Considérée comme un bien public, la divulgation de vulnérabilités informatiques fait pourtant trembler les entreprises – Etude Veracode

Peu de sujets relatifs à la sécurité des applications suscitent autant de remous que la divulgation de vulnérabilités informatiques. Un débat vif puisqu’il met en lumière des intérêts très divergents. D’un côté, les experts en sécurité informatique veulent corriger rapidement les vulnérabilités et recevoir des mises à jour de la part du fournisseur ; de l’autre, la priorité de l’entreprise concernée sera de résoudre le problème avant sa divulgation, tout en protégeant les données de ses utilisateurs. Cet enjeu provoque même des réactions mal avisées de la part des entreprises vis-à-vis de l’identification de vulnérabilités dans leurs produits ou services, pouvant aller jusqu’à la formulation de menaces à l’encontre de l’employeur d’un expert en sécurité.

Dans ce contexte, Veracode a commandé une étude à l’institut 451 Research auprès d’un millier de sondés répartis dans cinq pays du globe (France, Etats-Unis, Italie, Royaume-Uni, Allemagne) afin de déterminer dans quelle mesure la « divulgation coordonnée » est pratiquée et quelles difficultés elle suscite. Par divulgation coordonnée, on entend l’identification par un expert en sécurité informatique d’une vulnérabilité, ainsi que le processus qui s’ensuit avec l’entreprise et les fournisseurs dans le but de corriger puis divulguer publiquement ladite faille. Ainsi, quels sont les moyens mis en place par les entreprises afin d’être au fait des rapports de vulnérabilité ? De quelle manière les politiques de divulgation coordonnée sont-elles perçues par les entreprises, fournisseurs et les experts en cyber sécurité ?

Les conclusions de cette étude permettent de dégager quelques éléments de réponse à ces questions : en effet, si la divulgation est plébiscitée en théorie, elle fait toujours peur aux entreprises en pratique.

  • 9 répondants sur 10  estiment que la divulgation des vulnérabilités s’apparente à un bien public qui améliore la transparence tout en étant bénéfique à la sécurité de tous.
  • Pourtant, la divulgation fait peur aux entreprises, puisque seulement 9% des répondants ayant identifié une vulnérabilité de sécurité ont opté pour cette solution.
  • A tel point que parmi les entreprises qui mettent en place des processus permettant de recevoir les rapports de vulnérabilité, au moins un tiers sont motivés par la crainte d’une divulgation complète de la vulnérabilité.
  • Les personnes interrogées considèrent qu’un expert en sécurité informatique sous contrat ne devrait pas divulguer les vulnérabilités qu’il identifie (70%).
  • Plus du tiers (37%) des entreprises interrogées ont reçu un rapport de vulnérabilités qu’elles n’ont pas sollicité au cours des 12 derniers mois.
  • Parmi les entreprises ayant reçu un rapport non sollicité, 90 % des vulnérabilités ont été divulguées de manière coordonnée entre les experts de sécurité et les entreprises.

 

Morgane Palomo
Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

More from author

Restez connectez !

Nous diffusons une Newsletter mensuelle incluant des dossiers thématiques, interviewes et investigations réalisées par nos journalistes indépendants.
Vous souhaitez recevoir notre lettre d’informations?