Faut-il encore s’étonner que des pirates prennent le contrôle de sites web où accèdent à des données sensibles ? Non. Trop d’entreprises ne prennent pas assez en compte ces risques et négligent la sécurité de leur site. C’est le constat que pourrait faire pour la deuxième année consécutive le cabinet Wavestone, spécialiste de la transformation des entreprises. Son tableau de bord n’est pas exhaustif puisqu’il repose uniquement sur le résultat d’audits qu’il a réalisés à la demande de ses clients, les résultats étant anonymisés.
Cette année, le rapport se base sur 155 tests d’intrusion réalisés entre juin 2016 et juin 2017, sur près de 120 sites accessibles en ligne, et 38 sites internes, privés. Le bilan n’est pas vraiment encourageant. Il est même inquiétant, car il concerne des secteurs sensibles, banque et énergie notamment.
Des failles graves
La totalité des sites étudiés présentait des vulnérabilités, quel que soit le contexte ou le secteur ! La moitié de ceux accessibles sur Internet était affectée par «au moins une faille grave». Une faille «grave» permet d’accéder à l’ensemble du contenu du site et/ou de compromettre les serveurs. 45 % des sites ne sont touchés que par des failles importantes. Elles permettent d’accéder aux informations d’autres utilisateurs, mais en nombre limité ou de manière complexe.
Le recours à un chiffrement insuffisant (certificat invalide, protocoles vulnérables…) arrive en tête des vulnérabilités, présent dans 83 % des cas. Dans 76 % des cas, des informations techniques superflues sont diffusées (ex. : page d’erreur ou entêtes divulguant la version d’un composant, etc.). Dans 45 % des cas, les mécanismes d’authentification ne sont pas suffisamment robustes (ex : absence d’anti brute-force, complexité des mots de passe, etc.).
En interne, c’est pire : la proportion montre à 68 %. Preuve supplémentaire que ces entreprises négligent « dans la durée » la sécurité de leur site (qui est dans la majorité des cas la « vitrine » de leur activité) : «40 % des sites ayant déjà subi un audit de sécurité sont encore vulnérables», avec au moins une faille grave.
La pression des métiers et du… RGPD
Cela signifie que les mesures de sécurité (comme l’installation de correctifs) qui avaient été recommandées n’ont pas été appliquées. Dans de nombreux cas, le développement du site n’a pas intégré dès le départ la sécurité ; résultat, il faut revoir toute l’architecture du site. Trop long, trop cher pour de nombreuses entreprises…
«La gestion actuelle des projets ne laisse pas beaucoup de place à la sécurité : pression des métiers, mise en production urgente, projet dont on apprend l’existence à sa sortie, etc. L’intégration de la sécurité dès le début du projet est pourtant l’une des clés à maîtriser», constate ce cabinet.
L’entrée en application du Règlement européen sur la protection des données (RGPD) en mai prochain est peut-être une bonne nouvelle: les entreprises auront l’obligation de se concentrer sur la sécurité de leur site et de leurs applications dès leur conception…
Philippe Richard
Dans l'actualité
- Sécurité informatique : quelles solutions pour remplacer le mot de passe ?
- La sécurité du Web face à l’informatique quantique
- Les conseils d’un hacker pour rester anonyme sur le web
- Journée Mondiale de la santé au travail : suivez nos webinars
- L’Intelligence artificielle au secours de la sécurité informatique
- Hackers éthiques et emploi : 11% d’augmentation mais un poste peu accessible
- RGPD : une mise en conformité loin d’être généralisée
Dans les ressources documentaires