Faille de sécurité informatique : qu’est-ce que c’est ? Comment se protéger ?

Terme assez méconnu du grand public, la faille de sécurité informatique est cependant très présente dans le cyberespace. Pour preuve, une vulnérabilité vient d’être découverte mi-juin dans l’application et réseau social TikTok. On vous dit tout ce qu’il faut savoir sur ces failles de sécurité informatique.

Qu’est-ce qu’une faille de sécurité en informatique ?

Faille informatique : définition

Une faille informatique désigne l’ensemble des faiblesses d’un système informatique (système d’information, composant matériel, logiciel, périphériques, etc.) qui constituent autant de portes d’entrée pour les attaques malveillantes des malwares. Ces vulnérabilités sont causées par des insuffisances de sécurité intervenues lors de la conception, de la mise en œuvre ou de l’utilisation du système informatique, par exemple une erreur de code faite par un programmeur. Pour les entreprises, un audit de sécurité informatique est d’ailleurs recommandé.


Une attaque informatique venant d’une faille de sécurité peut avoir des conséquences très variées, allant d’un dysfonctionnement d’un seul appareil à la panne totale d’un réseau comprenant des centaines de milliers d’ordinateurs. 

La vulnérabilité informatique

La vulnérabilité informatique est synonyme de faille informatique. Cependant, toutes les failles informatiques ne conduisent pas à une cyberattaque. D’après une étude réalisée en 2019 par le service de veille en vulnérabilités du CERT Cyberdefense de la marque Orange, seulement 5 % d’entre elles voient la naissance d’un code d’exploitation (appelé aussi exploit) permettant une attaque.


Dans la communauté informatique, la tradition est de publier (sur un média, un forum spécialisé, un service de veille de sécurité, etc.) une vulnérabilité informatique dès qu’elle est découverte. Certains programmeurs militent pour que ces informations soient réservées aux responsables des failles de sécurité informatique afin qu’ils puissent les corriger avant d’être victimes d’une attaque. 

Les différentes failles de sécurité informatique

Les failles de sécurité informatique peuvent prendre de nombreuses formes. Pour preuve, du 1er janvier au 20 mars 2019 (soit moins de 3 mois), le CERT Orange Cyberdefense a publié plus de 850 vulnérabilités différentes.

Voici quelques exemples de failles de sécurité informatique :

  • le dépassement de tampon provenant d’un processus qui bug ;
  • la faille SQLi qui ouvre la porte à une attaque via une requête SQL ;
  • le XSS (ou cross-site scripting) qui permet d’infecter la page d’un site Web et en conséquence le navigateur Internet d’un utilisateur qui s’y connecte.

Ces failles de sécurité peuvent notamment être exploitées pour injecter :

Les attaques résultantes de failles de sécurité peuvent être exécutées à distance (en anglais remote exploit) ou directement sur le système (local exploit).

Comment se protéger contre les failles de sécurité informatique ?

Bien que de nouvelles failles de sécurité informatique puissent se déclarer chaque jour, il est possible de vous protéger en amont contre vos vulnérabilités.

Que vous soyez un particulier ou une entreprise, vous devez avoir au minimum un antivirus protégeant vos différents systèmes. Les logiciels Kaspersky antivirus (marque de référence que nous recommandons) permettent de facilement rechercher et identifier les différentes failles de sécurité, puis d’éventuellement corriger le problème selon la gravité de la vulnérabilité trouvée.


Les trois solutions grand public de Kaspersky ont cette capacité :

En parallèle, surtout si vous êtes propriétaire d’un site Web, vous avez besoin d’être très réactif. Il existe désormais des formations de gestion de failles de sécurité qui ont pour but de vous permettre de déceler et de corriger le plus rapidement possible vos vulnérabilités. Sinon, il faudra qu’une personne de votre équipe technique ou un prestataire spécialisé monitore le sujet. 

Si vous avez découvert une faille de sécurité, vous pouvez adresser un mail à cert-fr.cossi@ssi.gouv.fr pour alerter l’Agence nationale de la sécurité des systèmes d’information et ainsi aider le Web français à rester protégé.

Découvrez Kaspersky Total Security