New Webinar: Closing the Approval Gap in AI-Era Ad Tech

1 minute de lecture

Mis à jour :

La gestion du risque lié à la chaîne d’approvisionnement numérique

L’article met en lumière le concept de « fossé d’approbation » (Approval Gap), qui désigne la divergence croissante entre les scripts marketing officiellement validés par une entreprise et la réalité des codes tiers et quart-tiers s’exécutant réellement dans les navigateurs des utilisateurs.

Points clés :

  • Chaîne d’approvisionnement invisible : Un tag marketing approuvé peut charger dynamiquement d’autres scripts non contrôlés, accédant ainsi aux formulaires de paiement et aux données clients.
  • Accélération par l’IA : L’intelligence artificielle permet une création rapide de nouvelles intégrations, rendant les audits de sécurité ponctuels obsolètes dès leur exécution.
  • Risque structurel : 53 % des expositions aux risques dans le commerce de détail proviennent d’une utilisation excessive d’outils de suivi, souvent installés par les équipes marketing sans coordination avec la sécurité.
  • Responsabilité continue : L’approbation initiale d’un vendeur ne suffit plus ; la surveillance doit être constante, car le code tiers peut changer à tout moment.

Vulnérabilités :

  • Attaques côté client (Client-side attacks) : Injection de scripts malveillants via des tiers (fournisseurs AdTech).
  • Non-conformité réglementaire : Risque lié aux exigences PCI DSS 4.0.1 (sections 6.4.3 et 11.6.1), ainsi qu’au RGPD et au CCPA, qui imposent la maîtrise des scripts s’exécutant sur les pages de paiement.
  • Note : Aucune CVE spécifique n’est mentionnée, car il s’agit d’un problème de gestion de la surface d’attaque et de la supply chain logicielle.

Recommandations :

  • Visibilité continue : Mettre en place des solutions permettant de surveiller en temps réel tout le code s’exécutant sur le site, au-delà de la simple revue initiale.
  • Sandboxing : Isoler les scripts tiers pour limiter leur accès aux données sensibles.
  • Gouvernance des fournisseurs : Soumettre chaque fournisseur à une série de questions critiques sur la provenance et le vetting des scripts secondaires (quatrième partie) chargés par leurs propres outils.
  • Approche transversale : Aligner les priorités entre les équipes marketing (vitesse de déploiement) et les équipes de sécurité (protection des données) pour éviter les angles morts.

Source