Sécurisez votre site Web afin que vos clients ne soient pas agressés

"Vous ne vous attendez pas à être victime d'une agression lorsque vous entrez dans un magasin", a déclaré Tom Kellermann, responsable de la cybersécurité chez Trend Micro, "Vous attendez la sécurité des installations dans un magasin et attendez la même chose sur un site Web." Lors d'une interview à la conférence RSA 2015 à San Francisco, Kellermann a partagé avec moi ses réflexions sur la protection de la marque et la sécurité des sites Web.

Quelqu'un a empoisonné le trou d'eau

"Nous avons constaté une augmentation de 25% du nombre d'attaques par points d'eau dans le monde", a déclaré Kellermann. "La moitié sont aux États-Unis et 45 millions sont apparus au premier semestre de l'année". Une attaque de points d'eau est un site Web apparemment inoffensif qui peut infecter automatiquement les navigateurs en visite, sans aucune interaction de l'utilisateur. Juste au moment où le prédateur de la jungle attend sa proie puis bondit, le code malveillant s'active lorsqu'une victime probable arrive. Et tout site Web dont la sécurité est insuffisante peut recevoir un code qui le transforme en un point d’arrosage.

"Le problème", a poursuivi Kellermann, "est que le budget du site Web appartient au chef du marketing." Les CMO comprennent parfaitement la protection de la marque, a-t-il expliqué. Ils peuvent même comprendre la nécessité de protéger les données des clients, afin que leur marque ne soit pas endommagée comme le fut la cible. Mais peu de personnes se rendent compte que si elles ne protègent pas la sécurité du site Web, elles risquent de nuire à la marque en laissant les visiteurs se faire agresser.

Il n'y a pas d'argent dedans

J'ai remarqué que le chef du service de gestion dirait probablement qu'il n'y a pas d'argent dans le budget pour la sécurité. Kellermann a répondu: "C'est du caca de cheval, et vous pouvez me citer!" Il a proposé un chiffre de la Banque mondiale et du FMI: passer de la brique et du mortier à la vente en ligne économise 98 cents par dollar. Il aimerait voir au moins 10 cents de ces économies, ou 20% du budget informatique, consacrés à la sécurisation du site.

• Nouvel IE Zero-Day utilisé pour la mémoire des cibles d'attaque de trous d'eau Nouvel IE: Zero-Day utilisé pour la mémoire des cibles d'attaque de trous
• Les meilleurs services d'hébergement Web WordPress pour 2019 Les meilleurs services d'hébergement Web WordPress pour 2019
• Microsoft étend le programme Bug Bounty à Project Spartan Microsoft étend le programme Bug Bounty à Project Spartan

"Il est temps que les entreprises considèrent l'investissement dans la sécurité comme un facteur de différenciation de la marque", a déclaré Kellermann. "Regardez Nike. Certains appellent Nike une société de marketing vendant des chaussures. Ils perdront certainement de l'argent si quelqu'un pirate leur site et vole la ligne de la mode du printemps. Alors, ils organisent une grande fête ici à RSA, cherchant à recruter des agents de sécurité talent. C'est intelligent!"

Qu'en est-il du site Web de votre entreprise? Utilisez-vous une version non corrigée de WordPress? Avez-vous déjà évalué le site pour des vulnérabilités? Commencez à penser à la sécurité, sinon vous risquez que votre marque soit entachée d'attaques de cyber-utilisateurs mug sur votre site.