Sécurité des sites Web en France : un état des lieux affligeant

Wavestone a profité des Assises de la Sécurité, qui se déroulent actuellement à Monaco, pour présenter la seconde édition de son tableau de bord de la sécurité des sites Web en France. Comme l’an passé, il ne s’agit de conduire une analyse large, mais de se concentrer sur des audits réalisés par le cabinet de conseil à la demande de ses clients, les résultats étant anonymisés.

Cette année, le rapport se base sur 155 tests d’intrusion réalisés entre juin 2016 et juin 2017, sur près de 120 sites accessibles en ligne, et 38 sites internes, privés. Selon Wavestone, tous les secteurs d’activité sont représentés. Et le bilan est loin d’être brillant.

Déminage préventif pour éviter questions de l'année dernière : non, ce n'est pas de l'audit sauvage, mais résultats anonymisés de pentests 😉 https://t.co/5gpezKzMvK

— Matthieu Garin (@matthieugarin) October 10, 2017

La totalité des sites étudiés présentaient des vulnérabilités. Et ce ne sont pas forcément des sites anodins : cela concerne 56 % des sites du secteur banque et assurance étudiés, 58 % dans le secteur de la vente en ligne, et 52 % dans l’énergie, le transport et les télécoms.

La moitié de ceux accessibles sur Internet était affectée par « au moins une faille grave ». En interne, c’est pire : la proportion montre à 68 %. Le fruit d’un sentiment classique de sécurité à l’intérieur du périmètre ? Neuf sites sur dix étudiés étaient déjà en ligne au moment de l’audit.

Mais surtout, et c’est probablement le plus préoccupant : « 40 % des sites ayant déjà subi un audit de sécurité sont encore vulnérables », avec au moins une faille grave. Comprendre : les conclusions de précédents audits n’ont tout simplement pas été prises en compte ni suivies d’effets. Pour Wavestone, c’est bien simple : la sécurité « est négligée dans la durée ». C’est la conséquence de « corrections peu appliquées et de nouvelles fonctionnalités développées sans prendre en compte les bonnes pratiques de sécurité ».

Le recours à un chiffrement insuffisant arrive en tête des vulnérabilités, présent dans 83 % des cas. Mais les défauts de cloisonnement entre autres utilisateurs et fonctionnalités du site sont présents dans 45 % des cas étudiés. Les vulnérabilités permettant de déposer ou de forcer l’exécution de code à distance sur le serveur Web sont là sur 34 % des sites examinés. Et celles permettant des injections SQL ou un parcours de hiérarchie concernent tout de même un quart des sites analysés.

A décharge des administrateurs des sites concernés, Wavestone relève que la correction de certaines vulnérabilités peut demander des efforts importants : pour 31 % des vulnérabilités XSS observées, « tout est à revoir ».

Alors pour le cabinet, et alors qu’il faut composer avec la « pression des métiers, les mises en production urgentes » ou encore le manque de partage d’information en amont sur les projets, il apparaît plus que jamais important d’intégrer « la sécurité dès le début », et en continu « dans le processus de développement ». Et pour cela, « il est plus que jamais nécessaire d’investir dans les compétences des équipes, en particulier des développeurs ».