VULNÉRABILITÉ DE VOTRE SITE WEB : VOS CRAINTES SONT JUSTIFIÉES.

Documents pareils
Chaque année, près de 400 millions de personnes 1 sont victimes de la cybercriminalité.

Découvrir les vulnérabilités au sein des applications Web

Améliorez votre référencement

Sécurité sur le web : protégez vos données dans le cloud

Antivirus : les Français, rois du gratuit, les Russes, rois du payant

10 bonnes pratiques de sécurité dans Microsoft SharePoint

Marques de confiance sur Internet :

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS

«LES FRANÇAIS & LA PROTECTION DES DONNÉES PERSONNELLES» Etude de l Institut CSA pour Orange. Février 2014

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

Sécurité de l information

Surveillance de réseau : un élément indispensable de la sécurité informatique

Baromètre du paiement électronique Vague 2

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

Déterminer quelle somme dépenser en matière de sécurité des TI

Baromètre Gemalto - TNS Sofres. Les Français et les Américains exigent une amélioration de la sécurité et de la flexibilité du monde numérique

Enquête internationale 2013 sur le Travail Flexible

«Obad.a» : le malware Android le plus perfectionné à ce jour

Protection des renseignements personnels, publicité ciblée et médias sociaux : Ampleur du problème : certaines observations déconcertantes

SÉCURITÉ DES APPLICATIONS WEB LA SOLUTION D ANALYSE IDÉALE POUR LES APPLICATIONS WEB

Les Français et le pouvoir d achat

Comment choisir la solution de gestion des vulnérabilités qui vous convient?

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

VOLET 4 SECURITY BULLETIN KASPERSKY LAB. Prévisions 2015 (C) 2013 KASPERSKY LAB ZAO

Focus sur les pratiques de consolidation des groupes en France. Restitution de l étude ESCP-Fidanza 2012"

Situation financière des ménages au Québec et en Ontario

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS

Qui représente la plus grande menace? Le personnel ou les cybercriminels

Le BYOD (apporter son propre périphérique au bureau) et les dangers qui lui sont associés

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

Présenté par : Mlle A.DIB

Trusteer Pour la prévention de la fraude bancaire en ligne

Traitement de Visa Débit

Attention, menace : le Trojan Bancaire Trojan.Carberp!

La diffusion des technologies de l information et de la communication dans la société française

Réseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts!

Meilleures pratiques de l authentification:

Le présent chapitre porte sur l endettement des

Sécurité. Tendance technologique

les prévisions securité 2015

La publication, au second

Guide d'initiation aux. certificats SSL. Faire le bon choix parmi les options qui s'offrent à vous en matière de sécurité en ligne. Document technique

Le banquier idéal des Français et des Américains

Baromètre de l innovation Janvier 2015

La cybercriminalité et les infractions liées à l utilisation frauduleuse d Internet : éléments de mesure et d analyse pour l année 2012

DNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet

La crise économique vue par les salariés français

Radioscopie de la gestion des risques au sein du secteur public local. Mai 2007

QUELLE DOIT ÊTRE L AMPLEUR DE LA CONSOLIDATION BUDGÉTAIRE POUR RAMENER LA DETTE À UN NIVEAU PRUDENT?

Banque en ligne et sécurité : remarques importantes

Convergence Grand public professionnelle

Sécurité des blogs et des sites PHP : Protéger Wordpress et les sites similaires contre les pirates

PRATIQUES ET USAGES DU NUMÉRIQUE DANS LES PME ET TPE

Gestion des cyber-risques

2.2 Objet du contrôle Il y a lieu de vérifier les points suivants de manière individuelle ou combinée.

Solutions de sécurité des données Websense. Sécurité des données

Présentation commonit pour la réunion de l OSSIR du 10 Mars 2009 : - La société commonit - Le marché - La solution Virtual Browser - Démonstration

ÉTAT DES LIEUX DE LA GESTION DE LA SÉCURITÉ ET DU BIG DATA

SOLUTIONS TRITON DE WEBSENSE

Malgré une image des banques entachée par la crise, les Français restent très attachés à leur agence bancaire

Etude OpinionWay pour Axys Consultants Les Réseaux Sociaux d Entreprise : degré d appropriation & bénéfices perçus par les utilisateurs

Fonctionne avec toute plate-forme de virtualisation contrôle centralisé des postes de travail et serveurs physiques, virtuels et mobiles contrôlée

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec

Introduction. Les articles de la presse spécialisée tendent à nous laisser penser que c est en effet le cas :

FM/BS N Contact Ifop: Frédéric Micheau / Bénédicte Simon Département Opinion et Stratégies d'entreprise

Agile Learning Comment faire face aux changements organisationnels? Une étude internationale réalisée par Lumesse

Sécuriser l entreprise étendue. La solution TRITON de Websense

Étude auprès de la génération X. Le paiement virtuel et la gestion des finances personnelles

Les pratiques de simulation de crise: enquête auprès de quarante-trois grands établissements financiers

Préoccupations, attentes et prévoyance des travailleurs non salariés et des dirigeants de très petites entreprises

Automatisation et CRM

SECURIDAY 2013 Cyber War

Les dirigeants face à l innovation

Symantec Protection Suite Small Business Edition Une solution simple, efficace et compétitive pour les petites entreprises

*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*

Etude statistique des données fournies par la CCIJP

Étude : Les PME à l heure du travail collaboratif et du nomadisme

Stratégie nationale en matière de cyber sécurité

Du marketing dans ma PME!

La situation du Cloud Computing se clarifie.

Focus. Lien entre rémunération du travail et allocation de chômage

Indicateur et tableau de bord

Ligne directrice sur les simulations de crise à l intention des régimes de retraite assortis de dispositions à prestations déterminées

Solutions McAfee pour la sécurité des serveurs

Etude réalisée dans le contexte de la conférence AFCDP sur la NOTIFICATION DES «ATTEINTES AUX TRAITEMENT DE DONNEES PERSONNELLES»

Gestion des incidents

Toutefois, elles éprouvent de réelles difficultés à mettre en place. les résultats ne sont pas mesurés systématiquement.

Les cyber risques sont-ils assurables?

5 éléments qu une solution de gestion de mobilité pour l entreprise (EMM) doit avoir

Etude RSA / IFOP : Nos ados sont-ils vigilants sur Internet?

ENFANTS ET INTERNET BAROMETRE de l opération nationale de sensibilisation : Un clic,déclic le Tour de France Des Etablissements Scolaires

Les chefs d entreprises de PME-PMI face à la propriété industrielle


14.1. Paiements et achats en ligne

LES CONDITIONS D ACCÈS AUX SERVICES BANCAIRES DES MÉNAGES VIVANT SOUS LE SEUIL DE PAUVRETÉ

La protection des données sensibles et confidentielles

Transcription:

DÉTECTION DES VULNÉRABILITÉS (2013) VULNÉRABILITÉ DE VOTRE SITE WEB : VOS CRAINTES SONT JUSTIFIÉES.

SOMMAIRE Vulnérabilité de votre site Web : vos craintes sont justifiées. 3-4 Synthèse de l étude 5 Avez-vous fermé votre porte à clé? 6 La solution au déficit d information 7 Quantifier les risques 8 Quels sont les pays les plus vulnérables? 9 France : sécurité optimale, détection minimale 10 Allemagne : un homme averti en vaut deux 11 Suède : des entreprises mieux informées qu il n y paraît 12 Vulnérabilités : comment combler le fossé entre perception et réalité 13 Références 14 p. 2

Vulnérabilité de votre site Web : vos craintes sont justifiées. Considéré comme la plus grosse affaire de fuite de données de l histoire d Internet, le piratage du réseau PlayStation de Sony a fait de tels ravages que l onde de choc se fait encore ressentir aujourd hui. C est ainsi qu en janvier 2013, l Information Commissioner s Office (ICO) britannique a condamné Sony Computer Entertainment Europe à verser une amende de 250 000 (296 000 ) pour ce qu il qualifie de «violation grave» de la loi sur la protection des données. Selon le rapport de l ICO, une telle attaque «aurait pu être évitée» si la sécurité de la célèbre plate-forme de jeux avait été à jour. Petit rappel : en 2011, suite à l infection de dix des serveurs du géant japonais, les coordonnées bancaires de plus de 75 millions d utilisateurs dans le monde avaient été dérobées. Le scandale avait alors fait l objet de débats parlementaires, de multiples dépôts de plaintes et entraîné la fermeture du réseau PlayStation pendant plus d un mois. Toutefois, le cas Sony n est que l arbre qui cache la forêt. En effet, en 2012, Symantec a scanné plus d un million et demi de sites Web dans le cadre de ses services d analyse anti-malware et de détection des vulnérabilités. Chaque jour, plus de 130 000 URL ont été soumises à notre analyse anti-malware et en moyenne, un site sur 532 s est avéré infecté. De même, plus de 1 400 analyses ont été effectuées chaque jour pour détecter d éventuelles vulnérabilités exploitables sur les sites Web. Résultat : 53 % des sites Web analysés comportaient des vulnérabilités non corrigées et potentiellement exploitables. Par ailleurs, 24 % de ces vulnérabilités étaient considérées comme critiques. Une aubaine pour des pirates qui n hésitent pas à s engouffrer dans la brèche pour porter atteinte à la sécurité des internautes et éroder ainsi leur confiance dans la Toile. Or, d après une étude 1 Symantec récente, nul n est à l abri de telles vulnérabilités. Le problème, c est que peu d entreprises en ont conscience. Les cybercriminels passent le plus clair de leur temps à traquer les vulnérabilités des sites Web et parviennent bien souvent à leurs fins, comme en témoigne l affaire Sony. Par ailleurs, les infections par malware et autres violations de sécurité peuvent sérieusement compromettre la protection des données personnelles de vos clients. Résultat : avant même que vous ne puissiez réagir, vous risquez de voir votre site Web public placé sur liste noire par les moteurs de recherche. C est alors tout votre capital confiance qui se retrouve réduit à néant, sans parler des effets dévastateurs sur votre image de marque. Face à de tels risques, votre entreprise ne saurait se contenter de simplement réagir aux attaques de sécurité de son site Web. p. 3

Vulnérabilité de votre site Web : vos craintes sont justifiées. L enquête réalisée pour Symantec a porté sur 200 informaticiens d entreprises de toutes tailles, réparties dans quatre pays européens. Objectif : dresser un état du savoir en matière d exposition aux risques de sécurité et recenser les mesures mises en place pour améliorer ces connaissances. Il en ressort que près de 25 % des personnes interrogées déclarent ignorer le niveau de sécurité de leur site Web. Pire encore, plus de 50 % admettent que leur site n a jamais fait l objet d une quelconque évaluation de ses vulnérabilités. Par ailleurs, les entreprises jugent globalement peu probable que leur site Internet pâtisse de vulnérabilités particulières. Pourtant, les détections gratuites menées par Symantec révèlent que plus de 24 % des sites présentent des failles critiques 2. Devenue l une des principales armes d attaque des cybercriminels, l infection par malware s inscrit souvent comme une conséquence directe des vulnérabilités des sites Web. Selon le rapport Symantec sur les menaces de sécurité par Internet, 403 millions de types de malwares ont été découverts en 2011 3. Autant dire que la moindre faille d un site constituera une porte d entrée idéale. C est là que les analyses de détection des vulnérabilités interviennent pour combler le déficit d information sur la sécurité des sites Web. Elles permettent ainsi d identifier non seulement les vulnérabilités des sites Web, mais aussi les actions correctives à entreprendre. Autre facteur déterminant de ces détections : leur récurrence. En effet, l enquête révèle que la confiance dans la sécurité des sites Web augmente dans les entreprises effectuant des évaluations mensuelles, par opposition à une simple analyse ponctuelle. Sans surprise, les grandes entreprises sont davantage sensibilisées aux risques et exécutent des détections de manière plus régulière. Toutefois, comme le souligne le rapport Symantec sur les menaces de sécurité par Internet 4, il serait erroné de considérer qu elles sont les seules cibles d attaques. Pour preuve, une proportion non négligeable de petites entreprises (31 %) en ont également été victimes. Si les grandes entreprises ont naturellement tendance à réaliser des évaluations plus approfondies, les PME doivent pour leur part gagner en visibilité, tant en termes d exposition globale que de risques spécifiques. 5 291 VULNÉRABILITÉS ont été signalées en 2012 contre 4 989 VULNÉRABILITÉS signalées en 2011 p. 4

SYNTHÈSE DE L ÉTUDE 5 23 % - NE SAIS PAS 2 % - PAS SÛR 27 % - RELATIVEMENT SÛR 15 % - PARFAITEMENT SÛR Près d un quart des responsables informatiques ignorent le niveau de sécurité de leur site Web. 33 % - TRÈS SÛR Les entreprises qui réalisent des évaluations régulières de leurs vulnérabilités bénéficient d une meilleure visibilité de la sécurité de leur site Web TOUS LES MOIS 0 % 30 % 52 % 14 % 4 % PAS DU TOUT 0 % 36 % 27 % 14 % 27 % Pas sûr Relativement sûr Très sûr Parfaitement sûr Ne sais pas p. 5

AVEZ-VOUS FERMÉ VOTRE PORTE À CLÉ? La sécurité des sites Web revêt une importance plus capitale que jamais. Pourtant, les entreprises d Europe du Nord affichent des lacunes manifestes en termes de connaissances des vulnérabilités. Une situation alarmante qui les expose à des risques de violations graves. Plus de 50 % des sondés n ont jamais réalisé de détection des vulnérabilités sur leur site Web 64 % 53 % 56% GB FR SE DE 42 % 16 % 8 % 22 % 12 % 16 % 14 % 10 % 26 % 15 % 14 % 12 % 20 % JAMAIS AU COURS DES 12 DERNIERS MOIS AU COURS DES 6 DERNIERS MOIS AU COURS DU MOIS ÉCOULÉ Selon notre étude réalisée auprès de 200 responsables informatiques, près d un quart des sondés (23 %) déclarent ignorer le niveau de sécurité de leur site Web. Pire encore, dans les PME comptant entre 1 et 499 collaborateurs, ce chiffre atteint 30 %. En d autres termes, près d un tiers de ces entreprises ne disposent d aucune visibilité sur la sécurité de leur site. Si seulement 2 % des sondés reconnaissent que leur site présente des vulnérabilités et un tiers (33 %) le jugent très sûr, au total seuls 15 % considèrent leur site comme étant parfaitement sécurisé. Ainsi, à peine la moitié des personnes interrogées (48 %) considèrent leur site comme très sûr ou parfaitement sûr, contre 74 % aux États-Unis. Or, sans une meilleure compréhension des vulnérabilités, difficile d évaluer l impact des failles de sécurité. Et face à l explosion des attaques en 2011 6 (en hausse de 81 %), la moindre vulnérabilité risque de se solder par une violation. Seules 19 des entreprises ayant participé à l enquête ont reconnu avoir été victimes de violations de sécurité au cours des six derniers mois. Parmi elles, trois entreprises ont déclaré avoir subi des conséquences majeures. Toutefois, la plupart des violations de sécurité ne sont ni signalées, ni même détectées. Il est donc possible que des cyberattaques se soient produites sans que les victimes ne s en soient aperçues. En matière de sécurité des sites Web, mieux vaut s en remettre à des faits concrets qu à de simples suppositions. De fait, selon les détections gratuites menées par Symantec, environ un quart des sites Internet présentent des vulnérabilités critiques 7. Quant aux PME, elles considèrent souvent à tort que les cybercriminels ne s intéressent qu aux grands noms. Or, c est précisément pour ce manque de vigilance que les entreprises de moins de 250 salariés font l objet de 17,8 % des attaques 8. Une chose est sûre : sans une stratégie de sécurité multiniveau, les sites Web s exposent aux pires cyberattaques. De même, en l absence d une bonne compréhension des vulnérabilités en présence, impossible de mesurer précisément la gravité des menaces et des risques encourus. p. 6

LA SOLUTION AU DÉFICIT D INFORMATION Les opérations régulières de détection des vulnérabilités aident les entreprises à mieux appréhender le niveau réel de sécurité de leur site Web. Pour autant, plus de la moitié des personnes interrogées (53 %) n en ont jamais réalisé. L une des causes possibles réside dans la faible sensibilisation au fléau grandissant des malwares. Selon notre enquête, 15 % des entreprises ont réalisé une détection de leurs vulnérabilités au cours du mois écoulé, 16 % au cours des six derniers mois et 16 % au cours des douze derniers mois. Une courte majorité d entre elles ont tendance à répéter l exercice, comme en témoignent les 52 % qui ont réexécuté une évaluation au cours des 12 derniers mois, tandis qu un quart déclaraient procéder à des analyses régulières. Parmi les entreprises ayant réalisé une détection récente, les grands groupes arrivent en tête avec 21 %. A contrario, une majorité écrasante (67 %) de moyennes entreprises entre 500 et 999 salariés n ont jamais procédé à une quelconque détection. Enfin, les grandes structures sont davantage susceptibles de répéter fréquemment l exercice. Ainsi, parmi les 30 entreprises de cette catégorie, 37 % exécutent des détections à un rythme mensuel. En revanche, le taux d adoption des analyses automatisées s avère particulièrem ent faible. Notons toutefois que, dans le cas de Symantec, le service gratuit de détection des vulnérabilités n a été lancé que récemment. Toujours est-il que seules 6 % des entreprises ayant procédé à des évaluations ont opté pour la méthode automatisée, tandis que la moitié (50 %) a eu recours à un intervenant externe. Enfin, 44 % ont réalisé une évaluation en interne. L impact des détections des vulnérabilités est évident. Ainsi, plus d un quart (27 %) des entreprises qui n en ont jamais réalisées admettent ignorer le niveau de sécurité de leur site Web, contre 23 % au total. Inversement, les entreprises ayant procédé à ces évaluations affichent une confiance accrue, seules 4 % d entre elles déclarant ignorer le niveau de sécurité de leur site. Certes, les efforts déployés pour s informer sur les vulnérabilités des sites Web ne constituent qu une première étape. Néanmoins, ils permettent aux entreprises de mieux appréhender les risques auxquels elles s exposent. Une large proportion d entreprises procédant à des évaluations régulières considèrent leur site Web comme étant très sûr (52 %), et près d un tiers (30 %) le jugent relativement sûr. À quand remonte la dernière opération de détection des vulnérabilités de votre site Web et quels en furent les résultats? TOUS LES MOIS 0 % 30 % 52 % 14 % 4 % PAS DU TOUT 0 % 36 % 27 % 14 % 27 % Pas sûr Relativement sûr Très sûr Parfaitement sûr Ne sais pas p. 7

QUANTIFIER LES RISQUES Les responsables informatiques n ont que peu conscience des vulnérabilités de leur site. Un résultat sans surprise au vu du manque criant d information sur l état réel de leur sécurité. La moitié des personnes sondées n ayant jamais réalisé d opération de détection des vulnérabilités, leurs estimations en la matière se fondent inévitablement sur de simples présomptions. Or, il existe un écart béant entre d une part la perception des entreprises quant aux vulnérabilités de leur site Web et d autre part les données réelles dont dispose Symantec. Enfin, seuls 19 % des sondés ont jugé les failles des procédures d autorisations probables ou très probables. Or, il s agit en l occurrence de la violation la plus courante dont les entreprises sondées ont été victimes six d entre elles la citant comme la faille la plus grave qu elles aient subie au cours des six derniers mois. Ce fossé profond entre perception et réalité met en évidence le déficit notoire de connaissances des vulnérabilités des sites Web. Par conséquent, l heure est à une prise de conscience collective des risques réels dans les entreprises, passage obligé vers une amélioration de la sécurité de leur site Web. Selon vous, quelle est la probabilité d une attaque XSS à l encontre de votre site? Les personnes interrogées classent les vulnérabilités de leur site dans l ordre de probabilité suivant : Attaques par force brute (20 %) Vulnérabilités des procédures d autorisations (19 %) Fuites d informations (15 %) CSRF (Cross-Site Request Forgery) (15 %) 32 % 37 % Spoofing de contenus (14 %) Attaques XSS ou Cross-site scripting (13 %) Les études menées par Symantec montrent que les attaques XSS, auxquelles les entreprises associent la probabilité la plus faible, présentent au contraire les risques les plus élevés. De même, près d un tiers des personnes interrogées (32 %) admettent qu elles ignorent si leur site y est exposé. 4 % 9 % 18 % Autre probabilité jugée faible par les entreprises : les fuites d informations. Là encore, près de la moitié (49 %) n y voient pas un grand risque. Or, la réalité est tout autre, puisque les cas de violations de données se multiplient. Le piratage du réseau PlayStation de Sony en constitue l exemple le plus probant. Faible Forte Ne sais pas Toujours selon notre enquête, les attaques par force brute arrivent en tête des menaces supposées, 20 % les jugeant probables, voire très probables. Dans ce domaine, les personnes sondées considèrent par ailleurs les infrastructures physiques plus exposées que les infrastructures virtuelles. p. 8

QUELS SONT LES PAYS LES PLUS VULNÉRABLES? ROYAUME-UNI : ENTRE CONFIANCE ET INCERTITUDE De nombreuses entreprises britanniques considèrent que leur site Web est relativement sûr et exempt de vulnérabilités. Pourtant, la moitié des personnes interrogées ne réalisent aucune évaluation en la matière. Par conséquent, un tel optimisme paraît difficile à justifier. La perception de sécurité des sites Web s inscrit dans la moyenne des pays étudiés, 48 % des entreprises outre-manche la jugeant très élevée, voire totale. Par ailleurs, 24 % ignorent le niveau de sécurité de leur site, un pourcentage là aussi conforme à la moyenne. En revanche, le Royaume-Uni se démarque des autres pays sur un point : 20 % des entreprises considèrent leur site parfaitement sûr. Un taux supérieur non seulement à la moyenne, mais aussi à chacun des pays pris individuellement. Le Royaume-Uni est le pays dans lequel les entreprises se voient le moins exposées aux différents types de vulnérabilités. Ainsi, dans trois des six catégories citées, les entreprises britanniques sont les plus nombreuses à choisir la probabilité la moins élevée. Dans les trois autres catégories, elles choisissent la seconde probabilité la moins élevée. Autre résultat marquant : le pays compte le plus grand nombre d entreprises à admettre qu elles ignorent l éventuelle présence de vulnérabilités, et ce dans trois catégories. Ainsi, 40 % des entreprises associent la plus faible probabilité au risque d attaques XSS, tandis que 48 % déclarent ignorer si leur site y est exposé. Par ailleurs, 50 % des entreprises britanniques réalisent des détections de vulnérabilités et plus de la moitié (56 %) a répété l exercice au cours des 12 derniers mois. Enfin, le Royaume-Uni est le pays qui a signalé le moins de cas de violations de sécurité. Le Royaume-Uni se caractérise par une polarisation des positions, avec d une part des entreprises qui réalisent des évaluations régulières, remédient aux failles et considèrent leur site fortement sécurisé, et d autre part celles qui ne procèdent à aucune évaluation et ignorent leur niveau d exposition. 20 % des entreprises britanniques considèrent leur site Web comme étant parfaitement sûr 0 % 28 % 28 % 20 % 24 % Pas sûr Relativement sûr Très sûr Parfaitement sûr Ne sais pas p. 9

FRANCE: SÉCURITÉ OPTIMALE, DÉTECTION MINIMALE À première vue, les entreprises françaises paraissent confiantes dans la sécurité de leur site Web. Toutefois, un examen plus minutieux révèle qu elles ignorent leur niveau d exposition aux différentes vulnérabilités. Et pour cause : la majorité d entre elles ne réalisent aucune évaluation en la matière. Une large proportion d entreprises considèrent que leur site Internet est très sûr 42 % 33 % 52 % 48 % 23 % 8 % FR MOYENNE FR MOYENNE FR MOYENNE TRÈS SÛR PARFAITEMENT SÛR NE SAIS PAS Une large proportion d entreprises considèrent que leur site Internet est très sûr (42 %, contre 33 % en moyenne), tandis que 52 % se situent dans la tranche très sûr/parfaitement sûr (contre 48 % en moyenne). Seule une infime minorité (8 %, contre 23 % en moyenne) déclare ignorer le niveau de sécurité de leur site. Paradoxalement, les entreprises françaises affichent les plus fortes probabilités d exposition à cinq des six types de vulnérabilités et se révèlent les moins confiantes en termes de scores de vulnérabilités. Au palmarès des risques identifiés : les attaques CSRF (34 % des entreprises estiment ce type de risque probable à très probable), attaques par force brute (32 %) et vulnérabilités des procédures d autorisations (28 %). Peu d entreprises déclarent ignorer leur exposition aux différentes vulnérabilités, avec un taux ne dépassant pas 8 % dans chacune des catégories, contre des taux moyens globaux tournant autour de 30 % sur la totalité des pays étudiés. Avec 64 % des personnes interrogées, la France compte le plus grand nombre d entreprises n ayant jamais procédé à une quelconque détection de vulnérabilités. Parmi les adeptes de cette pratique, 44 % optent pour des évaluations internes, soit le deuxième pourcentage dans cette catégorie. Enfin, 39 % des entreprises qui procèdent à ces opérations de détection les répètent à un rythme mensuel. Les entreprises françaises doivent effectuer une veille plus précise de leurs vulnérabilités. C est dans l Hexagone que les personnes interrogées sont les plus nombreuses à craindre des failles. Par conséquent, la détection des vulnérabilités réelles les aidera soit à quantifier ces risques, soit à conforter l hypothèse d une sécurité élevée des sites Web français. p. 10

ALLEMAGNE : UN HOMME AVERTI EN VAUT DEUX L Allemagne se démarque des autres pays étudiés sur deux points : le nombre de détections de vulnérabilités effectuées et la précision d évaluation de la sécurité réelle des sites Web. Les entreprises allemandes sont les plus nombreuses à avoir procédé à des détections au cours du mois écoulé et des six derniers mois, et les moins nombreuses à n avoir jamais réalisé ce genre d opération. ÉVALUATIONS PAR UN PRESTATAIRE EXTERNE ÉVALUATIONS EN INTERNE SCANS AUTOMATIQUES AUTRE 38 % 69 % 3 % 14 % Le pays compte la proportion la plus élevée de sondés à considérer comme très élevé le niveau de sécurité de leur site Web. De fait, 44 % des 50 entreprises participantes considèrent leur site Web comme étant très sûr. Si l on inclut les personnes qui jugent leur site parfaitement sûr, ce taux atteint 56 %. Toutefois, une proportion non négligeable de sondés (28 %) déclarent ignorer le niveau de sécurité de leur site, tandis que la moyenne des quatre pays s établit à 23 %. Les entreprises outre-rhin se sentent relativement exposées dans plusieurs catégories de vulnérabilités. La proportion des NSP («ne sais pas») y est également plus importante. Dans trois des six catégories citées (attaques XSS, fuites d informations et vulnérabilités des procédures d autorisations), l Allemagne compte le plus grand nombre d entreprises y associant des probabilités de risques élevées ou très élevées. Quant à la catégorie CSRF, elle affiche un taux record (60 %) de personnes qui ignorent si leur entreprise y est exposée. cours du mois écoulé (20 %) et des six derniers mois (26 %). De même, ce marché compte la plus faible proportion d entreprises n ayant jamais réalisé de détection de ce type (42 %). Au total, 58 % des entreprises allemandes ont procédé à des détections au cours des 12 derniers mois, tandis que la moyenne des quatre marchés étudiés s établit à 47 %. Les évaluations sont majoritairement réalisées en interne, avec un taux de 69 %, largement supérieur à la moyenne (44 %). Par ailleurs, les personnes interrogées font état d un nombre de violations de sécurité supérieur à celui des autres pays (16 %, soit 8 réponses). Globalement, les entreprises allemandes s avèrent mieux informées et mieux préparées que leurs homologues d Europe du Nord. Celles qui n ont jamais réalisé de détections des vulnérabilités doivent maintenant s atteler à rattraper leur retard. Toutefois, le pays se caractérise globalement par une forte prise de conscience face aux menaces en présence. Un résultat sans surprise, puisque l Allemagne arrive en tête du nombre d entreprises ayant réalisé des détections de vulnérabilité au p. 11

SUÈDE : DES ENTREPRISES MIEUX INFORMÉES QU IL N Y PARAÎT Contrairement aux sociétés allemandes, particulièrement bien informées, les entreprises suédoises semblent mal cerner les risques auxquels leurs sites Web sont exposés. Pour preuve, elles sont les moins nombreuses à juger leur site Web très sûr ou parfaitement sûr (38 %), soit un déficit de 10 points par rapport à la moyenne des quatre pays étudiés. En outre, 32 % des personnes interrogées déclarent ignorer le niveau de sécurité de leur site Web, contre une moyenne globale de 23 %. Cet état de flou se reflète également dans les réponses données pour les différents types de vulnérabilités. En effet, les entreprises suédoises sont parmi les plus nombreuses à ignorer leurs degrés d exposition respectifs. Ainsi, dans trois des six catégories citées (fuites d informations, usurpation d adresse IP et vulnérabilités de procédures d autorisations), la Suède recense le nombre le plus élevé d entreprises qui déclarent ignorer si leur site présente ces vulnérabilités. Parallèlement, les probabilités de risques associées aux diverses vulnérabilités s avèrent relativement faibles, la catégorie Fuites d informations arrivant en tête avec 16 % des entreprises qui la jugent probable, voire très probable. Cet état d incertitude ne saurait surprendre, puisque, parmi les quatre pays considérés, la Suède affiche, avec 22 %, la plus faible proportion d entreprises ayant procédé à une détection des vulnérabilités au cours du mois écoulé ou des six derniers mois. Quant au taux d entreprises qui n ont jamais réalisé d évaluation (56 %), il est également supérieur à la moyenne. Enfin, 32 % des entreprises ayant effectué une opération de détection n ont jamais répété l exercice, contre 23 % en moyenne. Le manque de veille de sécurité empêche les entreprises suédoises de quantifier leur exposition aux risques et de prendre les mesures qui s imposent. Pour y remédier, il leur suffirait d adopter des gestes simples, comme notamment les analyses automatisées. Seules 22 % des entreprises suédoises ont réalisé une détection de leurs vulnérabilités au cours du mois écoulé ou des six derniers mois. 56 % 12 % 10 % 22 % AU COURS DU MOIS ÉCOULÉ AU COURS DES 6 DERNIERS MOIS AU COURS DES 12 DERNIERS MOIS JAMAIS p. 12

VULNÉRABILITÉS : COMMENT COMBLER LE FOSSÉ ENTRE PERCEPTION ET RÉALITÉ Réalisée auprès de 200 entreprises d Europe du Nord, notre enquête a mis en évidence un manque d information flagrant quant à la sécurité des sites Web et à leurs vulnérabilités face aux menaces en présence. Mais quel en est l impact et quelles sont les solutions pour y remédier? Si peu d entreprises reconnaissent avoir été victimes de violations de sécurité et qu un certain flou entoure encore les types d attaques, plusieurs entreprises concernées ont fait état de répercussions majeures. Au total, 9 % des entreprises (soit 19 au total) ont déclaré avoir été victimes d une violation au cours des six derniers mois. Parmi elles, les grandes structures s avèrent davantage disposées à admettre ce type d incident. Ainsi, environ un cinquième (21 %) des 58 entreprises de plus de 1 000 collaborateurs ont reconnu avoir été victimes d une cyberattaque. Le manque de données relatives aux violations de sécurité n est pas surprenant, puisqu elles ne sont pour la plupart ni signalées, ni détectées. C est ainsi que les cybercriminels parviennent à infecter des sites légitimes un fléau grandissant pour y dérober les données personnelles des utilisateurs, voire exécuter des transactions frauduleuses, à l insu total des entreprises concernées. Selon le rapport Symantec sur les menaces de sécurité par Internet, 61 % des sites malveillants sont en réalité des sites Web légitimes qui ont été compromis et infectés par des malwares. Les entreprises sondées classent les violations de sécurité dont elles ont été victimes dans l ordre de gravité suivant : failles de procédures d autorisations, intrusion dans les systèmes de messagerie et usurpation d adresse IP. Par ailleurs, six entreprises victimes n ont pas souhaité s exprimer sur ce sujet. Dans ce contexte, comment les entreprises peuventelles déterminer d éventuelles vulnérabilités ou compromissions de leur site Web? Pour les entreprises qui ne disposent ni du budget ni de la volonté d exécuter une évaluation complète, tant en interne qu en externe, l analyse automatisée à distance constitue un premier pas dans le processus de découverte des vulnérabilités. Dans le cas de Symantec, ce service est offert gratuitement avec la plupart des certificats SSL 9. L analyse permet d établir la présence d éventuelles vulnérabilités critiques que les cybercriminels sont susceptibles d exploiter pour accéder aux sites en vue d y insérer des malwares et de dérober des données clients confidentielles. Par ailleurs, ce service de détection des vulnérabilités génère un rapport clair répertoriant les menaces et les actions simples à entreprendre mise à niveau des logiciels ou de la solution de sécurité, sensibilisation des utilisateurs, ou encore amélioration des directives de sécurité. p. 13

Références 1. Toutes les informations contenues dans le présent rapport sont tirées d une enquête réalisée par IDG Connect pour Symantec en octobre 2012. L étude a porté sur 200 informaticiens répartis dans quatre pays européens Royaume-Uni, France, Allemagne et Suède. 2. Voir le rapport Symantec sur les menaces de sécurité par Internet (Symantec Internet Security Threat Report), disponible à l adresse http://www.symantec.com/content/en/us/enterprise/other_resources/b-istr_main_report_2011_21239364.en-us.pdf. 3/4/5. Voir la 1ère partie du rapport Symantec sur les menaces de sécurité par Internet, téléchargeable à l adresse https://www.symantec-wss.com/campaigns/14385/fr2/social/assets/symantec-wstr1-fr.pdf Voir la 2ème partie du rapport Symantec sur les menaces de sécurité par Internet, téléchargeable à l adresse https://www.symantec-wss.com/campaigns/14385/fr2/social/assets/symantec-wstr2-fr.pdf 6. Toutes les informations contenues dans le présent rapport sont tirées d une enquête réalisée par IDG Connect pour Symantec en octobre 2012. L étude a porté sur 200 informaticiens répartis dans quatre pays européens Royaume-Uni, France, Allemagne et Suède. 7. Sur les trois derniers mois de 2011, Symantec a identifié au moins une faille sur 35,8 % des sites Web analysés, tandis que 25,3 % comportaient au minimum une faille critique. Rapport Symantec sur les menaces de sécurité par Internet, tel que précité. 8. Rapport Symantec sur les menaces de sécurité par Internet, tel que précité. 9. Symantec offre un service gratuit de détection des vulnérabilités aux clients titulaires de certificats Secure Site Pro et Secure Site Pro avec Extended Validation. Tous les certificats Symantec SSL et les produits Secured Seal incluent une analyse anti-malware quotidienne gratuite. p. 14

L ENTREPRISE SYMANTEC propose des solutions leaders en matière de sécurité SSL, de gestion des certificats, de détection des vulnérabilités et d analyse anti-malware. Ensemble, le sceau Norton Secured et la fonctionnalité Symantec Seal-in-Search rassurent vos clients sur leur sécurité tout au long de leur expérience en ligne des moteurs de recherche à l acte d achat, en passant par la navigation sur votre site. Pour en savoir plus, rendez-vous sur www.symantec.fr Pour en savoir plus sur le service de détection des vulnérabilités signé Symantec, rendez-vous sur http://www.symantec.com/fr/fr/theme.jsp?themeid=ssl-resources Website Détection Security des Vulnérabilités Threat Report 2013

NOUS SUIVRE Retrouvez sur notre site la liste de nos bureaux régionaux et leurs coordonnées téléphoniques. Pour plus d informations sur nos produits, composez le : Téléphone : 0800 90 43 51 ou +41 (0) 26 429 77 24 Symantec France, Tour Égée, 17, avenue de l Arche, 92671 Courbevoie Cedex, France www.symantec.fr/ssl 2014 Symantec Corporation. Tous droits réservés. Symantec, le logo Symantec, Norton, le logo en forme de coche et le logo Norton Secured sont des marques commerciales ou des marques déposées de Symantec Corporation ou de ses filiales aux États-Unis et dans d autres pays. Les autres noms cités peuvent être des marques commerciales de leurs détenteurs respectifs.

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back