En 2017, 86 % des 20.000 vulnérabilités découvertes disposaient d’un correctif le jour de leur divulgation.

19.954 vulnérabilités ont été découvertes en 2017 dans 1.865 applications provenant de 259 éditeurs et fournisseurs. En l’espace de 5 ans, le nombre des vulnérabilités découvertes a été multiplié par 2. Et entre 2016 et 2017, il a affiché une progression de 14 %.

Flexera-patch-3

Si la moitié des vulnérabilités découvertes sont peu à pas critiques, près de 1 sur 5 est qualifiée de hautement voire extrêmement critique :

Flexera-patch-1

Lorsque les vulnérabilités ont fait l’objet d’attaques, pour plus de la moitié d’entre elles (55,3%) ces attaques sont venues de l’extérieur. Ce qui pour les responsables sécurité se traduit par plus de la moitié des vulnérabilités qui peuvent être exploités à distance, de l’extérieur.

Flexera-patch-2

Des corrections disponibles

Aujourd’hui, il est théoriquement possible de remédier à la majorité des vulnérabilités. En effet, au jour de la divulgation des vulnérabilités, 86 % d’entre elles disposent d’un correctif. Un chiffre en progression, il était de 81 % un an plus tôt.

A l’opposé, 14 % seulement des vulnérabilités ne disposaient pas d’un correctif. Ce chiffre correspond au pourcentage de toutes les vulnérabilités qui n’ont pas disposé d’un correctif plus longtemps que le premier jour de la divulgation.

Flexera-patch-5

Le pourcentage des vulnérabilités sans correctif vient rappeler qu’une partie des produits logiciels ne peut être corrigée immédiatement, soit par un manque de ressources chez le fournisseur, pour des questions de versions non coordonnées, ou encore, mais plus rarement, par des zero-day.

Notons enfin que si une vulnérabilité n’est pas corrigée le premier jour, à 87 % elle le sera au cours des 30 jours qui suivront sa divulgation.

Flexera-patch-4

L’analyse de ces chiffres doit cependant être temporisée par les pratiques de certains ‘grands’ fournisseurs, qui choisissent de publier des correctifs sur les versions de leurs produits majeurs, plutôt que de publier des mises à jour mineures.

Source : « Vulnerability Review 2018 » de Flexera

Image d’entête 641799398 @ iStock zoljo