La gestion des vulnérabilités reste le point noir de la sécurité

Se concentrant sur les logiciels présents dans l’environnement des utilisateurs de ses solutions de gestion des vulnérabilité, Flexera a identifié, l’an passé, 17 147 vulnérabilités dans 2 136 applications produites par un peu moins de 250 éditeurs. C’est une progression de 6 % sur un an, et de 33 % sur cinq. La progression du nombre de vulnérabilités observées est donc régulière. Elles peuvent donner l’impression de se concentrer sur un nombre de plus en plus restreint d’éditeurs et de produits : le nombre de produits vulnérables a reculé de 14 % en 2016, et celui d’éditeurs concernés, de 7 %. Mais Flexera relativise ce résultat en soulignant avoir cessé, l’an passé, de suivre les logiciels absents de son parc installé. 

Reste que les vulnérabilités apparaissent de plus en plus sévères. Ainsi, l’an passé, 0,5 % des vulnérabilités étaient « extrêmement critiques », et 18 % « hautement critiques », soit 5 points de mieux qu’en 2015. Dans plus de la moitié des cas, les vulnérabilités peuvent être exploitées à distance, depuis l’extérieur du périmètre de l’entreprise (56 %). 

Mais Flexera propose aussi d’autres indicateurs, peut-être plus représentatifs de l’état du risque, en se concentrant sur les 50 applications les plus souvent présentent sur les postes de travail surveillés avec ses solutions. Là, les applications Microsoft trustent 69 % du classement. La bonne nouvelle, c’est que sur ce Top 50, le nombre de vulnérabilités découvertes a été de 1 626 en 2016, soit 21 % de moins que l’année précédente. Et celles affectant des applications Microsoft n’ont pesé que pour 22,5 % du total. 

Las, les vulnérabilités hautement et extrêmement critiques ont représenté 72,5 % du lot, avec des possibilités d’exploitation à distance, depuis l’extérieur, pour 82 % des vulnérabilités. Mais 92,5 % d’entre elles, dans le Top 50, ont fait l’objet d’un correctif disponible le jour de leur divulgation. Reste que, sur l’ensemble de l’éventail applicatif connu sur le parc installé de Flexera, la situation a de quoi préoccuper : 81 % des vulnérabilités font l’objet d’un correctif le jour où elles sont rendues publiques, mais seulement 82 % des vulnérabilités font l’objet d’un patch 30 jours plus tard. D’où la conclusion de Flexera : « si un correctif n’est pas disponible le premier jour, l’éditeur n’accorde pas de priorité à corriger la vulnérabilité » 

Mais moins qu’aux éditeurs, il semble que ce soit aux utilisateurs et/ou aux administrateurs qu’il convienne aujourd’hui de jeter la pierre. Car 39 % des Google Chrome déployés ne sont pas à jour de correctifs. Et il en va de même pour 41 % des Firefox, ou encore 27 % des Opera. A noter que seuls 6 % des Internet Explorer observés par Flexera chez ses clients ne sont pas à jour de correctifs. La situation des lecteurs PDF est pire : Adobe Reader domine de la tête et des épaules avec une part de marché de 40 % sur le parc considéré. Mais dans 75 % des cas, il n’est pas à jour de correctifs. Foxit Reader, en seconde position, n’est pas mieux traité : il n’est à jour de correctifs que dans 38 % des cas.