Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Etude : 83% des 100 sites français les plus populaires échouent aux contrôles de conformité GDPR

mai 2019 par ImmuniWeb

Un nouveau test en ligne non intrusif a rapidement vérifié les exigences GDPR (RGPD) et PCI DSS, la sécurité du CMS et fait un contrôle de confidentialité. ImmuniWeb, fournisseur mondial de tests de sécurité Web, mobiles et API et d’évaluation de risques, a mis en œuvre son nouveau contrôle de conformité GDPR pour vérifier que les plus grands sites Web européens respectent les exigences GDPR relatives aux applications Web. L’équipe de recherche ImmuniWeb a sélectionné les 100 sites Web les plus visités de chacun des 28 États membres européens et a effectué une série de contrôles non intrusifs avec les résultats suivants :

• Politique de confidentialité manquante ou difficile à obtenir (51,50% d’échecs)
• Utilisation non sécurisée des cookies manipulant des données potentiellement sensibles (78,25% d’échecs)
• Composants CMS ou CMS obsolètes et vulnérables (6,75% d’échecs)
• Pas de cryptage HTTPS ni d’utilisation de SSLv3 (5,96% d’échecs)

Pour la France, les résultats ont révélé que 83% des sites contrôlés ne satisferaient pas aux exigences de conformité du GDPR, avec :

• Une politique de confidentialité manquante ou difficile à obtenir (50% d’échecs)
• L’utilisation non sécurisée des cookies manipulant des données potentiellement sensibles (80% d’échecs)
• Des composants CMS ou CMS obsolètes et vulnérables (0% d’échecs)
• Cryptage HTTPS ou utilisation SSLv3 manquant (10% d’échecs)

Les résultats placent la France au 10ème rang ; la Slovaquie, la Croatie, la République tchèque, l’Irlande et Malte stagnant au bas du tableau avec un taux d’échec de 100%.

Ci-dessous les résultats par région :

https://www.immuniweb.com/news/free-website-gdpr-scan.html

Ilia Kolochenko, CEO et fondateur d’ImmuniWeb, a déclaré : « Nous pouvons constater que des efforts louables ont été déployés pour améliorer la sécurité des applications Web et respecter les exigences du GDPR parmi les entreprises européennes. Cependant, il reste un long chemin à parcourir avant que la majorité des entreprises accordent de la valeur à la sécurité, offrant ainsi à leurs utilisateurs la confidentialité et la sécurité qu’ils méritent vraiment. Pour aider les entreprises à se conformer aux exigences complexes du GDPR, dont la plupart sont assez loin d’être limpides, nous sommes heureux d’améliorer notre offre communautaire avec le nouveau test gratuit. D’autres fonctionnalités intéressantes seront bientôt disponibles, restez à l’écoute. "

Le test a été initialement conçu pour les PME et les organisations dotées de nouveaux programmes de tests pour la sécurité des applications. Toutefois, les grandes entreprises dotées de programmes DevSecOps matures peuvent également tirer parti de ce service pour exécuter rapidement des centaines d’analyses GDPR quotidiennes assurant la sécurité essentielle et la conformité de leurs applications Web externes.

Il y a un an, le GDPR de l’UE était officiellement devenu une loi et imposait un ensemble considérable d’exigences en matière de protection des données et de la vie privée à toutes les organisations traitant des informations personnelles identifiables (PII) de résidents européens. À ce jour, 144 376 plaintes ont été déposées pour diverses violations du GDPR, tandis que les entreprises ont signalé 89 271 violations de données, qu’elles sont tenues de signaler dans les 72 heures suivant leur découverte. Un rapport bruxellois révèle que 56 millions d’euros d’amendes ont été infligées depuis l’entrée en vigueur du GDPR.

Le test de sécurité gratuit peut :

• Vérifiez les exigences PCI DSS 2, 6.5 et 6.6.
• Vérifier les exigences GDPR mentionnées aux articles 5, 6, 7, 25, 32 et 35 applicables aux sites Web et aux applications Web.
• Analyser plus de 100 CMS, d’infrastructures Web et de plus de 167 000 plugins les plus populaires.
• Exécutez une analyse de vulnérabilité complète mais non intrusive pour toutes les vulnérabilités connues du logiciel.
• Vérifiez plus de 20 en-têtes HTTP liés à la sécurité, au cryptage ou à la confidentialité pour rechercher des configurations conformes aux meilleures pratiques du secteur, notamment celles d’OWASP.
• Évaluer la stratégie de sécurité du contenu (CSP) pour empêcher certains vecteurs d’exploitation XSS et CSRF, ainsi que des variantes d’attaques de ransomware et de cryptojacking.

Le test GDPR est désormais également intégré à ImmuniWeb® Discovery pour constituer rapidement un inventaire complet des actifs Web, mobiles et dans le cloud de votre organisation, offrant ainsi une visibilité optimale des actifs.


Voir les articles précédents

    

Voir les articles suivants