Spécialisé notamment dans la sécurité informatique, le cabinet Wavestone a présenté la deuxième édition de son tableau de bord de la sécurité des sites Web en France. Bonnet d’âne pour la majorité ! En cause : la précipitation dans la gestion des projets.
Faut-il encore s’étonner que des pirates prennent le contrôle de sites web où accèdent à des données sensibles ? Non. Trop d’entreprises ne prennent pas assez en compte ces risques et négligent la sécurité de leur site. C’est le constat que pourrait faire pour la deuxième année consécutive le cabinet Wavestone, spécialiste de la transformation des entreprises. Son tableau de bord n’est pas exhaustif puisqu’il repose uniquement sur le résultat d’audits qu’il a réalisés à la demande de ses clients, les résultats étant anonymisés.
Cette année, le rapport se base sur 155 tests d’intrusion réalisés entre juin 2016 et juin 2017, sur près de 120 sites accessibles en ligne, et 38 sites internes, privés. Le bilan n’est pas vraiment encourageant. Il est même inquiétant, car il concerne des secteurs sensibles, banque et énergie notamment.
Des failles graves
La totalité des sites étudiés présentait des vulnérabilités, quel que soit le contexte ou le secteur ! La moitié de ceux accessibles sur Internet était affectée par «au moins une faille grave». Une faille «grave» permet d’accéder à l’ensemble du contenu du site et/ou de compromettre les serveurs. 45 % des sites ne sont touchés que par des failles importantes. Elles permettent d’accéder aux informations d’autres utilisateurs, mais en nombre limité ou de manière complexe.
Le recours à un chiffrement insuffisant (certificat invalide, protocoles vulnérables…) arrive en tête des vulnérabilités, présent dans 83 % des cas. Dans 76 % des cas, des informations techniques superflues sont diffusées (ex. : page d’erreur ou entêtes divulguant la version d’un composant, etc.). Dans 45 % des cas, les mécanismes d’authentification ne sont pas suffisamment robustes (ex : absence d’anti brute-force, complexité des mots de passe, etc.).
En interne, c’est pire : la proportion montre à 68 %. Preuve supplémentaire que ces entreprises négligent « dans la durée » la sécurité de leur site (qui est dans la majorité des cas la « vitrine » de leur activité) : «40 % des sites ayant déjà subi un audit de sécurité sont encore vulnérables», avec au moins une faille grave.
La pression des métiers et du… RGPD
Cela signifie que les mesures de sécurité (comme l’installation de correctifs) qui avaient été recommandées n’ont pas été appliquées. Dans de nombreux cas, le développement du site n’a pas intégré dès le départ la sécurité ; résultat, il faut revoir toute l’architecture du site. Trop long, trop cher pour de nombreuses entreprises…
«La gestion actuelle des projets ne laisse pas beaucoup de place à la sécurité : pression des métiers, mise en production urgente, projet dont on apprend l’existence à sa sortie, etc. L’intégration de la sécurité dès le début du projet est pourtant l’une des clés à maîtriser», constate ce cabinet.
L’entrée en application du Règlement européen sur la protection des données (RGPD) en mai prochain est peut-être une bonne nouvelle: les entreprises auront l’obligation de se concentrer sur la sécurité de leur site et de leurs applications dès leur conception…
Philippe Richard
Réagissez à cet article
Connectez-vous
Vous avez déjà un compte ? Connectez-vous et retrouvez plus tard tous vos commentaires dans votre espace personnel.
Vous n'avez pas encore de compte ?
Inscrivez-vous !