La correction des failles de sécurité est une tâche difficile et apparemment sans fin pour les professionnels de l'informatique et de la sécurité. Et cette tâche devient encore plus difficile chaque année, car le nombre de nouvelles failles de sécurité ne cesse d'augmenter note le NIST.
D'après les dernières statistiques de la base de données sur les vulnérabilités du National Institute of Standards and Technology, le volume des failles de sécurité a atteint un record pour la cinquième année consécutive.
Au 9 décembre 2021, le nombre de vulnérabilités découvertes dans le code de production pour l'année est de 18 400. Pour 2021, le NIST a enregistré jusqu'à présent 2 966 vulnérabilités à faible risque, 11 777 à risque moyen et 3 657 à risque élevé. De quoi inciter les entreprises à être plus réactives…
Pour 2020, le nombre total de vulnérabilités était de 18 351. Quelque 2 766 d'entre elles étaient qualifiées de faible risque, 11 204 de risque moyen et 4 381 de risque élevé.
Au cours des cinq dernières années, chaque année a dépassé la précédente avec 17 306 failles totales enregistrées en 2019, 16 510 en 2018 et 14 645 en 2017.
Pourquoi le nombre de vulnérabilités ne cesse-t-il d'augmenter ? Cette année, la pandémie de coronavirus a continué d'inciter de nombreuses organisations à accélérer la transformation numérique et l'adoption du cloud, ce qui a potentiellement précipité la mise en production de leurs applications.
Résultat, le code de programmation n'a peut-être pas été soumis à autant de cycles de tests d'assurance qualité. Cela signifie également que de nombreux développeurs ont pu exploiter davantage de code tiers, hérité et open source, un autre facteur de risque possible pour les failles de sécurité. Au final, les organisations ont peut-être amélioré leur codage, mais elles ont pris du retard dans les tests.
Les vulnérabilités sont inhérentes au développement de logiciels. C'est un jeu de probabilité, et plus on produit de logiciels, plus il y a de vulnérabilités. En termes de propagation, du point de vue de la découverte, les problèmes à faible impact ont tendance à être plus faciles à introduire, plus faciles à trouver et donc signalés plus fréquemment.
Un point positif dans les dernières données du NIST est en effet le nombre relativement faible de vulnérabilités à haut risque. Les 3 657 étiquetées à haut risque pour 2021 montrent une tendance à la baisse par rapport à 2020 et aux quelques années précédentes.
En adoptant une stratégie de « Shift left » dans laquelle les tests sont effectués plus tôt dans le cycle de codage, les développeurs ont peut-être réussi à accorder une plus grande importance à la sécurité.
Néanmoins, les résultats globaux restent alarmants et soulignent les difficultés auxquelles les organisations, et notamment celles du secteur de la santé, sont confrontées lorsqu'elles tentent de garder la trace de toutes leurs applications et autres actifs vulnérables.
La raison principale en est que la plupart des entreprises ont des inventaires de biens informatiques qui ne reflètent pas l'ensemble de leur surface d'attaque, qui, dans les entreprises modernes, s'étend au-delà du réseau pour inclure le cloud, les appareils personnels, les travailleurs à distance…