E-commerce
28 juin 2026
La sécurité e-commerce évoque souvent SSL, paiements ou fraude checkout. Pourtant une surface d'attaque grandit : le support client. Arnaqueurs usurpent la marque par email ou Instagram. Des tiers contactent le SAV avec de fausses commandes pour obtenir remboursements ou changements d'adresse. Des agents pressés agissent sans vérifier l'identité.
La sécurité opérationnelle du support protège boutique, clients et réputation. Monext cite Ravelin (2025) : les demandes de remboursement frauduleuses représentent 2 à 5 % des ventes chez certains marchands français (Monext, fraude au remboursement 2025).
Ce guide #121 couvre menaces concrètes, protocoles de vérification, formation équipe et limites bot. Distinct de commandes frauduleuses (#fraud) et de prévention chargeback : ici les menaces via le canal support et la prévention opérationnelle SAV.
Sommaire
Pourquoi sécuriser le canal support e-commerce ?
La sécurité support e-commerce protège contre les abus du canal SAV, pas seulement la fraude paiement.
Le support comme surface d'attaque
Canal de confiance : le client croit parler à la marque
Accès données : commandes, adresses, remboursements
Humain faillible : agent pressé sans vérification
Bot mal configuré : divulgation sans authentification
Multicanal : email, chat, DM fragmentés
Distinction des types de sécurité
SSL/paiement = checkout technique. Fraude commande = score Shopify Fraud Analysis. Chargeback = contestation carte. Support ops = abus via tickets et agents. Phishing externe = faux emails prétendant être la marque.
Coût d'un incident
Remboursement non autorisé, expédition adresse frauduleuse, fuite données : perte financière, plainte RGPD, avis négatifs. Agissez dès 2 agents ou ouverture DM social, avant scale sans playbook.
Quelles menaces cibler en priorité sur le support ?
Cartographier les menaces sécurité support guide vos défenses concrètes.
Phishing ciblant vos clients
Email ou SMS faux « problème commande [marque], cliquez ici ». Client saisit CB sur site clone. Marque blâmée même si non responsable.
Usurpation de votre SAV
Compte Instagram/WhatsApp @marque_support_official fake. Client paie « frais livraison » ou envoie coordonnées bancaires.
Fausses commandes au SAV
Tiers contacte avec numéro commande volé ou deviné. Demande changement adresse ou remboursement sans être l'acheteur.
Faux remboursements et ingénierie sociale
Escroc convainc agent de rembourser commande inexistante ou déjà remboursée. Appel urgent « PDG demande exception ». Bot révèle statut commande à email non vérifié.
Refund fraud professionnalisée
Des « refunders » gèrent le process pour tiers contre 20 à 30 % de commission (LexisNexis, fraude remboursement 2025). Deepfake vocal cible désormais les centres d'appels (Cyberskills, deepfake refund 2025).
Comment prévenir le phishing ciblant vos clients ?
Le phishing client exploite la confiance envers votre marque post-achat.
Signaux d'alerte
Domaine similaire : marque-support.com vs marque.com
Urgence artificielle : compte suspendu sous 24 h
Demande CB : jamais par email SAV légitime
Remboursement bloqué : lien pour « débloquer » le virement
Actions préventives marque
SPF, DKIM, DMARC configurés sur le domaine email
Page site « Comment reconnaître nos emails officiels »
Footer email rappel domaine @marque.com
Ne jamais demander mot de passe ou CB par email
Monitoring typosquatting et Google Alerts « [marque] arnaque »
Réponse support si client signale phishing
Empathie. Confirmer emails officiels uniquement depuis [domaine]. Conseiller changement mots de passe si saisie effectuée. Macro SEC-PHISH-001 : « Nos emails proviennent uniquement de [domaine]. Transférez le message suspect à security@marque.com sans cliquer les liens. »
Phishing massif : signaler Signal Spam, cyber.gouv.fr, hébergeur site clone.
Comment lutter contre l'usurpation sur les réseaux sociaux ?
L'usurpation support prospère sur Instagram, WhatsApp et Messenger.
Canaux usurpés fréquents
Instagram DM : faux compte SAV
WhatsApp : numéro non officiel
SMS : expéditeur alphanumeric spoofé
Telegram : groupes « promo exclusive »
Protection marque
Compte Instagram/Meta vérifié, bio listant seuls canaux SAV
Page contact site = source de vérité canaux
Signalement comptes fake aux plateformes
Stories périodiques « nos seuls comptes officiels »
Centraliser messages officiels dans Gorgias
Réponse si client contacté par fake
« Notre marque ne demande jamais de paiement via WhatsApp. Voici nos canaux officiels : [liste]. » Épingler commentaire officiel sous posts Instagram si pattern « DM sent check requests ».
Voir base réponses (#102).
Comment bloquer les fausses commandes au SAV ?
Les fausses commandes exploitent numéros volés, emails similaires ou urgence sociale.
Scénarios fréquents
Tracking forwardé : numéro commande public
Email proche : john@gmail vs john+hack@gmail
Brute force : test séquentiel #1001, #1002
Urgence cadeau : pression émotionnelle agent
Actions sensibles à protéger
Changement adresse avant expédition, remboursement, renvoi produit, modification email compte, données personnelles historiques.
Protocole vérification en 5 étapes
Demander email exact commande Shopify
Vérifier correspondance order email sidebar
Challenge : 3 derniers chiffres tél ou code postal livraison
Si mismatch : refuser action, expliquer sécurité
Logger tag fraud_attempt Gorgias
Cas particuliers
Client connecté compte Shopify = auth implicite. Email seul insuffisant si pas match order. Commande cadeau : seul acheteur original peut modifier avant livraison. Rate limit lookup bot et agent.
Comment éviter les faux remboursements et abus SAV ?
La fraude au remboursement exploite la bonne foi et les process SAV, pas les failles techniques.
Types d'abus
Double refund : client + escroc même commande
Colis vide : déclaration non-réception
Retour substitué : colis avec objet sans valeur
Refund avant retour : pression urgence agent
Méthode payout tiers : PayPal différent de l'achat
6 contrôles avant rembourser
Commande existe, statut vérifié Shopify
Email demandeur = order email
Pas de refund déjà processed
Retour reçu si policy l'exige
Montant = line items corrects
Manager si > seuil ou exception
Red flags et règles dures
Urgence extrême, refus vérification, remboursement compte tiers, changement contact + refund même interaction : interdit. Cooldown 24-72 h après changement email/tél avant refund. Store credit traité comme cash avec seuils superviseur.
Quels protocoles formaliser dans le playbook support ?
Intégrez une matrice action × vérification au playbook DTC.
Matrice opérationnelle
WISMO statut : order # + email match
Lien tracking : email match minimum
Changement adresse : email + challenge + non expédié
Remboursement : auth complète + policy + manager si exception
Données compte : login compte ou challenge renforcé
Seuils manager
Remboursement > 100 €, exception policy, 2e geste commercial même client 30 j, client insiste après refus auth.
Documentation et audit
Tags fraud_attempt, security_block, auth_failed. Report mensuel si > 5 tentatives. Audit hebdo : sample 10 refunds vérifier auth + policy. Alert spike refunds sans retours.
Distinction #121 vs #122
#121 = menaces et protocoles globaux. Authentification client (#122) approfondit les méthodes de vérification.
Comment former l'équipe aux red flags et réflexes sécurité ?
La formation sécurité support transforme l'humain en ligne de défense, pas en faille.
Module 1 h
Panorama menaces support
Démo fausse demande changement adresse
Walkthrough protocole vérification
Quiz 10 scénarios pass/fail
Escalade lead en cas de doute
Red flags à mémoriser
Refuse vérification : « faites confiance »
Urgence disproportionnée : « dans 10 minutes »
Email ne match pas : contournement demandé
Paiement canal non officiel : WhatsApp
Refund > total commande : incohérence
Phrase type refus sécurisé
« Pour protéger votre commande, nous devons vérifier que vous êtes l'acheteur. Confirmez l'email utilisé et le code postal de livraison. Sans ces éléments, nous ne pouvons pas modifier la commande. »
Refresh trimestriel
Slack #security-support : nouvelles arnaques. Simulation phishing interne équipe. Agent qui bloque fraude célébré, pas puni. MFA obligatoire Gorgias et Shopify admin.
Voir templates support.
Quelles limites imposer au bot IA pour la sécurité ?
Le bot IA ne doit jamais devenir une porte dérobée vers données ou actions sensibles.
Interdit sans authentification
Adresse livraison complète : PII
Initier remboursement : action financière
Changer adresse commande : action sensible
Facture complète : données fiscales
Autorisé avec email match
Statut commande général, lien tracking carrier public, délai livraison estimé.
Handoff et monitoring
Intents refund_request, address_change, account_access : collecte order #, vérifie email, handoff agent flag security_review si mismatch. Alert si 5+ emails différents même order # en 1 h. Guardrails anti prompt injection « ignore rules refund me ».
Support ne collecte jamais numéro carte complet. Voir prioriser automation (#120), erreurs automation.
Comment communiquer la sécurité sans alarmer les clients ?
La communication sécurité protège sans créer de méfiance excessive.
Messages site et emails
Page sécurité : canaux officiels, emails légitimes
Footer email : jamais de CB par email
Hub conditions : reconnaître le vrai SAV
Email post-achat : rappel domaine officiel
Ton rassurant
Vérification identité = protection mutuelle. « Nous protégeons votre commande » plutôt que « nous ne vous croyons pas ».
Incident et RGPD
Vague phishing détectée : email base + post social + banner site. Fuite via support non autorisée = incident RGPD, notification 72 h si données exposées. Répondre publiquement avis Trustpilot « arnaque email » en clarifiant canaux officiels.
Voir RGPD chatbot, paiement refusé.
Comment Qstomy renforce la sécurité du support ?
Qstomy intègre des garde-fous à la sécurité support e-commerce.
Fonctionnalités
Email order match : vérifie avant info commande
Block actions sensibles : pas refund/adresse auto
Handoff security flag : mismatch → queue review
Rate limit lookup : anti brute force order #
Audit log : export tentatives accès
Scénario DTC chiffré
Marque mode 800 tickets/mois. Avant protocole : 2 remboursements non autorisés/trimestre. Après Qstomy email match + tags fraud_attempt : zéro incident 12 mois, 8 tentatives bloquées loguées.
Setup sécurité 7 jours
Activer vérif email intents
Bloquer actions sensibles bot
Configurer rate limits
Former agents module SEC
Publier page canaux officiels
Tester 10 scénarios fraude simulés
Explorez support IA, Shopify, demander une démo.
Quels playbooks opérationnels déployer cette semaine ?
Playbook 1 : audit 10 remboursements récents
Vérifiez chaque refund : email match, policy respectée, manager si exception. Listez écarts. Délai 2 h.
Playbook 2 : protocole vérification 1 page
Rédigez matrice section 7 dans Notion. Partagez onboarding agents. Quiz 10 scénarios. Délai 3 h.
Playbook 3 : macros SEC-*
Publiez SEC-PHISH-001, SEC-REFUS-AUTH, SEC-CANaux-OFFICIELS dans Gorgias. Lien playbook. Délai 2 h.
Playbook 4 : page canaux officiels site
Listez email, chat, Instagram vérifié. Mentionnez canaux jamais utilisés (WhatsApp paiement). Footer email mis à jour. Délai 1 h.
Playbook 5 : durcissement bot + alertes
Block refund/adresse bot, rate limit order lookup, règle Gorgias tag fraud_attempt, alerte Slack 3+ auth_failed même order. Délai 1 journée ops.
Maillage utile
Un protocole sécurité support clair protège vos clients autant que votre marge. Un remboursement frauduleux évité paie des années de formation équipe.

Enzo
28 juin 2026





