Un nouveau rapport de la plateforme de tests de sécurité Synack montre une augmentation des vulnérabilités de gravité critique en 2023 par rapport à 2022.Malgré les pressions croissantes exercées sur les équipes de sécurité, les organisations ont réduit de 24 jours le délai moyen de correction des vulnérabilités de gravité critique et de 18 jours le délai moyen de correction des vulnérabilités de gravité élevée, pour atteindre respectivement 56 et 74 jours.
"Comprendre votre surface d'attaque et l'impact d'une exploitation réussie des vulnérabilités sur votre organisation est crucial pour prendre des décisions intelligentes en matière de sécurité et d'affaires", déclare Jay Kaplan, PDG et cofondateur de Synack. "Nous sommes fiers de publier le deuxième rapport annuel de Synack sur l'état des vulnérabilités pour aider les organisations des secteurs de la santé, des services financiers, du gouvernement fédéral, de la technologie et de l'industrie à comprendre les vulnérabilités auxquelles elles sont confrontées et comment elles peuvent garder une longueur d'avance sur les attaquants. Nous avons de nombreuses raisons d'être optimistes, mais cela ne signifie pas que la menace diminue".
Le rapport identifie les mêmes catégories de vulnérabilités qui persistent d'une année sur l'autre, indiquant des menaces accrues autour des failles d'injection, qui ont été mises en évidence dans une récente alerte "Secure by Design" de l'Agence pour la cybersécurité et la sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency). Les secteurs de la santé et de la technologie ont tous deux connu une augmentation des injections SQL, et les failles d'injection, y compris XSS, représentaient environ un tiers de toutes les vulnérabilités découvertes par Synack en 2023.
En moyenne, les entreprises du secteur de la santé avaient plus de 5 400 sous-domaines, 1 500 applications web et 1 400 adresses IP exposés publiquement - la plus grande surface d'attaque de tous les secteurs industriels examinés. Parmi les vulnérabilités découvertes, près de 1 900 étaient des injections SQL classées comme critiques ou de haute sévérité.
Les failles d'injection ont mis en évidence les forces et les faiblesses des différents secteurs en matière de sécurité. En moyenne, les entreprises de services financiers ont mis 53 jours pour remédier aux failles d'injection SQL, les entreprises technologiques 57 jours et les entreprises du secteur de la santé 45 jours.
À propos de Synack
Le nom Synack provient d'une pierre angulaire de la cybersécurité. La "poignée de main à trois voies" utilisée pour établir des connexions réseau fiables comporte des étapes de synchronisation et d'accusé de réception pour le transfert d'informations entre l'expéditeur et le destinataire. Dans ce flux constant de données, Synack a le potentiel d'unir la technologie et l'intelligence humaine pour révolutionner le monde de la cybersécurité.
Source : "State of Vulnerabilities 2024"
Et vous ?
Pensez-vous que ce rapport est crédible ou pertinent ? Quel est votre avis sur le sujet ?Voir aussi :
Les vulnérabilités non corrigées restent les vecteurs d'attaque les plus importants exploités par les groupes de ransomware avec une augmentation de 29 % des nouvelles vulnérabilités l'année dernière Il est urgent de renforcer la sécurité de la mémoire dans les produits logiciels, selon la CISA : l'utilisation d'un langage de programmation à sécurité mémoire comme Rust serait une solution Les organisations perdent des milliers d'heures en temps et en productivité à gérer un arriéré massif de vulnérabilités, qu'elles n'ont ni le temps ni les ressources pour traiter efficacement