La porte arrière de votre maison reste-t-elle ouverte ?
La sécurité des sites web d’entreprises ou de pouvoirs publics demeure trop souvent négligée
Koen Claessens, Partner BDO Risk Advisory
Alors que les cybercriminels professionnalisent leur activité et que les cyberattaques augmentent significativement, la majorité de nos entreprises et gouvernements continuent de se débattre avec leur cybersécurité. Tel est le constat frappant de notre analyse à grande échelle portant sur plus de 15.000 sites web belges. 1 site web sur 3 fonctionne encore avec une technologie obsolète. Votre entreprise dispose-t-elle d’un plan de gestion des incidents adéquat ?
E-mails de la Défense bloqués, trafic internet d’établissements scolaires ou universitaires paralysés, importante enseigne d’électroménager victime d’une attaque de ransomware à grande échelle, données de la Croix-Rouge hackées… Ces quelques exemples récents démontrent la gravité que représentent les cyberattaques dans notre pays. Nos entreprises ne semblent pourtant pas vraiment se soucier beaucoup de leur sécurité, à voir la manière dont elles sécurisent leurs sites web.
Notre analyse de plus de 15.000 sites web révèle que la plupart des secteurs d’activité ne présentent pas un meilleur bilan de sécurité que l’an passé. Mauvaise nouvelle car dans le monde de la cybersécurité, stagner équivaut à reculer ! 1 site web d’entreprise ou d’administration sur 6 dans notre pays reste particulièrement vulnérable aux cyberattaques. C’est légèrement mieux qu’il y a 1 an (ce chiffre était alors d’1 sur 5) mais il n’y a pas de quoi se réjouir. « Il est effrayant de constater que la sécurité des sites web des entreprises et des pouvoirs publics belges n’évolue pas, explique Francis Oostvogels, Senior Manager chez BDO Risk Advisory. « En termes de sécurité, stagner équivaut à reculer. La fréquence des cyberattaques augmente et les hackers exploitent les vulnérabilités des logiciels plus rapidement que jamais. Quand on sait que le site web d’une entreprise reflète sa manière de gérer sa sécurité, pas étonnant que ceux qui sont mal sécurisés attirent les hackers. »
Technologie obsolète
Notre étude indique clairement où le bât blesse en matière de sécurité de nos entreprises et pouvoirs publics. Près de 3x plus de noms de domaine présentent un défaut de sécurisation par rapport à 2021 (2 noms de domaines sur 3 contre « seulement » 1 sur 4 l’an passé). 1 site web d’entreprise sur 3 en Belgique laisse fuir des informations sensibles en utilisant des technologies dépassées (protocoles TLS ou FTP, par ex.) et 1 sur 6 ne dispose même pas de connexion HTTPS sécurisée.
« La porte arrière de votre maison reste-t-elle toujours ouverte ? », demande Nick Huysmans, Manager chez BDO Risk Advisory. « Bien sûr que non. C’est pourtant ce que font ceux qui utilisent encore les protocoles TLS ou FTP sur leur site web. Sans connexion HTTPS sécurisée, vous laissez les hackers récupérer sur votre site web des infos sensibles comme votre numéro de GSM ou vos mots de passe. Un nom de domaine non sécurisé permet aux pirates de rediriger les visiteurs vers de faux sites où des informations et de l’argent peuvent être détournés. Sachez que les hackers utilisent toutes les informations qu’ils peuvent trouver car elles améliorent leurs méthodes d’action. Pendant ce temps, la technologie de la plupart de nos entreprises ou autorités publiques stagne… Quiconque ne fait rien pour améliorer sa cybersécurité représente une proie idéale. »
« 1 site web d’entreprise ou d’administration sur 6 reste particulièrement vulnérable aux cyberattaques. »
Technologie, processus, collaborateurs : une mise à jour s’impose
Notre message est clair : pour contrer les hackers toujours plus ingénieux et tacticiens, les entreprises ont l’impératif de se montrer plus vigilantes et de changer leurs mentalités. Investir dans les technologies, former les collaborateurs et élaborer des processus en cas de cyberattaque sont devenus un must absolu.
« Près de 3 PME sur quatre confient leur sécurité informatique à leur manager ou… à personne ! »
La FEB (Fédération des Entreprises de Belgique), représentant plus de 50.000 entreprises, ne manque pas une occasion de mettre la cybersécurité à l’ordre du jour de la Belgique entrepreneuriale. Elle souligne que, contrairement à ce que beaucoup pensent, les grandes entreprises ne sont pas les seules victimes de cyberattaques. « Trop de petites et moyennes entreprises tardent à investir dans leur sécurité informatique et sont particulièrement vulnérables », explique Nathalie Ragheno, experte en cybersécurité à la FEB. « Parmi les PME, seul un quart environ est accompagné par un professionnel, un spécialiste en informatique ou un prestataire de services externe. Près de 3 PME sur 4 confient leur sécurité informatique à leur manager ou… à personne. Trop d’entreprises considèrent la sécurité informatique comme secondaire, étant donné leurs moyens financiers limités. » C’est pourquoi la FEB appelle toutes les entreprises (quelle que soit leur taille) à recenser les cybermenaces. « Ces informations leur permettent de prendre les mesures de sécurité nécessaires pour prévenir ou détecter les cyberincidents plus rapidement. Autrement dit, chaque entreprise devrait avoir au moins un plan d’action ou une procédure pour réagir de manière appropriée en cas d’incident. »
Scan à grande échelle
Pour la deuxième année consécutive, BDO a réalisé un scan web à grande échelle afin d’analyser la sécurité numérique des entreprises et du secteur public belges. Nous avons sélectionné 15.000 sites web répartis dans toutes les régions et tous les secteurs, e.a. sur base du nombre de collaborateurs et du chiffre d’affaires de ces dernières années.
« 1 site web d’entreprise sur 3 laisse fuiter des informations sensibles en raison de technologies obsolètes. »
Ces sites ont été analysés au moyen de 21 tests automatiques non intrusifs répartis en 4 catégories : connexion, configuration, management et sécurité. La première catégorie s’est concentrée sur la sécurité de l’utilisateur qui navigue sur le site web. La seconde a examiné dans quelle mesure le site web fournit des informations techniques sensibles pouvant aider les hackers à pénétrer un site web ou une organisation. La troisième catégorie a testé l’ouverture de certains ports vers l’interface de gestion du site web. Enfin, la dernière catégorie a analysé un certain nombre de paramètres de sécurité (ex. : manière dont le serveur de messagerie gère le spoofing ou imitation des e-mails afin qu’ils semblent provenir de l’organisation).
Quel est le niveau de sécurité de 15.000 sites web ?
Vous pouvez consulter gratuitement tous les résultats de notre analyse sur le site web interactif https://webscan.tms.bdo.nl/be.
Vous souhaitez comparer les résultats avec ceux de 2021 ? https://webscan.tms.bdo.nl/be21.
Visionnez le reportage réalisé par Canal Z à ce sujet.