New Webinar: Closing the Approval Gap in AI-Era Ad Tech
Mis à jour :
La gestion du risque lié à la chaîne d’approvisionnement numérique
L’article met en lumière le concept de « fossé d’approbation » (Approval Gap), qui désigne la divergence croissante entre les scripts marketing officiellement validés par une entreprise et la réalité des codes tiers et quart-tiers s’exécutant réellement dans les navigateurs des utilisateurs.
Points clés :
- Chaîne d’approvisionnement invisible : Un tag marketing approuvé peut charger dynamiquement d’autres scripts non contrôlés, accédant ainsi aux formulaires de paiement et aux données clients.
- Accélération par l’IA : L’intelligence artificielle permet une création rapide de nouvelles intégrations, rendant les audits de sécurité ponctuels obsolètes dès leur exécution.
- Risque structurel : 53 % des expositions aux risques dans le commerce de détail proviennent d’une utilisation excessive d’outils de suivi, souvent installés par les équipes marketing sans coordination avec la sécurité.
- Responsabilité continue : L’approbation initiale d’un vendeur ne suffit plus ; la surveillance doit être constante, car le code tiers peut changer à tout moment.
Vulnérabilités :
- Attaques côté client (Client-side attacks) : Injection de scripts malveillants via des tiers (fournisseurs AdTech).
- Non-conformité réglementaire : Risque lié aux exigences PCI DSS 4.0.1 (sections 6.4.3 et 11.6.1), ainsi qu’au RGPD et au CCPA, qui imposent la maîtrise des scripts s’exécutant sur les pages de paiement.
- Note : Aucune CVE spécifique n’est mentionnée, car il s’agit d’un problème de gestion de la surface d’attaque et de la supply chain logicielle.
Recommandations :
- Visibilité continue : Mettre en place des solutions permettant de surveiller en temps réel tout le code s’exécutant sur le site, au-delà de la simple revue initiale.
- Sandboxing : Isoler les scripts tiers pour limiter leur accès aux données sensibles.
- Gouvernance des fournisseurs : Soumettre chaque fournisseur à une série de questions critiques sur la provenance et le vetting des scripts secondaires (quatrième partie) chargés par leurs propres outils.
- Approche transversale : Aligner les priorités entre les équipes marketing (vitesse de déploiement) et les équipes de sécurité (protection des données) pour éviter les angles morts.
