imswebs

64% des applications tierces accèdent à des données sensibles sans...

Cybersecurité

64% des applications tierces accèdent à des données sensibles sans justification

0views
0

64% des applications tierces accèdent à des données sensibles sans justification
  • Une étude analysant 4 700 sites Web de premier plan révèle que 64 % des applications tierces accèdent désormais à des données sensibles sans justification commerciale, contre 51 % en 2024.
  • Les activités malveillantes du secteur gouvernemental sont passées de 2 % à 12,9 %, tandis qu'un site éducatif sur sept fait preuve de compromission active.
  • Violateurs spécifiques : Google Tag Manager (8 % des violations), Shopify (5 %), Facebook Pixel (4 %).

Téléchargez l'analyse complète de 43 pages →

TL;DR

Une divergence critique apparaît dans l’étude de 2026 : alors que 81 % des responsables de la sécurité considèrent les attaques Web comme une priorité absolue, seuls 39 % ont mis en œuvre des solutions pour arrêter l’hémorragie.

L'enquête de l'année dernière a révélé que 51 % des accès étaient injustifiés. Cette année, il est de 64 % et s'accélère vers les infrastructures publiques.

Qu’est-ce que l’exposition sur le Web ?

Gartner a inventé le « Web Exposure Management » pour décrire les risques de sécurité des applications tierces : analyses, pixels marketing, CDN et outils de paiement. Chaque connexion élargit votre surface d'attaque ; La compromission d'un seul fournisseur peut déclencher une violation massive des données en injectant du code pour récolter des informations d'identification ou écrémer des paiements.

Ce risque est alimenté par un déficit de gouvernance, où les équipes numériques ou marketing déploient des applications sans surveillance informatique. Le résultat est une mauvaise configuration chronique, où les applications disposant d'autorisations excessives accèdent à des champs de données sensibles dont elles n'ont pas besoin fonctionnellement.

Cette enquête examine exactement quelles données touchent ces applications tierces et si elles ont une justification commerciale légitime.

Méthodologie

Pendant 12 mois (jusqu'en novembre 2025), Reflectiz a analysé 4 700 sites Web de premier plan à l'aide de son système exclusif de notation d'exposition. Il analyse la grande quantité de points de données qu'il collecte en analysant des millions de sites Web, en considérant chaque facteur de risque dans son contexte, les additionne pour créer un niveau de risque global et l'exprime sous la forme d'une simple note, de A à F. Les résultats ont été complétés par une enquête menée auprès de plus de 120 responsables de la sécurité dans les secteurs de la santé, de la finance et de la vente au détail.

La crise de l’accès injustifié

Le rapport met en évidence une lacune croissante en matière de gouvernance appelée « accès injustifié » – des cas dans lesquels des outils tiers accèdent à des données sensibles sans besoin commercial démontrable.

L'accès est signalé lorsqu'un script tiers répond à l'un de ces critères :

  • Fonction non pertinente : Lisez les données inutiles pour votre tâche (par exemple, un chatbot accédant aux champs de paiement).
  • Présence sans retour sur investissement : Restez actif sur les pages à haut risque malgré plus de 90 jours sans transmission de données.
  • Déploiement de l'ombre : Injection via des gestionnaires de balises sans surveillance de la sécurité ni portée des « moindres privilèges ».
  • Autorisations excédentaires : Utilisez « Accès complet au DOM » pour extraire des pages entières au lieu d'éléments restreints.

“Les organisations accordent l'accès aux données sensibles par défaut et non à titre exceptionnel.” Cette tendance est particulièrement prononcée dans le secteur du divertissement et de la vente au détail en ligne, où les pressions marketing l'emportent souvent sur les examens de sécurité.

L’étude identifie des outils spécifiques qui favorisent cette exposition :

  • Gestionnaire de balises Google : Cela représente 8 % de tous les accès injustifiés à des données sensibles.
  • Shopify : 5% d'accès injustifié.
  • Pixel Facebook : Dans 4 % des implémentations analysées, le pixel disposait d'autorisations excessives, capturant des champs de saisie sensibles dont il n'avait pas besoin pour le suivi fonctionnel.

Cet écart de gouvernance n’est pas théorique. Une enquête récente menée auprès de plus de 120 décideurs en matière de sécurité dans les secteurs de la santé, de la finance et de la vente au détail a révélé que 24 % des organisations s'appuient uniquement sur des outils de sécurité généraux comme WAF, ce qui les rend vulnérables aux risques spécifiques liés aux tiers identifiés par cette étude. 34 % évaluent encore des solutions dédiées, ce qui signifie que 58 % des organisations ne disposent pas de défenses adéquates même si elles reconnaissent la menace.

Des infrastructures critiques assiégées

Alors que les statistiques montrent une augmentation massive des violations du gouvernement et de l'éducation, le cause C'est plus financier que technique.

  • Secteur gouvernemental : les activités malveillantes ont grimpé en flèche, passant de 2 % à 12,9 %.
  • Secteur de l'éducation : les signes de sites compromis ont quadruplé pour atteindre 14,3 % (1 site sur 7)
  • Secteur des Assurances: En revanche, ce secteur a réduit les activités malveillantes de 60 %, tombant à seulement 1,3 %.

Les institutions à court de budget perdent la bataille de la chaîne d’approvisionnement. Les secteurs privés dotés de budgets destinés à une meilleure gouvernance stabilisent leur environnement.

Les personnes interrogées le confirment : 34% citent les contraintes budgétaires comme leur principal obstacle, tandis que 31% soulignent le manque de main d'œuvre, une combinaison qui affecte particulièrement les institutions publiques.

L’écart entre la prise de conscience et l’action

Les résultats de l’enquête auprès des responsables de la sécurité révèlent des dysfonctionnements organisationnels :

  • 81 % considèrent les attaques Web comme une priorité → Seulement 39% des solutions mises en œuvre
  • 61 % continuent d’évaluer ou d’utiliser des outils inappropriés. → Malgré une augmentation de 51 % → 64 % de l'accès injustifié
  • Principaux obstacles : Budget (34 %), réglementation (32 %), personnel (31 %)

Résultat: La prise de conscience sans action crée une vulnérabilité à grande échelle. L'écart de 42 points explique pourquoi l'accès injustifié augmente de 25 % année après année.

Le facteur du service marketing

L’un des principaux facteurs de ce risque est « l’empreinte marketing ». L'étude révèle que les départements marketing et numérique génèrent désormais 43 % de l'ensemble des risques liés aux tiers, contre seulement 19 % créés par l'informatique.

Le rapport révèle que 47 % des applications exécutées sur des frameworks payants manquent de justification commerciale. Les équipes marketing mettent souvent en œuvre des outils de conversion dans ces environnements sensibles sans se rendre compte des implications.

Les équipes de sécurité reconnaissent cette menace : dans l'enquête auprès des professionnels, 20% des sondés classent Les attaques de la chaîne d’approvisionnement et les vulnérabilités des scripts tiers font partie de leurs trois principales préoccupations. Cependant, la structure organisationnelle qui permettrait de prévenir ces risques (supervision unifiée des mises en œuvre par des tiers) reste absente dans la plupart des organisations.

Comment une violation de pixels pourrait éclipser Polyfill.io

Avec une ubiquité de 53,2 %, le pixel Facebook est un point de défaillance systémique unique. Le risque ne vient pas de l'outil, mais des autorisations non gérées : « l'accès complet au DOM » et la « correspondance avancée automatique » transforment les pixels marketing en grattoirs de données involontaires.

Le précédent : Une compromission serait 5 fois plus importante que l’attaque Polyfill.io de 2024, exposant simultanément les données de la moitié du Web principal. Polyfill a affecté 100 000 sites pendant des semaines ; L'omniprésence de 53,2 % du pixel Facebook signifie que plus de 2,5 millions de sites sont instantanément compromis.

La solution : Implémentation contextuelle. Limitez les pixels aux pages de destination pour le retour sur investissement, mais bloquez-les strictement des cadres de paiement et d'identification lorsqu'il n'y a aucune justification commerciale.

Qu’en est-il du pixel TikTok et des autres trackers ? Téléchargez le rapport complet pour en savoir plus >>

Indicateurs d'engagement technique

Pour la première fois, cette recherche identifie des signaux techniques qui prédisent des sites compromis.

Les sites compromis n'utilisent pas toujours des applications malveillantes ; Ils se caractérisent par des réglages « plus forts ».

Critères de détection automatisés :

  • Domaines récemment enregistrés : Les domaines enregistrés au cours des 6 derniers mois apparaissent 3,8 fois plus souvent sur les sites compromis.
  • Connexions externes : Les sites compromis se connectent à 2,7 fois plus de domaines externes (100 contre 36).
  • Contenu mixte : 63 % des sites compromis mélangent les protocoles HTTPS/HTTP.

Benchmarks pour les responsables de la sécurité

Parmi les 4 700 sites analysés, 429 ont démontré d’excellents résultats en matière de sécurité. Ces organisations démontrent que fonctionnalité et sécurité peuvent coexister :

  • ticketweb.es : Seul site qui répond aux 8 critères (Grade A+)
  • GitHub, PayPal, Université de Yale : Répondre à 7 critères (grade A)

Les 8 critères de sécurité : leaders par rapport à la moyenne

Les critères ci-dessous représentent des objectifs réalisables basés sur des performances réelles et non sur des idéaux théoriques. Les dirigeants gèrent ≤ 8 applications tierces, tandis que les organisations moyennes en maintiennent 15 à 25. La différence ne réside pas dans les ressources, mais dans la gouvernance. Voici comment ils se comparent sur les huit mesures :

Trois victoires rapides à prioriser

1. Suivi des audits

Inventaire de chaque pixel/tracker :

  • Identifiez le propriétaire et la justification de l’entreprise.
  • Supprimez les outils qui ne peuvent pas justifier l’accès aux données

Correctifs prioritaires :

  • Pixel Facebook : désactivez la « correspondance avancée automatique » sur les pages PII
  • Google Tag Manager : vérifier l'accès à la page de paiement
  • Shopify : vérifier les autorisations de l'application

2. Mettre en œuvre une surveillance automatisée

Implémentez la surveillance de l'exécution pour :

  • Détection des accès aux champs sensibles (cartes, SSN, identifiants)
  • Alertes en temps réel en cas de collecte non autorisée
  • Suivi des violations CSP

3. Combler le fossé entre le marketing et l'informatique

Revue conjointe RSSI + CMO :

  • Outils marketing dans des frameworks payants.
  • Portée des pixels Facebook (utiliser les listes d'autorisation/exclusion)
  • ROI du tracker par rapport au risque de sécurité

Téléchargez le rapport complet

Obtenez l’analyse complète de 43 pages, comprenant :

Répartition des risques secteur par secteur

Liste complète des applications tierces à haut risque

Analyse des tendances d'une année sur l'autre

Meilleures pratiques des responsables de la sécurité

TÉLÉCHARGEZ LE RAPPORT COMPLET ICI

Avez-vous trouvé cet article intéressant ? Cet article est une contribution de l’un de nos précieux partenaires. Suivez-nous sur Google Actualités, Gazouillement et LinkedIn pour lire plus de contenu exclusif que nous publions.



Source link

, , , , , , , , , , , , , ,

Like it? Share with your friends!

0

Posted by

log in

Captcha!
Forgot password?

forgot password

Back to
log in