C’est l’une des règles de base : appliquer les correctifs de sécurité des éditeurs de logiciels permet de réduire les risques de piratage. Problème : toutes les organisations ne les intègrent pas rapidement comme le révèle le rapport de Kenna Security et du Cyentia Institute.
Ce rapport « Prioritization to Prediction. Volume 3: Winning the Remediation Race » s’appuie sur l’analyse d’environ 300 organisations. En mesurant le temps nécessaire à appliquer les correctifs de sécurité, Kenna Security et du Cyentia Institute ont constaté qu’en moyenne il a fallu 26 jours pour corriger un quart des failles, 100 jours pour atteindre la moitié et presqu’un an pour atteindre 75 %.
Les secteurs qui sont les plus rapides à appliquer les correctifs sont l’énergie, les banques et les transports. Divers facteurs influent sur la rapidité à patcher : gravité, difficulté d'exploitation, existence d'un POC.
Mais il y a aussi les utilitaires fournis par les éditeurs pour appliquer les correctifs. Microsoft arrive loin devant les autres en permettant aux entreprises de corriger 25 % des vulnérabilités en 14 jours, 50 % en 37 jours, et 75 % en 134 jours.
Google arrive en seconde position avec des délais de 15, 63 et 229 jours pour atteindre, respectivement, les objectifs de 25 %, 50 % et 75 %. La distribution GNU/Linux Debian se classe en troisième position (22, 93 et 286 jours).
Les petites entreprises corrigent rapidement
Étrangement, il faut beaucoup plus de temps aux organisations pour mettre à jour Ubuntu que Debian, soit 180, 287 et 1345 jours. Celle-ci s’appuie pourtant sur le même gestionnaire de paquets…
Par contre, les solutions d’Apache, de Cisco, d’Oracle, de HP et d’IBM sont moins souvent corrigées que les autres. Le rapport note cependant « que Java (Oracle) est notoirement difficile à réparer sans casser quelque chose ».
Concernant les vulnérabilités ayant des exploits connus, elles ont été corrigées en 20, 63 et 248 jours. Celles sans exploits ont été corrigées en 27, 111 et 426 jours pour atteindre, respectivement, des seuils de 25, 50 et 75 %.
Enfin, le rapport évacue une idée reçue : ce n’est pas parce que vous êtes une petite entreprise que vous allez mettre plus de temps à patcher. Au contraire, ces petites entités corrigent rapidement les vulnérabilités.