Une nouvelle étude révèle une forte proportion d'applications cloud, mobiles et web vulnérables exposant des données sensibles, notamment des API non sécurisées et des données personnelles(PII). L'étude de CyCognito, basée sur l'analyse de 3,5 millions d'actifs dans sa base de clients d'entreprise, révèle que 74 % des actifs avec PII sont vulnérables à au moins un exploit majeur connu, et qu'un sur dix a au moins un problème facilement exploitable."Le dernier exploit MOVEit est une mise en garde pour tous les RSSI : les attaquants ont toujours une longueur d'avance sur la sécurité des applications web et du cloud ", déclare Rob Gurzeev, PDG et cofondateur de CyCognito. "Le volume d'informations personnelles exposées provenant de cette violation désastreuse confirme nos conclusions et souligne le besoin critique d'une visibilité complète de tous les actifs à travers la surface d'attaque d'une organisation. Les entreprises ne peuvent plus se permettre de négliger leur ombre numérique et les nombreux risques inconnus et non gérés au sein de leurs systèmes."
En outre, 70 % des applications web présentent de graves lacunes en matière de sécurité, comme l'absence de protection WAF ou de connexion cryptée (HTTPS), tandis que 25 % de l'ensemble des applications web (web apps) ne disposent pas des deux. Cette situation est préoccupante, car une entreprise mondiale typique possède plus de 12 000 applications web, qui peuvent inclure des API, des applications SaaS, des serveurs et des bases de données, entre autres.
Le rapport montre également que 98 % des applications web ne sont potentiellement pas conformes au RGPD en raison de l'absence d'option permettant aux utilisateurs de refuser les cookies.
Gurzeev ajoute : "La surface d'attaque d'une entreprise fluctue de 10 % par mois, ce qui en fait une cible mouvante présentant des failles de sécurité prêtes à être exploitées. Notre dernière étude ne se contente pas de rappeler qu'aucune entreprise n'est à l'abri des risques, elle prouve aussi clairement que les actifs inconnus et non découverts représentent une menace majeure pour une organisation."
Source : CyCognito
Et vous ?
Pensez-vous que cette étude est crédible ou pertinente ? Selon vous, quelles seraient les raisons de ces lacunes et quelles sont les solutions ?Voir aussi :
Cinq des risques de sécurité cloud les plus courants, mais aussi les plus graves, que l'on retrouve dans de nombreux environnements cloud, d'après une nouvelle analyse de Orca Security Pourquoi devriez-vous faire migrer vos sites statiques de HTTP vers HTTPS ?Voici les raisons avancées par un expert en sécurité Web
73 % des entreprises dans le monde augmentent leurs budgets de cybersécurité, mais seulement 61 % de leurs outils sont pleinement actifs ou déployés