes ces années, votre entreprise doit désormais obtenir le consentement de l’utilisateur avant d’injecter des cookies dans le navigateur d’un utilisateur, puis de stocker ou de partager des informations sur ses habitudes de navigation.
En tant que gardienne du pot à cookies du site Web, votre entreprise ne peut pas y accéder comme vous le faisiez lorsque vous aviez six ans. Vous devez obtenir une autorisation dans les deux situations, mais de nos jours, la sanction peut être de lourdes amendes de la part des régulateurs de la confidentialité des données et des poursuites judiciaires coûteuses de la part des utilisateurs.
Une nouvelle étude de cas de Reflectiz, l’une des principales sociétés de sécurité de sites Web, met en évidence la façon dont ses avancées gestion de l’exposition Cette solution a évité à un client majeur du secteur de la vente au détail de se retrouver dans une mauvaise passe en raison d’une mauvaise configuration de sa politique de gestion des cookies. Ce n’était rien de malveillant comme un survol du Web ou attaque par keyloggingmais avec des environnements Web modernes si complexes et des entreprises comme celle-ci ayant des centaines de sites Web à gérer, des erreurs peuvent survenir et les amendes pour non-conformité peuvent être un simple oubli.
Pour l’histoire complète, vous pouvez télécharger l’étude de cas ici.
Un peu sur les cookies de suivi
Les cookies de suivi existent depuis les débuts d’Internet. En 1994, Lou Montulli, un programmeur employé par le précurseur de Netscape, travaillait sur une application de commerce électronique pour MCI, l’un de ses clients, qui avait demandé un panier virtuel. Il a inventé les cookies car nous vérifions si les utilisateurs ont déjà visité le site et mémorisons leurs préférences.
Des histoires ont commencé à apparaître dans l’actualité sur le potentiel des cookies à porter atteinte à la vie privée, mais malgré l’inquiétude du public, ce n’est qu’en 2011 que l’Union européenne a adopté une législation garantissant que les sites Web obtiennent le consentement explicite des utilisateurs avant d’utiliser des cookies.
Suivi non autorisé sans consentement aux cookies
Dans cette nouvelle étude de cas, un client de vente au détail international a cherché à surveiller en permanence divers parcours d’utilisateurs sur ses sites Web, découvrant que 37 domaines injectaient des cookies sans obtenir le consentement approprié de l’utilisateur. Les outils de sécurité conventionnels de l’entreprise de vente au détail sont restés aveugles à ce problème en raison des contraintes imposées par leur VPN organisationnel, limitant la visibilité. De plus, des cookies malveillants et mal configurés ont été injectés dans Composants iFramece qui crée des difficultés pour que les contrôles de sécurité standard tels que WAF puissent être surveillés efficacement. Téléchargez l’étude de cas complète ici.
Le problème du client : aveuglé par le VPN
Même si la plateforme du détaillant disposait déjà d’autres solutions de sécurité, elle ne voyait pas le problème : sur 37 de ses sites Web, un suivi par cookies était effectué sans obtenir le consentement explicite des visiteurs. Cela se produisait via des iFrames (qui sont utilisés pour intégrer le contenu d’un site Web dans un autre) qui étaient masqués par un VPN. Cela masquait leurs activités et rendait le problème du consentement aux cookies invisible pour les autres solutions de sécurité.
Même s’il s’agissait d’un oubli préjudiciable, au moins les données n’étaient pas envoyées à des acteurs malveillants. Au lieu de cela, Reflectiz a découvert qu’il s’adressait à un service publicitaire tiers légitime.
Le coût élevé de la non-conformité
Pour une entreprise ayant des clients dans l’Union européenne, le RGPD s’applique et une violation de ses règles de consentement aux cookies est classée comme une infraction de catégorie 2. En vertu de ce règlement, les entreprises qui n’obtiennent pas un consentement valide en matière de cookies pourraient se voir infliger une amende pouvant aller jusqu’à 4 % de leur chiffre d’affaires annuel global ou 20 millions d’euros (21,94 millions de dollars), le montant le plus élevé étant retenu. C’est pourquoi il est si important de pouvoir suivre les comportements de chaque actif connecté à un site Web, et pourquoi Reflectiz a été une telle bouée de sauvetage dans ce cas.
La solution
Reflectiz a vu ce que les autres solutions ne pouvaient pas faire. Il a identifié les 37 domaines dans lesquels les cookies étaient utilisés sans consentement, a découvert où les données étaient envoyées (dans ce cas, un annonceur légitime) et a permis au détaillant de résoudre le problème avant qu’il ne s’aggrave.
La plateforme Reflectiz donne aux entreprises des secteurs de la vente au détail, de la finance, de la médecine et d’autres secteurs les informations dont elles ont besoin pour maintenir leur conformité aux normes de protection des données et évitez des incidents similaires qui peuvent entraîner des amendes, des poursuites et une atteinte à la réputation. Il est exécuté à distance, il n’y a donc pratiquement aucun impact sur les performances, et l’interface intuitive signifie que l’intégration des employés est rapide.
Points clés à retenir
- Surveillance du consentement : La plateforme n’a pas réussi à détecter et à informer les utilisateurs de certains cookies injectés sans le consentement approprié, faute de boîte de consentement sur le site Web.
- Le secret VPN dévoilé: La surveillance de Reflectiz a révélé 37 domaines injectant des cookies sans l’approbation de l’utilisateur, remontant à un emplacement initialement caché par un VPN organisationnel.
- Compromission de données tierces: Les données compromises ont atteint un domaine externe via des injections de cookies non autorisées déclenchées par un parcours utilisateur spécifique.
- Suivi iFrame inaperçu: L’activité iFrame non surveillée a contribué aux violations de la vie privée en suivant les données des utilisateurs sans consentement.
- Menace de cookies mal configurés: Un cookie mal configuré a facilité la violation de la vie privée, posant une menace importante pour la vie privée des utilisateurs.
- Leçon sur la rupture de la communication : Une meilleure communication interservices, notamment entre la sécurité et le marketing, est cruciale pour éviter les problèmes liés à la mise en œuvre de codes tiers.
- Surveillance continue cruciale : Cette affaire met en évidence la nécessité cruciale d’une surveillance et d’une vigilance continues dans le paysage en constante évolution de la confidentialité en ligne afin de maintenir la confiance des utilisateurs et de se conformer aux réglementations en matière de protection des données.
Pour plus d’informations et une analyse approfondie, vous pouvez télécharger l’étude de cas complète ici.