Tests d'intrusion : l'ultime rempart contre les pirates Des sociétés inconscientes de leurs vulnérabilités

"Un site n'est jamais à 100% sécurisé. Cela n'existe pas. Cependant, les tests d'intrusion sont limités dans le temps, et ont également un budget imposé. Il est donc possible de rendre un rapport sans vulnérabilité critique au bout d'une semaine. Mais, un pirate pourra, lui, avoir à la fois plus de temps et d'argent... ", explique l'expert Hervé Troalic. Après 15 ans d'audits et de "pentests", l'expert a souvent rencontré des sites de grands groupes ou de PME laissant passer un grand nombre de failles critiques.

 

jonathan azria, expert sécurité chez websure.
Jonathan Azria, expert sécurité chez Websure. © Websure

Des PME moins sécurisées que les grands groupes : mythe ou réalité ?

 

Même constat chez WebSure, dont l'offre d'audit de sécurité vise surtout les PME. Pire : "Les sociétés n'ont souvent pas du tout conscience de leurs vulnérabilités et surtout des risques qu'elles encourent. Elles sont souvent très surprises de nos conclusions. Les sites des PME sont sans doute moins sécurisés que ceux des grands groupes, mais plus un site est grand, plus il est complexe, et plus il risque donc de présenter des failles", fait remarquer Jonathan Azria, expert en sécurité chez WebSure. Il cite notamment l'exemple de Sony, qui a "laissé une brèche assez grave sur une page de FAQ périphérique", qui lui a valu l'un des nombreux piratages qui l'ont affecté dernièrement.  


"Découvrir une faille est une chose, l'exploiter réellement en est une autre."

"Les PME ne peuvent pas toujours consacrer 800 euros par journée pour des audits de sécurité pouvant coûter jusqu'à 15 ou 20 000 euros. Les plus grands comptes ont plus les moyens", explique Hervé Troalic, qui souligne aussi que les auditeurs peuvent aller plus ou moins loin lors de leurs tests.

"Découvrir une faille est une chose, l'exploiter réellement en est une autre. Les meilleurs auditeurs sont capables d'écrire le code eux-mêmes pour vérifier s'ils arrivent réellement à exploiter la faille en conditions réelles. D'autres pourront se contenter de codes déjà existants, trouvables sur Internet", remarque Hervé Troalic.

 

WebSure dispose de son côté d'une offre dédiée aux PME. Tarif minimum : 100 euros, pour un audit reposant notamment sur le moteur de recherche de failles Acunetix, et proposant ensuite plusieurs types de rapports : techniques pour la remédiation, et simplifiés pour une direction générale pas toujours experte en sécurité informatique.

Faille / PME