Nous avons analysé 2,5 millions de vulnérabilités que nous avons découvertes dans les actifs de nos clients. C’est ce que nous avons trouvé.
Creuser les données
L’ensemble de données que nous analysons ici est représentatif d’un sous-ensemble de clients qui s’abonnent à nos services d’analyse des vulnérabilités. Les actifs analysés incluent ceux accessibles via Internet, ainsi que ceux présents sur les réseaux internes. Les données comprennent des découvertes sur les équipements réseau, les ordinateurs de bureau, les serveurs Web, les serveurs de bases de données et même quelques imprimantes ou appareils de numérisation de documents.
Le nombre d’organisations dans cet ensemble de données est plus petit (3 de moins) que l’ensemble de données précédent utilisé dans Security Navigator 2023 de l’année dernière et certaines organisations ont été remplacées par de nouveaux ajouts. Le changement d’organisation s’accompagne d’une combinaison différente d’atouts, ce qui revient à comparer les résultats précédents comme si l’on comparait des pommes avec des oranges (nous pourrions être biaisés), mais il vaut toujours la peine de noter des tendances similaires lorsque cela est possible.
Cette année, nous revisitons le thème menaçant des vulnérabilités en gardant un œil sur les faiblesses omniprésentes et persistantes des systèmes non résolues. Les vagues de problèmes graves nouvellement découverts attirent uniquement notre attention avec les problèmes existants non résolus, ressemblant à une hydre qui continue de faire pousser de nouvelles têtes de serpent dès que vous en éliminez d’autres.
Évaluer si un système est correctement protégé est un défi qui nécessite des compétences et une expertise et peut prendre beaucoup de temps. Mais nous voulons connaître les faiblesses à l’avance plutôt que d’avoir à faire face aux retombées d’un « pentest gratuit » imprévu par un groupe Cy-X aléatoire.
Security Navigator 2024 est là – Téléchargez maintenant#
Le nouveau sorti Navigateur de sécurité 2024 offre des informations essentielles sur les menaces numériques actuelles, documentant 129 395 incidents et 25 076 violations confirmées. Plus qu’un simple rapport, il sert de guide pour naviguer dans un paysage numérique plus sûr.
Qu’est-ce qu’il y a à l’intérieur?#
- 📈 Analyse en profondeur: Explorez les tendances, les modèles d’attaques et les prévisions. Apprenez des études de cas sur CyberSOC et Pentesting.
- 🔮 Prêt pour l’avenir : Équipez-vous de nos prévisions de sécurité et de notre résumé de recherche.
- 👁️ Données en temps réel : De la surveillance du Dark Net aux statistiques spécifiques à un secteur.
Gardez une longueur d’avance en matière de cybersécurité. Votre guide essentiel vous attend !
Résultats de l’analyse des vulnérabilités par gravité
En examinant la part de l’évaluation de la gravité par résultat unique, nous constatons que la majeure partie des résultats uniques, soit 79 %, sont classés comme « élevé » ou « moyen ». Cependant, il convient également de noter que la moitié, soit 50,4 %, des résultats uniques sont considérés comme « critiques » ou « élevés ».
Le nombre moyen de résultats « critiques » ou « élevés » a diminué respectivement de 52,17 % et 43,83 % par rapport à nos résultats publiés précédemment. Une amélioration peut également être observée pour les résultats dont les niveaux de gravité « Moyen » et « Faible » sont en baisse de 29,92 % et 28,76 %. Étant donné que ce rapport utilise un échantillon de clients légèrement différent de celui de l’année dernière, une comparaison annuelle a une valeur limitée, mais nous constatons que les clients réagissent bien aux conclusions que nous rapportons, ce qui entraîne une amélioration globale.
La majorité des résultats (78 %) classés « critique » ou « élevé » datent de 30 jours ou moins (sur une période de 120 jours). À l’inverse, 18 % de tous les résultats jugés « critiques » ou « élevés » datent de 150 jours ou plus. Du point de vue de la priorisation, les constatations réelles « critiques » ou « élevées » semblent être traitées rapidement, mais certains résidus s’accumulent encore au fil du temps. Nous constatons donc que les découvertes non résolues continuent de vieillir. En effet, environ 35 % de tous les CVE uniques proviennent de découvertes datant de 120 jours ou plus.
Le graphique ci-dessus montre la longue traîne des découvertes réelles non résolues. A noter le premier pic remarquable de longue queue vers 660 jours et le second à 1380 jours (3 ans et 10 mois).
Une fenêtre d’opportunité
Le nombre moyen élevé de résultats « Critique » et « Élevé » est largement influencé par les actifs exécutant les systèmes d’exploitation Microsoft Windows ou Microsoft Windows Server. Les actifs exécutant des systèmes d’exploitation autres que Microsoft, tels que les systèmes d’exploitation basés sur Linux, sont présents, mais ils sont proportionnellement beaucoup moins signalés.
Il convient toutefois de noter que les résultats « Critique » ou « Élevé » associés aux actifs exécutant Windows ne correspondent pas nécessairement à des vulnérabilités du système d’exploitation, mais peuvent également être liés aux applications exécutées sur l’actif.
Il est peut-être compréhensible que les versions non prises en charge de Microsoft Windows et de Windows Server soient prédominantes ici, mais il est surprenant de trouver des versions plus récentes de ces systèmes d’exploitation avec des niveaux de gravité classés comme « Critique » ou « Élevé ».
Point de vue de l’industrie
Nous utilisons SCIAN pour notre classification industrielle. Les résultats ici prennent uniquement en compte les résultats basés sur des analyses d’hôtes plutôt que sur des services tels que des applications Web. Le résultat réel unique moyen par actif unique est de 31,74 dans toutes les organisations, indiqué par la ligne horizontale pointillée dans le graphique ci-dessous.
Nos clients du secteur de la construction semblent avoir des performances exceptionnelles par rapport aux clients d’autres secteurs, avec une moyenne de 12,12 résultats par actif. À l’opposé du spectre, nous avons les secteurs des mines, des carrières et du pétrole et du gaz, où nous rapportons en moyenne 76,25 découvertes uniques par actif. Les clients de l’administration publique nous ont surpris en surperformant les finances et les assurances avec une moyenne de 35,3 résultats par actif, contre 43,27, malgré le plus grand nombre d’actifs. Bien entendu, ces valeurs dérivent de l’ensemble des clients présents dans notre échantillon et peuvent ne pas représenter la réalité universelle.
Lorsque l’on compare la gravité moyenne par actif unique et par secteur, nous obtenons un tableau mitigé. Nous pouvons ignorer les soins de santé, l’assistance sociale et l’information, avec un nombre d’actifs uniques relativement faible, qui se traduit par des moyennes disproportionnées par rapport aux autres industries.
Notre moyenne globale de l’industrie pour l’indice de gravité élevé est de 21,93 et l’extraction minière, l’exploitation en carrière et l’extraction de pétrole et de gaz ont plus du double de cette moyenne.
De même, les secteurs Finance et Assurance avec services d’hébergement et de restauration ont également dépassé la moyenne globale de 10,2 et 3,4 résultats par actif unique, respectivement. Les trois mêmes secteurs ont dépassé la moyenne globale pour les résultats jugés critiques, l’hébergement et les serveurs de restauration le faisant presque d’un facteur 3.
La vulnérabilité vieillit
Alors que nous revisitons le thème menaçant des vulnérabilités cette année, nous regardons une fois de plus avec méfiance l’histoire omniprésente et persistante de faiblesses système non résolues qui ne font que vieillir. Nous avons évalué plus de 2,5 millions de découvertes de vulnérabilités que nous avons signalées à nos clients et plus de 1 500 rapports de nos pirates informatiques professionnels éthiques pour comprendre l’état actuel des vulnérabilités de sécurité et considérer leur rôle et leur efficacité en tant qu’outil de priorisation.
La majeure partie des découvertes uniques signalées par nos équipes d’analyse – 79 % – sont classées comme « élevées » ou « moyennes », et 18 % de toutes les découvertes graves datent de 150 jours ou plus. Même si ces problèmes sont généralement traités plus rapidement que d’autres, certains résidus s’accumulent néanmoins au fil du temps. Même si la plupart des constatations que nous identifions sont résolues après 90 jours, 35 % de toutes les constatations que nous signalons persistent pendant 120 jours ou plus. Et beaucoup trop de problèmes ne sont jamais abordés.
Les résultats de notre analyse mettent en lumière le problème persistant des vulnérabilités non corrigées. Pendant ce temps, nos équipes de piratage éthique rencontrent plus fréquemment des applications et des systèmes plus récents construits sur des plates-formes, des frameworks et des langages contemporains.
Le rôle du hacker éthique est d’effectuer des tests d’intrusion – pour émuler un attaquant malveillant et évaluer un système, une application, un appareil ou même des personnes à la recherche de vulnérabilités qui pourraient être utilisées pour accéder ou refuser l’accès aux ressources informatiques.
Les tests d’intrusion sont généralement considérés comme un élément de la gestion des vulnérabilités, mais peuvent également être considérés comme une forme de renseignement sur les menaces que les entreprises devraient exploiter dans le cadre de leur stratégie de défense proactive.
17,67 % des découvertes signalées par nos hackers éthiques ont été jugées « sérieuses », mais, sur une note plus positive, les pirates informatiques doivent travailler plus dur aujourd’hui pour les découvrir que par le passé.
Ceci n’est qu’un extrait de l’analyse. Plus de détails sur notre analyse des vulnérabilités et du Pentesting (ainsi que de nombreux autres sujets de recherche intéressants comme la catégorisation VERIS des incidents traités dans nos CyberSOC, les statistiques de cyber-extorsion et une analyse du hacktivisme) peuvent être trouvés dans le Navigateur de sécurité. Remplissez simplement le formulaire et obtenez votre téléchargement. Ça en vaut la peine!
Note: Cet article informatif a été rédigé de manière experte et généreusement partagé par Charl van der Walt, responsable du centre de recherche sur la sécurité d’Orange Cyberdefense.