Technologies

Les prestataires de cybersécurité sont-ils des cordonniers mal chaussés ?

Les prestataires de cybersécurité sont-ils des cordonniers mal chaussés ?
« Les cordonniers sont les plus mal chaussés » prétend le proverbe.

Selon une étude d'ImmuniWeb, la quasi-totalité des prestataires de cybersécurité ont été eux-mêmes victimes de fuites de données disponibles sur le dark web.

PublicitéLes prestataires de cybersécurité oublient-ils de s'appliquer à eux-mêmes leurs excellentes solutions ? Ou bien ces solutions ne sont-elles pas si parfaites que cela ? ImmuniWeb a mené une étude sur les données à disposition sur le dark web et y a trouvé le butin de nombreux piratages opérés au sein même de ces prestataires de cybersécurité. « 97% des entreprises [de cybersécurité étudiées] ont des fuites de données et d'autres incidents de sécurité exposés sur le Dark Web » note ainsi ImmuniWeb.

Dans l'étude, 631 512 incidents de sécurité certains sont recensés, dont 160 529 (25,42%) sont de niveau élevé ou critique et 159 462 (25,25 %) de niveau faible. 1 027 395 incidents non-contrôlés sont également possibles. Il en résulte la disponibilité de 1586 informations sensibles (dont des données d'identification) disponibles par entreprise de cybersécurité.

Faites ce que je dis, pas ce que je fais

Parmi les mauvaises pratiques relevées, ImmuniWeb cite les mots de passe faibles (au plus 8 caractères minuscules) et l'usage d'adresses professionnelles sur des sites pornographiques. Des collaborateurs d'environ 40 % des entreprises étudiées ont utilisé les mêmes mots de passe sur plusieurs services piratés. ImmuniWeb indique également : « 5 121 informations d'identification avaient été volées sur des sites Web piratés de pornographie ou de rencontres pour adultes. »

De plus, « 63% des sites Web des sociétés de cybersécurité ne sont pas conformes aux exigences PCI DSS ». Parmi ces exigences négligées, il y a notamment le non-patchage de versions de logiciels obsolètes (notamment des bibliothèques et des frameworks en Javascript). Les entreprises ont des attitudes très variées selon les pays : les incidents les plus graves et les plus nombreux ont eu lieu aux Etats-Unis alors que les entreprises basées en Suisse, au Portugal et en Italie n'ont connu aucun incident grave (niveaux élevé ou critique) et que l'on rencontre le plus petit nombre d'incidents dans les entreprises basées en Belgique, au Portugal et en France.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Pour 2021, prévoyez-vous une montée de version majeure pour un ou plusieurs systèmes cœur de métier (ERP, CRM…) ?