Selon une étude à grande échelle sur plus de 15 000 sites web belges réalisée par le cabinet de conseil BDO :
- Les sites web gouvernementaux sont les moins sécurisés : plus d’un quart des sites web des administrations communales et des services de police locaux sont vulnérables au piratage
- 20 % des sites web du secteur des soins de santé, comme les hôpitaux et les maisons de retraite, sont peu sécurisés
- Un nom de domaine sur six peut être utilisé abusivement pour des fraudes au CEO
- Quatre sites web professionnels et gouvernementaux sur dix reposent sur une technologie dépassée
En Belgique, près d’un site web professionnel et gouvernemental sur cinq est une cible facile pour les pirates informatiques. Ce sont les sites web de nos autorités qui courent le plus grand risque : les pirates peuvent modifier illégalement plus d’un site web gouvernemental sur quatre, comme ceux des administrations communales et des services de police locaux, et accéder de la sorte à des flux financiers, voire voler des données privées. Voilà ce qu’il ressort d’une étude à grande échelle réalisée par le cabinet de conseil BDO sur plus de 15 000 sites web belges.
L’an dernier, pas un mois ne s’est écoulé sans que des pirates informatiques ne bloquent les ordinateurs d’une entreprise pour ensuite demander une rançon. Et selon les cyberexperts, 2021 sera pire encore pour les entreprises. Une étude du cabinet de conseil BDO leur donne raison : par le biais de leur site web, nos entreprises ouvrent grand la porte aux cybercriminels. Les technologies dépassées utilisées par quatre sites web sur dix dans notre pays sont le principal coupable.
« Notre étude démontre que de nombreux sites web professionnels et gouvernementaux sont mal sécurisés. C’est inquiétant. La sécurité d’un site web en dit long sur la sécurité informatique de l’ensemble de l’organisation. Si le site d’une organisation est facile à pirater, il y a fort à parier que le reste de son environnement informatique est mal sécurisé. Les cybercriminels ont de la sorte davantage de possibilités pour saboter les entreprises et voler des données sensibles. » Francis Oostvogels, responsable de la cybersécurité chez BDO
Le secteur public est le moins sûr, tandis que le secteur de l’énergie est le plus sécurisé
Ce qui surprend avant toute chose dans l’étude de BDO, c’est que le secteur public est le pire élève de la classe. Plus d’un quart (28 %) des sites web des administrations communales et des zones de police locales échouent à un ou plusieurs tests à haut risque. Cela les place au-dessus de la moyenne belge de 18,4 %. De manière assez prévisible, c’est le secteur de l’énergie qui s’en sort le mieux dans le test de BDO, même si 8,54 % des acteurs énergétiques demeurent exposés à un risque élevé de cyberattaque. Suite à ce test, BDO tire la sonnette d’alarme pour le secteur public, mais pas uniquement. Le secteur des soins de santé est lui aussi trop exposé au risque de piratage : 20 % des sites web du secteur des soins de santé, comme les hôpitaux, les cabinets médicaux et les maisons de retraite, sont peu sécurisés.
« Il convient de noter que les sites web du secteur de la santé sont dans les derniers rangs de notre test. Un site web sur cinq de nos hôpitaux, cabinets médicaux et centres de soins résidentiels est à haut risque. En raison de la nature sensible des données qu’ils traitent, on aurait tendance à croire qu’ils ont déployé une sécurité de qualité. Cela doit absolument s’améliorer. » Francis Oostvogels, responsable de la cybersécurité chez BDO
Quatre sites web sur dix reposent sur une technologie dépassée
Si l’on se penche sur le pourquoi de la facilité à pirater les sites web professionnels et gouvernementaux belges, BDO estime que les technologies dépassées sont le principal coupable. Cela va de protocoles FTP non sécurisés au fait de continuer à utiliser une adresse http non sécurisée.
« Dans notre pays, quatre sites web sur dix utilisent encore un protocole FTP. Cette technologie non cryptée permet aux pirates de facilement intercepter les mots de passe. Et que dire des 15 % de sites web qui utilisent encore des adresses http non sécurisées ? Enfin, il apparaît également qu’un domaine de site web belge sur six est vulnérable à l’usurpation d’adresse électronique. Les cybercriminels n’ont alors aucune difficulté à détourner le nom de domaine et recréer des adresses électroniques. C’est une technique populaire dans la “fraude au CEO” : un pirate se fait passer pour le CEO pour détourner de l’argent. » Francis Oostvogels, de BDO
À propos de l’étude
BDO a réalisé un scan à grande échelle pour cartographier la sécurité numérique des sites web du monde des affaires et du secteur public belge. BDO a sélectionné 15 000 sites web répartis dans tout le pays, et dans tous les secteurs sur la base, entre autres, du nombre d’employés et du chiffre d’affaires des dernières années. Ces sites web ont été passés au crible au moyen de 21 tests automatiques et non intrusifs répartis en 4 catégories (connexion, configuration, gestion et sécurité). La première catégorie ciblait la sécurité de l’utilisateur qui navigue sur le site web. La deuxième catégorie examinait la mesure dans laquelle le site web révèle des informations techniques sensibles qui pourraient aider les pirates à pénétrer un site web ou une organisation. La troisième catégorie testait si certains ports de l’interface de gestion du site web sont ouverts, et la dernière catégorie se concentrait sur un certain nombre de paramètres de sécurité, tels que la manière dont le serveur de messagerie de l’organisation gère l’usurpation d’adresse électronique, l’imitation du courrier électronique pour qu’il semble provenir de l’organisation.
Tous les résultats sont disponibles gratuitement sur le site web interactif bdowebscan.eu.