Plus d'un quart des entreprises (28 %) présentent des vulnérabilités critiques qui pourraient facilement être exploitées par une cyberattaque. Mais même lorsque ces vulnérabilités sont signalées par des tests de pénétration, elles ne sont toujours pas corrigées.Une nouvelle étude de la société de cybersécurité Bulletproof, basée sur les données de plus de 3 800 jours de tests d'intrusion de sa plateforme Defense.com, révèle que 37 % des entreprises ont des composants obsolètes et vulnérables, 11 % des contrôles d'accès défaillants et 7 % des problèmes d'injection SQL.
À l'heure actuelle, de nombreuses vulnérabilités qui ne sont pas corrigées au cours de la première année ne le sont jamais, mais l'introduction d'une réglementation plus stricte signifie que les entreprises devront commencer à corriger ces vulnérabilités historiques si elles veulent éviter les sanctions et rester en sécurité.
Oliver Pinson-Roxburgh, PDG de Bulletproof, déclare :
Notre étude a révélé que, même lorsqu'elles ont été averties de vulnérabilités critiques susceptibles d'être exploitées par des attaquants, un quart des entreprises ont choisi de ne pas y remédier et d'espérer que tout ira bien. En réalité, cette proportion est probablement beaucoup plus élevée, étant donné que nos recherches n'ont porté que sur les entreprises qui ont effectivement effectué un nouveau test. Cette complaisance a contribué à l'énorme croissance du secteur de la cybercriminalité aujourd'hui.
La plupart des entreprises avec lesquelles nous travaillons s'attaquent aux menaces les plus prioritaires, mais elles sont confrontées à un manque de temps et de ressources. Le problème que nous constatons est que presque toutes les entreprises développent actuellement leurs capacités numériques, ce qui a entraîné une explosion des vulnérabilités critiques à mesure que la surface d'attaque augmente. La plupart des équipes de sécurité auxquelles je m'adresse ont du mal à se tenir au courant des correctifs, même les plus prioritaires.
La solution consiste à adopter une approche de défense en profondeur, en superposant plusieurs outils et tactiques de cyber-résilience pour contrecarrer les attaquants potentiels et protéger les fonctions commerciales essentielles. Avec la menace imminente d'une nouvelle réglementation pour les MSP non conformes, il sera intéressant de voir jusqu'où les équipes de sécurité pourront aller dans la lutte contre ces vulnérabilités au cours des 12 prochains mois.
Source : Bulletproof
Et vous ?
Pensez-vous que ce rapport est pertinent ? A votre avis, qu'est-ce qui pousse les entreprises à fermer les yeux sur certaines vulnérabilités ? Est-ce le cas dans votre entreprise ?Voir aussi :
Les vulnérabilités non corrigées restent les vecteurs d'attaque les plus importants exploités par les groupes de ransomware, avec une augmentation de 29 % des nouvelles vulnérabilités l'année dernière Les groupes de ransomware deviennent de plus en plus sophistiqués et nombreux, le dernier trimestre a vu une augmentation de 4,5 % des vulnérabilités associées aux ransomwares, selon Ivanti L'adoption des DevSecOps se poursuit dans le monde entier malgré les problèmes de sécurité, d'après une étude menée conjointement par Synospys, centre de recherche sur la cybersécurité, et Censuswide