O WebDav por si só não tem segurança. Deixará qualquer um tocar em qualquer coisa. Ele diz nos documentos de padrões que isso deve ser tratado na camada de servidor da web (ou aplicativo, se isso estiver fornecendo o serviço WebDAV).
Autenticação
O WebDAV não possui um serviço de autenticação nativo, portanto, é necessário colocá-lo na frente dele. Webservers diferentes lidam com isso de forma diferente, dependendo do módulo dav que você está usando. Módulos específicos de servidor (mod_dav) se comportarão de maneira diferente daqueles baseados em servidores de aplicativos como o Tomcat). Este é o material normal de autenticação HTTP; básico, digest, SASL, Kerberos, etc.
HTTPS
Como a autenticação não será criptografada sem ela (a menos que você esteja usando o webdav e o NTLM baseados em IIS), os arquivos não serão transferidos criptografados.
Autenticação local
Dependendo do que está acionando o WebDAV, preste atenção no usuário real do SO que descarta os arquivos. Às vezes, o servidor Dav vai representar o usuário real, outras vezes é tudo um usuário soltando arquivos e cabe ao aplicativo manter os usuários longe de arquivos aos quais eles não deveriam ter acesso.