Gajus - Fotolia
Sécurité des sites Web en France : un état des lieux toujours piteux
Certains opérateurs de sites Web demandent des audits. Mais attention à l’illusion de respect de pratiques de références : les conclusions de ces audits restent souvent lettre morte.
Wavestone a profité des Assises de la Sécurité, qui se déroulent actuellement à Monaco, pour présenter la troisième édition de son tableau de bord de la sécurité des sites Web en France. Comme l’an passé et en 2016, il ne s’agit pas de conduire une analyse large, mais de se concentrer sur des audits réalisés par le cabinet de conseil à la demande de ses clients, les résultats étant anonymisés.
Cette année, le rapport se base sur 139 tests d’intrusion réalisés entre juin 2017 et mai 2018 pour 75 organisations, sur des sites accessibles en ligne comme internes, privés. Wavestone, indique que les secteurs de la banque, de la santé, de l’énergie, des télécommunications, des services et des transports sont représentés, ainsi que le secteur public. Et une fois de plus, le bilan est loin d’être brillant.
La totalité des sites étudiés présentaient des vulnérabilités. Un peu plus de la moitié (56 %) était affectée par « au moins une faille grave », dont 52 % pour les sites accessibles via Internet. En interne, c’est pire : la proportion atteint 66 %. Le fruit d’un sentiment classique de sécurité à l’intérieur du périmètre ? Il y a toutefois du mieux : cette part était de 68 % l’an dernier, et même de 75 % en 2016.
Mais surtout, et c’est toujours le plus préoccupant : « plus de 50 % des sites testés restent vulnérables avec au moins une faille grave, malgré la réalisation d’audit par le passé ». Comprendre : les audits passés n’apportent pas de changement en profondeur. Pour Wavestone, encore une fois, c’est bien simple : la sécurité « est négligée dans la durée » et c’est la conséquence de « corrections peu appliquées et de nouvelles fonctionnalités développées sans prendre en compte les bonnes pratiques de sécurité ».
Le recours à un chiffrement insuffisant arrive en tête des vulnérabilités, présent dans 79 % des cas. Mais les défauts de cloisonnement entre autres utilisateurs et fonctionnalités du site sont présents dans 53 % des cas étudiés. Les vulnérabilités permettant de déposer ou de forcer l’exécution de code à distance sur le serveur Web sont là sur 42 % des sites examinés. Bonne nouvelle toutefois, celles permettant des injections SQL ou un parcours de hiérarchie ne concernent qu’un site analysé sur dix.
Face à ce constat, Wavestone formule plusieurs recommandations de l’intégration de la sécurité à toutes les phases des projets, à la vérification continue tout au long du cycle de vie des sites, en passant par la définition de « référentiels de contrôles clairs » ou encore la mobilisation des développeurs comme des métiers sur le sujet de la sécurité.