selon un nouveau rapport de Risk Based SecurityComprendre les faiblesses et les vulnérabilités d’un système ou d’un réseau est un grand pas vers la correction de ces vulnérabilités ou la mise en place des contre-mesures appropriées pour atténuer les menaces contre elles. Certaines entreprises ont créé des bases de données qui classent les menaces dans le domaine public.
Le Common Vulnerabilities and Exposures (CVE) ou Vulnérabilités et expositions communes est un dictionnaire des vulnérabilités et expositions de sécurité connues du public. Il est maintenu par l’organisme MITRE et soutenu par le département de la sécurité intérieure des États-Unis. MITRE quant à elle, est une organisation à but non lucratif américaine dont l’objectif est de travailler pour l’intérêt public. Ses domaines d’intervention sont l’ingénierie des systèmes, la technologie de l’information, les concepts opérationnels, et la modernisation des entreprises.
Selon un nouveau rapport de Risk Based Security, 54 % des vulnérabilités de 2019 sont liées au Web, 34 % ont des exploits publics, 53 % peuvent être exploitées à distance et 34 % des vulnérabilités de 2019 n’ont pas encore de solutions documentées.
« 34 % des vulnérabilités n’ont pas de solution, ce qui s’explique peut-être par le fait que les fournisseurs ne font pas de correctifs. Cela peut se produire lorsque le chercheur n’a pas informé le fournisseur de sorte qu’il ne soit pas au courant de la vulnérabilité », déclare Brian Martin, vice-président d’intelligence de vulnérabilité chez Risk Based Security. « En outre, si une entreprise utilise l’analyse des vulnérabilités, elle peut tout simplement ne pas connaître tous ses actifs. Par exemple, si elle n’analyse pas l’intégralité de son espace IP ou utilise un scanner incapable d’identifier 100 % de ses actifs, les périphériques et les serveurs peuvent ne pas être corrigés ».
Le rapport révèle également qu’à ce jour, seuls cinq des principaux fournisseurs représentent 24,1 % des vulnérabilités révélées en mi-année 2019. Parmi les vulnérabilités non publiées par CVE/NVD, 28,2 % ont un score CVSSv2 compris entre 7,0 et 10. Parallèlement, 8,6 % des vulnérabilités ayant un identifiant CVE sont dans le statut RÉSERVÉ malgré une divulgation publique.
Une fois les vulnérabilités identifiées sur un système, l’organisation doit effectuer une analyse et attribuer une priorité en fonction de leur impact sur l’entreprise. L’analyse d’une vulnérabilité rapportée vise à confirmer que le système est vulnérable et à essayer de mieux comprendre les caractéristiques de la vulnérabilité. Le Common Vulnerability Scoring System (CVSS) est un standard de l’industrie utilisé pour transmettre des informations sur la gravité des vulnérabilités. Parmi les vulnérabilités non publiées par CVE/NVD, 28,2 % ont un score CVSSv2 compris entre 7,0 et 10. Parallèlement, 8,6 % des vulnérabilités ayant un identifiant CVE sont dans le statut RÉSERVÉ malgré une divulgation publique.
« Un sujet récurrent dans les rapports VulnDB est que CVE/NVD continue de ne pas couvrir suffisamment de vulnérabilités », ajoute Martin. « De nombreuses organisations, sociétés de numérisation, plates-formes de risque et fournisseurs de services de sécurité insistent sur le fait que l’intelligence des vulnérabilités de CVE/NVD est assez bonne ». Cependant, notre mentalité et notre approche vis-à-vis de l’agrégation des vulnérabilités sont complètement différentes. Il existe des milliers de vulnérabilités que nous couvrons avec des détails complets que MITRE n’a toujours pas ».
Bien que la phase de gestion des vulnérabilités la plus importante consiste à remédier à une vulnérabilité, on assiste bien souvent à des situations ou le constructeur passe du temps à vouloir faire du dilatoire plutôt que de se pencher sur le problème.
Source : Risk Based Security
Et vous ?
Faites-vous confiance à des organismes américains pour gérer des informations manipulées par le monde ? Ou préférez-vous les Chinois ou encore les Russes ? Selon vous, qu’est-ce qui explique le fait que les fournisseurs ne font pas toujours de correctifs ?Voir aussi :
Des vulnérabilités de corruption de mémoire dans systemd affectent la plupart des distributions Linux, aucun correctif n’est disponible pour le moment 
.
et lui dit que c'est pas mon problème n'étant ni juriste, ni politicien.
