Les entreprises mettent près de deux mois à corriger les vulnérabilités critiques, avec un délai moyen de correction (MTTR) de 60 jours

57% de ces vulnérabilités ont plus de deux ans, selon Edgescan

Les entreprises mettent près de deux mois à corriger les vulnérabilités critiques, avec un délai moyen de correction (MTTR) de 60 jours, 57 % de ces vulnérabilités ont plus de deux ans, selon Edgescan

Un nouveau rapport de la société de gestion intelligente des vulnérabilités Edgescan, basé sur l'analyse de plus de 40 000 évaluations d'applications Web et d'API, de trois millions d'évaluations de points d'accès au réseau et d'environ 1 000 tests de pénétration, révèle un taux élevé de vulnérabilités connues et pouvant être corrigées, mais dont l'exploitation est possible dans la nature.

57 % de ces vulnérabilités ont plus de deux ans, et 17 % ont plus de cinq ans. Edgescan a également observé un pourcentage inquiétant de 1,5 % de vulnérabilités connues, non corrigées, datant de plus de 20 ans et remontant à 1999.

La taille d'une organisation ne semble pas faire une grande différence pour le MTTR, cependant, Edgescan a observé des différences significatives entre les industries. Les organismes de santé, malgré la pression extrême qu'ils ont subie au cours des deux dernières années, arrivent en tête, avec un MTTR de seulement 44 jours. À l'autre bout du spectre, le secteur de l'administration publique prend en moyenne 92 jours pour remédier aux vulnérabilités connues, soit un mois de plus que la moyenne interprofessionnelle.

"Nous sommes ravis de pouvoir partager nos informations avec la communauté de la sécurité pour la septième année consécutive", déclare Eoin Keary, PDG et cofondateur d'Edgescan. "Les correctifs et la maintenance restent un défi, tout comme la détection. La gestion et la visibilité de la surface d'attaque sont primordiales, et notre rapport vise à informer les entreprises des expositions les plus courantes."


Source : Edgescan

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

97 % des applications présentent une forme de vulnérabilité, 30 % des cibles présentent des vulnérabilités à haut risque et 6 % des vulnérabilités à risque critique, selon une étude de Synopsys

28 % des entreprises présentent des vulnérabilités critiques qui pourraient facilement être exploitées par une cyberattaque, qui demeurent incorrigées malgré les signalements, selon Bulletproof

Les incidents de sécurité sont plus nombreux et les délais de réparation plus longs dans le secteur de l'éducation, seuls 34 % des vulnérabilités critiques sont corrigées, selon NTT

52 % des applications du secteur de la santé présentent au moins une vulnérabilité sérieuse - classée "élevée" ou "critique" sur l'échelle CVSS - ouverte tout au long de l'année, selon NTT