Il ressort d’une récente étude au cours de laquelle plus de 30.000 sites web ont été analysés que la très grande majorité avaient au moins une vulnérabilité très critique pendant 150 jours et plus.
Et là, comme le précise le service de sécurité informatique CSO qui a réalisé l’étude, il ne s’agit que des failles de sécurité jugées très sérieuses et pouvant compromettre le bon fonctionnement de ces sites web.
Notamment, dans l’accès aux données personnelles des utilisateurs et même dans la prise de contrôle des comptes d’administration de ces sites.
Cette étude pointe donc des vulnérabilités qui nécessitent une intervention urgente avant que des dégâts irréversibles ne soient causés. Donc, les failles de sécurité simplement critiques ou mineures sans réelle gravité n’en font pas partie.
Mais, le plus alarmant dans cette étude, en termes de nombre de vulnérabilités, c’est le nombre de sites eCommerce qui ont des failles de sécurité très critiques. Ils sont en effet 55% parmi tous les sites web analysés qui ont au moins une vulnérabilité très critique chaque jour de l’année.
Toutefois, les pires sites web seraient ceux de l’administration publique et des collectivités.
Parmi les sites web appartenant à des administrations publiques analysés, 64% sont chaque jour vulnérables.
En fait, ce que veut pointer le responsable de cette étude, ce n’est pas que ces vulnérabilités ne peuvent pas être corrigées. D’ailleurs, 1 à 2% des failles peuvent être corrigées avec des patches.
Seulement, toutes ces failles de sécurité découvertes auraient pour origine le logiciel de création CMS ayant servi à développer les sites web en question.
Pourquoi une telle durée d’existence des vulnérabilité ?
Pour aller plus loin et regarder plus profondément sur les raisons pour lesquelles ces vulnérabilités n’étaient pas corrigées et existaient aussi longtemps (plus de 150 jours), l’agence WhiteHat a mené un sondage auprès de ses 118 sociétés clientes, allant de la start-up à l’entreprise faisant partie de Fortune 50 (équivalent du CAC 40).
Le facteur le plus important était que les efforts de remédiation de la vulnérabilité étaient conduits soit pour des rasions de conformité, soit pour des raisons de réduction des risques.
Ainsi, selon l’étude de WhiteHat relayée par CSO, les entreprises qui se focalisent sur la conformité ont le nombre le plus bas de vulnérabilités, soit 12 par site web. Elles ont toutefois, avec 86% de correction, le taux de remédiation le plus élevé, c’est à dire le ratio de vulnérabilités corrigées durant la période étudiée.
 |
| Image via csoonline.com |
Quant aux entreprises qui se focalisent prioritairement sur la réduction des risques, elles ont en moyenne 23 vulnérabilités par site web et un taux de remédiation de 18%.
L’une des raisons est que les entreprises qui se focalisent sur les risques prioritarisent les failles de sécurité et ne corrigent cependant que celles qui leur semblent inacceptables dans le baromètre des risques.
Selon l’étude de WhiteHat, les entreprises qui se focalisent sur la conformité prennent ne corrigent leurs vulnérabilités qu’au bout de 158 jours contre 115 jours pour les entreprises qui tiennent compte des risques. Tout simplement parce que les premières entreprises mentionnées attendent toujours qu’un audit soit effectué avant de corriger les vulnérabilités découvertes.
Ce qui veut dire que la sécurité des sites web, ecommerce ou pas, n’est pas vérifiée de façon quotidienne, pour ne pas dire de façon régulière.
