SlideShare une entreprise Scribd logo

DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web

Thawte
Thawte

En matière de protection de vos clients et de votre site Web, le savoir reste votre meilleure arme. Toutefois, face à l’évolution constante des menaces et des moyens de défense, certaines idées reçues ont la vie dure. Pour vous aider à y voir plus clair et à différencier le mythe de la réalité, Thawte vous invite à visionner ce guide essentiel.

Internet
1  sur  25
Télécharger pour lire hors ligne
DÉCRYPTAGE DES 10 GRANDS MYTHES DE LA SÉCURITÉ DES SITES WEB
INTRODUCTION De nombreuses entreprises n’ont même pas mis en place les moindres dispositifs de protection de base. Elles préfèrent se complaire dans la mythologie qui entoure la sécurité des sites Web. Il en résulte une politique de l'autruche face aux dangers auxquels CHAQUE entreprise est pourtant confrontée. Pour vraiment assurer leur sécurité, elles doivent se remettre en question et ouvrir les yeux pour consolider leurs défenses, leurs politiques d’entreprise, leurs pratiques et procédures au maximum de leurs possibilités, avant de les réévaluer et de les renforcer encore davantage. C’est dans cette optique que nous vous proposons ici d'étudier et de démonter un à un les mythes de la protection des sites Web.
MYTHE N° 1 : Le piratage ? Ça n’arrive qu’aux autres ! Beaucoup pensent que leur site Web représente un si petit poisson dans l’océan du Net qu’aucun hacker n’y prêtera la moindre attention. Grave erreur. Aujourd’hui, les pirates tendent de très larges filets sous la forme de scripts automatisés.
Partez du principe que votre site Web est sous la sur-veillance permanente des pirates Si vous pensez que les hackers sondent votre site Web en permanence, vous n’êtes pas loin de la vérité. Votre site n’a peut-être aucune valeur apparente, mais sa base de données SQL sous-jacente pourrait bien constituer un terrain fertile pour l’usurpation d’identités. Votre base de données SQL, terrain fertile de l’usur-pation d’identités Au lieu d’une attaque frontale, les hackers vous font donc courir un risque beaucoup plus subtil : celui de modifications apportées à votre site à votre insu. Autre ligne d’attaque en vogue : le « spear phishing », qui consiste à obtenir des données sensibles à l’aide de faux e-mails particulièrement convaincants. Les hackers se font par exemple passer pour un collègue ou une banque afin d'inciter leur cible à divulguer des données person-nelles et des informations d'entreprise hautement sensibles. La taille de votre entreprise ne change rien à l’affaire Dans tous les cas, ne pensez pas que la taille de votre entreprise fasse une différence aux yeux des hackers. Grande ou petite, les requins du Net l’ont dans le viseur.
MYTHE N° 2 : Il est possible de quantifier les risques de sécurité. Il s’agit du mythe de la méthode empirique. Or, il est quasiment impossible de quantifier de tels risques. À commencer par le calcul du coût du piratage d’un site Web ou d’une éventuelle infection du réseau.
Comment mesurer l’impact d’un incident sur votre entreprise ? Quel serait le prix d’une violation de propriété intellectuelle ou de données clients ? Comment mesurer l’impact d’un incident sur votre entreprise et le temps qu’il vous faudra pour rétablir votre activité ? À plus long terme, comment calculer le coût du mécontentement de vos clients et de leur exode vers la concurrence ? Toute entreprise a besoin de mesurer l’efficacité de son dispositif Si la quantification exacte du risque est impossible, toute entreprise a néanmoins besoin de mesurer l’efficacité réelle de son dispositif. D’où la nécessité de créer vos dispositifs de sécurité ex nihilo afin de bénéficier d'une vue complète sur votre parc et d'identifier les stratégies et systèmes de sécurité les plus à même de répondre à vos besoins.
MYTHE N° 3 : La sécurité est du ressort du DSSI Certes, le Directeur de la sécurité des systèmes d’informa-tion (DSSI) s’érige en garant de la vision, de la stratégie et du dispositif de sécurité d’une entreprise. Sa mission est d’assurer une protection adaptée de l’information et des technologies. Mais est-il pour autant la seule autorité en matière de sécurité ?
Mieux vaut ne pas centraliser les responsabilités sur une seule personne Une entreprise devrait plutôt axer sa stratégie et ses processus de sécurité de l’information autour de ses besoins spécifiques – ce qui passe par l'implication d'une multitude de collaborateurs et départements à travers l'entreprise. La sécurité de l’information est sortie du domaine exclusif du technique La sécurité de l’information est sortie du domaine exclusif du technique pour s’étendre à d’autres compétences : gestion de l’humain et du risque, proces-sus, juridique, relations publiques, sécurité physique, changement organisa-tionnel, etc. La gestion du risque au coeur de votre approche Il apparaît désormais très clairement qu’en présence d'une typologie de me-naces aussi complexe, une approche de la sécurité de l’information basée sur la gestion du risque s’avère vitale. L’évaluation de ces risques fait intervenir de nombreux acteurs à travers l’entreprise, sous la houlette d’un responsable chargé de la coordination du processus – rôle que le DSSI a pour vocation d’endosser.
MYTHE N° 4 : La technologie 4 SSL est dépassée Depuis quelque temps déjà, certains avancent l’argument selon lequel le système Transport Layer Security (TLS) ou Secure Sockets Layer (SSL) aurait atteint un point de rupture. Pour le camp des anti-SSL, le temps est venu de passer à un nouveau système. Certains vont même jusqu’à soutenir l’idée d’une suppression pure et simple des autorités de certification (AC).
Incidents dus aux lacunes des contrôles de sécurité internes des entités finales Ce jugement fait table rase de tous les avantages que la technologie SSL a su apporter au fil des ans. Si les certificats SSL restent largement reconnus comme le système cryptographique le plus fiable et le plus évolutif du marché, pourquoi un tel acharnement à leur encontre ? Certes, des violations de sécurité mettant en cause le SSL ont fait grand bruit récemment. Mais en y regardant de plus près, ce sont souvent les entités finales et les lacunes de leurs contrôles de sécurité internes qui sont en cause, et non le système dans son ensemble. La technologie SSL n’est pas dépassée et demeure un élément clé de toute stratégie de défense Pour le reste, les certificats SSL jouent depuis plus de 20 ans un rôle ma-jeur dans la sécurité d’Internet et restent encore aujourd’hui la méthode de protection des transactions en ligne la plus éprouvée, la plus fiable et la plus évolutive. Qu’on se le dise : la technologie SSL n’est pas dépassée et demeure un élément clé de toute stratégie de défense.
5 MYTHE N° 5 : Je ne stocke aucune donnée de carte bancaire, donc je n’ai pas besoin de certificat SSL Cela ne vous met pas automatiquement à l’abri, vous, votre entreprise et vos clients. Les cybercriminels peu-vent nuire à votre entreprise et écorner sa réputation de bien d'autres manières.
Vous avez besoin du plus haut niveau de protection possible C'est pourquoi il vous faut vous protéger au maximum pour les maintenir à distance. Ceci passe par la création d’un espace sûr où vos clients se savent à l’abri des menaces, sans oublier un système ultrasécurisé d’identifiants et de mots de passe. Espaces sécurisés Ces « portails » interactifs et personnalisés offrent à vos clients un accès en ligne à des infor-mations sensibles dans un environnement sécurisé. Leur accès pourra éventuellement être limité aux détenteurs d'un certificat électronique afin de renforcer encore davantage la sécurité. Identifiants/mots de passe Toute personne se connectant à votre site devrait utiliser un mot de passe d’au moins 10 carac-tères comprenant des minuscules, des majuscules, des chiffres et des caractères spéciaux. Jamais des identifiants de connexion ne devraient être réutilisés sur d’autres sites Web. Informations personnelles Plus vous collectez de données personnelles (noms, adresses e-mail, numéros de téléphone, adresses postales, etc.), plus vos clients courent le risque de voir leur identité usurpée. Il vous revient donc de prendre les précautions nécessaires, faute de quoi les conséquences pourraient se révéler désastreuses pour vos clients et votre réputation. Les clients sont de plus en plus conscients des risques liés aux achats en ligne et ne commanderont rien sur votre site s’il n’est pas équipé d'un certificat SSL. Même si vous ne vendez pas vos produits ou services en ligne, vos clients apprécieront toujours le soin que vous prenez à protéger leurs données personnelles.
MYTHE N° 6 : Tous les types de certificats 6 émis par une AC se valent. Faux ! Il existe plusieurs types de certificats, dont le degré de fiabilité varie.
Validation de domaine (DV, Domain Validation) Ces certificats low-cost sécurisent le site Web mais n’offrent aucune validation ou authentification de l’entreprise exploitant le site. Validation d’entité (OV, Organisation Validation) Ces certificats sont délivrés au terme d’une authentification complète de l’entre-prise et de son activité par une autorité de certification recourant à des proces-sus de validation manuels établis et acceptés, sans toutefois appliquer les standards les plus rigoureux préconisés par le CA/B Forum*. Validation étendue (EV, Extended Validation) Ces certificats proposent une validation complète conforme aux directives les plus strictes du CA/B Forum, avec à la clé un niveau de sécurité et de confiance maximal pour les utilisateurs. En présence d’un certificat SSL EV, la barre d’a-dresse du navigateur s’affiche en vert pour envoyer un signal visuel fort quant à la sécurité du site. * Organisme de normalisation indépendant, le CA/B Forum impose une vérification approfondie de la légitimité et de l'authenticité d'une entreprise avant toute émission d'un certificat à son nom. DV oV EV
Optez pour un certificat SSL EV d’une AC mondialement reconnue Optez toujours pour un certificat SSL EV d’une autorité de certification mondi-alement reconnue, à l’image de Thawte. Ces certificats garantissent en effet la légitimité de l’entreprise, tandis que les autres types ne valident que le domaine, mais pas ses détenteurs, ni ses exploitants. Ajoutez une marque de confiance Les marques/sceaux de confiance peuvent également servir à rassurer les clients quant à la sécurité de votre site Web. Le sceau de confiance Thawte joue un rôle crucial dans la crédibilisation de votre site Web, dans la mesure où il indique aux internautes que l’identité de son propriétaire a été authenti-fiée et que le site lui-même est sécurisé par un certificat SSL.
7 MYTHE N° 7 : Seuls les sites Web d'apparence suspecte sont vraiment dangereux. Le mien est sûr. Quels que soient le temps, les ressources et les technologies à votre disposition, votre site Web ne sera jamais sûr à 100 %. Mieux vaut ne pas se fier aux apparences, car tout se passe dans l’envers du décor.
Les hackers cherchent et découvrent sans cesse de nouvelles failles Entre la découverte d'une faille et la publication d'un correctif, un laps de temps s’écoule pendant lequel vous êtes à la merci d’une attaque à ou-trance. Ne vous faites aucune illusion : les hackers ont déjà sondé vos systèmes, ils savent quels logiciels vous utilisez et ils sont prêts à tirer parti de n’importe quelle vulnérabilité zero-day qu’ils pourraient y trouver. Les logiciels comportent tous des vulnérabilités Même les sites Web les plus basiques reposent sur des logiciels. Or, ces logiciels contiennent tous des erreurs et des bugs qui les rendent vulnéra-bles. Vous devriez donc tenir un inventaire précis des composants sur lesquels s’appuie votre site Web pour garder un oeil sur les problèmes connus et installer les dernières mises à jour et correctifs. Plus vous leur compliquez la vie, plus ils seront suscepti-bles de passer leur chemin Bien que la sécurité totale d’un site Web reste un mythe, votre objectif devrait être de vous en approcher le plus possible. Les pirates sont des êtres oppor-tunistes. Par conséquent, plus vous leur compliquez la vie, plus ils seront susceptibles de passer leur chemin et de chercher une proie plus facile.
MYTHE N° 8 : 8 De nombreuses entreprises utilisent le protocole SSL/TLS Je n’ai pas besoin d’un certificat SSL pour toutes mes pages Web. (Secure Socket Layer/ Transport Layer Security) pour crypter le processus d’authentification au moment de la connexion des utilisateurs. Mais une fois la connexion établie, elles ne cryptent pas les pages auxquelles ils accéderont en cours de session. Cette pratique d’usage intermittent du SSL ne suffit pas à protéger les utilisateurs face à la prolifération actuelle des menaces.
Les internautes passent de plus en plus de temps connectés Les internautes passent de plus en plus de temps connectés à leurs comptes en ligne, avec pour conséquence directe une explosion des attaques par détournement de session (ou « sidejacking »). Ciblée sur les visiteurs de pages Web HTTP non cryptées après leur connexion à un site, cette méthode consiste à intercepter les cookies (généralement utilisés pour conserver des informations utilisateurs de type noms d’utili-sateur, mots de passe et données de session) dès lors que la protection et le cryptage SSL s'interrompent. Toute entreprise ayant à coeur de protéger ses clients implémentera Always-On SSL Il vous faut un dispositif de sécurité de bout en bout, capable de protéger chaque page Web visitée. C’est là toute la mission d'Always-On SSL. Cette méthode de sécurité simple et économique est conçue pour pro-téger les utilisateurs de votre site Web à chaque étape de leur expérience en ligne. Preuve de son efficacité, Always-On SSL a déjà été adopté par des géants du Net comme Google, Microsoft, PayPal, Symantec, Face-book et Twitter. Toute entreprise ayant à coeur de protéger ses clients et sa réputation suivra leur exemple et implémentera Always-On SSL, à l’aide de certificats SSL d’une autorité de certification réputée.
9MYTHE N° 9 : J’ai un très bon antivirus sur mon réseau. Mes systèmes sont donc protégés. Même le meilleur antivirus ne suffit pas à vous protéger. Très franchement, ceux qui s’en remettent uniquement à leur antivirus vivent dans le passé. Le monde a changé. Dans un contexte de mutation perpétuelle de la cybercriminalité et des malwares, les produits antivirus traditionnels basés sur les signatures doivent lutter contre un trop grand nombre de variantes pour pouvoir faire face.
Quelle que soit la qualité de votre logiciel antivirus, les hack-ers parviendront toujours à déceler une brèche C’est bien connu : dès que les éditeurs de solutions de sécurité, les administra-teurs IT et les utilisateurs renforcent leurs niveaux de protection, les pirates finis-sent toujours par trouver une faille. Par conséquent, quelle que soit la qualité de votre logiciel antivirus, ils parviendront toujours à déceler une brèche sur le sys-tème ou le réseau – voire chez les utilisateurs eux-mêmes – dans laquelle ils n’hésiteront pas à s’engouffrer. Impuissance des produits antivirus comme seul ou principal moyen de défense Face à des attaques par force brute capables de cibler différentes faiblesses sur différents systèmes, sans jamais utiliser la même technique deux fois, on ne s’étonnera pas de l’impuissance des produits antivirus comme seul ou principal moyen de défense. Conséquence : des interruptions de service coûteuses, une désinfection laborieuse et des pertes de données. Un antivirus ne suffit pas – les entreprises doivent s’équiper d’un dispositif de prévention complet En cas de succès, le potentiel économique d’une cyberattaque est énorme. C’est pourquoi les cybercriminels n’hésitent pas à recourir à tout un arsenal de res-sources et compétences pour percer vos lignes de défense. Ne vous y trompez pas : leur détermination et leur malveillance sont appelés à s’intensifier. Pour toutes ces raisons, un antivirus ne suffit plus. Les entreprises doivent s’équiper d’un dispositif de prévention complet qui intègre toute la panoplie des technolo-gies de sécurité actuellement disponibles.
MYTHE N° 10 : Notre pare-feu 10 nous protège contre les attaques Ce mythe encore très répandu tient plus du fantasme que de la réalité.
Les pare-feu doivent être considérés comme une solution de dépannage plutôt que comme un dispositif permanent Certes, le pare-feu remplit un rôle indispensable de contrôle du trafic. Mais le serveur rece-vra aussi des requêtes Web, qui elles ne sont pas filtrées. De la même manière, les pare-feu d’applications Web protègent contre les vulnérabilités connues et le trafic inhabituel, mais ils ne peuvent rien contre les vulnérabilités dans la logique applicative ou dans le code, contre les utilisations valides qui corrompent les données, ni contre les attaques zero-day. Même s’ils peuvent servir au filtrage temporaire du trafic en cas de découverte d’une vulnérabilité, ils doivent être considérés comme une solution de dépannage plutôt que comme un disposi-tif permanent. Les injections SQL permettent de contourner les pare-feu de connexion traditionnels La détection des attaques par injection SQL, une des menaces les plus dangereuses, s'avère particulièrement difficile. Dès lors qu’elle parvient à ses fins, l’injection SQL pourra réduire à néant la sécurité d’un site Web car elle permet de contourner les pare-feu de connexion tradi-tionnels pour envoyer des requêtes SQL vers des bases de données totalement exposées. Les entreprises doivent mettre en place un dispositif de sécurité plus complet La solution ? Un dispositif de sécurité plus complet, capable d’éviter des fuites de données et de détecter efficacement les menaces et violations du système. Au-delà du simple pare-feu, les technologies de protection du périmètre s'avèrent essentielles à la mise en place d'une stratégie efficace de défense multiniveau.
POURQUOI THAWTE ? Certificats Thawte SSL, garants de la protection des données en transit Tous les certificats SSL ne se valent pas. Nous faisons du cryptage SSL notre métier, pour mieux protéger le vôtre. Des millions de personnes dans le monde font déjà confiance à Thawte pour leur sécurité en ligne. Faites comme Reconnaissance mondiale pour sa fiabilité à toute épreuve Des tarifs revus à la baisse pour une sécurité SSL forte à moindre coût Alors protégez vos données, préservez votre activité et inspirez confiance à vos clients grâce à la sécurité xxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxx eux et profitez de nombreux avantages : Certificats numériques à sécurité renforcée Cryptage SSL jusqu’à 256 bits Support mondial multilingue Sceau Thawte Trusted Site renforcée des certificats numériques signés Thawte. https://ssl-certificate-center.thawte.com/ process/retail/thawte_trial_initial?application_ locale=THAWTE_US&tid=a_box_trial ACHETER ÉVALUER PLUS D’INFOS
POUR EN SAVOIR PLUS, LISEZ NOTRE DOCUMENT TECHNIQUE COMPLET ® Décryptage des 10 grands mythes de la sécurité des sites Web Un guide Thawte indispensable DOCUMENT TECHNIQUE 2014 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx TÉLÉCHARGER LE DOCUMENT TECHNIQUE

Recommandé

Guide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forteGuide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forteNis
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification ForteSylvain Maret
 
Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Sylvain Maret
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 
L'authentification forte ou vers la mort du mot de passe
L'authentification forte ou vers la mort du mot de passeL'authentification forte ou vers la mort du mot de passe
L'authentification forte ou vers la mort du mot de passeAlice and Bob
 
Livre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordLivre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordPRONETIS
 
Welcome in the World Wild Web
Welcome in the World Wild WebWelcome in the World Wild Web
Welcome in the World Wild WebHigh-Tech Bridge SA (HTBridge)
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification ForteSylvain Maret
 

Recommandé

Guide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forteGuide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forteNis
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification ForteSylvain Maret
 
Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Sylvain Maret
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 
L'authentification forte ou vers la mort du mot de passe
L'authentification forte ou vers la mort du mot de passeL'authentification forte ou vers la mort du mot de passe
L'authentification forte ou vers la mort du mot de passeAlice and Bob
 
Livre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordLivre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordPRONETIS
 
Welcome in the World Wild Web
Welcome in the World Wild WebWelcome in the World Wild Web
Welcome in the World Wild WebHigh-Tech Bridge SA (HTBridge)
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification ForteSylvain Maret
 
Authentification Forte 1
Authentification Forte 1Authentification Forte 1
Authentification Forte 1Sylvain Maret
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesAndréanne Clarke
 
Biométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériquesBiométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériquesSylvain Maret
 
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...Microsoft
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésNRC
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017NRC
 
Campagne business security
Campagne business securityCampagne business security
Campagne business securityThomas Alostery
 
Agefi 2009 12 16 Mer 04
Agefi 2009 12 16 Mer 04Agefi 2009 12 16 Mer 04
Agefi 2009 12 16 Mer 04Creus Moreira Carlos
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésKévin Guérin
 
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Gaudefroy Ariane
 
Big Data & contrôle des données
Big Data & contrôle des donnéesBig Data & contrôle des données
Big Data & contrôle des donnéesStephane Droxler
 
Livre blanc F-Secure Ransomware - le chantage qui fait déchanter
Livre blanc F-Secure Ransomware - le chantage qui fait déchanterLivre blanc F-Secure Ransomware - le chantage qui fait déchanter
Livre blanc F-Secure Ransomware - le chantage qui fait déchanterNRC
 
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDAQUITAINE
 
Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la s...
Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la s...Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la s...
Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la s...Nis
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)Vumetric
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéNaully Nicolas
 
Quels subsides pour vous aider à faire face aux cybercriminels?
Quels subsides pour vous aider à faire face aux cybercriminels? Quels subsides pour vous aider à faire face aux cybercriminels?
Quels subsides pour vous aider à faire face aux cybercriminels? Lisa Lombardi
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...BEIJAFLORE
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignThierry RAMARD
 
Cyber mois 2021 comment eviter les cyber risques pour les pme
Cyber mois 2021 comment eviter les cyber risques pour les pmeCyber mois 2021 comment eviter les cyber risques pour les pme
Cyber mois 2021 comment eviter les cyber risques pour les pmeGerard Konan
 
Sécurité sur internet
Sécurité sur internetSécurité sur internet
Sécurité sur internetvchambon
 
Cours Secu Web
Cours Secu WebCours Secu Web
Cours Secu WebCedric Foll
 

Contenu connexe

Tendances

Authentification Forte 1
Authentification Forte 1Authentification Forte 1
Authentification Forte 1Sylvain Maret
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesAndréanne Clarke
 
Biométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériquesBiométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériquesSylvain Maret
 
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...Microsoft
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésNRC
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017NRC
 
Campagne business security
Campagne business securityCampagne business security
Campagne business securityThomas Alostery
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésKévin Guérin
 
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Gaudefroy Ariane
 
Big Data & contrôle des données
Big Data & contrôle des donnéesBig Data & contrôle des données
Big Data & contrôle des donnéesStephane Droxler
 
Livre blanc F-Secure Ransomware - le chantage qui fait déchanter
Livre blanc F-Secure Ransomware - le chantage qui fait déchanterLivre blanc F-Secure Ransomware - le chantage qui fait déchanter
Livre blanc F-Secure Ransomware - le chantage qui fait déchanterNRC
 
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDAQUITAINE
 
Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la s...
Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la s...Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la s...
Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la s...Nis
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)Vumetric
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéNaully Nicolas
 
Quels subsides pour vous aider à faire face aux cybercriminels?
Quels subsides pour vous aider à faire face aux cybercriminels? Quels subsides pour vous aider à faire face aux cybercriminels?
Quels subsides pour vous aider à faire face aux cybercriminels? Lisa Lombardi
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...BEIJAFLORE
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignThierry RAMARD
 
Cyber mois 2021 comment eviter les cyber risques pour les pme
Cyber mois 2021 comment eviter les cyber risques pour les pmeCyber mois 2021 comment eviter les cyber risques pour les pme
Cyber mois 2021 comment eviter les cyber risques pour les pmeGerard Konan
 

Tendances (20)

Authentification Forte 1
Authentification Forte 1Authentification Forte 1
Authentification Forte 1
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
 
Biométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériquesBiométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériques
 
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilités
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017
 
Campagne business security
Campagne business securityCampagne business security
Campagne business security
 
Agefi 2009 12 16 Mer 04
Agefi 2009 12 16 Mer 04Agefi 2009 12 16 Mer 04
Agefi 2009 12 16 Mer 04
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectés
 
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017
 
Big Data & contrôle des données
Big Data & contrôle des donnéesBig Data & contrôle des données
Big Data & contrôle des données
 
Livre blanc F-Secure Ransomware - le chantage qui fait déchanter
Livre blanc F-Secure Ransomware - le chantage qui fait déchanterLivre blanc F-Secure Ransomware - le chantage qui fait déchanter
Livre blanc F-Secure Ransomware - le chantage qui fait déchanter
 
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
 
Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la s...
Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la s...Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la s...
Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la s...
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécurité
 
Quels subsides pour vous aider à faire face aux cybercriminels?
Quels subsides pour vous aider à faire face aux cybercriminels? Quels subsides pour vous aider à faire face aux cybercriminels?
Quels subsides pour vous aider à faire face aux cybercriminels?
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By Design
 
Cyber mois 2021 comment eviter les cyber risques pour les pme
Cyber mois 2021 comment eviter les cyber risques pour les pmeCyber mois 2021 comment eviter les cyber risques pour les pme
Cyber mois 2021 comment eviter les cyber risques pour les pme
 

En vedette

Sécurité sur internet
Sécurité sur internetSécurité sur internet
Sécurité sur internetvchambon
 
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesDrupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesJean-Baptiste Guerraz
 
Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégi...
Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégi...Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégi...
Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégi...Symantec
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesXavier Kress
 
Powerpoint réalité augmentée
Powerpoint réalité augmentéePowerpoint réalité augmentée
Powerpoint réalité augmentéeManon Bass
 
Sécurité Web - Les bonnes pratiques pour Joomla
Sécurité Web - Les bonnes pratiques pour JoomlaSécurité Web - Les bonnes pratiques pour Joomla
Sécurité Web - Les bonnes pratiques pour JoomlaAtelier51
 
Realite augmentee et qr codes en éducation
Realite augmentee et qr codes en éducationRealite augmentee et qr codes en éducation
Realite augmentee et qr codes en éducationannedelannoy
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueMaxime ALAY-EDDINE
 
La sécurité sur le web
La sécurité sur le webLa sécurité sur le web
La sécurité sur le webSofteam agency
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Iscom Lyon display 2017 session 1
Iscom Lyon display 2017 session 1Iscom Lyon display 2017 session 1
Iscom Lyon display 2017 session 1D2b Consulting
 
La Réalité Augmentée - C'est quoi ?
La Réalité Augmentée - C'est quoi ?La Réalité Augmentée - C'est quoi ?
La Réalité Augmentée - C'est quoi ?You to You
 
Préparer 2017 avec vous !
Préparer 2017 avec vous !Préparer 2017 avec vous !
Préparer 2017 avec vous !Thehele
 
Connect emploi - Mission locale de Lille
Connect emploi - Mission locale de LilleConnect emploi - Mission locale de Lille
Connect emploi - Mission locale de LilleLes Interconnectés
 
Médias sociaux : Développez des communautés engagées pour soutenir vos effort...
Médias sociaux : Développez des communautés engagées pour soutenir vos effort...Médias sociaux : Développez des communautés engagées pour soutenir vos effort...
Médias sociaux : Développez des communautés engagées pour soutenir vos effort...Pharmascience
 

En vedette (20)

Sécurité sur internet
Sécurité sur internetSécurité sur internet
Sécurité sur internet
 
Cours Secu Web
Cours Secu WebCours Secu Web
Cours Secu Web
 
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesDrupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
 
Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégi...
Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégi...Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégi...
Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégi...
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuelles
 
La réalité augmentée
La réalité augmentéeLa réalité augmentée
La réalité augmentée
 
Powerpoint réalité augmentée
Powerpoint réalité augmentéePowerpoint réalité augmentée
Powerpoint réalité augmentée
 
Sécurité Web - Les bonnes pratiques pour Joomla
Sécurité Web - Les bonnes pratiques pour JoomlaSécurité Web - Les bonnes pratiques pour Joomla
Sécurité Web - Les bonnes pratiques pour Joomla
 
Realite augmentee et qr codes en éducation
Realite augmentee et qr codes en éducationRealite augmentee et qr codes en éducation
Realite augmentee et qr codes en éducation
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
 
La sécurité sur le web
La sécurité sur le webLa sécurité sur le web
La sécurité sur le web
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Iscom Lyon display 2017 session 1
Iscom Lyon display 2017 session 1Iscom Lyon display 2017 session 1
Iscom Lyon display 2017 session 1
 
La Réalité Augmentée - C'est quoi ?
La Réalité Augmentée - C'est quoi ?La Réalité Augmentée - C'est quoi ?
La Réalité Augmentée - C'est quoi ?
 
Préparer 2017 avec vous !
Préparer 2017 avec vous !Préparer 2017 avec vous !
Préparer 2017 avec vous !
 
Ppt abel2
Ppt abel2Ppt abel2
Ppt abel2
 
Connect emploi - Mission locale de Lille
Connect emploi - Mission locale de LilleConnect emploi - Mission locale de Lille
Connect emploi - Mission locale de Lille
 
Amor cibernetico
Amor ciberneticoAmor cibernetico
Amor cibernetico
 
Jd 22 coordinations
Jd 22 coordinationsJd 22 coordinations
Jd 22 coordinations
 
Médias sociaux : Développez des communautés engagées pour soutenir vos effort...
Médias sociaux : Développez des communautés engagées pour soutenir vos effort...Médias sociaux : Développez des communautés engagées pour soutenir vos effort...
Médias sociaux : Développez des communautés engagées pour soutenir vos effort...
 

Similaire à DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web

Thawte Guide gratuit : Comment EV transforme le visiteur en acheteur
Thawte Guide gratuit : Comment EV transforme le visiteur en acheteurThawte Guide gratuit : Comment EV transforme le visiteur en acheteur
Thawte Guide gratuit : Comment EV transforme le visiteur en acheteurThawte
 
Flyer certificats ssl
Flyer certificats sslFlyer certificats ssl
Flyer certificats sslSSL247®
 
La nécessité de la dlp aujourd’hui un livre blanc clearswift
La nécessité de la dlp aujourd’hui un livre blanc clearswiftLa nécessité de la dlp aujourd’hui un livre blanc clearswift
La nécessité de la dlp aujourd’hui un livre blanc clearswiftBen Rothke
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti servicesAurélie Sondag
 
Cap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirCap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirEY
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesAndréanne Clarke
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverPECB
 
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Sylvain Maret
 
Guide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatiqueGuide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatiqueLaurent DAST
 
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSILe guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSICGPME des Pays de la Loire
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...polenumerique33
 
Brochure Semlex Group FR
Brochure Semlex Group FRBrochure Semlex Group FR
Brochure Semlex Group FRSemlex Europe
 
LE DSI LIBERE #2
LE DSI LIBERE #2LE DSI LIBERE #2
LE DSI LIBERE #2AIR-LYNX
 
Séminaire Accenture/FireEye le 22 juillet
Séminaire Accenture/FireEye le 22 juillet Séminaire Accenture/FireEye le 22 juillet
Séminaire Accenture/FireEye le 22 juillet Eric Meunier
 
Séminaire Accenture/FireEye le 22 juillet sur la péniche Henjo
Séminaire Accenture/FireEye le 22 juillet sur la péniche HenjoSéminaire Accenture/FireEye le 22 juillet sur la péniche Henjo
Séminaire Accenture/FireEye le 22 juillet sur la péniche HenjoEric Meunier
 
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...OpinionWay
 

Similaire à DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web (20)

Thawte Guide gratuit : Comment EV transforme le visiteur en acheteur
Thawte Guide gratuit : Comment EV transforme le visiteur en acheteurThawte Guide gratuit : Comment EV transforme le visiteur en acheteur
Thawte Guide gratuit : Comment EV transforme le visiteur en acheteur
 
Flyer certificats ssl
Flyer certificats sslFlyer certificats ssl
Flyer certificats ssl
 
La nécessité de la dlp aujourd’hui un livre blanc clearswift
La nécessité de la dlp aujourd’hui un livre blanc clearswiftLa nécessité de la dlp aujourd’hui un livre blanc clearswift
La nécessité de la dlp aujourd’hui un livre blanc clearswift
 
Les leçons en cybersécurité – pas encore gagné
Les leçons en cybersécurité – pas encore gagnéLes leçons en cybersécurité – pas encore gagné
Les leçons en cybersécurité – pas encore gagné
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti services
 
Cap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirCap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagir
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
 
Guide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatiqueGuide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatique
 
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSILe guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...
 
Brochure SEMLEX
Brochure SEMLEXBrochure SEMLEX
Brochure SEMLEX
 
Brochura
BrochuraBrochura
Brochura
 
Brochure Semlex Group FR
Brochure Semlex Group FRBrochure Semlex Group FR
Brochure Semlex Group FR
 
LE DSI LIBERE #2
LE DSI LIBERE #2LE DSI LIBERE #2
LE DSI LIBERE #2
 
Séminaire Accenture/FireEye le 22 juillet
Séminaire Accenture/FireEye le 22 juillet Séminaire Accenture/FireEye le 22 juillet
Séminaire Accenture/FireEye le 22 juillet
 
Séminaire Accenture/FireEye le 22 juillet sur la péniche Henjo
Séminaire Accenture/FireEye le 22 juillet sur la péniche HenjoSéminaire Accenture/FireEye le 22 juillet sur la péniche Henjo
Séminaire Accenture/FireEye le 22 juillet sur la péniche Henjo
 
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
 
Sécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisSécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francais
 

DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web

  • 1. DÉCRYPTAGE DES 10 GRANDS MYTHES DE LA SÉCURITÉ DES SITES WEB
  • 2. INTRODUCTION De nombreuses entreprises n’ont même pas mis en place les moindres dispositifs de protection de base. Elles préfèrent se complaire dans la mythologie qui entoure la sécurité des sites Web. Il en résulte une politique de l'autruche face aux dangers auxquels CHAQUE entreprise est pourtant confrontée. Pour vraiment assurer leur sécurité, elles doivent se remettre en question et ouvrir les yeux pour consolider leurs défenses, leurs politiques d’entreprise, leurs pratiques et procédures au maximum de leurs possibilités, avant de les réévaluer et de les renforcer encore davantage. C’est dans cette optique que nous vous proposons ici d'étudier et de démonter un à un les mythes de la protection des sites Web.
  • 3. MYTHE N° 1 : Le piratage ? Ça n’arrive qu’aux autres ! Beaucoup pensent que leur site Web représente un si petit poisson dans l’océan du Net qu’aucun hacker n’y prêtera la moindre attention. Grave erreur. Aujourd’hui, les pirates tendent de très larges filets sous la forme de scripts automatisés.
  • 4. Partez du principe que votre site Web est sous la sur-veillance permanente des pirates Si vous pensez que les hackers sondent votre site Web en permanence, vous n’êtes pas loin de la vérité. Votre site n’a peut-être aucune valeur apparente, mais sa base de données SQL sous-jacente pourrait bien constituer un terrain fertile pour l’usurpation d’identités. Votre base de données SQL, terrain fertile de l’usur-pation d’identités Au lieu d’une attaque frontale, les hackers vous font donc courir un risque beaucoup plus subtil : celui de modifications apportées à votre site à votre insu. Autre ligne d’attaque en vogue : le « spear phishing », qui consiste à obtenir des données sensibles à l’aide de faux e-mails particulièrement convaincants. Les hackers se font par exemple passer pour un collègue ou une banque afin d'inciter leur cible à divulguer des données person-nelles et des informations d'entreprise hautement sensibles. La taille de votre entreprise ne change rien à l’affaire Dans tous les cas, ne pensez pas que la taille de votre entreprise fasse une différence aux yeux des hackers. Grande ou petite, les requins du Net l’ont dans le viseur.
  • 5. MYTHE N° 2 : Il est possible de quantifier les risques de sécurité. Il s’agit du mythe de la méthode empirique. Or, il est quasiment impossible de quantifier de tels risques. À commencer par le calcul du coût du piratage d’un site Web ou d’une éventuelle infection du réseau.
  • 6. Comment mesurer l’impact d’un incident sur votre entreprise ? Quel serait le prix d’une violation de propriété intellectuelle ou de données clients ? Comment mesurer l’impact d’un incident sur votre entreprise et le temps qu’il vous faudra pour rétablir votre activité ? À plus long terme, comment calculer le coût du mécontentement de vos clients et de leur exode vers la concurrence ? Toute entreprise a besoin de mesurer l’efficacité de son dispositif Si la quantification exacte du risque est impossible, toute entreprise a néanmoins besoin de mesurer l’efficacité réelle de son dispositif. D’où la nécessité de créer vos dispositifs de sécurité ex nihilo afin de bénéficier d'une vue complète sur votre parc et d'identifier les stratégies et systèmes de sécurité les plus à même de répondre à vos besoins.
  • 7. MYTHE N° 3 : La sécurité est du ressort du DSSI Certes, le Directeur de la sécurité des systèmes d’informa-tion (DSSI) s’érige en garant de la vision, de la stratégie et du dispositif de sécurité d’une entreprise. Sa mission est d’assurer une protection adaptée de l’information et des technologies. Mais est-il pour autant la seule autorité en matière de sécurité ?
  • 8. Mieux vaut ne pas centraliser les responsabilités sur une seule personne Une entreprise devrait plutôt axer sa stratégie et ses processus de sécurité de l’information autour de ses besoins spécifiques – ce qui passe par l'implication d'une multitude de collaborateurs et départements à travers l'entreprise. La sécurité de l’information est sortie du domaine exclusif du technique La sécurité de l’information est sortie du domaine exclusif du technique pour s’étendre à d’autres compétences : gestion de l’humain et du risque, proces-sus, juridique, relations publiques, sécurité physique, changement organisa-tionnel, etc. La gestion du risque au coeur de votre approche Il apparaît désormais très clairement qu’en présence d'une typologie de me-naces aussi complexe, une approche de la sécurité de l’information basée sur la gestion du risque s’avère vitale. L’évaluation de ces risques fait intervenir de nombreux acteurs à travers l’entreprise, sous la houlette d’un responsable chargé de la coordination du processus – rôle que le DSSI a pour vocation d’endosser.
  • 9. MYTHE N° 4 : La technologie 4 SSL est dépassée Depuis quelque temps déjà, certains avancent l’argument selon lequel le système Transport Layer Security (TLS) ou Secure Sockets Layer (SSL) aurait atteint un point de rupture. Pour le camp des anti-SSL, le temps est venu de passer à un nouveau système. Certains vont même jusqu’à soutenir l’idée d’une suppression pure et simple des autorités de certification (AC).
  • 10. Incidents dus aux lacunes des contrôles de sécurité internes des entités finales Ce jugement fait table rase de tous les avantages que la technologie SSL a su apporter au fil des ans. Si les certificats SSL restent largement reconnus comme le système cryptographique le plus fiable et le plus évolutif du marché, pourquoi un tel acharnement à leur encontre ? Certes, des violations de sécurité mettant en cause le SSL ont fait grand bruit récemment. Mais en y regardant de plus près, ce sont souvent les entités finales et les lacunes de leurs contrôles de sécurité internes qui sont en cause, et non le système dans son ensemble. La technologie SSL n’est pas dépassée et demeure un élément clé de toute stratégie de défense Pour le reste, les certificats SSL jouent depuis plus de 20 ans un rôle ma-jeur dans la sécurité d’Internet et restent encore aujourd’hui la méthode de protection des transactions en ligne la plus éprouvée, la plus fiable et la plus évolutive. Qu’on se le dise : la technologie SSL n’est pas dépassée et demeure un élément clé de toute stratégie de défense.
  • 11. 5 MYTHE N° 5 : Je ne stocke aucune donnée de carte bancaire, donc je n’ai pas besoin de certificat SSL Cela ne vous met pas automatiquement à l’abri, vous, votre entreprise et vos clients. Les cybercriminels peu-vent nuire à votre entreprise et écorner sa réputation de bien d'autres manières.
  • 12. Vous avez besoin du plus haut niveau de protection possible C'est pourquoi il vous faut vous protéger au maximum pour les maintenir à distance. Ceci passe par la création d’un espace sûr où vos clients se savent à l’abri des menaces, sans oublier un système ultrasécurisé d’identifiants et de mots de passe. Espaces sécurisés Ces « portails » interactifs et personnalisés offrent à vos clients un accès en ligne à des infor-mations sensibles dans un environnement sécurisé. Leur accès pourra éventuellement être limité aux détenteurs d'un certificat électronique afin de renforcer encore davantage la sécurité. Identifiants/mots de passe Toute personne se connectant à votre site devrait utiliser un mot de passe d’au moins 10 carac-tères comprenant des minuscules, des majuscules, des chiffres et des caractères spéciaux. Jamais des identifiants de connexion ne devraient être réutilisés sur d’autres sites Web. Informations personnelles Plus vous collectez de données personnelles (noms, adresses e-mail, numéros de téléphone, adresses postales, etc.), plus vos clients courent le risque de voir leur identité usurpée. Il vous revient donc de prendre les précautions nécessaires, faute de quoi les conséquences pourraient se révéler désastreuses pour vos clients et votre réputation. Les clients sont de plus en plus conscients des risques liés aux achats en ligne et ne commanderont rien sur votre site s’il n’est pas équipé d'un certificat SSL. Même si vous ne vendez pas vos produits ou services en ligne, vos clients apprécieront toujours le soin que vous prenez à protéger leurs données personnelles.
  • 13. MYTHE N° 6 : Tous les types de certificats 6 émis par une AC se valent. Faux ! Il existe plusieurs types de certificats, dont le degré de fiabilité varie.
  • 14. Validation de domaine (DV, Domain Validation) Ces certificats low-cost sécurisent le site Web mais n’offrent aucune validation ou authentification de l’entreprise exploitant le site. Validation d’entité (OV, Organisation Validation) Ces certificats sont délivrés au terme d’une authentification complète de l’entre-prise et de son activité par une autorité de certification recourant à des proces-sus de validation manuels établis et acceptés, sans toutefois appliquer les standards les plus rigoureux préconisés par le CA/B Forum*. Validation étendue (EV, Extended Validation) Ces certificats proposent une validation complète conforme aux directives les plus strictes du CA/B Forum, avec à la clé un niveau de sécurité et de confiance maximal pour les utilisateurs. En présence d’un certificat SSL EV, la barre d’a-dresse du navigateur s’affiche en vert pour envoyer un signal visuel fort quant à la sécurité du site. * Organisme de normalisation indépendant, le CA/B Forum impose une vérification approfondie de la légitimité et de l'authenticité d'une entreprise avant toute émission d'un certificat à son nom. DV oV EV
  • 15. Optez pour un certificat SSL EV d’une AC mondialement reconnue Optez toujours pour un certificat SSL EV d’une autorité de certification mondi-alement reconnue, à l’image de Thawte. Ces certificats garantissent en effet la légitimité de l’entreprise, tandis que les autres types ne valident que le domaine, mais pas ses détenteurs, ni ses exploitants. Ajoutez une marque de confiance Les marques/sceaux de confiance peuvent également servir à rassurer les clients quant à la sécurité de votre site Web. Le sceau de confiance Thawte joue un rôle crucial dans la crédibilisation de votre site Web, dans la mesure où il indique aux internautes que l’identité de son propriétaire a été authenti-fiée et que le site lui-même est sécurisé par un certificat SSL.
  • 16. 7 MYTHE N° 7 : Seuls les sites Web d'apparence suspecte sont vraiment dangereux. Le mien est sûr. Quels que soient le temps, les ressources et les technologies à votre disposition, votre site Web ne sera jamais sûr à 100 %. Mieux vaut ne pas se fier aux apparences, car tout se passe dans l’envers du décor.
  • 17. Les hackers cherchent et découvrent sans cesse de nouvelles failles Entre la découverte d'une faille et la publication d'un correctif, un laps de temps s’écoule pendant lequel vous êtes à la merci d’une attaque à ou-trance. Ne vous faites aucune illusion : les hackers ont déjà sondé vos systèmes, ils savent quels logiciels vous utilisez et ils sont prêts à tirer parti de n’importe quelle vulnérabilité zero-day qu’ils pourraient y trouver. Les logiciels comportent tous des vulnérabilités Même les sites Web les plus basiques reposent sur des logiciels. Or, ces logiciels contiennent tous des erreurs et des bugs qui les rendent vulnéra-bles. Vous devriez donc tenir un inventaire précis des composants sur lesquels s’appuie votre site Web pour garder un oeil sur les problèmes connus et installer les dernières mises à jour et correctifs. Plus vous leur compliquez la vie, plus ils seront suscepti-bles de passer leur chemin Bien que la sécurité totale d’un site Web reste un mythe, votre objectif devrait être de vous en approcher le plus possible. Les pirates sont des êtres oppor-tunistes. Par conséquent, plus vous leur compliquez la vie, plus ils seront susceptibles de passer leur chemin et de chercher une proie plus facile.
  • 18. MYTHE N° 8 : 8 De nombreuses entreprises utilisent le protocole SSL/TLS Je n’ai pas besoin d’un certificat SSL pour toutes mes pages Web. (Secure Socket Layer/ Transport Layer Security) pour crypter le processus d’authentification au moment de la connexion des utilisateurs. Mais une fois la connexion établie, elles ne cryptent pas les pages auxquelles ils accéderont en cours de session. Cette pratique d’usage intermittent du SSL ne suffit pas à protéger les utilisateurs face à la prolifération actuelle des menaces.
  • 19. Les internautes passent de plus en plus de temps connectés Les internautes passent de plus en plus de temps connectés à leurs comptes en ligne, avec pour conséquence directe une explosion des attaques par détournement de session (ou « sidejacking »). Ciblée sur les visiteurs de pages Web HTTP non cryptées après leur connexion à un site, cette méthode consiste à intercepter les cookies (généralement utilisés pour conserver des informations utilisateurs de type noms d’utili-sateur, mots de passe et données de session) dès lors que la protection et le cryptage SSL s'interrompent. Toute entreprise ayant à coeur de protéger ses clients implémentera Always-On SSL Il vous faut un dispositif de sécurité de bout en bout, capable de protéger chaque page Web visitée. C’est là toute la mission d'Always-On SSL. Cette méthode de sécurité simple et économique est conçue pour pro-téger les utilisateurs de votre site Web à chaque étape de leur expérience en ligne. Preuve de son efficacité, Always-On SSL a déjà été adopté par des géants du Net comme Google, Microsoft, PayPal, Symantec, Face-book et Twitter. Toute entreprise ayant à coeur de protéger ses clients et sa réputation suivra leur exemple et implémentera Always-On SSL, à l’aide de certificats SSL d’une autorité de certification réputée.
  • 20. 9MYTHE N° 9 : J’ai un très bon antivirus sur mon réseau. Mes systèmes sont donc protégés. Même le meilleur antivirus ne suffit pas à vous protéger. Très franchement, ceux qui s’en remettent uniquement à leur antivirus vivent dans le passé. Le monde a changé. Dans un contexte de mutation perpétuelle de la cybercriminalité et des malwares, les produits antivirus traditionnels basés sur les signatures doivent lutter contre un trop grand nombre de variantes pour pouvoir faire face.
  • 21. Quelle que soit la qualité de votre logiciel antivirus, les hack-ers parviendront toujours à déceler une brèche C’est bien connu : dès que les éditeurs de solutions de sécurité, les administra-teurs IT et les utilisateurs renforcent leurs niveaux de protection, les pirates finis-sent toujours par trouver une faille. Par conséquent, quelle que soit la qualité de votre logiciel antivirus, ils parviendront toujours à déceler une brèche sur le sys-tème ou le réseau – voire chez les utilisateurs eux-mêmes – dans laquelle ils n’hésiteront pas à s’engouffrer. Impuissance des produits antivirus comme seul ou principal moyen de défense Face à des attaques par force brute capables de cibler différentes faiblesses sur différents systèmes, sans jamais utiliser la même technique deux fois, on ne s’étonnera pas de l’impuissance des produits antivirus comme seul ou principal moyen de défense. Conséquence : des interruptions de service coûteuses, une désinfection laborieuse et des pertes de données. Un antivirus ne suffit pas – les entreprises doivent s’équiper d’un dispositif de prévention complet En cas de succès, le potentiel économique d’une cyberattaque est énorme. C’est pourquoi les cybercriminels n’hésitent pas à recourir à tout un arsenal de res-sources et compétences pour percer vos lignes de défense. Ne vous y trompez pas : leur détermination et leur malveillance sont appelés à s’intensifier. Pour toutes ces raisons, un antivirus ne suffit plus. Les entreprises doivent s’équiper d’un dispositif de prévention complet qui intègre toute la panoplie des technolo-gies de sécurité actuellement disponibles.
  • 22. MYTHE N° 10 : Notre pare-feu 10 nous protège contre les attaques Ce mythe encore très répandu tient plus du fantasme que de la réalité.
  • 23. Les pare-feu doivent être considérés comme une solution de dépannage plutôt que comme un dispositif permanent Certes, le pare-feu remplit un rôle indispensable de contrôle du trafic. Mais le serveur rece-vra aussi des requêtes Web, qui elles ne sont pas filtrées. De la même manière, les pare-feu d’applications Web protègent contre les vulnérabilités connues et le trafic inhabituel, mais ils ne peuvent rien contre les vulnérabilités dans la logique applicative ou dans le code, contre les utilisations valides qui corrompent les données, ni contre les attaques zero-day. Même s’ils peuvent servir au filtrage temporaire du trafic en cas de découverte d’une vulnérabilité, ils doivent être considérés comme une solution de dépannage plutôt que comme un disposi-tif permanent. Les injections SQL permettent de contourner les pare-feu de connexion traditionnels La détection des attaques par injection SQL, une des menaces les plus dangereuses, s'avère particulièrement difficile. Dès lors qu’elle parvient à ses fins, l’injection SQL pourra réduire à néant la sécurité d’un site Web car elle permet de contourner les pare-feu de connexion tradi-tionnels pour envoyer des requêtes SQL vers des bases de données totalement exposées. Les entreprises doivent mettre en place un dispositif de sécurité plus complet La solution ? Un dispositif de sécurité plus complet, capable d’éviter des fuites de données et de détecter efficacement les menaces et violations du système. Au-delà du simple pare-feu, les technologies de protection du périmètre s'avèrent essentielles à la mise en place d'une stratégie efficace de défense multiniveau.
  • 24. POURQUOI THAWTE ? Certificats Thawte SSL, garants de la protection des données en transit Tous les certificats SSL ne se valent pas. Nous faisons du cryptage SSL notre métier, pour mieux protéger le vôtre. Des millions de personnes dans le monde font déjà confiance à Thawte pour leur sécurité en ligne. Faites comme Reconnaissance mondiale pour sa fiabilité à toute épreuve Des tarifs revus à la baisse pour une sécurité SSL forte à moindre coût Alors protégez vos données, préservez votre activité et inspirez confiance à vos clients grâce à la sécurité xxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxx eux et profitez de nombreux avantages : Certificats numériques à sécurité renforcée Cryptage SSL jusqu’à 256 bits Support mondial multilingue Sceau Thawte Trusted Site renforcée des certificats numériques signés Thawte. https://ssl-certificate-center.thawte.com/ process/retail/thawte_trial_initial?application_ locale=THAWTE_US&tid=a_box_trial ACHETER ÉVALUER PLUS D’INFOS
  • 25. POUR EN SAVOIR PLUS, LISEZ NOTRE DOCUMENT TECHNIQUE COMPLET ® Décryptage des 10 grands mythes de la sécurité des sites Web Un guide Thawte indispensable DOCUMENT TECHNIQUE 2014 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx TÉLÉCHARGER LE DOCUMENT TECHNIQUE