tour d'horizon de la sécurité web
TRANSCRIPT
Copyright Bee Ware 2013
Pour plus d’information, rendez-vous sur www.bee-ware.net
A propos de Bee Ware : Bee Ware est un éditeur européen de solution de sécurité et de disponibilité des applications Web. Bee Ware
permet aux organisations de toutes tailles de lutter contre les menaces croissantes pouvant impacter leur activité tout en assurant une qualité
de service et des performances optimales.
Sources: Bee Ware, Economie et Société, IDC, Infographics Mania, Internet Retailer, IVIZ,
LLes Echos, McAfee, Opinion Way, OWASP, Ponemon Institut, SANS Institute, UNODC, White Hat.
Côté utilisateur 60% des français utilisent le même
mot de passe sur des sites différents
55% des entreprises sont concernées par l’usurpation d’identité
49% des utilisateurs n’ont pas recours à des mots de passe complexes ou ne les changent pas régulièrement
Côté entreprise
73%
90%
30%
99%
42%
8/10sites web ont des vulnérabilités sérieuses
des entreprises ont été piratées au moins une fois via des applicationsweb mal sécurisées
des actions de piratage recensées ne sont jamais divulguées au grand public
des entreprises piratées connaissaient leur vulnérabilité
des logs ne sont examinés que quand une alerte est déclenchée
des intrusions résultent de l’exploitation de vulnérabilités connues
Côté utilisateurs
N’utilisez pas de renseignements personnels dans vos mots de passe
Utilisez des mots de passe variés pour vos différents comptes ou rôles
Configurer une authentification à deux facteurs lorsque cela est possible
N’accédez pas à des données sensibles via des N’accédez pas à des données sensibles via des ordinateurs publics ou des téléphones personnels
1
2
3
4
Côté applications
Sécurisez tous les domaines d’administrationWeb avec SSL (HTTPS)
Ne vous contentez pas des configurations par défaut des produits de sécurité
Supprimez les comptes par défaut des produits informatiques
Adaptez votre politique de sécurité à la Adaptez votre politique de sécurité à la criticité de l’information
Mettez à jour vos applications web réguliè-rement et appliquez les correctifs adaptés
Ne faites pas confiance aux en-têtes HTTP Referer (faciles à falsifier)
Utilisez un pare-feu applicatif configuré spécifiquement pour votre environnementspécifiquement pour votre environnement
Sécurisez les zones d’administration des applications web avec des restrictions basées sur les adresses IP
Validez les données saisies côté serveur (et non côté client)
Réduisez la divulgation d’information (changez les ServerTokens Apache, (changez les ServerTokens Apache, créez des messages d’erreurs sûrs…)
11
12
13
14
15
16
17
18
19
20
Côté serveur
Utilisez votre compte root uniquement quand cela est nécessaire
Utilisez des réseaux privés pour le trafic interne du serveur si cela est possible
Loguez tous les accès administrateur avec la date, l’heure et les noms d’utilisateurs
Surveiller le trafic Web à la recherche d’une Surveiller le trafic Web à la recherche d’une activité inhabituelle
Mener des analyses de sécurité locales et distantes de manière régulière
Testez vos sauvegardes
5
6
7
8
9
10
1 000 milliards
3,5 milliards
2,86 millions
Coût global estimé de la cybercriminalité: Juqu’à 1 000 milliardsde dollars par anL’usurpation d’identité génère1 milliard de dollars par an
Le coût lié aux vols et pertes de données en France est en moyenne de
2,86 millions € par « incident »
Le coût de la fraude en ligne s’est élevé à 3,5 milliards de dollars pour les e-marchands en 2012
Politique de sécurité
des entreprises n’ont pas de politiques de sécurité documentées35%
Cloud & SaaS
D’accordPas d’accordNeutre
45%22%
33%
Les risques potentiels introduits par le Cloud ou le SaaS l’emportent de loin sur les bénéfices
Le volume croissant des menaces et/ou attaques 63%
La sophistication croissante des attaques 61%
Complexité des solutions de sécurité 53%
Les challenges les plus fréquemment cités
Les challenges sécuritaires
64%La difficulté à sécuriser les applications web60% L’utilisation du web 2.0
par les employés
Les challenges les plus importants des 12 prochains mois
20 Conseils
Les conséquences
Les risques majeurs de la sécurité web
TOUR D’HORIZON DE LA SÉCURITÉ WEB
Données consolidées et présentées par : www.bee-ware.net