{"id":719986,"date":"2023-05-05T17:36:50","date_gmt":"2023-05-05T19:36:50","guid":{"rendered":"https:\/\/teknomers.com\/fr\/manque-de-visibilite-le-defi-de-la-protection-des-sites-web-contre-les-scripts-tiers\/"},"modified":"2023-05-05T17:36:53","modified_gmt":"2023-05-05T19:36:53","slug":"manque-de-visibilite-le-defi-de-la-protection-des-sites-web-contre-les-scripts-tiers","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/manque-de-visibilite-le-defi-de-la-protection-des-sites-web-contre-les-scripts-tiers\/","title":{"rendered":"Manque de visibilit\u00e9\u00a0: le d\u00e9fi de la protection des sites Web contre les scripts tiers"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">05 mai 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Les nouvelles des pirates<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 du site Web \/ S\u00e9curit\u00e9 des donn\u00e9es<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Les applications tierces telles que Google Analytics, Meta Pixel, HotJar et JQuery sont devenues des outils essentiels permettant aux entreprises d&#8217;optimiser les performances et les services de leur site Web pour un public mondial.  Cependant, \u00e0 mesure que leur importance a augment\u00e9, la menace de cyberincidents impliquant des applications tierces non g\u00e9r\u00e9es et des outils open source a \u00e9galement augment\u00e9.  Les entreprises en ligne ont de plus en plus de mal \u00e0 maintenir une visibilit\u00e9 et un contr\u00f4le complets sur le paysage des menaces tierces en constante \u00e9volution, avec des menaces sophistiqu\u00e9es telles que les skimmers \u00e9vasifs, les attaques Magecart et les pratiques de suivi ill\u00e9gales pouvant causer de graves dommages.<\/p>\n<p>Cet article explore les d\u00e9fis de la protection des sites Web modernes contre les scripts tiers et les risques de s\u00e9curit\u00e9 associ\u00e9s \u00e0 un manque de visibilit\u00e9 sur ces scripts.<\/p>\n<h2 style=\"text-align: left;\"><strong>Invisible aux contr\u00f4les de s\u00e9curit\u00e9 standard <\/strong><\/h2>\n<p>Les scripts tiers sont souvent invisibles pour les contr\u00f4les de s\u00e9curit\u00e9 standard tels que les pare-feu d&#8217;applications Web (WAF), car ils sont charg\u00e9s \u00e0 partir de sources externes qui ne sont pas sous le contr\u00f4le du propri\u00e9taire du site Web.  Lorsqu&#8217;un site Web charge un script tiers, il est ex\u00e9cut\u00e9 dans le navigateur de l&#8217;utilisateur avec le propre code du site Web.  Cela signifie qu&#8217;un WAF, qui est g\u00e9n\u00e9ralement plac\u00e9 devant un site Web pour inspecter et filtrer le trafic entrant, peut ne pas \u00eatre en mesure de d\u00e9tecter et de bloquer les activit\u00e9s malveillantes provenant d&#8217;un script tiers.<\/p>\n<p>De plus, les scripts tiers utilisent souvent <a rel=\"nofollow noopener\" href=\"https:\/\/cybersecurity.asee.co\/blog\/what-is-code-obfuscation\/\" target=\"_blank\">techniques d&#8217;obscurcissement<\/a> pour cacher leur v\u00e9ritable objectif ou pour \u00e9chapper \u00e0 la d\u00e9tection par les contr\u00f4les de s\u00e9curit\u00e9.  Cela peut rendre encore plus difficile pour les contr\u00f4les de s\u00e9curit\u00e9 d&#8217;identifier et d&#8217;att\u00e9nuer les menaces potentielles.<strong> Par cons\u00e9quent, il est important que les propri\u00e9taires de sites Web prennent des mesures suppl\u00e9mentaires pour surveiller et contr\u00f4ler le comportement des scripts tiers.<\/strong><\/p>\n<h2 style=\"text-align: left;\"><strong>Les risques de s\u00e9curit\u00e9 caus\u00e9s par le manque de visibilit\u00e9<\/strong><\/h2>\n<p>Le manque de visibilit\u00e9 sur vos applications Web tierces et vos outils open source peut poser plusieurs risques de s\u00e9curit\u00e9 pour une organisation, notamment\u00a0:<\/p>\n<ol>\n<li><b>Violations de donn\u00e9es\u00a0:<\/b> Les applications tierces ont souvent acc\u00e8s \u00e0 des donn\u00e9es sensibles, et un manque de visibilit\u00e9 sur ces applications peut rendre difficile la d\u00e9tection et la pr\u00e9vention des violations de donn\u00e9es ou de l&#8217;acc\u00e8s non autoris\u00e9 \u00e0 des informations sensibles.<\/li>\n<li><b>Logiciels malveillants et virus\u00a0:<\/b> Les applications tierces peuvent introduire des logiciels malveillants ou des virus dans les syst\u00e8mes de votre organisation, ce qui peut infecter d&#8217;autres syst\u00e8mes et entra\u00eener une perte de donn\u00e9es ou une interruption du syst\u00e8me.<\/li>\n<li><b>Non-conformit\u00e9\u00a0:<\/b> Les applications tierces qui ne sont pas correctement v\u00e9rifi\u00e9es ou qui ne sont pas conformes aux exigences r\u00e9glementaires peuvent exposer une organisation \u00e0 des risques juridiques et financiers, tels que des amendes et des poursuites.<\/li>\n<li><b>Vuln\u00e9rabilit\u00e9s r\u00e9seau\u00a0: <\/b>Les applications tierces int\u00e9gr\u00e9es aux syst\u00e8mes d&#8217;une organisation peuvent cr\u00e9er des vuln\u00e9rabilit\u00e9s r\u00e9seau pouvant \u00eatre exploit\u00e9es par des cybercriminels.<\/li>\n<li><b>Mauvaises pratiques de s\u00e9curit\u00e9\u00a0:<\/b> Certaines applications tierces peuvent ne pas disposer de contr\u00f4les de s\u00e9curit\u00e9 solides, ce qui peut augmenter le risque d&#8217;incidents de s\u00e9curit\u00e9 et de violations de donn\u00e9es.<\/li>\n<\/ol>\n<p><strong>Pour att\u00e9nuer ces risques, il est essentiel d&#8217;avoir une compr\u00e9hension approfondie des applications tierces utilis\u00e9es par une organisation et de mettre en \u0153uvre des contr\u00f4les et des processus de s\u00e9curit\u00e9 solides, tels que des \u00e9valuations de s\u00e9curit\u00e9 continues, la surveillance et l&#8217;application de correctifs.<\/strong> De plus, il est important d&#8217;avoir des politiques et des proc\u00e9dures claires en place pour s\u00e9lectionner, v\u00e9rifier et g\u00e9rer les applications tierces afin de s&#8217;assurer qu&#8217;elles r\u00e9pondent aux exigences de s\u00e9curit\u00e9 et de conformit\u00e9 de l&#8217;organisation.<\/p>\n<h2 style=\"text-align: left;\"><strong>Solutions de surveillance externes\/install\u00e9es <\/strong><\/h2>\n<p>Une surveillance efficace des scripts tiers n\u00e9cessite des solutions de surveillance externes ou install\u00e9es.  De nombreuses entreprises installent des scripts de s\u00e9curit\u00e9 sur leurs sites Web pour se prot\u00e9ger contre les menaces et les vuln\u00e9rabilit\u00e9s connues.  Cependant, ces scripts ne peuvent pas acc\u00e9der \u00e0 de nombreux composants tiers tels que les iFrames et les scripts qu&#8217;ils contiennent, car ils sont limit\u00e9s par les restrictions de navigation.  Bien que cette approche de surveillance int\u00e9gr\u00e9e ait \u00e9t\u00e9 con\u00e7ue pour augmenter la s\u00e9curit\u00e9 des composants Web, elle cr\u00e9e des limites pour que JavaScript install\u00e9 fournisse une s\u00e9curit\u00e9 totale, car ces iFrames incluent des trackers, des pixels et plusieurs scripts tiers non g\u00e9r\u00e9s.<\/p>\n<p>Le manque de visibilit\u00e9 sur les scripts tiers est un d\u00e9fi important pour les entreprises car il limite leur capacit\u00e9 \u00e0 cartographier tous les trackers, \u00e0 d\u00e9tecter les fuites de donn\u00e9es et \u00e0 cr\u00e9er un inventaire fonctionnel des applications et scripts tiers.  Les activit\u00e9s critiques, telles que la d\u00e9tection de CVE pour les frameworks JS, le suivi des pixels comme Meta et TikTok, et la mauvaise configuration des balises, sont limit\u00e9es car ces composants sont rendus inaccessibles.  Cette limitation expose les entreprises au risque de <a rel=\"nofollow noopener\" href=\"https:\/\/www.reflectiz.com\/blog\/prevent-data-harvesting-in-2023\/\" target=\"_blank\"><b>collecte de donn\u00e9es<\/b><\/a>ce qui peut entra\u00eener une perte de revenus, une atteinte \u00e0 la r\u00e9putation et des amendes r\u00e9glementaires.<\/p>\n<h2 style=\"text-align: left;\"><strong>Visibilit\u00e9 am\u00e9lior\u00e9e gr\u00e2ce \u00e0 la surveillance externe<\/strong><\/h2>\n<p>Les solutions de surveillance de sites Web embarqu\u00e9es souffrent d&#8217;un manque de visibilit\u00e9.  Par cons\u00e9quent, une solution de surveillance externe pourrait \u00eatre la r\u00e9ponse \u00e0 la r\u00e9solution de ce d\u00e9fi.  Tout r\u00e9cemment, Reflectiz, une solution de surveillance externe, a aid\u00e9 une grande soci\u00e9t\u00e9 de services financiers \u00e0 d\u00e9tecter des activit\u00e9s suspectes li\u00e9es \u00e0 la <a rel=\"nofollow noopener\" href=\"https:\/\/www.reflectiz.com\/learning-hub\/pixel-tracking-case-study\/\" target=\"_blank\"><b>Pixel TikTok<\/b><\/a>.  La soci\u00e9t\u00e9 a utilis\u00e9 Reflectiz sur son site Web pour surveiller sa s\u00e9curit\u00e9, et la solution a d\u00e9tect\u00e9 une activit\u00e9 non autoris\u00e9e li\u00e9e au pixel\u00a0: le script de pixel TikTok acc\u00e9dait \u00e0 des donn\u00e9es d&#8217;entr\u00e9e sensibles dans l&#8217;un de leurs formulaires de connexion.  TikTok avait mis \u00e0 jour son pixel, et la nouvelle version avait &#8220;peint&#8221; les utilisateurs sur le site Web, acc\u00e9dant aux informations personnelles et transmettant les informations \u00e0 leurs serveurs.  L&#8217;\u00e9quipe d&#8217;enqu\u00eate de Reflectiz a fourni des mesures d&#8217;att\u00e9nuation claires pour mettre fin imm\u00e9diatement \u00e0 l&#8217;activit\u00e9 non approuv\u00e9e du pixel.<\/p>\n<p>Ce cas est un exemple clair de la fa\u00e7on dont la surveillance de votre site Web de l&#8217;ext\u00e9rieur vous donne une meilleure visibilit\u00e9 sur la surface d&#8217;attaque moderne, contrairement aux solutions de surveillance install\u00e9es qui ne voient tout simplement pas l&#8217;image compl\u00e8te et sont incapables de surveiller efficacement les composants de sites Web tiers comme iFrames. , balises et pixels.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/05\/1683315410_129_Manque-de-visibilite-le-defi-de-la-protection-des-sites.png\" alt=\"Capture d'\u00e9cran de la d\u00e9tection de pixels escrocs de Tiktok\" border=\"0\" data-original-height=\"418\" data-original-width=\"728\" title=\"Capture d'\u00e9cran de la d\u00e9tection de pixels escrocs de Tiktok\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\"><span style=\"background-color: white; font-family: Arial; font-size: 14.6667px;\">Capture d&#8217;\u00e9cran de la d\u00e9tection de pixels escrocs de Tiktok<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2 style=\"text-align: left;\"><strong>Maintenir une s\u00e9curit\u00e9 \u00e9tanche contre les scripts tiers<\/strong><\/h2>\n<p>Alors, que pouvez-vous faire pour prot\u00e9ger vos sites Web des risques associ\u00e9s aux scripts tiers\u00a0?  Voici quelques conseils:<\/p>\n<ol>\n<li><b>Effectuez des audits de s\u00e9curit\u00e9 r\u00e9guliers\u00a0: <\/b>Auditez r\u00e9guli\u00e8rement votre site Web et les services tiers pour identifier les vuln\u00e9rabilit\u00e9s et y rem\u00e9dier rapidement.<\/li>\n<li><b>Utilisez des solutions externes de surveillance de sites Web\u00a0:<\/b> Mettez en \u0153uvre des solutions de surveillance de sites Web capables de d\u00e9tecter les activit\u00e9s suspectes et de fournir des mesures d&#8217;att\u00e9nuation claires pour y rem\u00e9dier.<\/li>\n<li><b>Utilisez un h\u00e9bergement s\u00e9curis\u00e9\u00a0:<\/b> Choisissez un fournisseur d&#8217;h\u00e9bergement s\u00e9curis\u00e9 qui fournit des sauvegardes, une surveillance et des mises \u00e0 jour de s\u00e9curit\u00e9 r\u00e9guli\u00e8res.<\/li>\n<li><b>Formez vos employ\u00e9s : <\/b>Formez vos employ\u00e9s \u00e0 reconna\u00eetre les menaces potentielles et \u00e9duquez-les sur les pratiques en ligne s\u00fbres.<\/li>\n<li><b>Utilisez l&#8217;authentification \u00e0 deux facteurs\u00a0:<\/b> Exigez une authentification \u00e0 deux facteurs pour toutes les zones sensibles de votre site Web, telles que le panneau d&#8217;administration et la page de paiement.<\/li>\n<li><b>Utilisez des r\u00e8gles de s\u00e9curit\u00e9 de contenu\u00a0:<\/b> Mettez en \u0153uvre des politiques de s\u00e9curit\u00e9 du contenu qui restreignent les types de contenu pouvant \u00eatre charg\u00e9s sur votre site Web.<\/li>\n<li><b>Maintenez le logiciel \u00e0 jour\u00a0: <\/b>Mettez r\u00e9guli\u00e8rement \u00e0 jour le logiciel de votre site Web, y compris les services tiers, pour vous assurer que les vuln\u00e9rabilit\u00e9s connues sont corrig\u00e9es.<\/li>\n<\/ol>\n<p>En conclusion, le recours croissant \u00e0 des scripts tiers a entra\u00een\u00e9 de nouveaux d\u00e9fis pour les entreprises en ligne cherchant \u00e0 maintenir la s\u00e9curit\u00e9 et la confidentialit\u00e9 de leurs utilisateurs.  Le manque de visibilit\u00e9 sur ces scripts augmente la possibilit\u00e9 de violations de donn\u00e9es, de cyberattaques et de violations de conformit\u00e9.  Pour att\u00e9nuer ces risques, <strong>les entreprises doivent comprendre les applications tierces utilis\u00e9es par leurs organisations et mettre en \u0153uvre des contr\u00f4les et des processus de s\u00e9curit\u00e9 solides.<\/strong> Solutions de surveillance de sites Web externes, comme <a rel=\"nofollow noopener\" href=\"https:\/\/www.reflectiz.com\/registration\/\" target=\"_blank\"><b>Reflectiz<\/b><\/a>peut am\u00e9liorer consid\u00e9rablement la visibilit\u00e9 en ligne et fournir des mesures d&#8217;att\u00e9nuation claires pour traiter les activit\u00e9s suspectes li\u00e9es aux scripts tiers.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/05\/lack-of-visibility-challenge-of.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80205 mai 2023\ue804Les nouvelles des piratesS\u00e9curit\u00e9 du site Web \/ S\u00e9curit\u00e9 des donn\u00e9es Les applications tierces telles que Google Analytics, Meta Pixel, HotJar et JQuery sont devenues des outils essentiels permettant aux entreprises d&#8217;optimiser les performances et les services de leur site Web pour un public mondial. Cependant, \u00e0 mesure que leur importance a augment\u00e9, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":719987,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,841,4158,4165,4161,2670,133,4157,4159,4171,4170,65,4167,294,4160,4163,4162,6845,54464,4172,4169,2783,19766,4166,40430,4164,2784],"class_list":["post-719986","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-comment-pirater","tag-contre","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-defi","tag-des","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-manque","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-protection","tag-scripts","tag-securite-informatique","tag-securite-internet","tag-sites","tag-tiers","tag-violation-de-donnees","tag-visibilite","tag-vulnerabilite-logicielle","tag-web"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/719986","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=719986"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/719986\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/719987"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=719986"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=719986"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=719986"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}