En Belgique, pas moins d’un site web professionnel ou gouvernemental sur cinq est vulnérable aux cyberattaques

Selon une étude à grande échelle sur plus de 15 000 sites web belges réalisée par le cabinet de conseil BDO :

1 février 2021

  • Les sites web gouvernementaux sont les moins sécurisés : plus d’un quart des sites web des administrations communales et des services de police locaux sont vulnérables au piratage
  • 20 % des sites web du secteur des soins de santé, comme les hôpitaux et les maisons de retraite, sont peu sécurisés
  • Un nom de domaine sur six peut être utilisé abusivement pour des fraudes au CEO
  • Quatre sites web professionnels et gouvernementaux sur dix reposent sur une technologie dépassée

En Belgique, près d’un site web professionnel et gouvernemental sur cinq est une cible facile pour les pirates informatiques. Ce sont les sites web de nos autorités qui courent le plus grand risque : les pirates peuvent modifier illégalement plus d’un site web gouvernemental sur quatre, comme ceux des administrations communales et des services de police locaux, et accéder de la sorte à des flux financiers, voire voler des données privées. Voilà ce qu’il ressort d’une étude à grande échelle réalisée par le cabinet de conseil BDO sur plus de 15 000 sites web belges.

L’an dernier, pas un mois ne s’est écoulé sans que des pirates informatiques ne bloquent les ordinateurs d’une entreprise pour ensuite demander une rançon. Et selon les cyberexperts, 2021 sera pire encore pour les entreprises. Une étude du cabinet de conseil BDO leur donne raison : par le biais de leur site web, nos entreprises ouvrent grand la porte aux cybercriminels. Les technologies dépassées utilisées par quatre sites web sur dix dans notre pays sont le principal coupable.  

« Notre étude démontre que de nombreux sites web professionnels et gouvernementaux sont mal sécurisés. C’est inquiétant. La sécurité d’un site web en dit long sur la sécurité informatique de l’ensemble de l’organisation. Si le site d’une organisation est facile à pirater, il y a fort à parier que le reste de son environnement informatique est mal sécurisé. Les cybercriminels ont de la sorte davantage de possibilités pour saboter les entreprises et voler des données sensibles. »
Francis Oostvogels, responsable de la cybersécurité chez BDO

Le secteur public est le moins sûr, tandis que le secteur de l’énergie est le plus sécurisé

Ce qui surprend avant toute chose dans l’étude de BDO, c’est que le secteur public est le pire élève de la classe. Plus d’un quart (28 %) des sites web des administrations communales et des zones de police locales échouent à un ou plusieurs tests à haut risque. Cela les place au-dessus de la moyenne belge de 18,4 %. De manière assez prévisible, c’est le secteur de l’énergie qui s’en sort le mieux dans le test de BDO, même si 8,54 % des acteurs énergétiques demeurent exposés à un risque élevé de cyberattaque. Suite à ce test, BDO tire la sonnette d’alarme pour le secteur public, mais pas uniquement. Le secteur des soins de santé est lui aussi trop exposé au risque de piratage : 20 % des sites web du secteur des soins de santé, comme les hôpitaux, les cabinets médicaux et les maisons de retraite, sont peu sécurisés.

« Il convient de noter que les sites web du secteur de la santé sont dans les derniers rangs de notre test. Un site web sur cinq de nos hôpitaux, cabinets médicaux et centres de soins résidentiels est à haut risque. En raison de la nature sensible des données qu’ils traitent, on aurait tendance à croire qu’ils ont déployé une sécurité de qualité. Cela doit absolument s’améliorer. »
Francis Oostvogels, responsable de la cybersécurité chez BDO

Quatre sites web sur dix reposent sur une technologie dépassée 

Si l’on se penche sur le pourquoi de la facilité à pirater les sites web professionnels et gouvernementaux belges, BDO estime que les technologies dépassées sont le principal coupable. Cela va de protocoles FTP non sécurisés au fait de continuer à utiliser une adresse http non sécurisée.

« Dans notre pays, quatre sites web sur dix utilisent encore un protocole FTP. Cette technologie non cryptée permet aux pirates de facilement intercepter les mots de passe. Et que dire des 15 % de sites web qui utilisent encore des adresses http non sécurisées ? Enfin, il apparaît également qu’un domaine de site web belge sur six est vulnérable à l’usurpation d’adresse électronique. Les cybercriminels n’ont alors aucune difficulté à détourner le nom de domaine et recréer des adresses électroniques. C’est une technique populaire dans la “fraude au CEO” : un pirate se fait passer pour le CEO pour détourner de l’argent. »
Francis Oostvogels, de BDO

À propos de l’étude
BDO a réalisé un scan à grande échelle pour cartographier la sécurité numérique des sites web du monde des affaires et du secteur public belge. BDO a sélectionné 15 000 sites web répartis dans tout le pays, et dans tous les secteurs sur la base, entre autres, du nombre d’employés et du chiffre d’affaires des dernières années.  Ces sites web ont été passés au crible au moyen de 21 tests automatiques et non intrusifs répartis en 4 catégories (connexion, configuration, gestion et sécurité). La première catégorie ciblait la sécurité de l’utilisateur qui navigue sur le site web. La deuxième catégorie examinait la mesure dans laquelle le site web révèle des informations techniques sensibles qui pourraient aider les pirates à pénétrer un site web ou une organisation. La troisième catégorie testait si certains ports de l’interface de gestion du site web sont ouverts, et la dernière catégorie se concentrait sur un certain nombre de paramètres de sécurité, tels que la manière dont le serveur de messagerie de l’organisation gère l’usurpation d’adresse électronique, l’imitation du courrier électronique pour qu’il semble provenir de l’organisation.
Tous les résultats sont disponibles gratuitement sur le site web interactif bdowebscan.eu.

À propos de BDO
BDO est une organisation de conseil active à l’international, qui possède une solide réputation dans le conseil financier (Audit, Corporate Finance, Accounting, Tax & Legal) et dans d’autres types de conseils spécialisés, dont Strategy & Organisation, People, Interim Management, Digital et Risk. Nous accompagnons non seulement de nombreuses grandes entreprises, entreprises internationales et PME (familiales), mais aussi des personnes privées. BDO adopte une approche intègre, pragmatique et orientée résultat, et prête attention aux besoins de ses clients. Une unique personne de contact vous est attribuée et votre bureau se situe à proximité. En Belgique, nous disposons de 750 Partners et collaborateurs, répandus à travers le pays. Nous travaillons depuis 11 établissements, situés à Anvers, Brussels Airport, Bruxelles-Centre (2), Gand, Hasselt, La Hulpe, Liège, Malines, Namur-Charleroi et Roulers. BDO fait partie d’un solide réseau international qui, avec une équipe de plus de 88.000 Partners et collaborateurs, est actif dans 162 pays.
Pour plus d’infos: www.bdo.be

Tous les résultats de l'étudewebscan.tms.bdo.nl

Bert Bouserie

Bepublic
[email protected]+32 488 40 44 77

À propos de Bepublic

Bepublic fait partie de l’agence de relations publiques et de communication stratégique Bepublic Group qui accompagne les organisations belges dans leur communication depuis plus de 10 ans. Les relations publiques journalistiques font partie de notre ADN.  Nos consultants expérimentés aident les entreprises et les organisations à rapporter de façon éloquente et claire leur actualité.

Bepublic fait partie du Bepublic Group tout comme Bereal, Befirm et Beready. Pour en savoir plus sur l'agence de relations publiques et de communication stratégique, consultez le site. https://bepublicgroup.be