Il est rare de consulter des études qui montrent que 100 % des entreprises adoptent un certain comportement. C’est pourtant ce que l’on observe à la lecture des résultats de l’analyse, effectuée par le cabinet Wavestone, sur la sécurité des sites Web des grandes entreprises françaises.
On y apprend ainsi que 100 % des sites (sur Internet et en interne) sont vulnérables et que 60 % contenaient des failles graves pouvant mener à la fuite d’informations ou à la prise de contrôle des serveurs. Dans le Top 10 des vulnérabilités établies par Wavestone, trois fonctionnalités sont particulièrement à risque et nécessitent l’attention des équipes Web : le dépôt de fichiers, la gestion des accès et la gestion des sessions des utilisateurs. L’étude montre également que le langage de développement utilisé pour créer les sites Web est un facteur de risque. En effet, 75 % des sites développés en PHP sont sujets à au moins une faille grave, contre 40 % pour ceux développés en Java. « La gestion actuelle des projets Web ne laisse pas beaucoup de place à la sécurité : mise en ligne urgente, site dont on apprend l’existence à sa sortie. Tout ceci fait prendre des risques importants aux entreprises », explique Gérôme Billois, consultant en sécurité chez Wavestone. Cette situation est inquiétante pour au moins trois raisons. D’abord, parce qu’elle est probablement révélatrice d’une situation aussi grave dans le reste du système d’information : l’insécurité d’un site Web ne serait-il pas la partie émergée de l’iceberg numérique ? Ensuite, parce que cela traduit un manque de sensibilisation (et d’incitation à l’action) de la part des directions générales, alors que, paradoxalement, plusieurs études montrent que la cybersécurité arrive en tête de leurs préoccupations. Enfin, cela révèle que, peut-être, les investissements colossaux en sécurité manquent encore d’optimisation, alors que, selon Gartner, les entreprises auront dépensé, en 2016, 82 milliards de dollars en solutions de sécurité, en hausse de 8 % sur un an.