Bilan de la sécurité des sites web en France Retour sur 3 ans d’analyse de la sécurité des sites de grandes entreprises Gérôme BILLOIS Partner [email protected]+33 (0)6 10 99 00 60 @gbillois Yann FILLIAT Manager – Responsable offre audit de sécurité [email protected]+33 (0)6 24 76 08 67
23
Embed
Bilan de la sécurité des sites web en France · Bilan de la sécurité des sites web en France Retour sur 3 ans d’analyse de la sécurité des sites de grandes entreprises Gérôme
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Bilan de la sécurité des sites web en France
Retour sur 3 ans d’analyse de la sécurité des sites de grandes entreprises
Wavestone : un retour d’expérience unique sur les audits en cybersécurité
Périmètres d’interventions variés : sites web, tests d’intrusion physiques, ingénierie sociale, revue de configuration, de code, SI industriel, red teams, etc.
Benchmark de 2016 à 2018 des failles des sites web
Tests d’intrusion de sitesweb réalisés au cours del’année (de juin à mai) surdes sites accessibles depuisInternet et des sites surdes réseaux privésd’entreprise.
2018 : 139 sites testés
2017 : 155 sites testés
2016 : 128 sites testés
2018 : 75 organisations
2017 : 70 organisations
2016 : 82 organisations
De multiples secteursd’activités : banque, santé,ministère, énergie, télécom,services et transport.
47 points de contrôle testés chaque année
Des tests respectant lamême méthodologie, pourdes résultats comparables.Des failles incluant lecontrôle d’accès, la qualitédu chiffrement, la diffusiond’informations techniquessuperflues, le traitementdes communications, etc.
mode boite grise (utilisation d’uncompte utilisateur standard) ont permisde contourner le cloisonnement applicatifpour accéder à des données ou desfonctions (escalade horizontale ouverticale) non autorisées
Surfer sur plusieurs sites en parallèlenuit gravement à la sécurité
Plus de 1/2 des sites sont
vulnérables à du CSRF* (ou XSRF*) :
Pendant l’utilisation d’un site websensible, vous décidez d’ouvrir unnouvel onglet pour surfer.
Le site web de ce nouvel onglet, s’ilcontient une attaque, est capable deréaliser des actions à votre insu sur lesite web sensible : modifier votreadresse de contact pour réinitialiser lemot de passe par exemple…