Assises de la Sécurité : deux études alertent sur la sécurité des données
Deux études parues pour les Assises de la Sécurité, qui se déroulent du 11 au 14 octobre 2017 à Monaco, mettent en avant la sécurité des données, pour Wavestone comme pour IDC.
PublicitéA l'occasion des Assises de la Sécurité, qui se déroulent du 11 au 14 octobre 2017 à Monaco, deux cabinets d'études ont livré une même analyse sur la priorité à donner à la protection des données. Wavestone a réalisé un benchmark des sites web après 155 audits de sécurité menés sur un an (entre juin 2016 et juin 2017) auprès de 70 organisations représentants 9 secteurs d'activité. Conclusion : 50% des sites analysés, accessibles par le public, présentent des failles graves. Pire encore, les sites réservés aux collaborateurs sont plus vulnérables, avec 68% d'entre eux recensant au moins une faille grave.
IDC, pour sa part, a mené une étude au mois de juillet dernier sur 200 organisations. Elles sont 76% à mettre la protection des données en tête de leurs priorités, devant les attaques ciblées et la mobilité. A 70%, elles mettent en relief les attaques subies et leurs conséquences sur l'activité : indisponibilité des sites (39%), retard de livraison auprès des clients (27%), arrêt de la production même pendant quelques heures (23%), perte de chiffre d'affaires (20%) et enfin, obligation de remplacer un matériel, par exemple un serveur (18%).
Les nouvelles fonctionnalités ne sont pas testées
Wavestone note également des conséquences fortes sur les entreprises en mettant le doigt sur leurs négligences. Un exemple : 40% des sites ayant déjà subi un audit de sécurité restent vulnérables à au moins une faille grave. Les corrections semblent peu appliquées, relève Wavestone, et les nouvelles fonctionnalités ne sont même pas testées avant leur mise en ligne. Conclusion de Gérôme Billois, Partner Cybersecurity & Digital Trust, chez Wavestone (*) : « aujourd'hui la pression sur les délais pour sortir un nouveau site et le manque d'anticipation des tests de sécurité conduisent à des situations à risques. Trop souvent des sites avec des données clients sont en ligne alors qu'ils sont vulnérables. Il existe pourtant des solutions simples pour éviter de potentielles catastrophes numériques ».
Le type de failles mises en évidence dans l'étude de Wavestone est significatif. A 83%, les organisations interrogées citent la mauvaise qualité du chiffrement (certificats invalides, protocoles vulnérables), c'était la faille n°2 l'an passé. En deuxième position, se retrouve la diffusion d'informations techniques superflues, pour 76% des organisations interrogées, c'était la faille n° 1 il y a un an. Après, on voit apparaître les actions réalisées à l'insu de l'utilisateur (53% des réponses), la possibilité de le piéger via un site web en lui faisant exécuter du code à son insu (52%), des mécanismes d'authentification trop peu robustes (45%). Du grand classique. C'est l'autre conclusion marquante de cette étude : d'une année à l'autre, les failles majeures restent les mêmes.
L'étude IDC apporte une autre approche, en listant les priorités des organisations interrogées pour les deux années à venir. On trouve en tête, l'éducation des utilisateurs (46%), suivi de la protection contre les pertes de données (43%), la sécurisation du cloud et celle des terminaux mobiles (41% chacune).
Publicité(*) Gerôme Billois prononcera l'allocution d'ouverture lors de notre conférence cybersécurité du 21 novembre prochain.
Article rédigé par
Didier Barathon, Journaliste
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire