Protéger les ordinateurs portables et autres terminaux de votre entreprise contre les logiciels malveillants est une pratique fondamentale et de bon sens. Protéger vos sites Web et vos applications contre les tentatives constantes de cyberattaques devrait être tout aussi évident. Pourtant, de nombreuses organisations n’accordent toujours pas suffisamment d’attention à la sécurité de leurs applications Web. Voici cinq raisons de rétablir cet équilibre.
Diriez-vous que votre entreprise est sécurisée si vos employés utilisent des ordinateurs portables sans aucun antimalware installé ? La plupart des chefs d’entreprise diraient que c’est une approche irresponsable, et ils auraient raison. Pourquoi, alors, tant d’entreprises gèrent-elles leurs sites Web et leurs applications Web sans aucune protection ?
Un antivirus (ou, plus généralement, une solution antimalware) est traité comme un élément standard et de bon sens de toute installation Windows – il est rare de voir un ordinateur sans un, en particulier dans les environnements professionnels. Pourtant, curieusement, de nombreuses entreprises se contentent parfaitement de mettre en place un site web ou une application web sans prêter attention à la sécurité. Cela est encore plus surprenant si l’on considère que les bases de données accessibles sur le Web peuvent contenir des données beaucoup plus sensibles que votre machine de bureau moyenne, telles que les informations personnelles de vos clients.
Voici cinq raisons pour lesquelles vous devriez accorder autant d’attention à la sécurité des applications Web qu’à la sécurité des ordinateurs personnels et à la sécurité des terminaux en général.
Raison #1 : Le passage au cloud
Il y a vingt ans, les sites Web n’étaient que de simples présentations statiques – des panneaux d’affichage numériques, en quelque sorte. Aujourd’hui, il peut s’agir d’applications à part entière qui nous permettent, par exemple, de créer des documents en ligne plutôt que dans un traitement de texte de bureau. Très souvent, le seul logiciel natif majeur installé sur une machine Windows est le navigateur Web. Même si vous avez également installé quelque chose comme Slack, cela utilise toujours des interfaces Web pour communiquer avec les serveurs.
Sans surprise, les entreprises utilisent moins souvent leurs propres serveurs, en particulier dans les opérations quotidiennes. Pour de nombreux employés, les ordinateurs de bureau et les ordinateurs portables sont désormais essentiellement des clients légers qui ne sont là que pour exécuter un navigateur avec des applications Web. Cela signifie que votre logiciel anti-malware protège essentiellement un ordinateur vide sans logiciel ni données spéciales, juste un navigateur. Le seul risque majeur pour l’entreprise si un tel ordinateur est attaqué est qu’une attaque réussie puisse permettre à de mauvais acteurs de se connecter aux applications Web de l’entreprise.
D’autre part, toutes vos données et toutes vos applications critiques résident désormais dans le cloud ou y seront bientôt. Et, malheureusement, tout cela est souvent laissé complètement sans protection. Ainsi, alors qu’il y a 20 ans, la sécurité des ordinateurs personnels était beaucoup plus importante que la sécurité Web parce que les applications Web étaient à peine utilisées pour les entreprises, il est juste de dire aujourd’hui que la sécurité Web devient plus importante que la sécurité des terminaux pour les organisations.
Raison #2 : Facilité d’accès et d’attaque
La préparation et l’exécution d’une attaque réussie à l’aide de logiciels malveillants demandent beaucoup de travail. Même si l’attaquant utilise des logiciels malveillants prêts à l’emploi, comme des chevaux de Troie bien connus, il doit toujours le transmettre à la victime. Dans un scénario typique, cela pourrait signifier créer un site de phishing convaincant et des e-mails de phishing convaincants pour inciter les gens à installer le cheval de Troie. Et même après qu’une victime a installé le logiciel malveillant, les attaquants pourraient bien découvrir que l’ordinateur de la victime n’a absolument aucune valeur pour eux car la victime est généralement une personne au hasard.
D’un autre côté, il est beaucoup plus facile de réussir une attaque Web, en particulier avec des outils gratuits et facilement disponibles qui le rendent encore plus simple pour l’attaquant. Tout ce qu’ils ont à faire est de pointer l’outil sur votre site Web, et l’outil, qui agit comme un scanner de vulnérabilité illégal, sondera votre site pour détecter les faiblesses et permettra à l’attaquant de les exploiter immédiatement. Une telle attaque a une forte probabilité de succès car l’attaquant peut choisir un site cible dont il sait qu’il disposera d’informations précieuses.
Par-dessus tout, les cybercriminels aiment se rendre la vie simple et efficace. Pourquoi travailler dur pour créer des campagnes de phishing aveugles complexes dans l’espoir de récupérer des données précieuses alors qu’elles peuvent effectuer une attaque simple, automatisée et ciblée avec précision et obtenir des résultats immédiatement ?
Raison #3 : Pas d’aide de l’extérieur
Si votre organisation (comme beaucoup) héberge ses comptes de messagerie auprès d’un fournisseur de services cloud réputé plutôt que d’exécuter ses propres serveurs de messagerie, vous pouvez être raisonnablement sûr que votre fournisseur dispose d’une solution anti-malware efficace sur son serveur pour éliminer les menaces potentielles avant qu’elles n’atteignent les yeux et les appareils de vos employés. Cela signifie que la solution anti-malware locale que vous utilisez sur les appareils de l’entreprise n’est pas du tout nécessaire pour le courrier électronique, car votre fournisseur gère cette partie de votre sécurité.
Curieusement, nous ne connaissons aucun fournisseur d’hébergement Web qui effectue une analyse régulière des vulnérabilités sur le contenu qu’il héberge. Contrairement aux fournisseurs de messagerie cloud, les fournisseurs d’hébergement Web ne fournissent généralement aucun type de protection, à l’exception des pare-feu d’applications Web génériques qui peuvent arrêter les attaques les plus courantes mais ne font rien pour éliminer les vulnérabilités.
Par conséquent, jusqu’à ce que l’analyse des vulnérabilités Web devienne une partie standard des offres des fournisseurs de cloud (si jamais elle le fait), vous êtes seul. Vous êtes le seul à pouvoir détecter et éliminer les vulnérabilités graves de vos sites Web et applications Web – raison de plus pour utiliser régulièrement un scanner de vulnérabilités Web.
Raison #4 : Risque d’attaque
Comme mentionné ci-dessus, votre organisation dispose très probablement de solutions anti-malware côté serveur pour tous vos besoins de sécurité de messagerie. Cela peut être dû au fait que votre fournisseur de cloud réputé exécute un anti-malware côté serveur ou que vous exécutez votre propre serveur – et si vous le faites, vous ne rêveriez pas de le laisser sans protection anti-malware. Dans les deux cas, la probabilité que des logiciels malveillants génériques parviennent par e-mail est quasi nulle.
En pratique, la probabilité qu’un de vos employés attrape un virus en visitant un site Web qu’il visite est tout aussi faible. En effet, les navigateurs n’installeront rien sur votre ordinateur local à moins que vous ne donniez une autorisation explicite. De plus, il est peu probable que vos employés visitent des sites Web à risque susceptibles de propager des logiciels malveillants non seulement en raison de la politique de l’entreprise, mais aussi parce que votre service informatique les bloquera très probablement sur le matériel de l’entreprise. Ainsi, même si vous n’avez pas installé d’anti-malware, la probabilité d’avoir un malware sur une machine de bureau est très faible.
En revanche, la probabilité que votre site Web ou votre application Web soit la cible d’une attaque générique est beaucoup plus élevée, à la limite de la certitude. En effet, les hackers black-hat utilisent simplement un logiciel automatisé pour rechercher les sites Web disponibles, puis les sonder à la recherche de vulnérabilités. Si vous utilisez n’importe quel type de logiciel Web open source avec des plugins, tels que WordPress, Joomla, Drupal, Magento, etc., vous risquez le plus. N’oubliez pas : contrairement à vos ordinateurs portables de bureau, votre site Web ou votre application Web est exposé au public. N’importe qui sur Internet peut y accéder et potentiellement essayer de le pirater.
Raison #5 : Devenir complice du crime
Un dernier risque associé aux cyberattaques, surtout si elles sont basées sur le Web, est que votre organisation devienne complice du crime. Ceci est plus probable que vous ne le pensez et peut avoir des conséquences bien pires qu’une attaque directe. Vous pourriez faire face à une action en justice qui nuit à votre réputation et à votre entreprise. Quelle que soit la forme de protection dont vous disposez contre les attaques, elle doit également couvrir la possibilité que vos ressources soient utilisées pour attaquer quelqu’un d’autre.
L’objectif des attaques basées sur des logiciels malveillants est souvent d’installer un logiciel botnet. Ce logiciel est ensuite utilisé pour des attaques DDoS massives contre d’autres entités. Les attaquants peuvent également installer des solutions VPN malveillantes qui sont ensuite utilisées pour masquer l’adresse IP d’origine de l’attaquant. Si votre organisation est compromise, les journaux du serveur des victimes pourraient montrer que l’attaque provient de vos systèmes, et les gens commenceraient à poser des questions.
Ce qui est moins évident, c’est que vos applications Web peuvent également devenir des complices du crime. Supposons que votre application Web présente une vulnérabilité de script intersite (XSS) . Les attaquants pourraient utiliser la vulnérabilité pour créer des attaques de phishing convaincantes qui semblent provenir de votre domaine. La portée de ces attaques est beaucoup plus grande que, par exemple, pour les botnets DDoS, car un botnet est généralement utilisé contre une seule cible à la fois. Une campagne de phishing exploitant votre site Web vulnérable (et la crédibilité de votre entreprise) peut toucher des millions d’utilisateurs individuels. Beaucoup d’entre eux pourraient voir votre domaine digne de confiance lié dans l’e-mail, être victime de l’attaque, puis blâmer votre organisation pour les conséquences.
Donc, si vous ne voulez pas risquer votre réputation et votre entreprise, vous devez vous assurer que vos sites Web et vos applications Web ne présentent pas de vulnérabilités dont de mauvais acteurs pourraient abuser pour attaquer quelqu’un d’autre et vous rejeter la faute. Et la seule façon de le faire régulièrement, efficacement et automatiquement est d’utiliser une solution de test de vulnérabilité Web éprouvée comme Cycuri.
