in

Hausse des patches disponibles + baisse des patches installés = rupture de la chaîne d'approvisionnement

Flexera Software, premier fournisseur mondial de solutions de gestion des vulnérabilités logicielles pour les éditeurs et les entreprises, dévoile les résultats du rapport Vulnerability Review 2017. Ce document annuel publié par Secunia Research (filiale de Flexera Software) fournit des données mondiales sur la fréquence des vulnérabilités et la disponibilité de correctifs. Il dresse également un tableau des menaces pour les infrastructures informatiques, et s’intéresse aux vulnérabilités présentes au sein des 50 applications les plus installées sur les ordinateurs privés.

Les failles sont à l’origine de graves problématiques de sécurité. En effet, des erreurs au sein de logiciels peuvent en effet faire office de points d’entrée pour les pirates, et ainsi être exploitées pour accéder à des systèmes informatiques.  Sur l’année 2016, Secunia Research a repéré un total de 17 147 vulnérabilités sur 2 136 produits issus de 246 éditeurs.  L’ampleur du problème illustre la problématique à laquelle sont confrontées les équipes informatiques cherchant à protéger leur environnement des failles de sécurité sans les technologies d’automatisation nécessaires.  Pour maîtriser ces environnements, elles doivent disposer d’une visibilité complète sur les applications utilisées, et avoir mis en place des politiques et procédures fermes afin de gérer l’une après l’autre ces vulnérabilités.

La bonne nouvelle est que les éditeurs continuent de proposer des correctifs pour la grande majorité des failles, et ce dès que celles-ci sont rendues publiques.  En 2016, 81 % de l’ensemble des vulnérabilités et 92,5 % des 50 logiciels les plus populaires affectés par de telles failles disposaient de correctifs dès le premier jour. Les utilisateurs n’avaient donc plus qu’à faire le nécessaire.  Cependant, malgré une hausse des patches disponibles, leur taux d’application a diminué, ce qui témoigne clairement d’une rupture au niveau de la chaîne d’approvisionnement de logiciels.  Les solutions de gestion des vulnérabilités logicielles permettent de résoudre ce problème en aidant les organisations à identifier les applications et systèmes à risque dans leurs environnements. Ces risques peuvent ensuite être hiérarchisés, et les problèmes résolus à l’aide d’une gestion intégrée des correctifs.

« La chaîne d’approvisionnement de logiciels possède des caractéristiques uniques : il n’est pas rare que des éditeurs proposent des produits contenant des failles pouvant être exploitées et représentant un problème pour leurs clients.  Ces derniers doivent donc faire preuve de vigilance à l’achat, mais aussi vis-à-vis de la gestion et de la sécurité de leurs logiciels », déclare Kasper Lindgaard, directeur de Secunia Research, filiale de Flexera Software.  « Comme le montre notre rapport, la plupart du temps, des correctifs sont rapidement mis à leur disposition pour les failles découvertes.  Les entreprises doivent en tirer parti et appliquer ces correctifs dans les plus brefs délais. »

Les lecteurs de fichiers PDF

Le taux de vulnérabilités non corrigées est très élevé pour les lecteurs de PDF.  Adobe Reader, par exemple, fait l’objet d’une adoption massive : le logiciel est classé 31e sur les 50 applications les plus populaires et est installé sur 40 % des ordinateurs personnels.  Leader sur son marché, l’outil est également celui qui présente le plus de vulnérabilités. Pourtant, et en dépit de la pléthore de patches disponibles, 75 % des particuliers utilisaient des versions non corrigées en 2016.

Taux de corrections et vulnérabilités zéro-day

Les autres résultats du rapport Vulnerability Review 2017 confirment les tendances observées les années précédentes : le nombre de vulnérabilités zéro-day (22) est légèrement inférieur à celui de 2015 ; la répartition des vulnérabilités au sein des 50 applications les plus installées sur des ordinateurs de particuliers est de 22,5 % pour les produits Microsoft et de 77,5 % pour les autres.  En outre, la plupart des failles (81 %) bénéficient d’un correctif le jour même de leur découverte.  Pourtant, 30 jours plus tard, le taux de vulnérabilités corrigées n’a progressé que de 1 %.  Les organisations devant gérer un large éventail de terminaux (y compris des dispositifs n’étant pas régulièrement connectés à des réseaux professionnels) doivent donc faire des efforts variés en matière de gestion des vulnérabilités logicielles, afin d’assurer une protection efficace de ces appareils.

Principaux résultats du rapport Vulnerability Review 2017

Chiffres globaux sur l’ensemble des applications

  1. En 2016, Secunia Research a repéré un total de 17 147 vulnérabilités sur 2 136 produits issus de 246 éditeurs.
  2. 81 % des vulnérabilités repérées sur l’ensemble des produits bénéficiaient de correctifs le jour même de leur découverte.
  3. 22 vulnérabilités zéro-day ont été découvertes au total en 2016, soit 4 de moins que l’année précédente.
  4. 18 % des 3 416 des notes de vulnérabilités publiées en 2016 étaient classées comme « Très critiques », et 0,5 % comme « Extrêmement critiques ».
  5. En 2016, 713 vulnérabilités ont été découvertes au sein des 5 navigateurs les plus utilisés : Google Chrome, Mozilla Firefox, Internet Explorer, Opera et Safari.  Cela représente une hausse de 27,7 % par rapport à 2015.
  6. En 2016, 289 vulnérabilités ont été découvertes au sein des 5 lecteurs de fichiers PDF les plus populaires : Adobe Reader, Foxit Reader, PDF-XChange Viewer, Sumatra PDF et Nitro PDF Reader.

Les 50 applications les plus populaires sur les PC privés

  1. 1 626 vulnérabilités ont été découvertes dans 25 produits sur les 50 applications les plus populaires sur des ordinateurs de particuliers.
  2. 77,5 % des failles découvertes en 2016 au sein du Top 50 concernaient des applications non publiées par Microsoft. Cela représente bien plus que les 9 % de vulnérabilités découvertes au sein du système d’exploitation Windows 7, ou les 13,5 % de failles découvertes au sein d’applications Microsoft.
  3. Les 15 applications non éditées par Microsoft ne représentent que 29 % des produits, mais équivalent pourtant bien à 77,5 % des vulnérabilités découvertes au sein du Top 50.  Les applications Microsoft (système d’exploitation Windows 7 inclus) représentent 71 % des produits du Top 50, mais ne sont responsables que de 21 % des vulnérabilités.
  4. Sur les cinq dernières années, la part des vulnérabilités découvertes au sein d’applications non publiées par Microsoft tourne autour de 78 % du Top 50.
  5. Le nombre total de failles découvertes au sein des 50 applications les plus populaires était de 1 626 en 2016, soit une hausse de 15 % sur cinq ans.  La plupart de ces vulnérabilités ont été classées comme « Très critiques » (65 %) ou « Extrêmement critiques » (7,5 %) par Secunia Research.
  6. 92,5 % des vulnérabilités repérées au sein du Top 50 bénéficiaient de correctifs le jour même de leur découverte.
Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.