Il semble que “On a été piratés” est la principale raison poussant les entreprises, quelque soit leur taille, à se soucier de la sécurité web.
Oui c’est vrai, effectuer un test d’intrusion ou revoir la sécurité d’un site Internet n’est pas gratuit.
Alors, pourquoi les entreprises devraient-elle commencer à s’intéresser à la sécurité web, si tout se passe comme sur des roulettes?

Pour beaucoup de personnes, le retour sur investissement des dépenses en sécurité n’est pas des plus évidents.
Tout comme une assurance, investir dans la sécurité ne vous récompense pas directement, mais aidera à nettement réduire les risques qui pourraient être extrêmement dangereux pour l’entreprise, et pour les utilisateurs finaux!

De même que de nombreuses personnes commencent à renforcer la sécurité de leur maison ou appartement après un cambriolage (de leur propre maison ou d’un voisin), les entreprises commencent à investir dans la sécurité après qu’une attaque ait eue lieu sur leurs système, ou lorsque quelqu’un qu’ils connaissent ou une entreprise dans la même industrie rencontre également un souci.

Un comportement très humain, je suppose.

illustration bouche à oreille
“On a été piratés!” le bouche à oreille qui motive

Les raisons pour lesquelles les entreprises commencent à investir dans la sécurité web

Quelles sont donc les raisons, autre que “On a été piratés”, poussant les entreprises à soumettre leurs applications web à un test d’intrusion, ou à embaucher du personnel qualifié en sécurité?

Après quelques recherches sur le sujet, il semble que les motivations clés sont les suivantes :

  • obligations de conformité
  • exigence d’un client
  • exigence d’un partenaire
  • prise de conscience de la communauté vis-à-vis des risques de sécurité

Et bien entendu, les “raisons” pour ne pas investir dans la sécurité sont nombreuses :

  • Manque de compréhension/connaissance sur les risques de sécurité
  • Priorité des nouveaux développements sur la sécurité
  • Manque de budget, même si une partie de l’équipe est au courant des risques et pourrait corriger les vulnérabilités
  • Le code affecté n’est pas directement maintenu par l’entreprise
  • La correction impacterait un workflow ou parcours utilisateur (conflit)
  • La conformité au standard choisi par l’entreprise n’impose pas la correction de certaines failles
  • Acceptation du risque

L’acceptation du risque est malheureusement bien trop souvent une façade pour cacher un manque de connaissance ou l’incapacité d’évaluer réellement ce que représente le risque. Certaines personnes acceptent le risque, et se contentent de croiser les doigts, sans réellement savoir si la porte peut être laissée ouverte…

Environ 2/3 des applications web développées en interne ne sont pas testées contre les vulnérabilités. Si tous les piratages étaient connus (au moins de leurs victimes!) et dévoilés, les statistiques seraient certainement meilleures.