Alors que l’exploitation des données clients représente l’un des enjeux majeurs des années à venir, le piratage quant à lui, tend à se démultiplier, en témoignent les affaires récentes (Yahoo, LinkedIn, Adobe…). Un contexte qui devrait donc inciter les entreprises à la plus grande vigilance. Et pourtant, selon les résultats d’un benchmark* mené par les équipes Cybersécurité et Digital Trust du cabinet Wavestone, aujourd’hui 100% des sites web testés sont vulnérables. Et cela, quelque que soit le contexte, le secteur ou la criticité… Basés sur l’analyse de 128 sites web de grandes entreprises, classées dans le TOP 200 des entreprises françaises, les résultats du benchmark – qui seront présentés lors des Assises de la Sécurité du 5 au 8 octobre prochain à Monaco – passent en revue les différents scenarii et proposent une cartographie des principaux risques.
Les grands enseignements de l’étude
Un total de 60% des sites analysés (sur Internet et en interne) contenaient des failles graves pouvant mener à la fuite d’informations ou à la prise de contrôle des serveurs.
« Nous réalisons des audits de sécurité depuis plus de 10 ans avec une méthodologie éprouvée qui nous permet aujourd’hui de publier de tels résultats. Nous avions déjà l’intuition que la situation n’était pas bonne, et ce, quel que soit le secteur d’activité. Notre sentiment est désormais conforté par ces chiffres » commente Yann FILLIAT, responsable de l’équipe d’audit de sécurité de Wavestone.
Dans le TOP 10 des vulnérabilités établies par Wavestone, 3 fonctionnalités sont particulièrement à risque et nécessitent l’attention des équipes web : le dépôt de fichiers, la gestion des accès et la gestion des sessions des utilisateurs.
L’étude montre également que le langage de développement utilisé pour créer les sites web est un facteur de risque. En effet, 75% des sites développés en PHP sont sujets à au moins une faille grave, contre 40% pour ceux développés en Java.
« Les chiffres le prouvent, la gestion actuelle des projets web ne laisse pas beaucoup de place à la sécurité : mise en ligne urgente, site dont on apprend l’existence à sa sortie, … Tout ceci fait prendre des risques importants aux entreprises » ajoute Gérôme BILLOIS, membre du comité de direction de la practice.
L’étude met l’accent sur les mesures de sécurité requises pour enrayer cette situation, avec en particulier le besoin de prise de conscience des risques par les entreprises pour intégrer la sécurité dès le début du projet, d’allouer des budgets suffisants et de former les équipes projets et les développeurs à la cybersécurité.