• La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Une du journal La Tribune

Dernière édition

Flèche menu déroulant
Newsletters
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat

Sélectionnez votre région

Logo La Tribune

RECHERCHER

Loupe

LTD
La Tribune Dimanche
Ouvrir dans une nouvelle fenêtre
Air&Cosmos icon
Air&Cosmos
Ouvrir dans une nouvelle fenêtre

À la une
  • Finances publiques
  • Fiscalité
  • Immobilier
  • Consommation
  • Distribution
  • Politique internationale
  • Finances personnelles
  • Banque & assurances
  • Marchés financiers
  • Intelligence artificielle
  • High tech
  • Télécoms
  • Start-up
  • Énergie
  • Politique industrielle
  • Chimie & pharmacie
  • Automobile
  • Mobilités
  • Aéronautique
  • Défense
  • Spatial
  • Environnement
  • Agriculture & agroalimentaire
Idées & débats
Kiosque numériqueNewsletters
La Tribune DimancheLa Tribune AfriqueAir&Cosmos
  • La Tribune Now
  • Votre argent avec Finance Héros
  • Construire les mobilités de demain
  • Fonction Finance 2.0 avec Cegid
  • Transformations durables avec Forvis Mazars
  • Accélérer avec le Cloud par AWS
  • Fisher Investments
  • Au coeur du business
  • VisionAir avec Bpifrance
  • Adaptabilité permanente : Le pouvoir d’agir avec IBM Consulting
  • Succès d'entreprises avec Deloitte
  • L'Œil sur vos Finances
  • Les Rencontres de Roissy Meaux Aéropôle
  • France Travail accompagne le Salon des Maires
  • La CCI Paris Ile-de-France, le réflexe des entrepreneurs
  • #La Tribune Business Interviews
  • #La Tribune Business Dossiers
  • #La Tribune Business TV
  • Instant Sélection
Événements
OpinionsTribunes

Cybersécurité: comprendre les dessous des attaques Web, pour mieux les contrer

Vincent Bodson, Airbus CyberSecurity

Publié le 01 mars 2018 à 13:07 - Mis à jour le 13 décembre 2024 à 01:16

Le heros de la lutte contre "wannacry" arrete pour "hacking"

Le heros de la lutte contre "wannacry" arrete pour "hacking"

Valentyn Ogirenko

Le Quotidien Numérique

18 juillet 2026

Photo d'illustration de l'article
LireS'abonner

Les plus lus

  • 1

    Moyen-Orient : la guerre du détroit aura bien lieu

  • 2

    Incendies : Positive Aviation franchit une étape décisive pour transformer un ATR en alternative au Canadair

  • 3

    Saturation du réseau électrique : 2 500 producteurs d’énergie renouvelable dans l’attente de solutions de raccordement

  • 4

    Pétrole : le Panama va prendre la main sur un oléoduc, « l'une des infrastructures stratégiques les plus importantes du pays »

  • 5

    Mines d'or du Limousin : la fièvre jaune, entre promesses d'emplois et héritage toxique

  • 6

    Cyclisme : du changement dans la direction de l'équipe de Paul Seixas

Régions

  • Auvergne-Rhône-Alpes
  • Bourgogne-Franche-Comté
  • Bretagne
  • Centre-Val de Loire
  • Corse
  • Grand Est
  • Hauts-de-France
  • Île-de-France
  • Normandie
  • Nouvelle-Aquitaine
  • Occitanie
  • Pays de la Loire
  • Provence-Alpes-Côte d'Azur

La Tribune +

  • Espace abonné
  • Kiosque numérique
  • Annonces légales
  • Déposer vos annonces légales

Services

  • Supplément
  • La Tribune now

Evénements

  • ACT50
  • Aéroforum
  • AIM
  • Bordeaux Solar Summit
  • Family & Business Forum
  • Forum Europe Afrique
  • Impacts Santé
  • Les Lauréates
  • Paris Air Forum
  • Sommet Aéronautique & Spatial de Bordeaux
  • Sommet Économique de la Corse
  • Tech For Future
  • World News Media Congress
  • Tous nos événements en régions

Pour gérer vos consentements,

Suivez-nous sur les réseaux sociaux

YouTube
LinkedIn
Facebook
Instagram
X

Application mobile

App Store
Google Play

  • Nous Contacter
  • Charte d'indépendance et de déontologie
  • Mentions Légales
  • CGU
  • CGU Pro
  • Gestion des cookies
  • Exercez vos droits
  • Politique de confidentialité

Droits de reproduction et de diffusion réservés @LaTribune

Partenaire digital de confiance - Certification de qualité
  • La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Google icon
Ajouter La Tribune à vos sources préféréesAjouter La Tribune à vos sources préférées
De l'importance d'intégrer la sécurité dès la phase de développement et pendant tout son cycle de vie en ligne. Par Vincent Bodson, directeur des opérations et de l'ingénierie France d'Airbus CyberSecurity.

Parler des attaques sur le Web est presque devenue une habitude. "Defacement" (défiguration, en français), fuite de données, attaque par "déni de service" sont des termes qui jalonnent les éditos pour nous expliquer comment des pirates se sont « débrouillés » pour voler ou détruire des données, pour rendre inaccessible un site web ou le défigurer et provoquer des impacts ô combien lourds pour les entreprises et utilisateurs.

Comprendre les mécanismes internes d'une attaque informatique

Mais que se passe-t-il vraiment, quel est le modus operandi ? Si aujourd'hui, on a tendance à bannir la technicité ou la complexité dans les propos publics pour faire « simple », n'est-il pas nécessaire de comprendre les mécanismes internes d'une attaque pour mieux la contrer ? C'est ce que nous croyons fermement.

Comme en architecture du bâtiment, l'informatique peut connaître des défauts de construction. Telle une fissure dans un mur qui le fragilise, et dont un coup de burin bien placé suffit à le faire tomber, le hacker malveillant n'a qu'à chercher les failles et taper dedans. Dans le Top 10 des failles de sécurité dont on dit qu'elles sont « exploitées » par les attaquants figurent le Cross-Site Scripting (XSS, en abrégé) et "l'injection SQL" (SQLi). Des termes certes un peu barbares, mais qu'il convient de bien retenir en ce qu'ils représentent aujourd'hui la porte d'entrée de plus de la moitié des attaques.

> Qu'est-ce qu'une injection SQL ? Le SQL (Structured Query Language) est un langage permettant de communiquer avec une base de données. Ainsi, lorsqu'un site Web comprend une base de données, le modus operandi de l'attaquant consiste souvent, via un formulaire Web ou couple Login / password à introduire des commandes dans ce langage, dans le but de dialoguer avec la base, de la modifier ou d'en télécharger le contenu.

> Le Cross-Site Scripting permet à un utilisateur légitime, par exemple un utilisateur de blog, d'ajouter une commande de script à la fin d'une entrée de données textuelles. Lorsqu'un autre utilisateur clique dessus, la commande s'exécute avec les autorisations de cet utilisateur. La finalité pour un attaquant peut être de dérober les informations personnelles de l'utilisateur légitime ou de lui envoyer des malwares.

Newsletter

Ma Tribune

L’actualité qui compte pour vous, chaque jour dans votre boîte mail.

Illustration de la newsletter Ma Tribune

Le développement sécurisé, une préoccupation encore timide

Si ces failles sont connues, pourquoi alors ne pas les contrer ? Ces failles existent en raison du filtrage insuffisant et peu robuste des données attendues par l'application web, lors de la phase de développement (c'est-à-dire l'étape des fondations, pour reprendre notre analogie du début avec le BTP). Ces failles se perpétuent dans le temps, dans la mesure où chaque site Web est conçu sur mesure et continuellement mis à jour.

Il faut dire que, malheureusement, la sécurité est rarement prise en compte dès la conception des applications et que les phases de configuration et de test des sites Web ne sont pas toujours aussi approfondies qu'on le souhaiterait en tant qu'experts de la sécurité. C'est heureusement moins le cas lorsqu'il s'agit d'applications commerciales grand public.

La complexité entre parfois aussi dans l'équation. La faille peut aussi se manifester dans l'application de base de données sous-jacente. Il ne s'agit pas ici de nommer les exemples. Retenons simplement que l'exploitation de ces failles représente une porte d'entrée non verrouillée pour les attaquants.

Quels remèdes pour contrer ces modes opératoires ?

Pour faire face à ces menaces, il faut prendre en compte la nature du site. S'il s'agit d'un site simple web doté de fonctionnalités minimales, il est possible de s'en remettre à un développeur compétent en développement sécurisé web qui saura comment configurer le serveur de façon sécurisée et pourra entreprendre une évaluation rigoureuse du code. Il se préoccupera en outre des résultats d'un test d'intrusion, ainsi que de la mise en place d'un processus de diffusion des correctifs.

En règle générale, un pare-feu d'application Web est nécessaire pour protéger des sites potentiellement vulnérables au Cross-Site Scripting ou à l'injection SQL, mais les règles devront être mises à jour à intervalles réguliers pour correspondre aux fonctionnalités du site Web.

Pour les sites Web plus complexes qui évoluent continuellement, il n'est sans doute pas envisageable sur le plan pratique d'effectuer des tests rigoureux à chaque nouvelle mise à jour, c'est pourquoi il faudra songer à mettre en place un processus de vérification des failles en continu. Des services d'analyse des vulnérabilités, appelés souvent « scan » sont proposés par différentes entreprises spécialisées et comportent des analyses périodiques de vulnérabilité du site, incluant les zones susceptibles d'être visées par une attaque SQLi et XSS.

Security by Design (la sécurité à la conception)

Une réflexion doit être menée aussi en phase de déploiement et de maintenance du site. Aujourd'hui, la plupart des entreprises ont recours à une société d'hébergement pour implémenter et gérer leur site Web. Les PME ne disposant pas en interne d'une équipe dédiée à la sécurité peuvent compter sur ce prestataire pour les aider dans l'application des correctifs et la maintenance de leur serveur, mais celui-ci ne couvre pas toujours tout le scope sécuritaire. Il est alors important de vérifier ce que l'offre du prestataire prévoit contractuellement, notamment en termes de contrôle de sécurité, de réduction des attaques DDoS (par "déni de service"), de réactivité aux incidents de sécurité et de processus de gestion des incidents.

Les entreprises qui hébergent elles-mêmes leur site Web, doivent, quant à elles, être extrêmement vigilantes et s'assurer que leurs propres systèmes soient bien protégés et bien séparés du serveur Web ; et ce, pour empêcher l'utilisation du serveur Web comme cheval de Troie dans le but d'attaquer les systèmes informatiques  de l'entreprise.

Quelle que soit l'approche adoptée, l'outil de développement nécessite d'être étudié. Par le passé, certains hackers malveillants s'en sont pris à des outils de développement de site Web. Ainsi, chaque site développé ensuite par les entreprises comportait des portes dérobées, ouvertes à tout attaquant ou encore des malwares préinstallés. Ce type d'attaque est complexe à détecter. Néanmoins, l'attitude du fournisseur en matière de sécurité peut être décisive, et les tests de sécurité de la chaîne de développement doivent prendre en compte cette éventualité.

À lire également

  • Cyberattaques : que contient le "paquet cyber" que l'Europe veut voter en 2018 ?
  • Wannacry : face aux cyberattaques, l'Europe renforce sa cybersécurité
  • Le labo Merck & Co sommé de s'expliquer sur sa fragilité face aux cyberattaques
  • Renault également touché par la vague de cyberattaques internationales
  • Cyberattaques, spams, malwares : les cybercriminels n’ont pas chômé au deuxième trimestre
  • Cyberattaques : protéger le système financier doit être une priorité
  • Formation et gouvernance, au chevet des systèmes industriels toujours plus vulnérables aux cyberattaques
  • Cyberattaques contre les centrales nucléaires : faut-il réellement s’alarmer ?
  • Pacemakers, pompes à insuline... Quels risques de cyberattaques ?

Tout ceci  démontre l'importance d'intégrer la sécurité dès la phase de développement et pendant tout son cycle de vie en ligne. Cela repose notamment sur des méthodes de travail dites DevSecOps qui portent sur le développement, la sécurité et l'exploitation des systèmes informatiques, sur une évaluation des risques et des menaces, et l'application de règles de codage et d'analyse automatisée du code.

Vincent Bodson, Airbus CyberSecurity

Sur le même sujet

Sanjay Pulipaka

OPINION. « Souveraineté numérique : l'Europe ne peut plus se contenter de réagir aux ingérences »

Idées & Débats
Sébastien Boussois

OPINION. « Meloni, Takaichi : une nouvelle droite féminine décomplexée au pouvoir »

Pendant des décennies, l’arrivée des femmes aux plus hautes responsabilités a été accompagnée d’une promesse implicite : elles introduiraient une politique plus douce, plus consensuelle, plus horizontale et plus sensible. Comme si l’autorité, la puissance et l’affirmation de l’intérêt national étaient nécessairement des attributs masculins et qu’il fallait desormais tout autre chose pour réussir en politique.

Idées & Débats
Bertrand Piccard

OPINION. « ETS et long-courriers : l’Europe ne doit pas rater l’embarquement »

Alors que la Commission européenne s’apprête à réviser son système d’échange de quotas d’émission (SEQE), l’une des questions importantes qui se posent est de savoir si les vols internationaux doivent rester en dehors du système ou y être enfin intégrés.

Idées & Débats
Gabriel Gaspard

OPINION. « Présidentielle 2027 - dette publique : faut-il changer de paradigme ? »

Les signaux de la Cour des comptes sont tous alarmants. Le débat sur l'endettement de la France enflamme la présidentielle. La dette devient-elle hors de contrôle ? Faut-il des solutions douloureuses ou une vraie alternative à nos finances publiques ?

Idées & Débats
agir

OPINION. « Redonner aux jeunes le pouvoir d’agir : quand entreprendre remet en mouvement »

Par les 25 membres du collectif Entr&prends ton Avenir et 13 représentants de l’écosystème associatif de la jeunesse.

Idées & Débats
Julien Chaverou

OPINION. « Pour un pacte de soutien a l’ameublement français et europeen »

La France et l’Europe ont une histoire longue et remarquable dans le secteur de la décoration et de l’ameublement. Les trois dernières décennies ont changé radicalement les méthodes, les moyens et les habitudes. Aujourd’hui, comme dans la mode, il y a ce sentiment étourdissant que, soudain, tout s’écroule.

Idées & Débats
Amaury Goguel

OPINION. « Et si les grilles d’analyse des Institutions Financières Internationales alimentaient les polycrises ? »

La décision est passée presque inaperçue. Pourtant, en septembre 2025, Pékin a provoqué un véritable séisme silencieux dans la gouvernance mondiale en renonçant officiellement à son statut de « pays en développement » à l’Organisation mondiale du commerce.

Idées & Débats
Sarah Bagnon-Szkoda

OPINION. « CSRD : le reporting de durabilité entre dans son âge de raison »

La CSRD a d’abord été perçue comme une contrainte. Une norme de plus, venant s’ajouter à un environnement réglementaire déjà dense. Sa mise en œuvre a souvent été vécue comme un chantier lourd, technique, coûteux, déployé dans des délais serrés par des entreprises déjà saturées par les obligations de reporting.

Idées & Débats