Les vulnérabilités logicielles ont augmenté de 20 % en 2021. Le rapport annuel Hacker-Powered Security: Industry Insights de HackerOne révèle que les hackers éthiques ont remonté plus de 66 000 vulnérabilités valides l'année écouléeHackerOne, une plateforme mondiale de sécurité collaborative, a dévoilé que les hackers éthiques ont signalé plus de 66 000 vulnérabilités valides cette année, un chiffre en augmentation de 20 % par rapport à 2020. La sécurité collaborative est une pratique en forte croissance, soutenue notamment par une hausse très significative des campagnes de pentests (+264 %). La pandémie a eu pour conséquence une accélération de la transformation numérique et de la migration vers le cloud, exposant les organisations à davantage de vulnérabilités alors que les surfaces d'attaque s'étendent et que les services continuent de s’externaliser.
Le rapport annuel Hacker-Powered Security: Industry Insights présente les enseignements de la plus grande base de données au monde sur les vulnérabilités et les programmes de bug
bounty. Il nous apprend cette année que le montant des primes versées aux hackers pour la détection de vulnérabilités critiques est en hausse, les organisations priorisant les bugs à plus fort impact. Les entreprises sont également plus rapides que jamais dans la gestion et la remédiation des vulnérabilités, ces sujets devenant des enjeux commerciaux majeurs. Le rapport révèle enfin le Top 10 des vulnérabilités les plus signalées, permettant ainsi de comprendre comment hiérarchiser les efforts pour corriger les vulnérabilités et quelles sont les vulnérabilités à plus forte valeur.
Chris Evans, RSSI et Chief Hacking Officer récemment nommé chez HackerOne commente : "Aujourd'hui, même les organisations les plus conservatrices reconnaissent la plus-value du regard extérieur qu’apportent les hackers éthiques. A titre d’exemple, nous observons une forte croissance des pratiques de sécurité collaborative auprès des acteurs de la finance. Mesurer et quantifier le risque est le cœur de leur métier, et ils réalisent que le risque est moindre en collaborant avec des hackers. Nos clients s’appuient sur les données des rapports de vulnérabilité tout au long de leurs cycles de développement logiciels. Ils parviennent ainsi à détecter les failles plus tôt et à les corriger à des coûts avantageux."
Voici quelques conclusions majeures du rapport :
La sécurité collaborative poursuit son ascension avec une augmentation de 34 % du nombre de programmes de sécurité impliquant des hackers éthiques en 2021.
Tous les secteurs d’activité s’inscrivent dans cette tendance, y compris les secteurs les plus traditionnellement conservateurs. Dans le secteur de la finance notamment, les programmes de sécurité collaborative ont augmenté de 62 %. Dans le secteur public, ces pratiques ont augmenté de 89 %, portées par des institutions emblématiques comme le ministère de la Défense du Royaume-Uni ou l'agence GovTech de Singapour.
Les hackers ont signalé 20 % de vulnérabilités de plus qu'en 2020. Alors que le bug bounty traditionnel a connu une augmentation de 10 %, les programmes de divulgation de vulnérabilités (VDP) ont connu une augmentation de 47 %, et les rapports de tests d’intrusion (pentests) ont augmenté de 264 %.
Le prix médian d’une prime récompensant la découverte d'une vulnérabilitécritique a augmenté de 20 %, passant de 2 500 dollars à 3 000 dollars en 2021. Le montant moyen d’une prime a augmenté de 13 % pour une vulnérabilité critique et de 30 % pour une vulnérabilité très critique.
Au cours de l'année écoulée, le délai moyen de résolution a diminué de 19 %, passant de 33 jours à 26,7 jours, certains secteurs comme le retail et le e-commerce ayant vu le délai de résolution chuter de plus de 50 %.
Le bug le plus signalé sur HackerOne reste le Cross Site Scripting, cependant d'autres types de bugs ont connu une augmentation significative depuis 2020. La divulgation d'informations a connu une augmentation de 58 % et les erreurs de logique d'entreprise ont connu une augmentation de 67 %, ce qui leur confère pour la première fois une place dans le Top 10.
Source : HackerOne
Et vous ?
Trouvez-vous les résultats de ce rapport pertinents ? Quel est votre avis sur le hacking éthique ?Voir aussi :
Apple paie 288 000 dollars à des hackers éthiques qui ont trouvé 55 vulnérabilités sur le réseau de l'entreprise, dont 11 estimées comme critiques Poly Network propose une prime de bogue de 500 000 dollars au hacker qui lui avait volé plus de 600 millions de dollars en cryptomonnaie avant de les restituer, le hacker songe à l'accepter Poly Network demande au hacker qui lui avait volé plus de 600 Ms $ en cryptomonnaie de devenir son Conseiller principal en sécurité, et indique qu'aucune plainte ne sera déposée contre lui