Hausse des patches disponibles + baisse des patches installés = rupture de la chaîne d’approvisionnement

Flexera Software, premier fournisseur mondial de solutions de gestion des vulnérabilités logicielles pour les éditeurs et les entreprises, dévoile les résultats du rapport Vulnerability Review 2017. Ce document annuel publié par Secunia Research (filiale de Flexera Software) fournit des données mondiales sur la fréquence des vulnérabilités et la disponibilité de correctifs. Il dresse également un tableau des menaces pour les infrastructures informatiques, et s’intéresse aux vulnérabilités présentes au sein des 50 applications les plus installées sur les ordinateurs privés.

Les failles sont à l’origine de graves problématiques de sécurité. En effet, des erreurs au sein de logiciels peuvent en effet faire office de points d’entrée pour les pirates, et ainsi être exploitées pour accéder à des systèmes informatiques.  Sur l’année 2016, Secunia Research a repéré un total de 17 147 vulnérabilités sur 2 136 produits issus de 246 éditeurs.  L’ampleur du problème illustre la problématique à laquelle sont confrontées les équipes informatiques cherchant à protéger leur environnement des failles de sécurité sans les technologies d’automatisation nécessaires.  Pour maîtriser ces environnements, elles doivent disposer d’une visibilité complète sur les applications utilisées, et avoir mis en place des politiques et procédures fermes afin de gérer l’une après l’autre ces vulnérabilités.
La bonne nouvelle est que les éditeurs continuent de proposer des correctifs pour la grande majorité des failles, et ce dès que celles-ci sont rendues publiques.  En 2016, 81 % de l’ensemble des vulnérabilités et 92,5 % des 50 logiciels les plus populaires affectés par de telles failles disposaient de correctifs dès le premier jour. Les utilisateurs n’avaient donc plus qu’à faire le nécessaire.  Cependant, malgré une hausse des patches disponibles, leur taux d’application a diminué, ce qui témoigne clairement d’une rupture au niveau de la chaîne d’approvisionnement de logiciels.  Les solutions de gestion des vulnérabilités logicielles permettent de résoudre ce problème en aidant les organisations à identifier les applications et systèmes à risque dans leurs environnements. Ces risques peuvent ensuite être hiérarchisés, et les problèmes résolus à l’aide d’une gestion intégrée des correctifs.

« La chaîne d’approvisionnement de logiciels possède des caractéristiques uniques : il n’est pas rare que des éditeurs proposent des produits contenant des failles pouvant être exploitées et représentant un problème pour leurs clients.  Ces derniers doivent donc faire preuve de vigilance à l’achat, mais aussi vis-à-vis de la gestion et de la sécurité de leurs logiciels », déclare Kasper Lindgaard, directeur de Secunia Research, filiale de Flexera Software.  « Comme le montre notre rapport, la plupart du temps, des correctifs sont rapidement mis à leur disposition pour les failles découvertes.  Les entreprises doivent en tirer parti et appliquer ces correctifs dans les plus brefs délais. »

Les lecteurs de fichiers PDF
Le taux de vulnérabilités non corrigées est très élevé pour les lecteurs de PDF.  Adobe Reader, par exemple, fait l’objet d’une adoption massive : le logiciel est classé 31e sur les 50 applications les plus populaires et est installé sur 40 % des ordinateurs personnels.  Leader sur son marché, l’outil est également celui qui présente le plus de vulnérabilités. Pourtant, et en dépit de la pléthore de patches disponibles, 75 % des particuliers utilisaient des versions non corrigées en 2016.

Taux de corrections et vulnérabilités zéro-day

Les autres résultats du rapport Vulnerability Review 2017 confirment les tendances observées les années précédentes : le nombre de vulnérabilités zéro-day (22) est légèrement inférieur à celui de 2015 ; la répartition des vulnérabilités au sein des 50 applications les plus installées sur des ordinateurs de particuliers est de 22,5 % pour les produits Microsoft et de 77,5 % pour les autres.  En outre, la plupart des failles (81 %) bénéficient d’un correctif le jour même de leur découverte.  Pourtant, 30 jours plus tard, le taux de vulnérabilités corrigées n’a progressé que de 1 %.  Les organisations devant gérer un large éventail de terminaux (y compris des dispositifs n’étant pas régulièrement connectés à des réseaux professionnels) doivent donc faire des efforts variés en matière de gestion des vulnérabilités logicielles, afin d’assurer une protection efficace de ces appareils.

Principaux résultats du rapport Vulnerability Review 2017

Chiffres globaux sur l’ensemble des applications

  1. En 2016, Secunia Research a repéré un total de 17 147 vulnérabilités sur 2 136 produits issus de 246 éditeurs.
  2. 81 % des vulnérabilités repérées sur l’ensemble des produits bénéficiaient de correctifs le jour même de leur découverte.
  3. 22 vulnérabilités zéro-day ont été découvertes au total en 2016, soit 4 de moins que l’année précédente.
  4. 18 % des 3 416 des notes de vulnérabilités publiées en 2016 étaient classées comme « Très critiques », et 0,5 % comme « Extrêmement critiques ».
  5. En 2016, 713 vulnérabilités ont été découvertes au sein des 5 navigateurs les plus utilisés : Google Chrome, Mozilla Firefox, Internet Explorer, Opera et Safari.  Cela représente une hausse de 27,7 % par rapport à 2015.
  6. En 2016, 289 vulnérabilités ont été découvertes au sein des 5 lecteurs de fichiers PDF les plus populaires : Adobe Reader, Foxit Reader, PDF-XChange Viewer, Sumatra PDF et Nitro PDF Reader.

Les 50 applications les plus populaires sur les PC privés

  1. 1 626 vulnérabilités ont été découvertes dans 25 produits sur les 50 applications les plus populaires sur des ordinateurs de particuliers.
  2. 77,5 % des failles découvertes en 2016 au sein du Top 50 concernaient des applications non publiées par Microsoft. Cela représente bien plus que les 9 % de vulnérabilités découvertes au sein du système d’exploitation Windows 7, ou les 13,5 % de failles découvertes au sein d’applications Microsoft.
  3. Les 15 applications non éditées par Microsoft ne représentent que 29 % des produits, mais équivalent pourtant bien à 77,5 % des vulnérabilités découvertes au sein du Top 50.  Les applications Microsoft (système d’exploitation Windows 7 inclus) représentent 71 % des produits du Top 50, mais ne sont responsables que de 21 % des vulnérabilités.
  4. Sur les cinq dernières années, la part des vulnérabilités découvertes au sein d’applications non publiées par Microsoft tourne autour de 78 % du Top 50.
  5. Le nombre total de failles découvertes au sein des 50 applications les plus populaires était de 1 626 en 2016, soit une hausse de 15 % sur cinq ans.  La plupart de ces vulnérabilités ont été classées comme « Très critiques » (65 %) ou « Extrêmement critiques » (7,5 %) par Secunia Research.
  6. 92,5 % des vulnérabilités repérées au sein du Top 50 bénéficiaient de correctifs le jour même de leur découverte.

À propos du rapport Vulnerability Review 2017
Le rapport annuel Vulnerability Review de Secunia Research (filiale de Flexera Software) analyse l’évolution de la sécurité des logiciels en s’intéressant à leurs vulnérabilités.  Il fournit des données globales sur la fréquence des failles et sur la disponibilité des correctifs, dresse un tableau des menaces pour les infrastructures informatiques, et s’intéresse aux vulnérabilités présentes au sein des 50 applications les plus installées sur les ordinateurs des particuliers.

Identification des 50 applications les plus populaires (le Top 50) :
Pour déterminer le niveau de vulnérabilité des terminaux, nous analysons les types de produits typiquement présents sur un dispositif.  En moyenne, 75 programmes sont installés sur les ordinateurs des utilisateurs de Personal Software Inspector.  Les applications varient en fonction des pays et des régions.  Par souci de clarté, nous avons choisi de nous concentrer sur un portefeuille représentatif des 50 applications les plus fréquemment rencontrées sur ces ordinateurs.  Parmi elles figurent 35 programmes publiés par Microsoft.

Méthodologie
En matière d’analyse des vulnérabilités, les approches varient selon le cabinet de recherche. Secunia Research compte une faille par produit identifié comme vulnérable. Cette méthode nous permet de mettre en lumière le niveau d’information nécessaire à nos clients pour assurer la sécurité de leurs environnements.

Télécharger la Vulnerability Review 2017

lundi 27 mars 2017
Communiqué de presse
Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn

Les commentaires sont fermés.

Contactez-nous
8 avenue du Maine, 75015 Paris
Tél. : +33 1 53 63 27 27

Yucatan, créée il y a plus de 20 ans et dirigée par Evelyne Martin et Caroline Prince, est la première agence de relations médias spécialisée dans la valorisation de l’innovation dans les secteurs de la high-tech, du digital, de l’industrie, du bâtiment et des sciences. L’agence Yucatan participe au développement de la réputation de ses clients. Yucatan vous présente ici son Blog, que vous pouvez suivre en vous inscrivant à la newsletter.