10 idées reçues sur la sécurité de votre plateforme web

Vous pensez que vos applications web et mobiles sont à l’abri des risques de piratage ? En êtes-vous sûr ? Voici notre top 10 des idées reçues sur la sécurité des plateformes web. Contactez nous si vous souhaitez échanger à ce sujet !

1. Les hackers ne s’intéressent qu’aux grandes entreprises

Nous entendons très souvent ces propos. Mais malheureusement, les hackers ne s’intéressent que très peu à la taille de votre entreprise : ils vont saisir toutes les opportunités qui se présentent à eux, quel que soit votre nombre d’employés ou votre chiffre d’affaire. Evidemment, les multinationales sont plus visibles et exposées, mais elles sont par conséquent mieux préparées à contrer les attaques. Les PME sont des cibles privilégiées, en raison notamment de leur manque de préparation. L’un de nos clients ayant un « petit » site de vente en ligne l’a appris à ses dépends lorsqu’il a constaté que tous les paiements effectués sur son site étaient redirigés vers un compte bancaire à l’étranger.

De plus, les données d’une PME peuvent être très intéressantes pour ses concurrents, ce qui peut aussi motiver des attaques.

2. Mes développeurs sont des rockstars

Les meilleurs développeurs produisent du beau code, sans bugs. Leur job est de développer des applications à la fois visuelles et performantes, dans des délais toujours plus resserrés. Mais ce ne sont généralement pas des experts en sécurité. Construire une plateforme et tester ses failles de sécurité sont des démarches bien différentes. D’où l’importance de faire conduire des tests d’intrusion, ce qui permettra aussi aux développeurs de monter en compétence sur le sujet sécurité, et qui peut être complété par des formations spécifiques sur le sujet.

A titre de comparaison, même la meilleure des peintures gagnera à être protégée par une couche de vernis!

3. J’utilise des frameworks solides, donc ma plateforme est sécurisée

Effectivement, mieux vaut utiliser des frameworks solides comportant une couche de sécurité. Cependant, il ne suffit pas de choisir un bon framework : tout dépend de comment celui-ci sera utilisé. Il n’est pas rare que des développeurs désactivent certaines protections incluses dans un framework afin de gagner du temps en évitant certaines contraintes. C’est pour cela que les tests sécurité restent indispensables.

hacker picture

4. Nous ne traitons pas de données sensibles, donc la sécurité n’est pas une priorité

Bien sûr, l’une des priorités en sécurité est de protéger les données les plus sensibles, telles que les données financières ou les données de santé. Mais la sécurité ne se limite pas à cela. Si par exemple vous gérez un site e-commerce, comment réagiriez vous en cas de site indisponible pendant 2 jours ? La réputation d’une entreprise est aussi un point crucial : une fuite d’informations que vous ne classez pas comme « sensibles » pourrait tout de même impacter la confiance de vos clients. Par exemple, une simple fuite d’adresses email et de mots de passe.

Lire la suite

Données personnelles : compte à rebours pour se préparer au RGPD

Qu’est-ce que le RGPD?

En Mai 2018, le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur dans toute l’Union Européenne. Ce nouveau règlement a pour but d’uniformiser ce qui a été fait jusqu’à aujourd’hui en termes de protections des données personnelles, mais également d’élargir la définition de « données personnelles », et d’augmenter les sanctions pour les entreprises ne respectant pas le règlement.

Les sanctions, pouvant aller jusqu’à 4% du Chiffre d’Affaire global pour un montant maximal allant jusqu’à 20 millions, devraient suffire à convaincre les entreprises de respecter le RGPD. De plus, les entreprises européennes ne seront pas les seules à être sanctionnés, car le règlement s’appliquera à toutes les entreprises traitant des données personnelles de citoyens européens.

L’article 4(1) du RGPD définit comme données personnelles les données « tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou un ou plusieurs éléments spécifiques propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de la personne ». Une des nouveautés dans cette définition : la catégorie « identifiant en ligne » comprend les adresses IPs ou les cookies de navigation des utilisateurs, des informations qui n’étaient pas considérées comme personnelles jusque là. Les entreprises utilisant des données personnelles auront également besoin d’un consentement « libre, spécifique, éclairé et univoque » (Art.4.11) de leurs utilisateurs. Ce qui veut dire que les entreprises devront expliquer en détails l’utilisation qui sera faite de leurs données personnelles.

Quelles conséquences pour les entreprises?

Ce nouveau règlement devrait avoir un impact positif sur les consommateurs digitaux. La confiance étant un critère déterminant pour les personnes achetant sur des plateformes e-commerce ou utilisant des services en ligne, savoir qu’un site internet respecte le RGPD ne pourra que rassurer les utilisateurs. C’est par conséquent toute l’industrie du Web qui devrait bénéficier d’une meilleure image. Les entreprises pourront également décider de communiquer sur le fait qu’elles respectent le RGPD, tout en expliquant à leurs clients ce que cela signifie. Les entreprises pro-actives sur les questions de cyber-sécurité pourront ainsi valoriser leurs efforts et en faire un avantage compétitif. En effet, le RGPD rend obligatoire pour les entreprises ayant subi des fuites de données le fait de notifier l’incident à tous leurs utilisateurs dans les 72 heures. Au delà de la menace pour la réputation de l’entreprise, ceci représente une réelle opportunité d’élever son niveau de sécurité face à des cyberattaques.

gpdr-grpd-security-website

Et pour les utilisateurs?

Le RGPD va donner aux individus un plus grand contrôle sur leurs données personnelles. En pratique, ils auront la possibilité de demander à consulter, modifier et même détruire leurs données personnelles. A cela s’ajoute le fait que les citoyens européens n’auront pas à se soucier de la provenance d’une entreprise avant d’utiliser ses services digitaux. Le règlement européen ne s’applique pas uniquement aux entreprises européennes, mais s’étend à toutes celles qui traitent des données personnelles de citoyens européens. Il s’agit également d’une bonne nouvelle pour les entreprises qui n’auront pas à craindre la concurrence déloyale venant de pays basés hors de l’UE.

Lire la suite

Comment gérer la sécurité de son site de ecommerce

Digitalisation, E-commerce & Sécurité.

La digitalisation des entreprises, une coquille vide ou une réelle opportunité pour les entreprises ? D’après un rapport de la Commission Européenne, 62% des français achètent sur internet, mais seulement 16% des entreprises françaises ont une activité de vente en ligne (1). Cela souligne bien la réelle opportunité que représente le « digital » pour les entreprises françaises. Que ce soit à travers un site vitrine, une plateforme de e-commerce, ou du marketing local, chaque position est bonne à prendre et constitue un avantage comparatif sur des concurrents qui n’osent pas sauter le pas de la digitalisation.

Agences de marketing digital, freelances spécialisés en e-commerce, CMS, l’offre pour assister à la création de site web ne manque pas. La concurrence sur ce marché est féroce et l’argument prix est souvent un déterminant majeur pour les PME souhaitant lancer un site e-commerce. Et si le site réalisé est souvent fidèle aux attentes du client en termes de visuel et de fonctionnalités, il ne faut pas s’arrêter là pour autant, car les risques de piratage d’un site web sont élevés (y compris pour les « petits » sites).

Quelle place pour la sécurité ?

Pour les entreprises décidant de se faire accompagner par des professionnels du web, il va être nécessaire de bien se préparer au chantier que représente la construction d’un site internet digne de ce nom. A savoir se mettre d’accord sur le budget que vous êtes prêt à investir. Ce dernier sera conditionné par la « taille » désirée du site internet, ses fonctionnalités, son design, sa maintenance (comprendre : mises à jour du site internet) mais il devra également prendre en compte l’aspect cybersécurité. Ce dernier aspect est souvent ignoré afin de pouvoir proposer des prix plus abordables, mais il représente pourtant un enjeu majeur.

ecommerce hack

Il faut bien comprendre qu’un développeur web, aussi talentueux soit-il, n’est pas nécessairement expert en sécurité web. Il s’agit bien là de deux métiers distincts faisant appel à des compétences bien différentes. Il est important de comprendre cette distinction pour pouvoir questionner son prestataire sur cette problématique. Quelles garanties peut-il apporter ? A-t-il notamment prévu de conduire des tests de sécurité ? Qui aura la responsabilité en cas de piratage ? L’enjeu est bien là, et si rien n’est contractualisé, ou mentionné dans un cahier des charges, il y a de fortes chances pour que le client ne puisse rien faire valoir comme droit et qu’il doive assumer seul les conséquences d’un piratage.

Lire la suite

Pentest vs. Bug bounty : Que choisir pour des tests de sécurité ?

Un pentest (ou test d’intrusion) permet de mettre à l’épreuve la sécurité d’une plateforme en faisant conduire des tests par une entreprise spécialisée en cybersécurité. Les plateformes de bug bounties, apparues aux Etats-Unis il y a quelques années puis à présent en Europe, permettent de faire conduire des tests de sécurité par des hackers indépendants qui s’inscrivent sur une plateforme en ligne. Quelles sont les différences entre ces 2 types d’approches ? Laquelle choisir pour tester son niveau de vulnérabilité ?

Pentest vs Bug Bounty : quelle différence?

Faire conduire un pentest revient à opter pour une approche structurée : la recherche systématique de vulnérabilités avec une méthodologie bien établie permet de couvrir tous les pans du système exposé. L’audit a un début et une fin, avec des dates planifiées. Il peut ensuite être renouvelé sur une base régulière. La société cliente a un interlocuteur avec lequel échanger, sur les failles, les corrections à mettre en place, et les risques spécifiques liés à son activité.
Exposer une application web sur un site de bug bounty revient à autoriser les chasseurs de bugs à être récompensés pour leurs exploits. Cela permet d’ouvrir la recherche de failles à un nombre potentiellement important de personnes intéressées par la démarche. Ces personnes conduisent des recherches quand elles en ont l’envie et le temps, et déclarent leurs trouvailles au fur et à mesure, par l’intermédiaire d’une plateforme en ligne.

pentest-vs-bug-bounty

Les avantages du pentest

Pour conduire un pentest, il faut établir un contrat avec une société spécialisée en cybersécurité. Le prestataire a des obligations, et se porte garant du travail effectué par son équipe : que ce soit sur le niveau de qualité ainsi que sur la confidentialité et la responsabilité en cas d’incident. La réputation de l’entreprise, et même son existence sur le marché, est en jeu.
Le client est informé des dates de tests, des IPs utilisées par les attaquants, des différentes phases de l’audit. Il peut demander des restrictions, ou au contraire un focus spécifique sur certains pans de son application web. Il est donc rassurant de faire appel à une société experte en pentest. Si l’on recherche un accompagnement personnalisé, adapté au contexte de l’entreprise, c’est un service efficace.

Lire la suite