Étude De Cas

Une compagnie aérienne mondiale du Top 5 protège les données de ses clients contre les violations de données côté client

Télécharger L’étude De Cas

Entreprise

Cette compagnie aérienne, qui figure dans le top 5 mondial, est l’une des plus grandes compagnies aériennes au monde. Elle propose des services de transport de passagers et de fret vers plus de 200 destinations en Asie, en Amérique du Nord, en Australie, en Europe et en Afrique.

“La solution s’autofinance en réduisant notre risque de violation de données côté client et en nous aidant à éviter les amendes et l’impact négatif sur la réputation de notre marque.”

– RSSI, Top 5 des compagnies aériennes mondiales

Défi

Cette compagnie aérienne internationale a utilisé des bibliothèques open source et du code tiers pour construire son site web. L’équipe de sécurité manquait de visibilité sur le comportement du code côté client. Il était donc difficile de détecter et de corriger les vulnérabilités des scripts, qui pouvaient être exploitées pour mener des attaques de type “digital skimming” et “Magecart” qui capturaient les numéros de cartes de crédit des utilisateurs, les codes CVV et d’autres informations sensibles.

La compagnie aérienne avait vu de nombreuses attaques Magecart très médiatisées, y compris une attaque en 2018 sur British Airways qui a entraîné le vol des données de carte de crédit de quelque 380 000 utilisateurs et plus de 20 millions de dollars d’amendes pour non-conformité réglementaire. Cette compagnie aérienne savait qu’elle avait besoin d’une solution pour se protéger et protéger ses clients.

Solution

La compagnie aérienne avait besoin d’une solution de sécurité côté client en temps réel, capable de détecter les risques dans le code de première, troisième et n-partie de son site. Elle a réalisé que l’analyse statique seule serait inefficace pour trouver et arrêter les attaques côté client, et qu’une solution de politique de sécurité du contenu (CSP) serait trop complexe à gérer.

Après avoir évalué plusieurs solutions, la compagnie aérienne a choisi HUMAN Code Defender pour protéger son site Web contre l’écrémage numérique, le détournement de formulaires et les attaques Magecart, et pour aider à assurer la conformité de la confidentialité des données. Plusieurs facteurs ont influencé leur décision :

En Savoir Plus
  • Surveillance des scripts 24/7/365 : Code Defender s’exécute pendant chaque session utilisateur, offrant une visibilité robuste en temps réel sur tous les scripts de première, troisième et n-ième partie s’exécutant sur votre site, sur toutes les dépendances en aval et sur toutes les actions effectuées dans les navigateurs des utilisateurs. La solution fournit des informations détaillées sur l’activité JavaScript au fil du temps, notamment sur la manière dont les scripts interagissent, sur les scripts supplémentaires utilisés et sur les détails de l’exposition.
  • Remédiation complète côté client : Code Defender s’appuie sur la politique de sécurité du contenu (CSP) et la surveillance granulaire de JavaScript pour limiter les scripts à risque. Cette protection multicouche permet aux équipes de sécurité de bloquer des actions spécifiques dans un script sans bloquer le script complet, et d’empêcher le chargement des scripts indésirables.
  • Facilité de déploiement et d’intégration : La compagnie aérienne a pu facilement intégrer Code Defender en ajoutant un capteur JavaScript léger à son modèle de page. Elle n’a pas eu à modifier l’architecture de son site web ou les réseaux de diffusion de contenu (CDN), ce qui lui a permis d’économiser du temps, de l’argent et des complications.
  • Apprentissage basé sur le comportement : Code Defender collecte en permanence des signaux du côté client et identifie les anomalies comportementales telles que les scripts chargés depuis un nouveau domaine, les modifications apportées à la page, les scripts accédant à des champs de saisie sensibles, la communication avec des domaines malveillants et les vulnérabilités connues dans les scripts tiers. Ces anomalies déclenchent des incidents prioritaires qui sont envoyés aux systèmes de surveillance de la compagnie aérienne.
  • Aucun impact sur l’expérience de l’utilisateur : Le capteur fonctionne de manière asynchrone sur le site, ce qui préserve l’expérience de l’utilisateur. Les équipes de développement d’applications de la compagnie aérienne peuvent continuer à innover en toute confiance, tandis que les équipes de sécurité de l’information ont une visibilité totale sur l’ensemble de la chaîne d’approvisionnement des scripts du site web.
  • Des informations exploitables : Le tableau de bord de Code Defender offre une vue d’ensemble et des recommandations exploitables basées sur la recherche de menaces pour aider les équipes à prioriser rapidement les incidents, afin qu’elles puissent remédier les attaques de la chaîne d’approvisionnement côté client et prévenir les violations de la conformité.

RÉSULTATS

Code Defender a aidé la compagnie aérienne à protéger les données de ses clients en fournissant une protection continue contre les attaques côté client. Cela a permis d’obtenir plusieurs avantages clés :

  • Réduction du risque d’exposition et de vol de données non autorisées
  • Protection de la réputation de la marque et de la confiance des consommateurs
  • Permet d’éviter les pénalités et les poursuites judiciaires en garantissant la conformité avec les réglementations sur la confidentialité des données, notamment GDPR, PCI-DSS, CCPA et CPRA.
  • Améliore l’efficacité opérationnelle en éliminant l’analyse manuelle des scripts de sites web
  • Encourage l’innovation en faisant de la sécurité un élément facilitateur – et non un goulot d’étranglement – dans son processus de développement d’applications.

Contactez nous

pour en savoir plus sur la façon dont HUMAN peut vous aider à prévenir les violations de données côté client