Cybersécurité des sites web en France : indispensable mais trop négligée
Alerte rouge sur la sécurité des sites web français
A l’occasion des Assises de la Sécurité, Wavestone, cabinet de conseil en transformation des entreprises, a publié la deuxième édition de son enquête annuelle qui dresse le bilan de 155 audits de sécurité réalisés entre juin 2016 et juin 2017. Le résultat est alarmant. 100% des sites web analysés présentent des vulnérabilités et 90% d’entre eux étaient déjà en ligne au moment des audits de sécurité. Plus inquiétant encore, près de 50% des sites web accessibles en ligne sont affectés par une faille grave pouvant compromettre le contrôle des serveurs et permettre aux hackers d’accéder facilement à l’ensemble des données du site et environ 45% sont touchés par des failles importantes permettant d’accéder de manière complexe et en nombre limité aux informations concernant les autres utilisateurs. L’étude montre également que les failles de sécurité subsistent même après leur découverte et ce, dans 40% des sites web ayant fait l’objet d’un audit de sécurité.
La pression du métier est en cause
Ces vulnérabilités sont le plus souvent dues à la mise en ligne de nouvelles fonctionnalités non encore testées, à l’utilisation d’un protocole vulnérable ou d’un certificat invalide et à la précipitation dans la réalisation des projets. « Aujourd’hui la pression sur les délais pour sortir un nouveau site et la manque d’anticipation des tests de sécurité conduisent à des situations à risques. Trop souvent des sites avec des données clients sont en ligne alors qu’ils sont vulnérables. Ils existent pourtant des solutions simples pour éviter de potentielles catastrophes numériques » indique Gérôme Billois, associé au cabinet Wavestone. Cela signifie que les mesures de sécurité n’ont pas été intégrées dès le départ dans les processus de développement des sites web. Résultat, il faut revoir toute l’architecture pour remédier aux failles de sécurité. Une procédure qui risque d’être lente et trop chère pour de nombreuses entreprises…
Une nouvelle réglementation à l’horizon
Le bilan Waveston est sans appel : aucun secteur n’est épargné, plus de 50% des sites web analysés contiennent au moins une faille grave et les entreprises peinent encore à prendre la cybersécurité au sérieux. La réponse viendra peut-être avec l’entrée en application du Règlement européen sur la protection des données (RGPD) en mai prochain.
Les métiers du web vous intéressent ? Découvrez les cursus bac+3 et bac+5 proposés par WIS.