Sécurité des applications web dans un monde numérique et connecté

nov. 15, 2017 | Radware
Sécurité des applications web dans un monde numérique et connecté Une nouvelle ère commence pour les entreprises mondiales, celle de la cybersécurité. Avec l’arrivée des technologies émergentes comme les chaînes de blocs, l’intelligence artificielle (IA) et l’Internet  des  objets  (IoT) couplée à la croissance exponentielle des applications, mobiles, cloud et web dopée par la demande de consommateurs plus exigeants, de nouvelles opportunités potentiellement très lucratives s’offrent aux entreprises avec pour résultat la création de revenus supplémentaires, l’amélioration de leur productivité et l’optimisation de la valeur de leur marque.
Parallèlement, la vitesse et la sophistication  inhérentes à ces avancées technologiques mettent en lumière les vulnérabilités des applications, les risques de sécurité et les déficits de compétences. Autant de facteurs susceptibles de compromettre les données sensibles des clients et des entreprises, de dévaloriser leur marque et d’affecter sévèrement leurs performances financières.

Le dilemme pour les entreprises est de savoir comment adopter ces nouvelles technologies qui leur permettront de supprimer les freins à l’engagement des consommateurs et de générer des avantages économiques substantiels tout en protégeant leurs ressources, la propriété intellectuelle et les données personnelles des clients.

La nouvelle étude Radware : Sécurité  des applications web dans un monde numérique  et connecté présente une analyse qualitative et quantitative objective de la façon dont les entreprises mondiales gèrent leurs besoins actuels et futurs en matière de sécurité des applications web.

Informations  clés :
  • 68 % des responsables interrogés admettent n’avoir qu’une confiance limitée dans leur système de sécurité des informations. Ils reconnaissent également ne pas pouvoir garantir la disponibilité de leur infrastructure 24 heures sur 24, 7 jours sur 7 et 365 jours par an, et 2/3 d’entre eux n’ont pas encore intégré de stratégie de sécurité à leur DevOps.
  • Les entreprises protègent souvent mal leurs données sensibles. 45 % des participants mentionnent avoir subi une violation de données tandis que 52 % ne surveillent pas le trafic des données transférées depuis ou vers les API. 56 % des responsables interrogés déclarent ne pas pouvoir techniquement assurer un suivi des données une fois qu’elles ont quitté l’entreprise.
  • Le trafic bot représente plus de la moitié du flux Internet, voire plus de 75 % du trafic réseau total dans certaines entreprises. 49 % du trafic bot est le fait de bots malveillants, or 33 % des entreprises sont incapables de les distinguer des bots utiles.
  • La sécurité des API est souvent négligée. 60 % des entreprises consomment et partagent des données via les API, notamment des données personnelles identifiables, des noms d’utilisateur et des mots de passe, des coordonnées de paiement, des informations médicales, etc. Et pourtant, 52 % des entreprises ne contrôlent pas les données qui sont transférées via leurs API et 51 % n’effectuent aucun audit de sécurité ni d’analyse de la vulnérabilité de leurs API avant leur intégration.
  • Les attaques DDoS visant la couche applicative sont une menace bien plus grande que les attaques DDoS visant le réseau. Seuls 33 % des responsables interrogés ne doutent pas de pouvoir gérer les attaques visant la couche applicative contre 50 % pour les attaques DDoS visant le réseau.
  • Parmi les participants, 7 sur 10 (72 %) déclarent ne pas toujours être au fait des fréquentes modifications apportées aux applications et API internes au sein des environnements de développement logiciel de leurs entreprises.
  • 40 % des responsables interrogés déclarent que leur entreprise met à jour ses applications une fois par semaine au moins, ce qui pose un véritable défi en matière de contrôle.
  • Tout le monde veut bénéficier de la vitesse et de l’agilité de l’accélération continue, mais peu pensent pouvoir y parvenir en toute sécurité. La moitié (49 %) des responsables interrogés déclarent utiliser l’accélération continue des services applicatifs et 21 % prévoient de l’adopter au cours des 12 à 24 prochains mois. Paradoxalement, 62 % d’entre eux admettent que cela contribue à étendre la surface d’attaque, pourtant ils sont encore près de 50 % à déclarer ne pas intégrer de dispositifs de sécurité à leur processus d’accélération continue.
  • Six mois avant l’échéance du mois de mai 2018, 68 % des participants doutent d’être prêts à temps pour satisfaire aux exigences du Règlement général sur la protection des données (RGPD).


À propos de cette étude:

Radware, en collaboration avec Ponemon Research, a interrogé plus de 600 responsables de la sécurité des systèmes d’information (RSSI) et autres experts en matière de sécurité sur six continents. Trois secteurs industriels ont été spécifiquement visés : les services financiers, la santé et la vente au détail. Les objectifs étaient les suivants :

  • Identifier les difficultés que les nouvelles technologies et les déploiements applicatifs ultra-rapides posent aux entreprises ;
  • Déterminer comment les entreprises de différents secteurs ont identifié les vulnérabilités des API et de la couche applicative ;
  • Évaluer l’impact des attaques bots sur les entreprises ;
  • Découvrir comment les entreprises combattent les attaques visant la couche applicative (comme celles listées dans le Top 10 OWASP) ;
  • S’informer sur les feuilles de route adoptées par les entreprises pour garantir leur sécurité actuelle et future.
Radware a également souhaité comprendre dans quelle mesure le nombre exponentiel d’atteintes à la sécurité sur la couche applicative (comme la récente attaque Equifax) pouvait affecter les entreprises sur le plan financier et opérationnel.
 
Radware
© 2008-2018 Radware, Ltd. All rights reserved.