PSDevCon2024 - La Cybersécurité : Ce que personne n'ose dire


Dernière modification le 17/05/2025 par Vincent G.

Ce papier est la version originale française de l'article anglais publié sur le blog de PrestaShop SA


La cybersécurité applicative : ces vérités qu'on ne veut pas entendre



La cybersécurité applicative est souvent un angle oublié du numérique. Tout le monde s'accorde à dire qu'elle est indispensable, mais personne ne veut réellement en assumer les conséquences.

Aujourd'hui, il est temps de vous donner, dans ce billet de blog invité, les vérités que personne n'ose dire.


1. Pourquoi personne ne veut publier de vulnérabilités ?



La cybersécurité peut être considérée comme un sujet tabou. Beaucoup d'acteurs préfèrent éviter le sujet plutôt que d'admettre qu'ils ne maîtrisent pas tout.

Et pourtant, ce n'est pas grave de ne pas le maîtriser.

  • Tout le monde s'est retrouvé à ce point un jour.
  • Tout le monde a fait des erreurs.
  • L'important, c'est de se remettre en question, d'assumer ses faiblesses et de monter en compétence.


Ce qui est plus problématique, ce n'est pas d'ignorer quelque chose, c'est de refuser d'apprendre et de progresser.

Ceux qui n'osent pas parler de sécurité par peur d'être critiqués doivent comprendre une chose : ce sont souvent les moins informés qui critiquent ceux qui cherchent à progresser.

  • Un vrai professionnel ne se moquera jamais de quelqu'un qui cherche à apprendre.
  • Un bon expert saura accompagner et valoriser ceux qui font l'effort de s'améliorer.


La cybersécurité ne progressera que si nous acceptons notre imperfection et choisissons de nous améliorer ensemble.

Refuser de publier des vulnérabilités, cacher ses erreurs, ne pas poser de questions par crainte du jugement des autres... c'est exactement ce qui empêche l'écosystème de se renforcer et va à l'encontre des valeurs prônées par l'open source.

Faites preuve de courage. Assumez ce que vous ne savez pas encore, et cherchez à progresser. Vous ne serez jamais seuls.

TouchWeb et d'autres experts sont là pour vous soutenir, pas pour vous juger.


2. Le syndrome de l'imposteur : pourquoi ceux qui savent ne parlent pas ?



Il y a une autre raison au silence général : le syndrome de l'imposteur.

Beaucoup de techniciens, devs et admins système qui ont les compétences n'osent pas parler de cybersécurité, de peur de dire quelque chose d'inexact ou de répercussions commerciales.

Dans un environnement où les moindres erreurs sont scrutées et critiquées, il est plus facile de se taire que de prendre le risque d'être mis en défaut. Résultat :

  • Ceux qui possèdent une réelle expertise préfèrent rester en retrait.
  • Les discussions de cybersécurité sont monopolisées par ceux qui font semblant de tout savoir, mais qui ne contribuent jamais concrètement.
  • La communauté reste figée, alors que la menace évolue constamment.


Mais il faut du courage pour prendre la parole et défendre la sécurité.

La cybersécurité ne progressera que si ceux qui ont les connaissances les partagent, même imparfaitement.

Ne restez pas seuls. Vous pouvez compter sur la protection de vos pairs, dont TouchWeb, qui assume déjà ce rôle malgré les critiques.

Les cyber-attaquants n'attendent pas. Si ceux qui ont les compétences ne prennent pas la parole, qui le fera à leur place ?


3. Les intérêts commerciaux : est-ce que la sécurité serait une menace pour le business ?



Soyons clairs : la cybersécurité dérange. Certaines plateformes et certains éditeurs préfèrent cacher les failles pour éviter d'avoir à gérer des correctifs en urgence.

Pour certains prestataires de service, parler de sécurité, c'est générer du support et des demandes clients difficiles à facturer.

Les entreprises préfèrent croire qu'elles ne risquent rien tant qu'il n'y a pas eu d'incident visible.

La sécurité est un sujet complexe, car elle peut mettre en lumière les failles des systèmes et des entreprises. Tant qu'une faille n'a pas été exposée au grand jour, il peut être plus facile de la dissimuler que de la corriger.


4. Personne ne veut financer la cybersécurité pour les petites et moyennes entreprises



Les entreprises qui ne pèsent pas des millions d'euros sont les premières victimes de cette inertie. Pourquoi ? Parce que leur sécurité intéresse peu d'acteurs :

  • Pas de garantie de résultat → Un client préfère croire qu'il "n'aura pas de problème" plutôt que de payer une protection – perfectible – contre une hypothétique attaque.
  • Pas de budget dédié → "Sécuriser ? Ça coûte trop cher, et ça n'a pas de retour sur investissement direct."
  • Un risque qui ne semble pas immédiat → Jusqu'au jour où l'activité est bloquée, les données clients ont été récupérées par des attaquants... et là, il est trop tard.


La cybersécurité est perçue comme un luxe, alors qu'elle devrait être une nécessité.


5. La délinquance par nécessité de survie



Il y a une vérité que personne n'ose dire : les cas de vols de cartes bancaires sont moins souvent signalés...

Pourquoi ? Parce que cela représente un enjeu essentiel pour la stabilité économique de beaucoup.

Lorsqu'un marchand se retrouve avec des vols de CB, il sait que s'il en parle publiquement, il risque de perdre la confiance acquise auprès de certains clients, partenaires, voire de ses banques.

En cas de vol de cartes de paiement, les plateformes peuvent minimiser la visibilité des fraudes afin de préserver la confiance des marchands et des investisseurs.

Les prestataires peuvent aussi minimiser les incidents pour éviter d'être tenus responsables.

Les marchands choisissent souvent de gérer discrètement les pertes liées aux vols afin de préserver leur image et la confiance de leurs clients.

Cependant, ce manque de transparence a une conséquence importante : il contribue, malgré eux, à la circulation de codes de cartes bancaires détournés.

Les marchands ne réalisent pas toujours qu'en ne signalant pas les fraudes, ils privilégient la stabilité immédiate de leur activité, bien que cela puisse involontairement bénéficier aux criminels.

Cela engendre un cercle vicieux :

  • Moins les vols sont signalés, plus les criminels en profitent pour agir librement.
  • Plus les fraudes se multiplient, plus les banques renforcent leurs exigences.
  • Et plus il devient complexe de vendre en ligne sans faire face à une hausse des coûts de sécurisation.


Ce manque de transparence crée un risque croissant, et ceux qui choisissent de l'ignorer aujourd'hui pourraient en subir les conséquences demain.

Il faut agir : la fraude à la carte bancaire ne doit pas être un sujet honteux. C'est un problème structurel qui doit être traité collectivement, avec des signalements, des actions de protection, et des mesures de cybersécurité robustes.

Nous rappelons que ne pas signaler un vol massif de cartes bancaires aux autorités, notamment à la gendarmerie, peut vous exposer à des poursuites pour complicité de recel.

Croire que dissimuler les vols assure la survie est une illusion : à long terme, seule la transparence permet de prospérer.


La réalité que vous devez comprendre



Aujourd'hui, TouchWeb est le seul acteur qui publie activement des alertes de sécurité et finance bénévolement des actions concrètes (Bug Bounty, audits, publications).

Nous n'avons aucune obligation de le faire.

Nous savons que ce positionnement est délétère en termes d'image et peut desservir notre société, car il met en lumière ce que tout le monde préfère ignorer. Seul notre réseau et PrestaShop SA soutiennent notre démarche.

Nous savons aussi que sans un modèle économique clair, ces actions ne pourront pas continuer.

Si nous arrêtons, qui prendra le relais ?

  • Qui publiera les vulnérabilités que personne ne veut voir ?
  • Qui financera des solutions de protection pour ceux qui ne peuvent pas le faire seuls ?


Nous avons besoin de clients pour augmenter nos budgets et améliorer la cybersécurité de l'écosystème.

Aujourd'hui, nous prenons en charge le financement de ce que personne d'autre ne soutient encore. Cependant, soyons transparents : le versement des primes sur YesWeHack représente un investissement conséquent. Pour assurer la continuité de cette initiative, nous avons besoin du soutien des agences de l'écosystème, notamment en développant ensemble notre réseau d'affaires.

Notre ambition est de mobiliser 80 000 € sur deux ans afin de renforcer la sécurité curative de l'écosystème PrestaShop, via PrestaShop Marketplace. Concrètement, nous réinvestirons 20 % de notre chiffre d'affaires au-delà de 600 000 € HT/an dans les primes YesWeHack. Plus notre réseau se développera, plus nous pourrons contribuer à cette mission essentielle.

Nous lançons cette initiative avec un budget de départ de 20 000 € HT, mais pour atteindre notre objectif, nous avons besoin de la confiance et de l'implication des agences. Leur engagement sera un levier clé pour garantir une sécurité durable au sein de l'écosystème PrestaShop.

  • Si vous pensez que la cybersécurité doit rester un pilier fort, faites confiance à ceux qui agissent.
  • Si nos travaux et alertes vous sont utiles, votre soutien est essentiel pour qu'ils puissent perdurer.
  • Si vous voulez voir un écosystème sécurisé, investissez dans ceux qui y travaillent chaque jour et travaillons ensemble autour de projets communs.


Sans engagement, nous prendrons une décision en juin 2025 sur la poursuite des actions.

Si vous êtes concepteur de module, adhérez à la charte TouchWeb pour une cybersécurité responsable. Seuls les concepteurs ayant adhéré à la charte seront éligibles à notre programme YesWeHack.

Merci à ceux qui reconnaissent la valeur de cet engagement.

Vincent


Souhaitez-vous en discuter avec nous ? 02 42 00 00 24