Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

100% des sites web des plus grandes entreprises sont toujours touchés par une faille de sécurité et 56% contiennent une faille grave

octobre 2018 par Wavestone

A l’occasion du lancement du Mois européen de la cybersécurité et en amont des Assises de la Sécurité (du 9 au 12 octobre), le cabinet Wavestone a passé en revue près de 140 sites web des plus grandes entreprises françaises. L’objectif : apporter un éclairage sur ces trois dernières années et alerter sur l’un des sujets les plus stratégiques du moment. En effet, les dernières cyber-attaques (British Airways, Facebook, Uber…) ont montré que la sécurité des sites et applications mobiles représente un enjeu crucial pour les entreprises, tant leurs impacts peuvent être colossaux. Toutefois, malgré un début de prise de conscience des entreprises, les risques sont toujours autant élevés. En effet, 100% des sites web ont révélé la présence d’au moins une faille de sécurité. C’est l’une des conclusions de ce Benchmark Cybersécurité des sites web.

3 ans d’analyse de la sécurité des sites web qui reste encore largement négligée
Malgré la réalisation d’audits par le passé, 50% des sites testés précédemment restent vulnérables cette année avec au moins une faille grave. De plus, comme les années précédentes, le benchmark cybersécurité a révélé la présence d’au moins une faille de sécurité sur l’ensemble des sites web analysés.

« Les chiffres analysés au cours de ces 3 dernières années traduisent et confirment ce que l’actualité nous montre tous les jours, la sécurité des sites Web reste un vrai sujet en matière de cybersécurité . » confirme Yann FILLIAT, responsable de l’offre audit de sécurité du cabinet Wavestone.

Parmi ces failles, 56% des sites analysés et accessibles à tous depuis Internet contiennent des failles graves pouvant mener à la fuite d’informations, à l’accès au contenu et à différentes données du site, ou à la prise de contrôle des serveurs. Cette proportion est néanmoins en baisse de 4 points depuis 2016 (60%).
Toutefois, si moins de sites sont touchés par des failles graves, ils restent touchés par des failles dites « importantes » (42% en 2018 vs 39% en 2016) qui permettent d’accéder aux informations d’autres utilisateurs mais en nombre limité ou de manière complexe (vol de session, faiblesse dans le chiffrement, réalisation d’action à l’insu de l’utilisateur…).

Une légère hausse du nombre de failles sur les sites accessibles depuis Internet
L’étude montre également que les sites accessibles à tous depuis Internet ont subi une hausse du nombre de failles. En 2016 et 2017, 50% d’entre eux étaient touchés par des failles graves. Cette proportion a augmenté à 52% en 2018.

Concernant les sites web internes aux entreprises, destinés aux collaborateurs, le nombre de failles graves semblent s’être réduit puisque 75% des sites étaient touchés en 2016 contre 66% en 2018.

Le TOP 10 des failles découvertes dans les sites web

« Malgré une augmentation de la prise de conscience dans les directions du fait des incidents majeurs de 2017 et de l’entrée en vigueur du règlement européen sur les données personnelles (RGPD), il est clair que la situation sur le terrain est fragile. Cependant, toutes les solutions techniques existent pour créer des sites web sécurisés ! Espérons qu’en 2019 les résultats montreront une évolution positive grâce à une mobilisation accrue à tous les niveaux. » indique Gérôme BILLOIS, associé au cabinet Wavestone.


*Méthodologie
Parmi les 350 audits de sécurité réalisés, 139 tests d’intrusion sur des sites web ont été sélectionnés. Ils ont été réalisés entre Juin 2017 et Juin 2018 auprès de 75 organisations appartenant au Top 200 des entreprises françaises, issus de 9 secteurs d’activités différents : Banque/Assurance, Distribution, Médical, Énergie, Service, Télécom, Transport, Défense et Institutions Publiques, etc. Dans le détail : 101 sites externes (accessibles à tous via Internet) et 38 internes (accessibles aux collaborateurs de l’entreprise via un réseau privé). Cette démarche comprend la vérification de 47 points de contrôle. Les données de ce benchmark ont été rendues anonymes : la collecte est uniquement statistique.


Voir les articles précédents

    

Voir les articles suivants