in

Rapport Vulnerability Review de Flexera : niveau record de 20 000 vulnérabilités enregistrées en 2017

Flexera, l’éditeur qui réinvente l’achat, la vente, la gestion et la sécurisation des logiciels, publie son Rapport annuel sur les tendances mondiales relatives aux vulnérabilités logicielles rédigé par les chercheurs de sa filiale SecuniaResearch. Ce document aide les organisations à comprendre les tendances en la matière, et à élaborer des stratégies afin de se protéger.  Les failles sont à l’origine de graves problématiques de sécurité. En effet, des erreurs au sein de logiciels peuvent faire office de points d’entrée pour les pirates, et ainsi être exploitées pour accéder à des systèmes d’information.

Hausse des vulnérabilités

Le rapport publié cette année révèle que la flambée des vulnérabilités se poursuit.  Le nombre de failles enregistrées en 2017 a en effet augmenté de 14 % par rapport à l’année précédente (19 954, contre 17 147 en 2016).  Les entreprises sont donc exposées à des risques de sécurité toujours plus importants, ce qui souligne la nécessité pour elles de conserver en permanence une visibilité sur leurs actifs logiciels et les vulnérabilités qui les affectent.  Les organisations doivent également s’assurer de trier les failles critiques par ordre de priorité et de les corriger avant que le risque qu’elles soient exploitées n’augmente.

« Les résultats de cette année sont sans appel : la menace reste omniprésente », déclare KasperLindgaard, directeur de recherche et de la sécurité chez Flexera.  « Face à la hausse du risque de violations de données, les dirigeants se doivent d’augmenter leur vigilance en mettant en œuvre de meilleurs processus opérationnels, au lieu de se contenter de réagir aux menaces faisant la une des médias et perturbant leurs activités. Tels sont les enseignements à tirer de la fuite de données dont a été victime Equifax et des attaques WannaCry. »

Éviter les attaques est possible : 86 % des patches sont disponibles le jour même où les vulnérabilités sont divulguées

Une lueur d’espoir subsiste pour les entreprises cherchant à réduire le risque d’être victimes d’incidents :  86 % des failles disposent de correctifs le jour même où elles sont divulguées. En outre, les vulnérabilitészero-day (soit celles qui sont exploitées avant que leur existence ne soit révélée au public) restent rares ; seuls 14 % des 19 954 des failles enregistrées en 2017 tombent dans cette catégorie, ce qui représente une baisse de 40 % par rapport 2016.

« Les organisations doivent profiter de ces connaissances pour gérer la plupart des vulnérabilités avantque le risque qu’elles soient exploitées n’augmente », explique Kasper Lindgaard.  « Mais ces actions ne doivent pas rester ponctuelles : en l’absence d’une approche adoptée sur la durée, elles courent le risque de commettre un faux pas et de laisser leurs failles non corrigées pendant de longues périodes. Les criminels auront alors toute la latitude nécessaire pour mener leurs attaques. Nous recommandons de mettre en place un processus de gestion des vulnérabilités logicielles automatisé, et capable de tirer parti d’informations qualifiées afin d’identifier les risques, de les classer en fonction de leur importance, et de contrecarrer les menaces. »

Principaux enseignements du rapport Vulnerability Review de 2018

  1. En 2017, l’équipe Secunia Research de Flexera a détecté 19 954 vulnérabilités au sein de 1 865applications en provenance de 259 éditeurs.  Cela représente une hausse de 38 % sur les cinq dernières années, et de 14 % par rapport à 2016.
  2. 86 % des vulnérabilités repérées bénéficiaient de correctifs le jour même de leur divulgation, contre 81 % l’année précédente.
  3. Seules 14 vulnérabilités zero-day (exploitées avant d’avoir été révélées au public) ont été découvertes au total, contre 23 en 2016.
  4. 17 % des vulnérabilités découvertes en 2017 étaient classées comme « Très critiques », et 0,3 % comme « Extrêmement critiques ».
  5. Les réseaux distants sont le principal vecteur utilisé pour déclencher des attaques (55 % des cas).

Méthodologie

En matière d’analyse des vulnérabilités, les approches varient selon le cabinet de recherche. SecuniaResearch compte une faille par produit identifié comme vulnérable. Cette méthode nous permet de mettre en lumière le niveau d’information nécessaire aux clients pour assurer la sécurité de leurs environnements grâce à des renseignements vérifiés sur les produits affectés.

Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.