Les dernières cyber-attaques ont montré que la sécurité des données clients représente un des enjeux majeurs des années à venir et devrait inciter les entreprises à la plus grande vigilance. Et pourtant, les injonctions d’efficacité et de rapidité au nom de la satisfaction client créent une situation à haut risque… C’est ce que révèlent les résultats du nouveau benchmark de Wavestone : alors que 100% des sites web testés sont vulnérables, 90% d’entre eux étaient déjà en ligne avant la réalisation des tests. A l’occasion du mois européen de la cybersécurité et des Assises de la Sécurité (du 11 au 13 octobre), les équipes du cabinet publient leur enquête annuelle qui passe en revue près de 155 sites web des plus grandes entreprises françaises. L’objectif : apporter un éclairage concret et alerter sur l’un des sujets les plus stratégiques du moment.
Tous les sites testés sont vulnérables, et pour plus de la moitié avec des failles graves
50% des sites analysés et accessibles à tous depuis Internet contiennent des failles graves pouvant mener à la fuite d’informations, à l’accès au contenu et à différentes données du site, ou à la prise de contrôle des serveurs. Les sites web internes réservés aux collaborateurs ne sont pas épargnés, ils sont même davantage touchés que les sites « tout public » : 68% d’entre eux recensent au moins une faille grave. Des failles graves ont par ailleurs été découvertes alors que 90% des sites étaient déjà en ligne.
Fonctionnalités 1 vs Sécurité O : des sites déjà audités qui restent vulnérables…
L’étude montre également que les entreprises négligent trop souvent la cybersécurité, puisque 40% des sites ayant déjà subi un audit de sécurité restent vulnérables à au moins une faille grave. Ceci est souvent dû à des corrections peu appliquées ou de nouvelles fonctionnalités non testées avant leur mise en ligne.
« Aujourd’hui la pression sur les délais pour sortir un nouveau site et la manque d’anticipation des tests de sécurité conduisent à des situations à risques. Trop souvent des sites avec des données clients sont en ligne alors qu’ils sont vulnérables. Ils existent pourtant des solutions simples pour éviter de potentie
lles catastrophes numériques » indique Gérôme BILLOIS, associé au cabinet Wavestone.
Des failles qui touchent tous les secteurs
L’analyse des résultats montre également qu’aucun secteur n’est épargné : plus de 1 site sur 2, quel que soit le secteur, contiennent au moins une faille grave. Les pourcentages ci-dessous reflètent le nombre de sites sujets à au moins une faille grave :
Le TOP 10 des failles découvertes dans les sites web
« Le TOP10 des failles découvertes reflète peu de changement entre le classement 2016 et 2017. Des failles majeures sont encore présentes en tête de liste. Ces failles sont connues depuis de nombreuses années, il est pourtant simple de former les développeurs et d’inclure des obligations de sécurité dans les contrats avec les hébergeurs ou les web agency, mais cela est encore trop rarement fait » souligne Yann Filliat, responsable de l’équipe audit de sécurité de Wavestone.
Zoom : des objets connectés mieux sécurisés que les sites web ?
Oui et non ! Wavestone a réalisé 10 tests d’intrusion entre juin 2016 et juin 2017 sur des objets connectés développés en France (prises connectées, sonnettes à distante, etc.) sans y trouver de faille majeure permettant une attaque massive (même si des failles importantes existent, elles ne permettaient que de prendre le contrôle d’un objet à la fois).
« Cette situation est très différente pour les objets connectés « low cost » qui contiennent de nombreuses failles permettant des exploitations massives à l’échelle mondiale comme l’ont montré les très nombreux incidents observés en 2016 et 2017 avec par exemple le botnet Mirai » complète Yann Filliat, responsable de l’équipe audit de sécurité de Wavestone.
*Méthodologie
155 audits de sécurité, réalisés entre Juin 2016 et Juin 2017 auprès de 70 organisations appartenant au Top 200 des entreprises françaises, issus de 9 secteurs d’activités différents : Banque/Assurance, Santé, Défense, Administration, Energie, Services, Vente en ligne, Télécom et Transport. Dans le détail : 117 sites externes (accessibles à tous via Internet) et 38 internes (accessibles aux collaborateurs de l’entreprise via un réseau privé). Cette démarche comprend la vérification de 47 points de contrôle. Les données de ce benchmark ont été rendues anonymes : la collecte est uniquement statistique.