Tests d'intrusion : l'ultime rempart contre les pirates
Des sociétés inconscientes de leurs vulnérabilités
"Un site n'est jamais à 100% sécurisé. Cela n'existe pas. Cependant, les tests d'intrusion sont limités dans le temps, et ont également un budget imposé. Il est donc possible de rendre un rapport sans vulnérabilité critique au bout d'une semaine. Mais, un pirate pourra, lui, avoir à la fois plus de temps et d'argent... ", explique l'expert Hervé Troalic. Après 15 ans d'audits et de "pentests", l'expert a souvent rencontré des sites de grands groupes ou de PME laissant passer un grand nombre de failles critiques.
Des PME moins sécurisées que les grands groupes : mythe ou réalité ?
Même constat chez WebSure, dont l'offre d'audit de sécurité vise surtout les PME. Pire : "Les sociétés n'ont souvent pas du tout conscience de leurs vulnérabilités et surtout des risques qu'elles encourent. Elles sont souvent très surprises de nos conclusions. Les sites des PME sont sans doute moins sécurisés que ceux des grands groupes, mais plus un site est grand, plus il est complexe, et plus il risque donc de présenter des failles", fait remarquer Jonathan Azria, expert en sécurité chez WebSure. Il cite notamment l'exemple de Sony, qui a "laissé une brèche assez grave sur une page de FAQ périphérique", qui lui a valu l'un des nombreux piratages qui l'ont affecté dernièrement.
"Découvrir une faille est une chose, l'exploiter réellement en est une autre."
"Les PME ne peuvent pas toujours consacrer 800 euros par journée pour des audits de sécurité pouvant coûter jusqu'à 15 ou 20 000 euros. Les plus grands comptes ont plus les moyens", explique Hervé Troalic, qui souligne aussi que les auditeurs peuvent aller plus ou moins loin lors de leurs tests.
"Découvrir une faille est une chose, l'exploiter réellement en est une autre. Les meilleurs auditeurs sont capables d'écrire le code eux-mêmes pour vérifier s'ils arrivent réellement à exploiter la faille en conditions réelles. D'autres pourront se contenter de codes déjà existants, trouvables sur Internet", remarque Hervé Troalic.
WebSure dispose de son côté d'une offre dédiée aux PME. Tarif minimum : 100 euros, pour un audit reposant notamment sur le moteur de recherche de failles Acunetix, et proposant ensuite plusieurs types de rapports : techniques pour la remédiation, et simplifiés pour une direction générale pas toujours experte en sécurité informatique.
Les informations recueillies sont destinées à CCM Benchmark Group pour vous assurer l'envoi de votre newsletter.
Elles seront également utilisées sous réserve des options souscrites, par CCM Benchmark Group à des fins de ciblage publicitaire et prospection commerciale au sein du Groupe Le Figaro, ainsi qu’avec nos partenaires commerciaux.
Le traitement de votre email à des fins de publicité et de contenus personnalisés est réalisé lors de votre inscription sur ce formulaire. Toutefois, vous pouvez vous y opposer à tout moment
Plus généralement, vous bénéficiez d'un droit d'accès et de rectification de vos données personnelles, ainsi que celui d'en demander l'effacement dans les limites prévues par la loi. Vous pouvez également à tout moment revoir vos options en matière de prospection commerciale et ciblage. En savoir plus sur notre politique de confidentialité ou notre politique Cookies.
