par | 16 Mar 2021

Les 5 chiffres clés de la cyber-vulnérabilité des PME et des organisations publiques

Une cyberattaque ciblée visant simultanément 25 000 PME et organisations publiques : voici l’autre risque pandémique qui plane. Car un tel scénario pourrait paralyser l’activité économique de la France, compte tenu du faible niveau de protection des entreprises françaises privées et publiques face aux cyber menaces.

OZON a réalisé la première étude de détection automatique de la surface d’attaque Internet de 22 627 petites et moyennes entreprises et d’organisations publiques (effectif de 10 à 250 employés). Et ses résultats révèlent « un très haut niveau de cyber-vulnérabilité, accentué par des défauts de protection majeurs » selon Régis Rocroy, le fondateur d’OZON. La preuve en cinq chiffres.

1 | 96% des PME et organisations publiques étudiées n’utilisent pas de service de filtrage sécurité des emails

Phishing et spear phishing, malware et ransomware : les boites mail des PME et des organisations du secteur public sont une source inestimable de portes d’entrée sans verrou pour les pirates informatiques. L’étude technique réalisée par OZON révèle que la quasi-totalité des organisations privées ou publiques n’utilisent pas de service de sécurisation des boites mail de leurs collaborateurs pour détecter et/ou bloquer les cyberattaques. Avec la généralisation du télétravail et le stress lié au contexte Covid-19, un défaut de vigilance est vite arrivé et expose l’entreprise ou la collectivité à un vol de données confidentielles ou une demande de rançon.

2 | 95% des sites web n’ont pas de protection spécifique contre les cyberattaques applicatives

Les attaques de type Cross-Site Scripting (XSS) et l’injection SQL (SQLi) exploitent des failles de sécurité applicatives des sites, services ou applications web :

  • la première permet d’introduire des programmes malveillants en vue de dérober des données sensibles de clients ;
  • la seconde offre la possibilité aux cybercriminels d’accéder directement à la base de données.

Lors de son étude technique, OZON, a constaté qu’une très faible minorité de sites web en France était protégée contre ces cyberattaques applicatives. Ce défaut de protection est d’autant plus critique que la valeur médiane est de 63 vulnérabilités logicielles critiques connues (CVE) par site : des failles recensées et documentées, pour lesquelles des mises à jour de sécurité existent.

3 | 80% des organisations publiques sont en situation de cyber-vulnérabilité

À effectif équivalent, les entreprises publiques sont plus exposées que celles du secteur privé. Huit sur dix sont à la merci d’une cyberattaque, soit une de plus que du côté des PME (70%). Les conséquences d’une cyberattaque sont pourtant aussi préjudiciables pour les acteurs de la sphère publique que pour ceux du privé : vol d’informations, désorganisation des services, perte financière, etc. Avec la crise sanitaire, les attaques informatiques contre les hôpitaux se sont multipliées via des rançongiciels, avec l’assurance pour les hackers que ces établissements paieront plutôt que de prendre le risque de bloquer durablement leur bon fonctionnement.

4 | 79% des sites eCommerce ne sont pas protégés par un pare-feu applicatif (WAF)

Une écrasante majorité de sites e-commerce repose sur un CMS, un système de gestion de contenu constituant la base du fonctionnement du site internet. Les plus connus bénéficient de mises à jour régulières pour faire évoluer les fonctionnalités, mais leur sécurité est assurée par un pare-feu applicatif web (WAF). C’est lui qui protège notamment les sites e-commerce de cyberattaques comme les injections SQL, les XSS ou toute attaque exploitant une vulnérabilité logicielle connue. Sur un échantillon de 1508 sites e-commerce, seuls 21% sont protégés par un pare-feu applicatif. Ce défaut de protection est d’autant plus critique que la valeur médiane est de 68 vulnérabilités logicielles critiques connues (CVE) par site.

5 | 74% des composants des protocoles HTTPS possèdent des failles de sécurité

Le protocole de sécurité SSL/TLS, ou HTTPS (HTTP/TLS), est un élément clé de la sécurité Internet. Ce protocole a été inventé afin de garantir l’identité du site web et d’assurer la confidentialité des échanges par l’emploi de technologies cryptographiques. Mais la présence du protocole HTTPS n’est pas une assurance tous risques contre les cyberattaques : près des trois quarts des composants SSL/TLS testés par OZON possèdent des faiblesses cryptographiques ou des vulnérabilités logicielles. Les principales vulnérabilités identifiées sont connues, ainsi que les façons de les exploitées, depuis les années 2013 et 2014… La pile SSL/TLS est un composant de sécurité critique qui doit faire l’objet d’une surveillance régulière, de l’application des correctifs de sécurité dès leur disponibilité et d’une configuration évitant l’emploi des versions SSL/TLS v3, TLS 1.0 et 1.1.

La cybersécurité est un enjeu national pour Thibaut Bechetoille, le président de Croissance+ et codirigeant d’OZON : « Les PME ne pourront se développer dans les années qui viennent qu’en établissant un contexte de confiance numérique avec leurs clients ou leurs partenaires ». La première étape, c’est une évaluation gratuite du risque cyber avec l’outil CyberCheck PME !

Share This