Vous pensez que vos applications web et mobiles sont à l’abri des risques de piratage ? En êtes-vous sûr ? Voici notre top 10 des idées reçues sur la sécurité des plateformes web. Contactez nous si vous souhaitez échanger à ce sujet !
1. Les hackers ne s’intéressent qu’aux grandes entreprises
Nous entendons très souvent ces propos. Mais malheureusement, les hackers ne s’intéressent que très peu à la taille de votre entreprise : ils vont saisir toutes les opportunités qui se présentent à eux, quel que soit votre nombre d’employés ou votre chiffre d’affaire. Evidemment, les multinationales sont plus visibles et exposées, mais elles sont par conséquent mieux préparées à contrer les attaques. Les PME sont des cibles privilégiées, en raison notamment de leur manque de préparation. L’un de nos clients ayant un « petit » site de vente en ligne l’a appris à ses dépends lorsqu’il a constaté que tous les paiements effectués sur son site étaient redirigés vers un compte bancaire à l’étranger.
De plus, les données d’une PME peuvent être très intéressantes pour ses concurrents, ce qui peut aussi motiver des attaques.
2. Mes développeurs sont des rockstars
Les meilleurs développeurs produisent du beau code, sans bugs. Leur job est de développer des applications à la fois visuelles et performantes, dans des délais toujours plus resserrés. Mais ce ne sont généralement pas des experts en sécurité. Construire une plateforme et tester ses failles de sécurité sont des démarches bien différentes. D’où l’importance de faire conduire des tests d’intrusion, ce qui permettra aussi aux développeurs de monter en compétence sur le sujet sécurité, et qui peut être complété par des formations spécifiques sur le sujet.
A titre de comparaison, même la meilleure des peintures gagnera à être protégée par une couche de vernis!
3. J’utilise des frameworks solides, donc ma plateforme est sécurisée
Effectivement, mieux vaut utiliser des frameworks solides comportant une couche de sécurité. Cependant, il ne suffit pas de choisir un bon framework : tout dépend de comment celui-ci sera utilisé. Il n’est pas rare que des développeurs désactivent certaines protections incluses dans un framework afin de gagner du temps en évitant certaines contraintes. C’est pour cela que les tests sécurité restent indispensables.
4. Nous ne traitons pas de données sensibles, donc la sécurité n’est pas une priorité
Bien sûr, l’une des priorités en sécurité est de protéger les données les plus sensibles, telles que les données financières ou les données de santé. Mais la sécurité ne se limite pas à cela. Si par exemple vous gérez un site e-commerce, comment réagiriez vous en cas de site indisponible pendant 2 jours ? La réputation d’une entreprise est aussi un point crucial : une fuite d’informations que vous ne classez pas comme « sensibles » pourrait tout de même impacter la confiance de vos clients. Par exemple, une simple fuite d’adresses email et de mots de passe.