SlideShare une entreprise Scribd logo

Wavestone benchmark securite site web 2016 2017

Gaudefroy Ariane
Gaudefroy Ariane

Cybersécurité sites web - étude Wavestone

Business
1  sur  25
Télécharger pour lire hors ligne
Bilan de la sécurité des sites web en France Analyse de 155 sites de grandes entreprises Octobre 2017
© WAVESTONE 2 Des clients leaders dans leur secteur 2,600 collaborateurs sur 4 continents Parmi les leaders du conseil indépendant en Europe, n°1 en France Dans un monde où la capacité à se transformer est la clé du succès, nous éclairons et guidons nos clients dans leurs décisions les plus stratégiques * Partenariats Paris | Londres | New York | Hong Kong | Singapour* | Dubaï* Bruxelles | Luxembourg | Genève | Casablanca Lyon | Marseille | Nantes
WAVESTONE ET LES AUDITS EN CYBERSECURITE
© WAVESTONE 4 Wavestone : un retour d’expérience unique sur les audits en cybersécurité 350 audits de sécurité par an Plus de 100 clients différents Tous les secteurs d’activité couverts Périmètres d’interventions variés : sites web, tests d’intrusion physiques, ingénierie sociale, revue de configuration, de code, SI industriel, etc. Essentiellement des très grandes entreprises françaises, présentes sur le marché national ou international Banque/Assurance, Distribution, Médical, Énergie, Service, Télécom, Transport, Défense et Institutions Publiques, etc.
© WAVESTONE 5 155 tests d’intrusion de sites web réalisés entre juin 2016 et juin 2017 composés de 117 sites sur Internet et 38 sites sur des réseaux privés d’entreprise Tous les secteurs d’activités sont représentés : banque, santé, défense, énergie administration, services, vente en ligne, télécom, transport, etc. Des tests respectant la même méthodologie, pour des résultats comparables. Des failles incluant le contrôle d’accès, la qualité du chiffrement, la diffusion d’informations techniques superflues, le traitement des communications, etc. Benchmark 2017 des failles des sites web Une confidentialité qui reste préservée : les données clients sont anonymisées, l’analyse étant uniquement statistique. 155 sites web testés 70 organisations concernées 47 failles testées à chaque fois
LES RESULTATS
© WAVESTONE 7 4 constats marquants sur la sécurité des sites web Et tous les secteurs d’activités sont concernés… des sites web testés sont vulnérables, et ceci quel que soit le contexte ou le secteur. 100% des sites accessibles à tous depuis Internet ont au moins une faille grave. 50 % des sites ayant déjà subi un audit de sécurité sont encore vulnérables. 40 % Des sites testés étaient déjà en ligne au moment des audits de sécurité. 90%
© WAVESTONE 8 ont révélé la présence d’au moins une faille de sécurité Le chiffre Comme en 2016, nos tests sur 155 sites web en 2017100% Aucun site parfait ! 100 % 2017
© WAVESTONE 9 Plus de 40% des sites testés restent vulnérables avec au moins 1 faille grave, et cela malgré la réalisation d’audit par le passé. Des corrections peu appliquées et des nouvelles fonctionnalités développées sans prendre en compte les bonnes pratiques de sécurité. Une sécurité négligée dans la durée
© WAVESTONE 10 Facebook 56% Banques et Assurances Aucun secteur n’est épargné Sélection des secteurs avec un échantillon représentatif d’au moins 30 sites. 53% de faille grave constatées pour la somme des autres secteurs : défense, santé, immobilier… Pourcentage de sites web avec au moins une faille grave par secteur 58% Services et vente en ligne 52% Energie, Transport et Télécom
© WAVESTONE 11 Des failles graves dans plus de la moitié des cas 54% des sites sont touchés par au moins une faille grave 45% des sites ne sont touchés que par des failles importantes 1% des sites ne sont touchés que par des failles mineures Faille grave Permet d’accéder à l'ensemble du contenu du site et/ou de compromettre les serveurs Accès à l’ensemble des données du site, exécution de code par le serveur, utilisateur A ayant accès aux données de B, etc. Faille importante Permet d’accéder aux informations d’autres utilisateurs mais en nombre limité ou de manière complexe Vol de session d’un utilisateur, faiblesses dans le chiffrement, possibilité de faire réaliser des actions à l’insu de l’utilisateur, etc. Faille mineure Permet principalement d’obtenir des informations pour continuer l’attaque Messages techniques superflus, absence de sécurisation des cookies, déconnexion utilisateur non efficace, etc. Vs 60% en 2016 Vs 39% en 2016 Vs 1% en 2016
© WAVESTONE 12 68% des sites web internes réservés aux collaborateurs ont au moins une faille grave 50% des sites accessibles à tous depuis Internet ont au moins une faille grave Des failles graves sur Internet, comme en interne
© WAVESTONE 13 Un top 10 des failles qui évolue peu Failles conduisant à un risque majeur important mineur 83% 76% 53% 52% 45% 45% 34% 25% 25% 13% Le chiffrement des informations sensibles n’est pas de bonne qualité (ex : certificat invalide, protocoles vulnérables…) Des informations techniques superflues sont diffusées (ex: page d’erreur ou entêtes divulguant la version d’un composant, etc.) Il est possible de faire réaliser une action à l'insu d'un utilisateur (ex : XSRF ou CSRF) Il est possible de piéger un utilisateur visitant le site web en lui faisant exécuter du code à son insu (ex : XSS) Les mécanismes d'authentification ne sont pas suffisamment robustes (ex: absence d’anti brute-force, complexité des mots de passe, etc.) Un attaquant peut accéder à des données d’un autre utilisateur ou à des fonctions du site non autorisées (cloisonnement) Un attaquant peut faire réaliser des actions non prévues par le site (ex : dépôt ou exécution de code) Des informations superflues lors de l’utilisation du site sont diffusées (ex: affichage de la validité ou non d’un compte utilisateur) Un attaquant peut collecter toutes les données du site (ex : injection SQL, Path Traversal) Les sessions des utilisateurs ne sont pas suffisamment protégées (ex: déconnexion inefficace)  (2ème en 2016)  (1er en 2016)  (9ème en 2016)  (10ème en 2016)  8ème en 2016
ET APRES ?
© WAVESTONE 15 31% 47% 22% Un oubli Un seul paramètre est vulnérable, la correction sera simple. Tout est à revoir La majorité des paramètres (plusieurs dizaines ou centaines) sont touchés, des actions lourdes sont à prévoir sur l’ensemble du site. Quelques manquements Une minorité de paramètres (5 à 10) est vulnérable, seules quelques pages devront être modifiées. Des corrections qui nécessitent des efforts importants Exemple concret avec le nombre de failles XSS (exécution de code dans le navigateur d’un visiteur) découverts par site
© WAVESTONE 16 Un changement de posture nécessaire Le constat est sans appel : une faille grave découverte sur plus de 50% de sites web déjà en production… La gestion actuelle des projets ne laisse pas beaucoup de place à la sécurité : pression des métiers, mise en production urgente, projet dont on apprend l’existence à sa sortie, etc. Le rythme ne cesse de s’accélérer avec l’essor des méthodes agiles, DevOps… Une dangereuse course aux nouvelles fonctionnalités Il est désespérant de voir que la situation ne s’améliore pas dans le temps. L’intégration de la sécurité dès le début du projet est pourtant l’une des clés à maîtriser pour améliorer ce chiffre. Les évolutions technologiques récentes offrent l’opportunité d’appliquer ce qui n’a jamais été possible : intégrer la sécurité en continu dans le processus de développement en rapprochant les contrôles des développeurs. Apprendre de ses erreurs et profiter des innovations La réponse ne viendra pas uniquement d’investissements sur des nouveaux composants de sécurité, de contrôles a posteriori, etc. Il est plus que jamais nécessaire d’investir dans les compétences des équipes, en particulier des développeurs, pour que la sécurité soit bien plus qu’une étape dans des processus peu suivis, mais bien une réalité de chaque instant. Le besoin d’investir dans les compétences
FOCUS 2017 LES OBJETS CONNECTÉS ET L’ IOT
© WAVESTONE 18 Des objets connectés meilleurs que les sites web ? Low cost Oui Non Oui, pour les objets connectés développés en France. Wavestone a réalisé 10 tests d’intrusion sur de tels objets connectés sans trouver de faille permettant une attaque massive (même si des attaques locales sont souvent trouvées) Non, pour les objets connectés « low cost » qui contiennent de nombreuses failles comme l’ont montré les très nombreux incidents observés en 2016 et 2017
ANNEXES
© WAVESTONE 20 Ne réinventons pas la roue ! 50 % des sites sans CMS 50% des sites en PHP sans gestionnaire de contenu (CMS) reconnu sont touchés par au moins une faille grave. Seulement 30% le sont s’ils utilisent des CMS reconnus, car ils apportent des fonctions de sécurité Sélection des tests réalisés sur 55 sites utilisant la technologie PHP Focus technique
© WAVESTONE 21 Un contrôle d’accès pas toujours contrôlé… 45% des tests réalisés en mode boite grise (utilisation d’un compte utilisateur standard) ont permis de contourner le cloisonnement applicatif pour accéder à des données ou des fonctions (escalade horizontale ou verticale) non autorisées Vs 44% en 2016 Focus technique
© WAVESTONE 22 58 sites Dépôt de fichier ? Attention danger ! Dans 56% des cas où une fonctionnalité de type « dépôt de pièce jointe » était offerte, une faille a permis de déposer du code sur le serveur. Dans 34% des cas, cela a permis d’exécuter du code sur le serveur. C’est une voie royale pour rebondir depuis ce serveur vers d’autres composants du SI. 37% sur le dépôt en 2016 Focus technique
© WAVESTONE 23 Surfer sur plusieurs sites en parallèle nuit gravement à la sécurité 1/2des sites sont vulnérables à du CSRF* (ou XSRF*) :  Pendant l’utilisation d’un site web sensible, vous décidez d’ouvrir un nouvel onglet pour surfer.  Le site web de ce nouvel onglet, s’il contient une attaque, est capable de réaliser des actions à votre insu sur le site web sensible : modifier votre adresse de contact pour réinitialiser le mot de passe par exemple… 53 % des sites vulnérables à du XSRF* *CSRF ou XSRF : Cross Site Request ForgeryVs 67% en 2016, évolution due majoritairement à une évolution de l’échantillon (technologie ASP). Focus technique
wavestone.com @wavestone_ M +33 (0)6 24 76 08 67 yann.filliat@wavestone.com Yann FILLIAT Manager – Responsable offre audit de sécurité riskinsight-wavestone.com @Risk_Insight securityinsider-wavestone.com @SecuInsider M +33 (0)6 10 99 00 60 gerome.billois@wavestone.com Gérôme BILLOIS Partner
PARIS LONDRES NEW YORK HONG KONG SINGAPOUR * DUBAI * SAO PAULO * LUXEMBOURG MADRID * MILAN * BRUXELLES GENEVE CASABLANCA ISTANBUL * LYON MARSEILLE NANTES * Partenariats

Recommandé

Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectés
Kévin Guérin
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariés
NRC
 
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'api
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'apiWavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'api
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'api
Bertrand Carlier
 
PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?
Djallal BOUABDALLAH
 
Payment Card System Overview
Payment Card System OverviewPayment Card System Overview
Payment Card System Overview
Narudom Roongsiriwong, CISSP
 
[배포용_최종] CISSP협회 제72회 정보보호리더십세미나_Cybersecurity Mesh, Identity First_v1.0.pdf
[배포용_최종] CISSP협회 제72회 정보보호리더십세미나_Cybersecurity Mesh, Identity First_v1.0.pdf[배포용_최종] CISSP협회 제72회 정보보호리더십세미나_Cybersecurity Mesh, Identity First_v1.0.pdf
[배포용_최종] CISSP협회 제72회 정보보호리더십세미나_Cybersecurity Mesh, Identity First_v1.0.pdf
james yoo
 
Schéma directeur informatique
Schéma directeur informatiqueSchéma directeur informatique
Schéma directeur informatique
Serge Alias Wilfried KY
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
Alghajati
 

Recommandé

Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectés
Kévin Guérin
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariés
NRC
 
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'api
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'apiWavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'api
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'api
Bertrand Carlier
 
PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?
Djallal BOUABDALLAH
 
Payment Card System Overview
Payment Card System OverviewPayment Card System Overview
Payment Card System Overview
Narudom Roongsiriwong, CISSP
 
[배포용_최종] CISSP협회 제72회 정보보호리더십세미나_Cybersecurity Mesh, Identity First_v1.0.pdf
[배포용_최종] CISSP협회 제72회 정보보호리더십세미나_Cybersecurity Mesh, Identity First_v1.0.pdf[배포용_최종] CISSP협회 제72회 정보보호리더십세미나_Cybersecurity Mesh, Identity First_v1.0.pdf
[배포용_최종] CISSP협회 제72회 정보보호리더십세미나_Cybersecurity Mesh, Identity First_v1.0.pdf
james yoo
 
Schéma directeur informatique
Schéma directeur informatiqueSchéma directeur informatique
Schéma directeur informatique
Serge Alias Wilfried KY
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
Alghajati
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industriels
Bee_Ware
 
Fighting Financial Crime with Artificial Intelligence
Fighting Financial Crime with Artificial IntelligenceFighting Financial Crime with Artificial Intelligence
Fighting Financial Crime with Artificial Intelligence
DataWorks Summit
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
Ammar Sassi
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
Yves Van Gheem
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
PRONETIS
 
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
African Cyber Security Summit
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
Mohamed Ali Hadhri
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
BGA Cyber Security
 
Management des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVasManagement des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVas
EyesOpen Association
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
HajarSalimi
 
Adopting A Zero-Trust Model. Google Did It, Can You?
Adopting A Zero-Trust Model. Google Did It, Can You?Adopting A Zero-Trust Model. Google Did It, Can You?
Adopting A Zero-Trust Model. Google Did It, Can You?
Zscaler
 
La gouvernance IAM au service des stratégies métiers
La gouvernance IAM au service des stratégies métiersLa gouvernance IAM au service des stratégies métiers
La gouvernance IAM au service des stratégies métiers
Marc Rousselet
 
CV_AmmarSassi
CV_AmmarSassiCV_AmmarSassi
CV_AmmarSassi
Ammar Sassi
 
Le schéma directeur
Le schéma directeurLe schéma directeur
Le schéma directeur
SVrignaud
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
Emna Tfifha
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
DIALLO Boubacar
 
Veille juridique et professionnelle
Veille juridique et professionnelleVeille juridique et professionnelle
Veille juridique et professionnelle
Université de Bretagne Occidentale
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicatives
Bee_Ware
 
Identity access management
Identity access managementIdentity access management
Identity access management
Prof. Jacques Folon (Ph.D)
 
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Salmen HITANA
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Vumetric
 
Rapport de Sécurité Check Point 2016
Rapport de Sécurité Check Point 2016Rapport de Sécurité Check Point 2016
Rapport de Sécurité Check Point 2016
Blandine Delaporte
 

Contenu connexe

Tendances

Fighting Financial Crime with Artificial Intelligence
Fighting Financial Crime with Artificial IntelligenceFighting Financial Crime with Artificial Intelligence
Fighting Financial Crime with Artificial Intelligence
DataWorks Summit
 
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
African Cyber Security Summit
 
La gouvernance IAM au service des stratégies métiers
La gouvernance IAM au service des stratégies métiersLa gouvernance IAM au service des stratégies métiers
La gouvernance IAM au service des stratégies métiers
Marc Rousselet
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
DIALLO Boubacar
 
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Salmen HITANA
 

Tendances (20)

Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industriels
 
Fighting Financial Crime with Artificial Intelligence
Fighting Financial Crime with Artificial IntelligenceFighting Financial Crime with Artificial Intelligence
Fighting Financial Crime with Artificial Intelligence
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
 
Management des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVasManagement des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVas
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
Adopting A Zero-Trust Model. Google Did It, Can You?
Adopting A Zero-Trust Model. Google Did It, Can You?Adopting A Zero-Trust Model. Google Did It, Can You?
Adopting A Zero-Trust Model. Google Did It, Can You?
 
La gouvernance IAM au service des stratégies métiers
La gouvernance IAM au service des stratégies métiersLa gouvernance IAM au service des stratégies métiers
La gouvernance IAM au service des stratégies métiers
 
CV_AmmarSassi
CV_AmmarSassiCV_AmmarSassi
CV_AmmarSassi
 
Le schéma directeur
Le schéma directeurLe schéma directeur
Le schéma directeur
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
Veille juridique et professionnelle
Veille juridique et professionnelleVeille juridique et professionnelle
Veille juridique et professionnelle
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicatives
 
Identity access management
Identity access managementIdentity access management
Identity access management
 
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
 

Similaire à Wavestone benchmark securite site web 2016 2017

Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
Sébastien GIORIA
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
waggaland
 
DCRI - Flash ingérence economique juin 2013
DCRI - Flash ingérence economique juin 2013DCRI - Flash ingérence economique juin 2013
DCRI - Flash ingérence economique juin 2013
Franck Dasilva
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
Sébastien GIORIA
 
Conférence sponsor Touchweb - FoP Day 2023
Conférence sponsor Touchweb - FoP Day 2023Conférence sponsor Touchweb - FoP Day 2023
Conférence sponsor Touchweb - FoP Day 2023
ChristopheVidal15
 

Similaire à Wavestone benchmark securite site web 2016 2017 (20)

Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
 
Rapport de Sécurité Check Point 2016
Rapport de Sécurité Check Point 2016Rapport de Sécurité Check Point 2016
Rapport de Sécurité Check Point 2016
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIs
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 
La gestion de vos collaborateurs en télétravail
La gestion de vos collaborateurs en télétravailLa gestion de vos collaborateurs en télétravail
La gestion de vos collaborateurs en télétravail
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettre
 
Owasp top-10-2013-french
Owasp top-10-2013-frenchOwasp top-10-2013-french
Owasp top-10-2013-french
 
Sand Blast Agent Anti Ransomware Presentation
Sand Blast Agent Anti Ransomware PresentationSand Blast Agent Anti Ransomware Presentation
Sand Blast Agent Anti Ransomware Presentation
 
Réussir facilement sa migration antivirus
Réussir facilement sa migration antivirusRéussir facilement sa migration antivirus
Réussir facilement sa migration antivirus
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
StarDust @SHAKE 2014
StarDust @SHAKE 2014StarDust @SHAKE 2014
StarDust @SHAKE 2014
 
DCRI - Flash ingérence economique juin 2013
DCRI - Flash ingérence economique juin 2013DCRI - Flash ingérence economique juin 2013
DCRI - Flash ingérence economique juin 2013
 
La sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficientLa sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficient
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
 
Conférence sponsor Touchweb - FoP Day 2023
Conférence sponsor Touchweb - FoP Day 2023Conférence sponsor Touchweb - FoP Day 2023
Conférence sponsor Touchweb - FoP Day 2023
 
20100114 Waf V0.7
20100114 Waf V0.720100114 Waf V0.7
20100114 Waf V0.7
 
Starc by Exaprobe
Starc by ExaprobeStarc by Exaprobe
Starc by Exaprobe
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
 

Plus de Gaudefroy Ariane

Plus de Gaudefroy Ariane (20)

cybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdfcybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdf
 
Plan résilience, aide energo
Plan résilience, aide energoPlan résilience, aide energo
Plan résilience, aide energo
 
Wef the global_risks_report_2022
Wef the global_risks_report_2022Wef the global_risks_report_2022
Wef the global_risks_report_2022
 
Insee chiffres créations d'entreprises en 2021
Insee chiffres créations d'entreprises en 2021Insee chiffres créations d'entreprises en 2021
Insee chiffres créations d'entreprises en 2021
 
Entreprises en difficulté : quelle efifcacité des procédures préventives ?
Entreprises en difficulté : quelle efifcacité des procédures préventives ?Entreprises en difficulté : quelle efifcacité des procédures préventives ?
Entreprises en difficulté : quelle efifcacité des procédures préventives ?
 
2018 rapport-annuel-de-l-asf
2018 rapport-annuel-de-l-asf2018 rapport-annuel-de-l-asf
2018 rapport-annuel-de-l-asf
 
Dares analyses createurs_entreprise_accompagnement_difficultes
Dares analyses createurs_entreprise_accompagnement_difficultesDares analyses createurs_entreprise_accompagnement_difficultes
Dares analyses createurs_entreprise_accompagnement_difficultes
 
Societe baro alto-infographie_responsabilite_dirigeant_2019
Societe baro alto-infographie_responsabilite_dirigeant_2019Societe baro alto-infographie_responsabilite_dirigeant_2019
Societe baro alto-infographie_responsabilite_dirigeant_2019
 
Fintech100 2018, KPMG report
Fintech100 2018, KPMG reportFintech100 2018, KPMG report
Fintech100 2018, KPMG report
 
KPMG study Pulse of fintech 2018
KPMG study Pulse of fintech 2018KPMG study Pulse of fintech 2018
KPMG study Pulse of fintech 2018
 
Guide pratique start-up grands groupes David avec Goliath
Guide pratique start-up grands groupes David avec GoliathGuide pratique start-up grands groupes David avec Goliath
Guide pratique start-up grands groupes David avec Goliath
 
Insee creations entreprises16-janvier_2018
Insee creations entreprises16-janvier_2018Insee creations entreprises16-janvier_2018
Insee creations entreprises16-janvier_2018
 
Synthese enquete freins_levier_croissance
Synthese enquete freins_levier_croissanceSynthese enquete freins_levier_croissance
Synthese enquete freins_levier_croissance
 
Assurance et pratiques collaboratives entre petites entreprises
Assurance et pratiques collaboratives entre petites entreprisesAssurance et pratiques collaboratives entre petites entreprises
Assurance et pratiques collaboratives entre petites entreprises
 
guide de l'égalité hommes-femmes au travail pour TPE et PME
guide de l'égalité hommes-femmes au travail pour TPE et PMEguide de l'égalité hommes-femmes au travail pour TPE et PME
guide de l'égalité hommes-femmes au travail pour TPE et PME
 
Investissement en-entreprise-les-jeunes-francais-en-quete-d-information
Investissement en-entreprise-les-jeunes-francais-en-quete-d-informationInvestissement en-entreprise-les-jeunes-francais-en-quete-d-information
Investissement en-entreprise-les-jeunes-francais-en-quete-d-information
 
H2 fintech-innovators-2017
H2 fintech-innovators-2017H2 fintech-innovators-2017
H2 fintech-innovators-2017
 
baromètre French Tech 2017
baromètre French Tech 2017baromètre French Tech 2017
baromètre French Tech 2017
 
Adhesion des startups au discours mediatique
Adhesion des startups au discours mediatiqueAdhesion des startups au discours mediatique
Adhesion des startups au discours mediatique
 
2017 china internet report bcg
2017 china internet report bcg2017 china internet report bcg
2017 china internet report bcg
 

Wavestone benchmark securite site web 2016 2017

  • 1. Bilan de la sécurité des sites web en France Analyse de 155 sites de grandes entreprises Octobre 2017
  • 2. © WAVESTONE 2 Des clients leaders dans leur secteur 2,600 collaborateurs sur 4 continents Parmi les leaders du conseil indépendant en Europe, n°1 en France Dans un monde où la capacité à se transformer est la clé du succès, nous éclairons et guidons nos clients dans leurs décisions les plus stratégiques * Partenariats Paris | Londres | New York | Hong Kong | Singapour* | Dubaï* Bruxelles | Luxembourg | Genève | Casablanca Lyon | Marseille | Nantes
  • 3. WAVESTONE ET LES AUDITS EN CYBERSECURITE
  • 4. © WAVESTONE 4 Wavestone : un retour d’expérience unique sur les audits en cybersécurité 350 audits de sécurité par an Plus de 100 clients différents Tous les secteurs d’activité couverts Périmètres d’interventions variés : sites web, tests d’intrusion physiques, ingénierie sociale, revue de configuration, de code, SI industriel, etc. Essentiellement des très grandes entreprises françaises, présentes sur le marché national ou international Banque/Assurance, Distribution, Médical, Énergie, Service, Télécom, Transport, Défense et Institutions Publiques, etc.
  • 5. © WAVESTONE 5 155 tests d’intrusion de sites web réalisés entre juin 2016 et juin 2017 composés de 117 sites sur Internet et 38 sites sur des réseaux privés d’entreprise Tous les secteurs d’activités sont représentés : banque, santé, défense, énergie administration, services, vente en ligne, télécom, transport, etc. Des tests respectant la même méthodologie, pour des résultats comparables. Des failles incluant le contrôle d’accès, la qualité du chiffrement, la diffusion d’informations techniques superflues, le traitement des communications, etc. Benchmark 2017 des failles des sites web Une confidentialité qui reste préservée : les données clients sont anonymisées, l’analyse étant uniquement statistique. 155 sites web testés 70 organisations concernées 47 failles testées à chaque fois
  • 7. © WAVESTONE 7 4 constats marquants sur la sécurité des sites web Et tous les secteurs d’activités sont concernés… des sites web testés sont vulnérables, et ceci quel que soit le contexte ou le secteur. 100% des sites accessibles à tous depuis Internet ont au moins une faille grave. 50 % des sites ayant déjà subi un audit de sécurité sont encore vulnérables. 40 % Des sites testés étaient déjà en ligne au moment des audits de sécurité. 90%
  • 8. © WAVESTONE 8 ont révélé la présence d’au moins une faille de sécurité Le chiffre Comme en 2016, nos tests sur 155 sites web en 2017100% Aucun site parfait ! 100 % 2017
  • 9. © WAVESTONE 9 Plus de 40% des sites testés restent vulnérables avec au moins 1 faille grave, et cela malgré la réalisation d’audit par le passé. Des corrections peu appliquées et des nouvelles fonctionnalités développées sans prendre en compte les bonnes pratiques de sécurité. Une sécurité négligée dans la durée
  • 10. © WAVESTONE 10 Facebook 56% Banques et Assurances Aucun secteur n’est épargné Sélection des secteurs avec un échantillon représentatif d’au moins 30 sites. 53% de faille grave constatées pour la somme des autres secteurs : défense, santé, immobilier… Pourcentage de sites web avec au moins une faille grave par secteur 58% Services et vente en ligne 52% Energie, Transport et Télécom
  • 11. © WAVESTONE 11 Des failles graves dans plus de la moitié des cas 54% des sites sont touchés par au moins une faille grave 45% des sites ne sont touchés que par des failles importantes 1% des sites ne sont touchés que par des failles mineures Faille grave Permet d’accéder à l'ensemble du contenu du site et/ou de compromettre les serveurs Accès à l’ensemble des données du site, exécution de code par le serveur, utilisateur A ayant accès aux données de B, etc. Faille importante Permet d’accéder aux informations d’autres utilisateurs mais en nombre limité ou de manière complexe Vol de session d’un utilisateur, faiblesses dans le chiffrement, possibilité de faire réaliser des actions à l’insu de l’utilisateur, etc. Faille mineure Permet principalement d’obtenir des informations pour continuer l’attaque Messages techniques superflus, absence de sécurisation des cookies, déconnexion utilisateur non efficace, etc. Vs 60% en 2016 Vs 39% en 2016 Vs 1% en 2016
  • 12. © WAVESTONE 12 68% des sites web internes réservés aux collaborateurs ont au moins une faille grave 50% des sites accessibles à tous depuis Internet ont au moins une faille grave Des failles graves sur Internet, comme en interne
  • 13. © WAVESTONE 13 Un top 10 des failles qui évolue peu Failles conduisant à un risque majeur important mineur 83% 76% 53% 52% 45% 45% 34% 25% 25% 13% Le chiffrement des informations sensibles n’est pas de bonne qualité (ex : certificat invalide, protocoles vulnérables…) Des informations techniques superflues sont diffusées (ex: page d’erreur ou entêtes divulguant la version d’un composant, etc.) Il est possible de faire réaliser une action à l'insu d'un utilisateur (ex : XSRF ou CSRF) Il est possible de piéger un utilisateur visitant le site web en lui faisant exécuter du code à son insu (ex : XSS) Les mécanismes d'authentification ne sont pas suffisamment robustes (ex: absence d’anti brute-force, complexité des mots de passe, etc.) Un attaquant peut accéder à des données d’un autre utilisateur ou à des fonctions du site non autorisées (cloisonnement) Un attaquant peut faire réaliser des actions non prévues par le site (ex : dépôt ou exécution de code) Des informations superflues lors de l’utilisation du site sont diffusées (ex: affichage de la validité ou non d’un compte utilisateur) Un attaquant peut collecter toutes les données du site (ex : injection SQL, Path Traversal) Les sessions des utilisateurs ne sont pas suffisamment protégées (ex: déconnexion inefficace)  (2ème en 2016)  (1er en 2016)  (9ème en 2016)  (10ème en 2016)  8ème en 2016
  • 15. © WAVESTONE 15 31% 47% 22% Un oubli Un seul paramètre est vulnérable, la correction sera simple. Tout est à revoir La majorité des paramètres (plusieurs dizaines ou centaines) sont touchés, des actions lourdes sont à prévoir sur l’ensemble du site. Quelques manquements Une minorité de paramètres (5 à 10) est vulnérable, seules quelques pages devront être modifiées. Des corrections qui nécessitent des efforts importants Exemple concret avec le nombre de failles XSS (exécution de code dans le navigateur d’un visiteur) découverts par site
  • 16. © WAVESTONE 16 Un changement de posture nécessaire Le constat est sans appel : une faille grave découverte sur plus de 50% de sites web déjà en production… La gestion actuelle des projets ne laisse pas beaucoup de place à la sécurité : pression des métiers, mise en production urgente, projet dont on apprend l’existence à sa sortie, etc. Le rythme ne cesse de s’accélérer avec l’essor des méthodes agiles, DevOps… Une dangereuse course aux nouvelles fonctionnalités Il est désespérant de voir que la situation ne s’améliore pas dans le temps. L’intégration de la sécurité dès le début du projet est pourtant l’une des clés à maîtriser pour améliorer ce chiffre. Les évolutions technologiques récentes offrent l’opportunité d’appliquer ce qui n’a jamais été possible : intégrer la sécurité en continu dans le processus de développement en rapprochant les contrôles des développeurs. Apprendre de ses erreurs et profiter des innovations La réponse ne viendra pas uniquement d’investissements sur des nouveaux composants de sécurité, de contrôles a posteriori, etc. Il est plus que jamais nécessaire d’investir dans les compétences des équipes, en particulier des développeurs, pour que la sécurité soit bien plus qu’une étape dans des processus peu suivis, mais bien une réalité de chaque instant. Le besoin d’investir dans les compétences
  • 17. FOCUS 2017 LES OBJETS CONNECTÉS ET L’ IOT
  • 18. © WAVESTONE 18 Des objets connectés meilleurs que les sites web ? Low cost Oui Non Oui, pour les objets connectés développés en France. Wavestone a réalisé 10 tests d’intrusion sur de tels objets connectés sans trouver de faille permettant une attaque massive (même si des attaques locales sont souvent trouvées) Non, pour les objets connectés « low cost » qui contiennent de nombreuses failles comme l’ont montré les très nombreux incidents observés en 2016 et 2017
  • 20. © WAVESTONE 20 Ne réinventons pas la roue ! 50 % des sites sans CMS 50% des sites en PHP sans gestionnaire de contenu (CMS) reconnu sont touchés par au moins une faille grave. Seulement 30% le sont s’ils utilisent des CMS reconnus, car ils apportent des fonctions de sécurité Sélection des tests réalisés sur 55 sites utilisant la technologie PHP Focus technique
  • 21. © WAVESTONE 21 Un contrôle d’accès pas toujours contrôlé… 45% des tests réalisés en mode boite grise (utilisation d’un compte utilisateur standard) ont permis de contourner le cloisonnement applicatif pour accéder à des données ou des fonctions (escalade horizontale ou verticale) non autorisées Vs 44% en 2016 Focus technique
  • 22. © WAVESTONE 22 58 sites Dépôt de fichier ? Attention danger ! Dans 56% des cas où une fonctionnalité de type « dépôt de pièce jointe » était offerte, une faille a permis de déposer du code sur le serveur. Dans 34% des cas, cela a permis d’exécuter du code sur le serveur. C’est une voie royale pour rebondir depuis ce serveur vers d’autres composants du SI. 37% sur le dépôt en 2016 Focus technique
  • 23. © WAVESTONE 23 Surfer sur plusieurs sites en parallèle nuit gravement à la sécurité 1/2des sites sont vulnérables à du CSRF* (ou XSRF*) :  Pendant l’utilisation d’un site web sensible, vous décidez d’ouvrir un nouvel onglet pour surfer.  Le site web de ce nouvel onglet, s’il contient une attaque, est capable de réaliser des actions à votre insu sur le site web sensible : modifier votre adresse de contact pour réinitialiser le mot de passe par exemple… 53 % des sites vulnérables à du XSRF* *CSRF ou XSRF : Cross Site Request ForgeryVs 67% en 2016, évolution due majoritairement à une évolution de l’échantillon (technologie ASP). Focus technique
  • 24. wavestone.com @wavestone_ M +33 (0)6 24 76 08 67 yann.filliat@wavestone.com Yann FILLIAT Manager – Responsable offre audit de sécurité riskinsight-wavestone.com @Risk_Insight securityinsider-wavestone.com @SecuInsider M +33 (0)6 10 99 00 60 gerome.billois@wavestone.com Gérôme BILLOIS Partner
  • 25. PARIS LONDRES NEW YORK HONG KONG SINGAPOUR * DUBAI * SAO PAULO * LUXEMBOURG MADRID * MILAN * BRUXELLES GENEVE CASABLANCA ISTANBUL * LYON MARSEILLE NANTES * Partenariats