La cybercriminalité en question
Selon McAfee, la perte de données ou les actions cybercriminelles coûterait près de 1000 milliards de dollars par an aux entreprises. Ce chiffre mondial, est impressionnant voire difficile à croire. En fait, il inclurait les coûts indirects comme les indisponibilités ou les pertes de productivité. Par exemple, lorsque nous sommes submergés par les spams.
D’après le FBI -police américaine-, un tiers des entreprises subit des accès non autorisés à son système d'information et 15% est victime d'intrusions en bonne et due forme en une année.
Plus près de nous, un grand hébergeur français, qui d'ailleurs a des clients à la Réunion, avouait que 15% des sites qu'il hébergeait étaient piratés. En d’autres termes, les sites pirates squattent les serveurs d’hébergement de leurs victimes, qui deviennent les bases de leurs activités illicites ! C'est ainsi que se construisent les réseaux de robots : par rebond !
Les principales attaques menées contre les sites web sont le vol de données confidentielles (identité, numéro de carte bleue, adresses e-mail, authentification sur un site bancaire), le cybersquatting (comme le relais de spam ou l’enrôlement dans un réseau de robots), la mise en indisponibilité d’un site par déni de service, la manipulation de sites de e-commerce et le maquillage de sites.
Ces événements se produisent aussi à la Réunion car la cybercriminalité s'affranchit des frontières ! A la Réunion, nous avons vu des vols de bases contenant des adresses e-mail, directement sur le site web. Des sites réunionnais ont été piratés, ils ont été utilisés pour relayer du spam. Certains sites ont été détournés ou 'maquillés'. Imaginez des images inconvenantes rajoutées sur votre site web !
Le talon d’Achille des sites web : les couches applicatives… et le budget sécurité
Selon Richard Touret, co-fondateur de BinarySEC : " 9 sites sur 10 sont vulnérables. Dans 75% des cas, le talon d’Achille concerne les couches applicatives du web. Or seulement 10% des budgets sécurité des services informatiques sont consacrées à la protection des couches applicatives. C’est exactement sur ces lacunes que comptent les voyous du web…"
La difficulté est qu’ils passent outre les polices et les législations nationales en agissant de n’importe où dans le monde. Dernier chiffre livré par Richard Touret : " 80% des hébergeurs, e-commerces, grands comptes, banques, administrations et autres institutions devront faire face à un incident de sécurité sur leurs applications d’ici 2010. "
Ne pas accepter cet état de fait
Les propriétaires de sites web se sentent concernés lorsqu'ils ont eu un véritable incident. Mais imaginez que vous souhaitiez prendre une assurance vie lorsqu'un accident vous est arrivé ! C'est trop tard !
Il importe donc d'anticiper sur la sécurité de son site ou application web. L'évolution des technologies web va rendre les applications web -site web, extranet, intranet, applications métier- de plus en plus vitales pour les collectivités et les entreprises. Elles construisent leur interaction avec leurs clients, partenaires, fournisseurs, administrés via internet.
Voici un paradoxe qui mérite réflexion : la plupart des postes de travail dans le réseau d’une entreprise ont un antivirus, un anti-spam, voire un firewall personnel. Mais les sites web – pourtant exposés au monde entier – n’ont pas de protection sur le trafic qu'ils reçoivent !
(Article paru dans Réunion Multimédia)
