Spécialisé notamment dans la sécurité informatique, le cabinet Wavestone a présenté la deuxième édition de son tableau de bord de la sécurité des sites Web en France. Bonnet d’âne pour la majorité !
Conférences, formations, tables-rondes, webinar… A longueur de journée, des experts comme ceux de SecuritreOff rappellent que la sécurité informatique ne doit pas être négligée. Elle doit être intégrée dans la gestion des risques de l’entreprise. Et pourtant, des études montrent que ces messages sont entendus… mais pas appliqués !
Trop d’entreprises négligent la sécurité de leur site. C’est le constat que l’on fait après la lecture de l’étude du cabinet Wavestone, spécialiste de la transformation des entreprises. Son tableau de bord n’est pas exhaustif puisqu’il repose uniquement sur le résultat d’audits qu’il a réalisés à la demande de ses clients, les résultats étant anonymisés. Il se base sur 155 tests d’intrusion réalisés entre juin 2016 et juin 2017, sur près de 120 sites accessibles en ligne, et 38 sites internes, privés.
Des failles graves
La totalité des sites étudiés présentait des vulnérabilités, quel que soit le contexte ou le secteur ! La moitié de ceux accessibles sur Internet était affectée par « au moins une faille grave ». Une faille « grave » permet d’accéder à l’ensemble du contenu du site et/ou de compromettre les serveurs. 45 % des sites ne sont touchés que par des failles importantes. Elles permettent d’accéder aux informations d’autres utilisateurs, mais en nombre limité ou de manière complexe.
Le recours à un chiffrement insuffisant (certificat invalide, protocoles vulnérables…) arrive en tête des vulnérabilités, présent dans 83 % des cas. Dans 76 % des cas, des informations techniques superflues sont diffusées (ex. : page d’erreur ou entêtes divulguant la version d’un composant, etc.). Dans 45 % des cas, les mécanismes d’authentification ne sont pas suffisamment robustes (ex : absence d’anti brute-force, complexité des mots de passe, etc.).
En interne, c’est pire : la proportion montre à 68 %. Preuve supplémentaire que ces entreprises négligent « dans la durée » la sécurité de leur site (qui est dans la majorité des cas la « vitrine » de leur activité) : « 40 % des sites ayant déjà subi un audit de sécurité sont encore vulnérables », avec au moins une faille grave.
L’entrée en application du Règlement européen sur la protection des données (RGPD) en mai prochain est peut-être une bonne nouvelle : les entreprises auront l’obligation de se concentrer sur la sécurité de leur site et de leurs applications dès leur conception…