Alerte rouge sur la sécurité des sites internet des grandes entreprises françaises

La moitié des 84 sites internet testés ont même présenté des failles graves, selon la compilation réalisée par Wavestone. Image d'illustration.
La moitié des 84 sites internet testés ont même présenté des failles graves, selon la compilation réalisée par Wavestone. Image d'illustration. © AFP
  • Copié
NM , modifié à
Selon une compilation du cabinet Wavestone, 100% de ces sites internet ont échoué aux audits de sécurité passés entre 2015 et 2016.

La sécurité des sites internet des grandes entreprises est très fragile. C'est l'enseignement d'une étude cabinet Wavestone qui a compilé les audits de sécurité web réalisés entre juin 2015 et juin 2016 auprès de 82 grandes entreprises de l'Hexagone. On y apprend que 100% de ces sites présentent des failles, rapporte mercredi Les Echos

Accès aux données des autres utilisateurs. La conclusion de cette compilation est sans appel : aucun des 127 sites testés (84 sites internet et 43 sites de réseaux privés d'entreprise) n'a réussi les tests de sécurité. Et dans le détail, la moitié des 84 sites internet ont même présenté des failles graves. Parmi ces dernières figurent des problèmes dits "de cloisonnement" (pour 44% des sites). Cela signifie qu'un pirate peut parvenir aux données des utilisateurs du même site, ce qui peut être inquiétant pour les sites bancaires où les clients ouvrent et consultent leurs comptes.  

Piéger les sites pour en prendre le contrôle. Autre faille grave détectée dans 37% des sites, la possibilité d'utiliser un code malveillant. Dans le détail, un pirate peut par le biais d'une pièce jointe mal protégée introduire dans le site un fichier piégé qui va lui permettre d'en prendre le contrôle et d'accéder à ses données. Enfin, sur deux tiers des sites testés, un pirate peut facilement récupérer des informations mais de manière complexe et non automatique, nuance Wavestone. 

Il faut des "crash test", "comme dans l'automobile". Pour Wavestone, le mal est présent dès la racine puisque les failles existent dès la conception des sites. Ils "sont réalisés à la va-vite, pour une campagne marketing ou un lancement de produit", déplore Gérôme Billois, expert en sécurité du cabinet. "Faute d'un 'crash test' avant la mise en ligne, comme dans l'automobile, il faut absolument que les donneurs d'ordre se mobilisent sur ces questions de cybersécurité. Les affaires récentes, de Yahoo à LinkedIn, ont fait progresser les choses, mais trop de dirigeants pensent que cela reste un problème limité à ces entreprises technologiques, de la Silicon Valley".