Dans une écrasante majorité, les sites Web des entreprises sont truffés de failles de sécurité. De vraies passoires pour les pirates ! Les choses pourraient changer grâce à AGS qui lance un service d’audit automatique 250 euros.
Thierry Cossavella, directeur d’AGS. © D.R.
« Nous avons audité la boutique électronique d’une très grande enseigne. Résultat : plus de 700 failles de sécurité ! », rapporte Thierry Cossavella, le directeur d’AGS (Athena Global Services), un cabinet spécialisé dans la sécurité des systèmes d’information. Bien sûr, cette enseigne a réalisé un audit de sécurité avant de procéder aux corrections qui s’imposaient. Reste une question : si les sites Web »gros poissons » sont truffés de failles, qu’en est-il de ceux des TPE-PME ?
Manque de sécurité en conception. « Les attaques de sites Web comptent parmi les premières menaces car ils sont très peu protégés. Du pain béni pour les pirates ! », s’enflamme Thierry Cossavella. Les TPE-PME pensent qu’elles sont trop petites pour intéresser les malfaiteurs. Erreur : la majorité des attaques vise à »squatter » leurs sites Web. Par exemple pour y héberger clandestinement un serveur de Phishing (hameçonnage) ou des photos pédo-pornographiques… « Presque tous les serveurs sont des proies potentielles. La raison ? « Les développeurs de sites Web font du design. Ils n’ont pas été formés pour développer un site tout en sécurisant le code », explique le patron d’AGS. Or les failles proviennent en priorité du logiciel de publication sur Internet (CMS : Content Management System) qui constitue la colonne vertébrale du site ; ainsi que des développements spécifiques autour du CMS.
Service automatisé. Jusqu’ici, les exploitants de sites Web se sont adressés à des cabinets spécialisés qui, grâce à des outils sophistiqués, réalisent des audits de sécurité informatique. Une opération qui peut coûter plusieurs milliers d’euros. AGS, qui a fait la même chose, vient de lancer WebSure Essential, un service Web qui industrialise l’audit de sécurité des sites Web pour à peine 250 euros. On achète une licence (valable pour un seul test), on active la licence et on lance le test. Une heure à un jour plus tard, on reçoit par mail un rapport de synthèse (pour le dirigeant d’entreprise) et un rapport détaillé (pour le développeur) qui liste toutes les failles. Précision : les deux rapports sont en anglais. A côté de ce produit d’appel, AGS commercialise une version à 500 euro qui offre des rapports en français. Ainsi qu’une version (800 euros) qui indique précisément à quelles lignes de code se trouvent les failles et avec quelles méthodes les combler. Une chose est sûre : les agences Web pourront développer leurs sites en veillant à la sécurité sans se ruiner.
© Erick Haehnsen
Jeu de briques
Snake
Pacman
Bubble