Alors que l’exploitation des données clients représente l’un des enjeux majeurs des années à venir, le piratage quant à lui, tend à se démultiplier, en témoignent les affaires récentes (Yahoo, LinkedIn, Adobe…). Un contexte qui devrait donc inciter les entreprises à la plus grande vigilance. Et pourtant, selon les résultats d’un benchmark* mené par les équipes Cybersécurité et Digital Trust du cabinet Wavestone, aujourd’hui 100% des sites web testés sont vulnérables. Et cela, quelque que soit le contexte, le secteur ou la criticité… Basés sur l’analyse de 128 sites web de grandes entreprises, classées dans le TOP 200 des entreprises françaises, les résultats du benchmark – qui seront présentés lors des Assises de la Sécurité du 5 au 8 octobre prochain à Monaco – passent en revue les différents scenarii et proposent une cartographie des principaux risques.

Les grands enseignements de l’étude

Un total de 60% des sites analysés (sur Internet et en interne) contenaient des failles graves pouvant mener à la fuite d’informations ou à la prise de contrôle des serveurs.

« Nous réalisons des audits de sécurité depuis plus de 10 ans avec une méthodologie éprouvée qui nous permet aujourd’hui de publier de tels résultats. Nous avions déjà l’intuition que la situation n’était pas bonne, et ce, quel que soit le secteur d’activité. Notre sentiment est désormais conforté par ces chiffres » commente Yann FILLIAT, responsable de l’équipe d’audit de sécurité de Wavestone.

Dans le TOP 10 des vulnérabilités établies par Wavestone, 3 fonctionnalités sont particulièrement à risque et nécessitent l’attention des équipes web : le dépôt de fichiers, la gestion des accès et la gestion des sessions des utilisateurs.

L’étude montre également que le langage de développement utilisé pour créer les sites web est un facteur de risque. En effet, 75% des sites développés en PHP sont sujets à au moins une faille grave, contre 40% pour ceux développés en Java.

« Les chiffres le prouvent, la gestion actuelle des projets web ne laisse pas beaucoup de place à la sécurité : mise en ligne urgente, site dont on apprend l’existence à sa sortie, … Tout ceci fait prendre des risques importants aux entreprises » ajoute Gérôme BILLOIS, membre du comité de direction de la practice.

L’étude met l’accent sur les mesures de sécurité requises pour enrayer cette situation, avec en particulier le besoin de prise de conscience des risques par les entreprises pour intégrer la sécurité dès le début du projet, d’allouer des budgets suffisants et de former les équipes projets et les développeurs à la cybersécurité.

*Méthodologie

128 audits de sécurité, réalisés entre Juin 2015 et Juin 2016 auprès de 82 structures appartenant au Top 200 des entreprises françaises, issus de 8 secteurs d’activités différents : Banque/Assurance, Médicale, Énergie, Services, Telecom, Transport, Institutions Publiques. Dans le détail : 85 sites externes (accessibles à tous via Internet) et 43 internes (accessibles aux collaborateurs de l’entreprise via un réseau privé). Cette démarche comprend la vérification de 47 points de contrôle. Près de 90% des tests ont été réalisés sur des applications en fonctionnement (hors version beta/en développement). Les données de ce benchmark ont été rendues anonymes : la collecte est uniquement statistique.