• En Belgique, un site web d'entreprise ou de gouvernement sur six reste une cible trop facile pour les pirates informatiques

En Belgique, un site web d'entreprise ou de gouvernement sur six reste une cible trop facile pour les pirates informatiques

01 février 2022

Mon site web est-il sécurisé ?

Selon une étude à grande échelle sur plus de 15.000 sites web belges réalisée par BDO 

  • Les sites web du monde des affaires et du secteur public ne sont pas devenus plus sûrs l'année dernière.
  • Trois fois plus de sites web sont facilement redirigés vers de fausses pages web.
  • Un site web sur trois repose encore sur une technologie dépassée.
  • La FEB appelle les entreprises à élaborer un cyberplan pour limiter les dégâts en cas d’incident.

En Belgique, un site web d'entreprise ou de gouvernement sur six reste particulièrement vulnérable aux cyberattaques. C'est ce qui ressort d'une analyse approfondie de 15.000 sites web d'entreprises réalisée par BDO. Bien que les résultats soient légèrement meilleurs qu'en 2021, il n'y a pas lieu d'être euphorique. L'étude de BDO montre que nos entreprises et nos gouvernements ont continué à faire du sur-place sur le front de la sécurité au cours de l'année écoulée, alors que la cybercriminalité se professionnalise et que les cyberattaques ne font qu'augmenter. La Fédération des entreprises de Belgique (FEB) reconnaît le problème et appelle les entreprises à élaborer un plan d'action pour limiter les dommages causés par les cyberincidents. 

L'armée qui ne peut plus envoyer d'e-mails, le trafic Internet des écoles supérieures et des universités qui s'interrompt, les pirates informatiques qui s'emparent des données de la Croix-Rouge... sont autant d'exemples récents qui démontrent la gravité des cyberattaques dans notre pays. Pourtant, les entreprises belges ne semblent pas vraiment être conscientes de cet aspect lorsqu'on examine la manière dont elles gèrent la sécurité de leurs sites web. L'étude de BDO indique que la plupart des secteurs ne sont pas en mesure de présenter de meilleurs rapports de sécurité qu'il y a un an. 

« Il est effarant de constater qu'il n'y a pas d'évolution positive dans la sécurité des sites web des entreprises et des gouvernements dans notre pays. En matière de sécurité, rester immobile équivaut à régresser. La fréquence des cyberattaques augmente et les pirates exploitent les failles des logiciels plus rapidement que jamais. Quand on sait ensuite que le site web d'une entreprise est le miroir de la manière dont elle traite la sécurité, les sites web mal sécurisés sont une invitation pour les pirates. » Francis Oostvogels, Senior Manager au sein de l'équipe Cybersecurity de BDO

Trois fois plus de sites web sont facilement redirigés vers de fausses pages web 

L'étude de BDO montre clairement où le bât blesse dans la sécurité de nos entreprises et de nos gouvernements. Près de trois fois plus de noms de domaine présentent une sécurité mal configurée par rapport à l'année précédente : 2 noms de domaine sur 3, contre 'seulement' 1 sur 4 en 2021. En outre, un site web d'entreprise sur trois laisse échapper des informations sensibles en utilisant des technologies dépassées telles que les protocoles TLS/FTP. En Belgique, un site web d'entreprise sur six ne dispose même pas d'une connexion HTTPS sécurisée.

« Toute personne qui utilise encore les protocoles TLS et FTP sur son site web ouvre en fait la porte arrière de sa maison. » Ceux qui ne garantissent pas une connexion HTTPS sécurisée permettent aux pirates de lire ce que vous laissez sur un site web : de votre numéro de téléphone portable à votre mot de passe. Et ceux qui ne sécurisent pas leur nom de domaine permettent aux pirates de détourner les visiteurs du site vers de faux sites web qui escroquent les gens en leur volant des informations ou de l'argent. Les pirates informatiques utilisent toutes les informations qu'ils peuvent trouver et améliorent ainsi leur méthode de travail, tandis que la technologie de nombreuses entreprises n'évolue pas. Toute personne qui n'améliore pas ses systèmes est une proie facile. » Nick Huysmans, Manager au sein de l'équipe Cybersecurity de BDO

La FEB demande une mise à jour des technologies, des processus et du personnel

Le message de l'étude BDO est clair : tout comme les pirates informatiques deviennent plus ingénieux en modifiant leurs tactiques pour continuer à tromper les victimes, les entreprises doivent devenir plus vigilantes tout en changeant leur état d'esprit. En investissant dans les technologies, en formant les employés et en développant des processus au cas où elles seraient victimes d'une cyberattaque.  La Fédération des entreprises de Belgique insiste sur une plus grande cybersécurité de nos entreprises. L'organisation signale que les grandes entreprises ne sont pas les seules à en être victimes.

« Trop de PME tardent à investir dans leur sécurité informatique et sont très vulnérables aux cyberattaques. Dans ces entreprises, seul un quart environ est protégé par un professionnel, un spécialiste de l'informatique ou un prestataire de services externe. Près de 3 PME sur 4 confient la sécurité informatique à leur dirigeant ou... à personne. Trop souvent, les entreprises considèrent encore la sécurité informatique comme secondaire, compte tenu de leurs moyens limités. Toutes les entreprises, quelle que soit leur taille, doivent identifier les cybermenaces. Sur cette base, elles doivent prendre les mesures de sécurité nécessaires pour prévenir les cyberincidents ou les détecter plus rapidement. Chaque entreprise devrait avoir un plan d'action ou une procédure en cas d'incident. » Nathalie Ragheno, Premier conseiller de la FEB

À propos de l’étude

Pour la deuxième année consécutive, BDO a réalisé un scan à grande échelle pour cartographier la sécurité numérique des sites web du monde des affaires et du secteur public belge. BDO a sélectionné 15.000 sites web répartis dans tout le pays, et dans tous les secteurs sur la base, entre autres, du nombre d’employés et du chiffre d’affaires des dernières années.  Ces sites web ont été passés au crible au moyen de 21 tests automatiques et non intrusifs répartis en 4 catégories (connexion, configuration, gestion et sécurité). La première catégorie ciblait la sécurité de l’utilisateur qui navigue sur le site web. La deuxième catégorie examinait la mesure dans laquelle le site web révèle des informations techniques sensibles qui pourraient aider les pirates à pénétrer un site web ou une organisation. La troisième catégorie testait si certains ports de l’interface de gestion du site web sont ouverts, et la dernière catégorie se concentrait sur un certain nombre de paramètres de sécurité, tels que la manière dont le serveur de messagerie de l’organisation gère l’usurpation d’adresse électronique, l’imitation du courrier électronique pour qu’il semble provenir de l’organisation. Tous les résultats sont disponibles gratuitement sur le site web interactif et peuvent être comparés aux résultats de 2021

webcan site web

Vous souhaitez connaître les résultats de votre propre site web ?

N’hésitez pas à contacter nos collègues Francis Oostvogels, Thomas Cornelis ou Nick Huysmans. Ils se feront un plaisir de vous aider à analyser vos résultats et à déterminer les mesures à prendre pour améliorer votre cybersécurité.

Mon site web est-il sécurisé ?