Pour gérer vos consentements :

Le site web d’une grande entreprise française sur deux frappé d’une grave faille de sécurité

100 % des sites web des grandes entreprises françaises sont vulnérables. C’est ce qui ressort des 128 audits de sécurité réalisés par les équipes Cybersécurité et Digital Trust du cabinet Wavestone (ex-Solucom), auprès de 82 structures issues des 200 premières entreprises française dans 8 secteurs d’activités (banque/assurance, santé, énergie, services, télécom, transport, institutions publiques) entre juin 2015 et juin 2016. Un résultat présenté dans le cadre des Assises de la sécurité qui se déroulent à Monaco (du 5 au 8 octobre).

Si tous les sites testés sont faillibles, toutes les vulnérabilités ne sont pas alarmantes. Mais la majorité le sont ! 60% des 85 sites externes et des 43 sites internes analysés sont marqués de « failles graves ». Autrement dit, des brèches systèmes qui peuvent mener à des fuites d’informations où à la prise de contrôle des serveurs web. Dans les détails « seuls » 50% des sites web publics sont atteints de tels risques et 75 % des intranets, uniquement accessibles depuis un réseau privé. Le langage utilisé pour coder le site entre également en résonance avec son niveau de faillibilité. 75 % des pages développées en PHP sont sujettes à au moins une faille grave. Un taux qui tombe à 40 % pour les sites élaborés en Java.

Les 10 failles majeures

Parmi les 10 principales failles découvertes, les informations techniques superflues, diffusées par une page d’erreur ou d’entête par exemple, apparaissent dans 88% des sites audités. Heureusement, le risque d’intrusion que permet l’exploitation de ces informations reste « mineur ». Un peu plus inquiétant : un défaut de qualité dans le chiffrement, dans 81% des cas, élève le risque à un niveau jugé « important » par le cabinet. C’est également le cas pour les 57 % de sites où une page permet de faire exécuter du code distant à un utilisateur à son insu. Le défaut de cloisonnement, qui permet d’accéder à des données ou des fonctions non autorisées, touche 44% des sites audités. Un défaut considéré comme un risque « majeur » par Wavestone. Tous comme les 37 % de sites permettant à un attaquant de réaliser des actions imprévues (dépôt de code…) et les 25 % de cas, où une faille autorise la collecte de l’ensemble des données du site (injection SQL notamment).

« Nous avions déjà l’intuition que la situation n’était pas bonne, et ce, quel que soit le secteur d’activité. Notre sentiment est désormais conforté par ces chiffres », commente Yann Filliat, responsable de l’équipe d’audit de sécurité de Wavestone. Pour Gérôme Billois, membre du comité de direction de l’activité cybersécurité du cabinet, « la gestion actuelle des projets web ne laisse pas beaucoup de place à la sécurité : mise en ligne urgente, site dont on apprend l’existence à sa sortie… Tout ceci fait prendre des risques importants aux entreprises ».


Lire également

Une faille de sécurité dans TCP permet de pirater la plupart des sites Web
Drown : la faille qui met en danger un tiers des serveurs HTTPS
Google Chrome poursuit sa croisade contre le Web non sécurisé

Crédit Photo : billionphoto-Shutterstock

Recent Posts

Transition numérique : une solide croissance à deux chiffres

Les investissements mondiaux dans les technologies et services de transformation numérique progresseraient de plus de…

7 heures ago

Classement Forbes : 20 milliardaires de la Tech

De Jeff Bezos (Amazon) à David Duffield (Workday), voici la liste Forbes des 20 personnalités…

12 heures ago

Dix pistes d’action pour sécuriser l’open source

Comment améliorer la sécurité de l'open source ? Éléments de réponse avec le plan d'action…

13 heures ago

Twitter : Elon Musk joue les équilibristes

Après avoir annoncé la suspension de l'accord pour le rachat de Twitter, Elon Musk s'est…

3 jours ago

Cybersécurité : CyberArk crée un fonds doté de 30 millions $

Financer une nouvelle génération de start-up des technologies de cybersécurité, c'est l'objectif affiché par CyberArk…

3 jours ago

Silicon Day Workplace : quelle Digital Workplace à l’heure du travail hybride ?

Silicon.fr vous invite à Silicon Day Workplace, une journée dédiée aux enjeux de la Digital…

3 jours ago