Rapport 2025 sur la sécurité des formulaires Web

Vos formulaires web collectent vos données les plus sensibles. Identifiants clients. Dossiers financiers. Informations médicales. Pièces d’identité officielles. Et 44 % des organisations ont subi des violations de données confirmées via ces formulaires au cours des deux dernières années.

Le rapport annuel 2025 sur la sécurité et les risques de conformité des données : enquête sur les formulaires de données a analysé les réponses de 324 professionnels de la cybersécurité, des risques, de l’IT et de la conformité. Les résultats révèlent un écart critique : les organisations estiment que leur sécurité est avancée, mais les incidents surviennent tout de même. 88 % ont connu au moins un incident de sécurité lié à un formulaire web au cours des 24 derniers mois.

Résumé des points clés

1. Un haut niveau de maturité en sécurité n’empêche pas les violations via les formulaires. Les organisations qui évaluent leur sécurité comme avancée ou leader signalent tout de même 87 % d’incidents. L’écart entre la maturité perçue et la prévention réelle des violations montre que les contrôles de sécurité traditionnels échouent lorsque la couverture est inégale entre les formulaires historiques, intégrés ou gérés par les départements, que les attaquants ciblent spécifiquement.
2. La souveraineté des données est devenue une exigence incontournable. 85 % des organisations considèrent désormais la souveraineté des données comme essentielle ou très importante, avec les secteurs public (94 %), financier (93 %) et de la santé (83 %) en tête. Les organisations exigent des preuves que les données restent dans les juridictions approuvées, et non de simples promesses sur l’infrastructure cloud, faisant de cette capacité un critère éliminatoire pour les fournisseurs.
3. La détection sans réponse crée des délais dangereux. 82 % disposent d’une détection des menaces en temps réel, mais seulement 48 % ont une réponse automatisée, créant un écart de 34 % où les organisations voient les attaques mais dépendent de tickets manuels et de la coordination pour les stopper. Les attaquants agissent plus vite que les processus de réponse manuels, transformant la reconnaissance en exfiltration de données avant toute tentative de confinement.
4. Les formulaires mobiles constituent la plus grande surface d’attaque non protégée. 71 % des organisations reçoivent entre 21 % et 60 % des soumissions de formulaires depuis des appareils mobiles, mais les contrôles de sécurité spécifiques au mobile sont très en retard par rapport aux usages. Les flux sur desktop bénéficient de revues de sécurité et de tests d’intrusion, alors que les flux mobiles échappent à ces processus, créant des failles exploitables sur les formulaires de réinitialisation de mot de passe, de vérification d’identité ou d’inscription à des avantages.
5. L’investissement dans la sécurité des formulaires traduit un changement stratégique. 83 % allouent au moins 100 000 $ par an à la sécurité des formulaires, dont 48 % engagent 250 000 $ ou plus, motivés par des incidents récents (82 %), des exigences réglementaires (76 %) et les attentes clients (69 %). La sécurité des formulaires est passée d’une maintenance IT à une priorité stratégique au niveau du conseil d’administration, avec 71 % prévoyant une mise en œuvre sous six mois.

Il ne s’agit pas d’ajouter un outil de sécurité de plus. Le problème est plus profond. Les organisations ont conçu leur infrastructure de formulaires pour la facilité d’usage, pas pour la protection. Elles en paient aujourd’hui le prix.

Écart entre confiance et réalité

64 % des organisations décrivent leur maturité en sécurité comme avancée ou leader. Mais les taux d’incidents réels contredisent cette auto-évaluation.

Les organisations disposant de programmes de sécurité « avancés » signalent tout de même 87 % d’incidents. Celles qui se disent « leader » ? 83 % ont connu des incidents. L’écart entre les postures « basique » et « leader » n’est que de 12 points de pourcentage.

Cet écart révèle un point clé : les contrôles de sécurité traditionnels fonctionnent s’ils sont appliqués de façon cohérente, mais la plupart des organisations échouent à garantir cette cohérence. Elles sécurisent leur plateforme principale, mais laissent exposés les formulaires historiques, intégrés ou gérés par les départements.

Schémas d’attaque exploitant les faiblesses des formulaires

Les attaquants savent où chercher. Ils ciblent les formulaires oubliés.

61 % des organisations ont subi des attaques par bots et automatisées. Il ne s’agit pas de simples spams. Les attaques modernes testent la validation, les limites de fréquence et tentent le credential stuffing sur plusieurs formulaires à la fois.

47 % ont subi des attaques par injection SQL. Cela persiste alors que 82 % affirment utiliser des requêtes paramétrées. Le problème ? Tous les formulaires ne sont pas connectés à des services qui les appliquent. Les anciens backends concatènent encore les chaînes. Les formulaires tiers contournent totalement votre infrastructure durcie.

39 % ont été confrontées à des vulnérabilités XSS. Les attaquants injectent des scripts dans les champs de formulaire qui s’exécutent ensuite dans le navigateur d’un autre utilisateur. L’impact va bien au-delà de la compromission initiale.

28 % ont subi des détournements de session. Cela arrive lorsque les contrôles d’authentification sont faibles ou la gestion de session laxiste. Les formulaires protégés uniquement par mot de passe sont les plus touchés.

Le schéma est clair : les attaquants visent vos formulaires les plus vulnérables. Formulaires publics de génération de leads. Anciens formulaires antérieurs aux normes actuelles. Flux mobiles où la logique côté client domine et les contrôles côté serveur sont faibles.

Coût élevé des violations liées aux formulaires

Lorsqu’on classe les impacts des violations, cinq conséquences ressortent.

37 % jugent la perte financière catastrophique. Le coût moyen d’une violation de données atteint 4,44 millions de dollars selon des études externes. Cela inclut la gestion de crise, la recherche de preuves, les frais juridiques, les notifications, la surveillance de crédit et la remise en état des systèmes.

26 % classent les sanctions réglementaires comme catastrophiques. Avec 92 % relevant du RGPD, 58 % du PCI DSS et 41 % de l’HIPAA, une violation via formulaire déclenche des contrôles multi-juridictionnels. Les amendes RGPD sont indexées sur le chiffre d’affaires mondial. Les violations PCI entraînent des pénalités par enregistrement et la perte potentielle du droit de traiter les paiements.

23 % considèrent la responsabilité juridique comme catastrophique. Les recours collectifs de clients ou d’employés durent des années. Les litiges contractuels avec des partenaires aggravent les pertes.

La réputation et la confiance client sont jugées catastrophiques par 20 % et 15 % respectivement. Cela se traduit par une baisse du taux de signature de nouveaux contrats, des contrôles partenaires renforcés et une pression accrue du conseil d’administration.

Les impacts financiers et réglementaires font la une. Mais le vrai coût réside dans le suivi, le reporting et la conformité qui s’imposent durablement après une violation.

La souveraineté des données devient incontournable

85 % des organisations considèrent désormais la souveraineté des données comme essentielle ou très importante. 61 % estiment qu’elle est strictement requise pour la conformité.

Cela marque un changement majeur. Il y a cinq ans, la localisation des données était une simple case à cocher. Aujourd’hui, elle détermine les fournisseurs que vous pouvez retenir.

Les agences gouvernementales sont en tête. 94 % jugent la souveraineté essentielle ou très importante. 75 % exigent que les données restent sur le territoire national. Si vous ne pouvez pas prouver où résident les données des citoyens, vous êtes éliminé d’office.

Les services financiers suivent de près avec 93 %. Ces organisations collectent des dossiers financiers (90 %), des données de carte de paiement (83 %) et des identifiants d’authentification (79 %) via des formulaires. Presque toutes sont soumises au RGPD (98 %) et au PCI DSS (90 %). Elles ont besoin d’options de déploiement conformes à la fois aux normes européennes et américaines.

La santé atteint 83 %. 97 % collectent des informations médicales protégées via des formulaires, l’HIPAA s’ajoutant au RGPD pour les patients européens et à des restrictions locales. L’empilement réglementaire est complexe et strict.

Même les entreprises technologiques, historiquement orientées cloud, déclarent à 86 % prioriser la souveraineté. Les opérations mondiales imposent la conformité régionale, et les clients exigent de plus en plus des preuves de résidence des données.

Le défi ne se limite pas au stockage dans la bonne région. Il faut éviter la réplication interrégionale, contrôler l’emplacement des sauvegardes, gérer la localisation des logs et des données analytiques, et documenter chaque mouvement de données pour les audits.

Superposition des cadres réglementaires

Les organisations ne dépendent pas d’une seule réglementation. Elles naviguent entre plusieurs cadres qui se chevauchent.

92 % doivent être conformes au RGPD. Cela concerne non seulement les entreprises européennes, mais toute organisation collectant des données de résidents de l’UE. Les exigences portent sur la gestion du consentement, la minimisation des données, la limitation des finalités et le contrôle des transferts internationaux.

58 % relèvent du PCI DSS. Les formulaires de paiement créent des risques même sans stockage de carte. La sécurité des transmissions, la segmentation réseau et les exigences de journalisation s’appliquent.

41 % sont soumis à l’HIPAA. Dans la santé, ce chiffre grimpe à 97 %. Les informations médicales protégées circulent via les formulaires d’admission, de vérification d’assurance, de commandes de laboratoire, d’orientation et de téléconsultation.

37 % doivent respecter les normes CCPA et CPRA. La loi californienne sur la confidentialité s’applique au-delà de l’État dès lors que vous collectez des données de résidents californiens.

75 % des répondants du secteur public exigent l’autorisation FedRAMP. 69 % requièrent une cryptographie validée FIPS 140-3. Ces certifications prennent des mois et éliminent la plupart des fournisseurs de formulaires commerciaux.

Pour les organisations, les principaux défis de conformité sont d’abord la souveraineté et la localisation des données. Ensuite, la tenue des journaux d’audit et la documentation. Le volume de preuves à fournir pour la conformité multi-cadres dépasse les capacités des processus manuels.

L’écart détection-réponse accroît le risque

82 % disposent d’une détection des menaces en temps réel. Cela semble rassurant, mais seulement 48 % ont une réponse automatisée.

L’écart de 34 % concerne les organisations qui voient les attaques mais dépendent d’interventions manuelles pour les stopper. Les équipes reçoivent des alertes, ouvrent des tickets, envoient des e-mails, coordonnent et exécutent manuellement les procédures de confinement.

Les attaquants vont plus vite que votre file de tickets. Ce qui commence par de la reconnaissance devient de l’exfiltration de données avant que votre équipe ne coordonne la réponse.

Les organisations qui associent détection et réponse automatisée signalent moins d’incidents et un taux de violation nettement inférieur. Lorsqu’une tentative d’injection SQL est détectée, les systèmes automatisés peuvent bloquer l’IP, invalider les sessions potentiellement compromises et déclencher une surveillance accrue sans intervention humaine.

L’écart s’explique par le fait que les outils de détection ont évolué plus vite que l’orchestration de la réponse. La plupart des organisations ont acquis des plateformes SIEM et des flux de renseignements sur les menaces, mais n’ont pas construit les workflows pour agir automatiquement sur ces informations.

La sécurité des formulaires mobiles à la traîne

71 % des organisations reçoivent entre 21 % et 60 % des soumissions de formulaires depuis des appareils mobiles. Pour 41 %, le mobile est le principal canal de collecte.

Mais les contrôles de sécurité spécifiques au mobile sont en retard sur ces usages. Seuls 23 % jugent le certificate pinning essentiel. L’authentification biométrique atteint 48 % d’adoption mais reste rarement imposée sur les workflows à risque.

Ce décalage crée des opportunités pour les attaquants. Les formulaires mobiles de réinitialisation de mot de passe, de vérification d’identité, d’inscription à des avantages ou de portail de services combinent données sensibles et défenses côté client plus faibles.

Les workflows desktop sont durcis au fil du temps grâce aux revues de sécurité et aux tests d’intrusion. Les flux mobiles échappent souvent à ces processus, car ils sont considérés comme secondaires. Ce n’est plus la réalité.

L’investissement devient stratégique

La sécurité des formulaires est passée de la maintenance IT à une initiative stratégique. Les budgets le prouvent.

83 % allouent au moins 100 000 $ par an. 48 % engagent 250 000 $ ou plus. 21 % dépassent 500 000 $ de dépenses annuelles.

Ces montants concernent toutes tailles d’organisation. Même les entreprises de 500 à 999 salariés investissent six chiffres. La sécurité des formulaires n’est pas réservée aux grands groupes.

Qu’est-ce qui motive ces dépenses ? 82 % citent des incidents récents. 76 % évoquent de nouvelles exigences réglementaires. 69 % répondent aux attentes des clients et partenaires. 61 % agissent sur directives du conseil ou de la direction.

Le calendrier montre l’urgence. 71 % prévoient une mise en œuvre ou une mise à niveau sous six mois. 30 % visent l’achèvement sous trois mois.

Mais des obstacles subsistent. 72 % citent encore des contraintes budgétaires, la sécurité des formulaires entrant en concurrence avec d’autres priorités. 58 % manquent d’expertise interne. 48 % évoquent la complexité technique. 41 % rencontrent des limites liées aux systèmes existants.

Les budgets existent. Le défi consiste à justifier leur allocation face à la concurrence des priorités et à démontrer un retour sur investissement clair.

Profils de risque sectoriels

Si les types d’attaques sont similaires d’un secteur à l’autre, la concentration du risque varie fortement.

Services financiers

Les services financiers présentent le profil de risque le plus élevé. 90 % collectent des dossiers financiers, 85 % gèrent des données d’employés, 83 % traitent des cartes de paiement et 79 % manipulent des identifiants d’authentification via des formulaires.

L’environnement réglementaire est tout aussi intense. 98 % sont soumis au RGPD. 90 % doivent être conformes au PCI DSS. Plus de la moitié gèrent des obligations SOX et des lois locales sur la confidentialité.

Les formulaires couvrent l’onboarding client, les demandes de prêt, les workflows KYC et AML, les mises à jour de compte, les opérations de trading et les échanges de données partenaires. Chacun représente un vecteur potentiel de violation.

Santé

Le secteur de la santé traite les données les plus sensibles. 97 % collectent des informations médicales protégées via des formulaires. Admission des patients, commandes de laboratoire, détails d’assurance, orientations et téléconsultations font circuler les PHI à travers les interfaces de formulaire.

La conformité HIPAA est quasi universelle. Le RGPD s’applique pour les patients européens ou la recherche internationale. Les restrictions locales s’ajoutent.

Les systèmes cliniques historiques et les portails tiers créent des points faibles récurrents. Beaucoup de formulaires santé datent d’avant les normes de sécurité actuelles et sont connectés à des EHR conçus il y a des décennies.

Gouvernement

Le secteur public fait face aux exigences les plus strictes. 81 % collectent des numéros d’identification officiels. Les formulaires servent aux demandes, inscriptions à des aides, permis, achats publics et portails citoyens.

75 % exigent l’autorisation FedRAMP. 69 % requièrent une cryptographie validée FIPS 140-3. La CMMC 2.0 s’applique à la défense et aux sous-traitants. Les lois locales et nationales interdisent le transfert de données hors des juridictions approuvées.

Les fournisseurs commerciaux de formulaires ne répondent souvent pas à ces exigences. L’autorisation FedRAMP prend des mois et un investissement conséquent. La validation FIPS impose des modules cryptographiques testés selon des standards fédéraux. La plupart des fournisseurs n’offrent pas ces fonctions.

Ce que les organisations doivent faire maintenant

Le rapport donne une feuille de route claire. Commencez par ces cinq actions.

Premièrement, inventoriez tous les formulaires. Impossible de sécuriser ce que vous ignorez. Les formulaires historiques, intégrés, tiers, mobiles et développés par les départements doivent tous être identifiés et évalués. Beaucoup d’organisations découvrent des centaines de formulaires oubliés.

Deuxièmement, appliquez le chiffrement de bout en bout. Exigez TLS 1.3 pour toutes les transmissions. Chiffrez les données de la soumission au stockage. Utilisez le chiffrement AES 256 pour les données au repos. Appliquez un chiffrement au niveau des champs pour les zones sensibles comme les numéros de sécurité sociale, les données de paiement et les identifiants. Vérifiez la conformité FIPS 140-3 pour les charges réglementées.

Troisièmement, mettez en place des contrôles de souveraineté des données. Déployez les formulaires avec des options de résidence régionale. Utilisez des déploiements cloud, hybrides, sur site ou cloud gouvernemental adaptés à vos obligations de conformité. Évitez la réplication interrégionale sauf autorisation explicite. Documentez l’emplacement des données pour les audits.

Quatrièmement, comblez l’écart détection-réponse. Associez la surveillance en temps réel à une réponse automatisée aux incidents. Intégrez les plateformes SIEM et SOAR. Créez des playbooks qui exécutent les mesures de confinement sans attendre une validation humaine. Testez régulièrement ces workflows.

Cinquièmement, automatisez la production de preuves de conformité. Cessez de préparer les audits manuellement. Surveillez en continu la configuration des formulaires. Capturez les journaux d’audit pour les accès, modifications et traitements de données. Générez automatiquement des preuves mappées aux cadres RGPD, PCI DSS, HIPAA, SOX et CMMC. Détectez en temps réel toute dérive de configuration.

Le marché se segmente

Les fournisseurs de formulaires se divisent en deux catégories : ceux capables de prouver la résidence des données, la validation du chiffrement et la sécurité de niveau gouvernemental, et les autres.

Les générateurs de formulaires classiques sont optimisés pour la facilité d’usage, pas pour la conformité. Ils ne peuvent pas fournir l’autorisation FedRAMP, la validation FIPS 140-3 ou l’isolation multi-régions, car leur architecture ne l’a pas prévu.

Les plateformes d’entreprise historiques traînent des dettes techniques. Elles sécurisent les formulaires créés dans leur écosystème, mais ne peuvent pas protéger les formulaires intégrés, les flux mobiles ou les intégrations tierces.

Cet écart crée une opportunité. Les organisations ont besoin de solutions de formulaires conçues pour les secteurs réglementés. Des solutions où la souveraineté, la validation du chiffrement et la surveillance automatisée de la conformité sont natives, et non des options premium.

La transition des formulaires web vers des formulaires web sécurisés n’est plus optionnelle. Les taux de violation, les exigences de souveraineté et la pression réglementaire rendent cette évolution urgente. Les organisations qui tardent à transformer leur architecture acceptent des risques inutiles pendant que leurs concurrents se dotent de solutions plus robustes.

Les formulaires web ont été créés pour une autre époque. Les formulaires web sécurisés répondent aux exigences réglementaires et aux menaces d’aujourd’hui.

Consultez le rapport complet 2025 sur les formulaires de données ici.