Le rapport State of Vulnerability Management in DevSecOps de la plateforme de gestion des vulnérabilités Rezilion et du Ponemon Institute montre que 47 % des responsables de la sécurité déclarent avoir un arriéré d'applications identifiées comme vulnérables.Plus de la moitié d'entre eux (66 %) déclarent que leur carnet de commandes contient plus de 100 000 vulnérabilités et le nombre moyen de vulnérabilités dans les carnets de commandes est de 1,1 million, selon les données.
Ce qui est peut-être plus inquiétant, c'est que 54 % d'entre eux déclarent avoir été en mesure de corriger moins de 50 % des vulnérabilités de l'arriéré. La plupart des personnes interrogées (78 %) déclarent que les vulnérabilités à haut risque dans leur environnement prennent plus de trois semaines pour être corrigées, le pourcentage le plus important (29 %) indiquant qu'il leur faut plus de cinq semaines pour le faire.
Qu'est-ce qui empêche les équipes de prendre des mesures correctives ?
L'incapacité à hiérarchiser ce qui doit être corrigé est citée par 47 % des répondants, le manque d'outils efficaces (43 %), le manque de ressources (38 %) et le manque d'informations sur les risques d'exploitation des vulnérabilités (45 %). Plus d'un quart des personnes interrogées (28 %) déclarent également que les mesures correctives prennent trop de temps.
L'enquête révèle que 77 % des personnes interrogées déclarent qu'il faut plus de 21 minutes pour détecter, hiérarchiser et corriger une seule vulnérabilité en production. Cela représente plus d'une heure de temps consacré à une seule vulnérabilité du côté de la production. Du côté du développement, plus de 80 % des organisations passent plus de 16 minutes à détecter une vulnérabilité dans le développement. Les temps de priorisation et de remédiation sont également longs, puisque 82 % des répondants affirment qu'il faut plus de 21 minutes pour remédier à une vulnérabilité.
"Il s'agit d'une perte de temps et d'argent considérable, simplement pour essayer de combler l'énorme arriéré de vulnérabilités que possèdent les organisations", déclare Liran Tancman, PDG de Rezilion, qui a parrainé l'étude. "Si vous avez plus de 100 000 vulnérabilités dans un arriéré, et si vous considérez le nombre de minutes passées manuellement à détecter, hiérarchiser et corriger ces vulnérabilités, cela représente des milliers d'heures consacrées à la gestion de l'arriéré de vulnérabilités chaque année. Ces chiffres montrent clairement qu'il est impossible de gérer efficacement un arriéré sans les outils appropriés pour automatiser la détection, la hiérarchisation et la remédiation."
Source : Rezilion
Et vous ?
Trouvez-vous ce rapport pertinent ? Qu'en est-il au sein de votre entreprise ?Voir aussi :
Les entreprises mettent près de deux mois à corriger les vulnérabilités critiques, avec un délai moyen de correction (MTTR) de 60 jours, 57% de ces vulnérabilités ont plus de deux ans, selon Edgescan Le délai moyen d'exploitation des vulnérabilités est de 12 jours, contre 42 jours l'année dernière, et cela constitue un risque majeur pour les entreprises, selon un rapport de Rapid7 Les développeurs Linux corrigent les failles de sécurité plus rapidement qu'Apple, Google ou même Microsoft,, selon un rapport du Google Project Zero Les vulnérabilités non corrigées restent les vecteurs d'attaque les plus importants exploités par les groupes de ransomware, avec une augmentation de 29 % des nouvelles vulnérabilités l'année dernière 
