La sécurité n’est décidément pas une préoccupation majeure pour nombre d’entreprises. Même si elles disent le contraire. C’est le constat que l’on peut tirer de l’étude menée par Barracuda Networks, Cenzic Inc, et l’Institut Ponemon qui attirent l’attention des utilisateurs sur les dangers du web et de ses applications.
Les études portant sur la sécurité des entreprises et leur capacité à prendre au sérieux ce problème se suivent et se ressemblent. Celle menée par Barracuda Networks ne nous apprend rien de vraiment nouveau sur le sujet, si ce n’est que 73% des entreprises ont déjà été piratées au moins une fois au cours des deux dernières années via des applications Web non sécurisées. La plupart des entreprises interrogées se disent pourtant préoccupées pas la sécurité des applications web. Le problème c’est qu’il existe « un vrai fossé entre le désir et la mise en place de contre mesures de sécurité nécessaires pour protéger et sécuriser les applications web » souligne Paul Judge, Directeur de recherche et Vice président de Barracuda Networks. « Le fait que 69 % des personnes interrogées aient répondu se fier à des firewalls pour sécuriser les applications web revient à utiliser un bouclier en carton pour se protéger lors d’un combat à l’épée. Au bout d’un moment, votre bouclier vous prouvera qu’il n’est pas adapté et une attaque pourra alors survenir malgré la présence d’un firewall ».
D’ailleurs, plus de 20 % des entreprises ne testent absolument pas la sécurité de leurs applications web et 40 % d’entre elles n’en testent que 5 %. Encore plus alarmant, 41 % des sondés ont indiqué avoir plus de 100 applications web et 66 % avouent tester la vulnérabilité de moins d’un quart d’entre elles. « C’est très choquant, d’autant que bon nombre de ces entreprises ont déjà été hackées par le passé en raison d’applications web non sécurisées » insiste Mandeep Khera, directeur marketing de Cenzic. « Si vous savez que des cambrioleurs ont pénétré un lieu à plusieurs reprises en raison d’une porte cassée, ne faudrait-il pas réparer cette porte ? ».
Au final, Barracuda Networks s’est aperçu que plus de la moitié des répondants (53 %) attendent de leur fournisseur d’hébergement web qu’il assure la sécurité de leurs applications web. « Assurer la sécurité des applications web est critique, les praticiens IT le reconnaissent, leurs entreprises ne fournissent pas les ressources et l’expertise adéquates pour gérer le risque », déclare Larry Ponemon, président et fondateur de l’institut Ponemon. « Plus de la moitié des répondants pensent ne pas avoir à leur disposition les ressources nécessaires pour détecter et sécuriser les applications web vulnérables et 64 % d’entre eux estiment que leur entreprise dispose de politiques d’utilisation et de gouvernance inadaptées ».
D’autres résultats sont mis en évidence par cette étude. La protection des données (62 %) et la conformité (51 %) sont les principales raisons évoquées pour justifier la sécurisa tion des applications web. La protection du travail a été mentionnée par 15 % des répondants. Tandis que 51 % des répondants ont indiqué que la conformité constituait un facteur clés pour sécuriser les applications web, 43 % des répondants ne sont pas familiers avec ou n’ont pas la moindre connaissance de OWASP, un composant clés pour les normes de conformité, telles que PCI. 41 % des répondants ont indiqué avoir plus de 100 applications web et la majorité d’entre eux (66 %) affirment tester la vulnérabilité de moins de 25 % de ces applications. Plus de la moitié des répondants (53 %) attendent de leur fournisseur d’hébergement web qu’il assure la sécurité de leurs applications web. Enfin, pour les participants qui possèdent un Firewall Applicatif, plus d’un sur deux affirment qu’un reverse proxy est mieux et préfèrent utiliser cette technologie, plutôt que la technologie bridge.
Les résultats de cette étude menée par l’Institut Ponemon prennent en compte les réponses de 637 praticiens dans une grande variété de secteurs de l’industrie avec plus de 11 ans d’expérience dans leur profession en moyenne. L’étude complète est disponible sur : http://www.cenzic.com/resources/reg-required/whitePapers/Ponemon2011/.
Source : IT Channel