La culture de la sécurité peine à se diffuser aux comptes intermédiaires

En volume, le nombre de vulnérabilités découvertes sur les applications de type client lourd n’a pas progressé en 2009. C’est l’un des principaux enseignements de cette édition du rapport de l’X-Force d’IBM sur les menaces informatiques. En fait, à 6 601, ce nombre de nouvelles vulnérabilités est même en recul par rapport à 2008, à un niveau comparable à celui de 2007. De quoi se réjouir ? Pas tant que ça.

Des entreprises encore à la traine

D’une part, la part des vulnérabilités non corrigées n’a guère évoluée par rapport à 2008 : 52 % des failles restent sans correctif durant l’année de leur découverte. Bref, les éditeurs semblent avoir encore du pain sur la planche. Mais ce ne sont pas les seuls. Loïc Guézo, expert sécurité d’IBM France, relève que « les grands comptes savent gérer les correctifs et leur application jusqu’au niveau des systèmes d’exploitation, avec leurs outils de patch management. » Au-delà, au niveau des applications donc, ce serait plus aléatoire. Conséquence : « les pirates se concentrent sur le côté client. »

Chez les PME et les TPE, la situation ne semble pas meilleure. Mais « beaucoup d’efforts sont faits dans cette direction, notamment depuis la création de l’ANSSI. Elle a lancé beaucoup d’opérations de communication dans ce sens. Cela dit, on touche à une question d’éducation de masse. C'est une problématique de société tout entière. »

Le Web, victime de développements mal maîtrisés

Sur le Web, le côté serveur reste vulnérable. En 2009, le nombre de vulnérabilités découvertes pour les applications Web a dépassé les 18 000. Mais la prise de conscience semble là : « 2009 marque une inflexion ; les entreprises ont commencé à bien se protéger des attaques par injection SQL, désormais dépassées par le Scripting inter-sites. »

Reste que, si les grandes plateformes du Web sont clairement de plus en plus sûres, il n’en va pas de même de leurs modules d’extension – qui regroupent à eux seuls 81 % des vulnérabilités recensées pour les principales plateformes applicatives du Web. « Il y a là un problème de qualité logicielle », estime Loïc Guézo. Et de souligner que, pour lui, « tout développement logiciel doit prendre en compte la sécurité – bien que ce ne soit malheureusement pas le cas. En tant qu’entreprise, il faut être prudent. Ce qui pose le problème de la vérification du code ; cela doit être précisé noir sur blanc dans le cahier des charges. » S’appuyant sur les résultats de son service d’analyse statique de code AppScan OnDemand, IBM relève tout de même de nets progrès en la matière : « il y a plusieurs aspects, dont la sécurité des données et l’image de l’entreprise. Mais, globalement, de plus en plus d’entreprises cherchent à être proactives sur ce terrain », constate Loïc Guézo.

Les données personnelles, nouvel eldorado du crime

Mais, derrière les applications Web et leurs exploitants, ce sont les particuliers qui semblent tout particulièrement menacés. Et Loïc Guézo de souligner « une forte augmentation des liens malicieux » : +345 % par rapport à l’année précédente, selon le rapport. En termes d’hébergement de liens malicieux, les Etats-Unis seraient largement repassés en tête, devant la Chine, à 60 % contre 20 % pour son challenger immédiat. La France, elle, se contente d’un peu plus de 2 %, contre près de 4 % pour le Royaume-Uni. Mais Loïc Guézo s’inquiète surtout du retour en force du phishing, après un repli très marqué entre l’automne 2008 et le printemps 2009. Avec une cible en particulier : « le secteur de la banque et des services financiers, pour capturer des données personnelles. »