Websure

Athena GS à l’assaut des failles de sécurité des sites Web avec Websure

« Nous distribuions depuis deux ans un produit du même acabit (ndr : Acunetix). Un produit d’origine maltaise, assez cher (environ 7 000 euros) spécialisé dans la recherche de failles des sites Web.  Or, nous pensions qu’il y avait un besoin réel du côté PME, car toutes ou presque ont des sites truffées de failles, dont la plupart du temps au moins une faille critique. Et beaucoup de ces entreprises ou les web agencies qu’elles emploient n’ont pas fait l’effort ou ne disposaient pas des moyens pour faire un audit. Voilà pourquoi nous nous sommes mis en quête d’une solution permettant de démocratiser l’analyse de vulnérabilité et donner accès à moindre coût à un tel service. Nous l’avons trouvé avec Websure. »

Celui qui parle ainsi est Thierry Cossavella, la PDG d’Athena Global Services. Il invoque les arguments poussant à réaliser un audit de sites Web. « Il y a bien sûr la correction des failles proprement dites, mais aussi la nécessité d’une protection contre les risques réels et fréquents, l’obligation faite par les assurances ou par le législateur. C’est important aussi pour protéger les données personnelles de certains clients, et puis l’outil doit faire office de protection minimum contre les risques d’attaques de masse comme contre les attaques ciblées ».

Bien d’autres raisons peuvent encore pousser les PME à recourir à un outil d’audit de sécurité du type de Websure. Ainsi en est-il du détournement possible d’image, des risques de transfert d’achat sur des boutiques pirates, du risque courant d’utilisation malfaisante d’un site Web, de risque de dénigrement et de diffamation ou encore s’agit-il pour l’entreprise de se mettre en conformité avec la « norme » PCI IDSS.

Plus intéressées par le café que par leur sécurité…

Rodolphe Bouchez, chef produit chez Athena GS, explique qu’un panel récent (Ponemon 2010) fournissait un chiffre étonnant et pour tout dire inquiétant : 88% des entreprises estimaient que leur budget de sécurité IT était inférieur à leur budget café ! Et pas moins de 80% des sites Internet présentaient une faille, tandis que ¾ des entreprises dans le monde avaient subi au moins une attaque Web ces dernières années.  En outre, plus de 50% des attaques IT concernaient les sites Web et les e-boutiques.

Le chef produit évoque de plus que les menaces ont évolué récemment, avec un nombre de failles détectées multipliées par 7. Ce, tous secteurs d’activité confondus, mais les plus sécurisées étant de très loin les banques, tandis que les moins sécurisées étaient les réseaux sociaux et les sites IT. Au titre des principaux motifs d’attaques, Rodolphe Bouchez parle de détournement d’informations, de vol de données, d’installations de malwares, …

Jonathan Azria, développeur et responsable des audits Websure, explique pour sa part qu’un nouveau panel portant sur 100 sites a été réalisé en amont du lancement de Websure. Résultat édifiant : seulement 8 sites étaient exempts de failles ! Les recordmans: un extranet avait 440 failles dont 323 critiques  et un site de e-commerce avait 742 failles dont 254 critiques. A contrario, le moins en danger a été une Web Agency, qui avait tout de même 10 failles dont 2 critiques.

J.Azria indique que le pourcentage de vulnérabilités critiques (dégâts énormes et irrémédiables potentiels) ou sérieuses est très important. Que les failles XSS et SQL Injection sont les plus courantes. Et qu’il faut agir, même si  le développeur  explique que ne rien faire, malgré la conscience des dangers, peut parfois se justifier : manque de temps, nombreuses autres préoccupations (notamment économiques), choix d’un CMS complètement poreux, etc.

La réponse apportée par Athena GS et Thierry Cossavella ? « Nous lançons donc pour répondre à ce besoin un bouquet automatisé de services, basés sur le moteur Acunetix,  et dédié aux PME, ainsi qu’aux revendeurs et aux Web Agencies. L’intérêt est qu’on peut y accéder à partir de 50 euros l’audit pour une Web Agency (par lot de 10), pour la version Websure Audit à partir de 500 euros HT ou encore pour la version Websure Indeep Audit à partir de 800 euros HT. Le tout repose sur le mode  SaaS et fait l’objet en aval d’une analyse précise de notre équipe. »

Thierry Cossavella croit dur comme fer dans la valeur de cette nouvelle offre et son rapport prestations/prix. Un rapport de nature à inciter des acteurs peu ou pas conscients des dangers qui les guettent sur la toile à se pencher enfin sur la sécurité de leur site Web.