Nous avons analys\u00e9 2,5 millions de vuln\u00e9rabilit\u00e9s que nous avons d\u00e9couvertes dans les actifs de nos clients. C’est ce que nous avons trouv\u00e9.<\/i><\/span><\/h4>\nCreuser les donn\u00e9es<\/h2>\n
L’ensemble de donn\u00e9es que nous analysons ici est repr\u00e9sentatif d’un sous-ensemble de clients qui s’abonnent \u00e0 nos services d’analyse des vuln\u00e9rabilit\u00e9s. Les actifs analys\u00e9s incluent ceux accessibles via Internet, ainsi que ceux pr\u00e9sents sur les r\u00e9seaux internes. Les donn\u00e9es comprennent des d\u00e9couvertes sur les \u00e9quipements r\u00e9seau, les ordinateurs de bureau, les serveurs Web, les serveurs de bases de donn\u00e9es et m\u00eame quelques imprimantes ou appareils de num\u00e9risation de documents.<\/p>\n
Le nombre d’organisations dans cet ensemble de donn\u00e9es est plus petit (3 de moins) que l’ensemble de donn\u00e9es pr\u00e9c\u00e9dent utilis\u00e9 dans Security Navigator 2023 de l’ann\u00e9e derni\u00e8re et certaines organisations ont \u00e9t\u00e9 remplac\u00e9es par de nouveaux ajouts. Le changement d’organisation s’accompagne d’une combinaison diff\u00e9rente d’atouts, ce qui revient \u00e0 comparer les r\u00e9sultats pr\u00e9c\u00e9dents comme si l’on comparait des pommes avec des oranges (nous pourrions \u00eatre biais\u00e9s), mais il vaut toujours la peine de noter des tendances similaires lorsque cela est possible.<\/p>\n
Cette ann\u00e9e, nous revisitons le th\u00e8me mena\u00e7ant des vuln\u00e9rabilit\u00e9s en gardant un \u0153il sur les faiblesses omnipr\u00e9sentes et persistantes des syst\u00e8mes non r\u00e9solues. Les vagues de probl\u00e8mes graves nouvellement d\u00e9couverts attirent uniquement notre attention avec les probl\u00e8mes existants non r\u00e9solus, ressemblant \u00e0 une hydre qui continue de faire pousser de nouvelles t\u00eates de serpent d\u00e8s que vous en \u00e9liminez d’autres.<\/p>\n
\u00c9valuer si un syst\u00e8me est correctement prot\u00e9g\u00e9 est un d\u00e9fi qui n\u00e9cessite des comp\u00e9tences et une expertise et peut prendre beaucoup de temps. Mais nous voulons conna\u00eetre les faiblesses \u00e0 l’avance plut\u00f4t que d’avoir \u00e0 faire face aux retomb\u00e9es d’un \u00ab pentest gratuit \u00bb impr\u00e9vu par un groupe Cy-X al\u00e9atoire.<\/p>\n
\nSecurity Navigator 2024 est l\u00e0 – T\u00e9l\u00e9chargez maintenant#<\/a><\/h2>\nLe nouveau sorti Navigateur de s\u00e9curit\u00e9 2024<\/a> offre des informations essentielles sur les menaces num\u00e9riques actuelles, documentant 129\u00a0395 incidents et 25\u00a0076 violations confirm\u00e9es. Plus qu\u2019un simple rapport, il sert de guide pour naviguer dans un paysage num\u00e9rique plus s\u00fbr.<\/p>\nQu’est-ce qu’il y a \u00e0 l’int\u00e9rieur?<\/strong>#<\/a><\/h4>\n\n- \ud83d\udcc8 Analyse en profondeur:<\/strong> Explorez les tendances, les mod\u00e8les d’attaques et les pr\u00e9visions. Apprenez des \u00e9tudes de cas sur CyberSOC et Pentesting.<\/li>\n
- \ud83d\udd2e Pr\u00eat pour l’avenir\u00a0:<\/strong> \u00c9quipez-vous de nos pr\u00e9visions de s\u00e9curit\u00e9 et de notre r\u00e9sum\u00e9 de recherche.<\/li>\n
- \ud83d\udc41\ufe0f Donn\u00e9es en temps r\u00e9el\u00a0:<\/strong> De la surveillance du Dark Net aux statistiques sp\u00e9cifiques \u00e0 un secteur.<\/li>\n<\/ul>\n
Gardez une longueur d’avance en mati\u00e8re de cybers\u00e9curit\u00e9. Votre guide essentiel vous attend\u00a0!<\/p>\n
\ud83d\udd17 Obtenez votre copie maintenant<\/a><\/p>\n<\/div>\nR\u00e9sultats de l’analyse des vuln\u00e9rabilit\u00e9s par gravit\u00e9<\/h2>\n
En examinant la part de l’\u00e9valuation de la gravit\u00e9 par r\u00e9sultat unique, nous constatons que la majeure partie des r\u00e9sultats uniques, soit 79\u00a0%, sont class\u00e9s comme \u00ab\u00a0\u00e9lev\u00e9\u00a0\u00bb ou \u00ab\u00a0moyen\u00a0\u00bb. Cependant, il convient \u00e9galement de noter que la moiti\u00e9, soit 50,4 %, des r\u00e9sultats uniques sont consid\u00e9r\u00e9s comme \u00ab critiques \u00bb ou \u00ab \u00e9lev\u00e9s \u00bb.<\/p>\n
![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1705937496_142_52-des-vulnerabilites-graves-que-nous-trouvons-sont-liees.jpg\")
<\/a><\/div>\nLe nombre moyen de r\u00e9sultats \u00ab critiques \u00bb ou \u00ab \u00e9lev\u00e9s \u00bb a diminu\u00e9 respectivement de 52,17 % et 43,83 % par rapport \u00e0 nos r\u00e9sultats publi\u00e9s pr\u00e9c\u00e9demment. Une am\u00e9lioration peut \u00e9galement \u00eatre observ\u00e9e pour les r\u00e9sultats dont les niveaux de gravit\u00e9 \u00ab Moyen \u00bb et \u00ab Faible \u00bb sont en baisse de 29,92 % et 28,76 %. \u00c9tant donn\u00e9 que ce rapport utilise un \u00e9chantillon de clients l\u00e9g\u00e8rement diff\u00e9rent de celui de l’ann\u00e9e derni\u00e8re, une comparaison annuelle a une valeur limit\u00e9e, mais nous constatons que les clients r\u00e9agissent bien aux conclusions que nous rapportons, ce qui entra\u00eene une am\u00e9lioration globale.<\/p>\n
![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1705937496_226_52-des-vulnerabilites-graves-que-nous-trouvons-sont-liees.jpg\")
<\/a><\/div>\nLa majorit\u00e9 des r\u00e9sultats (78 %) class\u00e9s \u00ab\u00a0critique\u00a0\u00bb ou \u00ab\u00a0\u00e9lev\u00e9\u00a0\u00bb datent de 30\u00a0jours ou moins (sur une p\u00e9riode de 120\u00a0jours). \u00c0 l\u2019inverse, 18 % de tous les r\u00e9sultats jug\u00e9s \u00ab critiques \u00bb ou \u00ab \u00e9lev\u00e9s \u00bb datent de 150 jours ou plus. Du point de vue de la priorisation, les constatations r\u00e9elles \u00ab critiques \u00bb ou \u00ab \u00e9lev\u00e9es \u00bb semblent \u00eatre trait\u00e9es rapidement, mais certains r\u00e9sidus s’accumulent encore au fil du temps. Nous constatons donc que les d\u00e9couvertes non r\u00e9solues continuent de vieillir. En effet, environ 35 % de tous les CVE uniques proviennent de d\u00e9couvertes datant de 120 jours ou plus.<\/p>\n
![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1705937497_42_52-des-vulnerabilites-graves-que-nous-trouvons-sont-liees.jpg\")
<\/a><\/div>\nLe graphique ci-dessus montre la longue tra\u00eene des d\u00e9couvertes r\u00e9elles non r\u00e9solues. A noter le premier pic remarquable de longue queue vers 660 jours et le second \u00e0 1380 jours (3 ans et 10 mois).<\/p>\n
Une fen\u00eatre d\u2019opportunit\u00e9<\/h2>\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1705937498_514_52-des-vulnerabilites-graves-que-nous-trouvons-sont-liees.jpg\")
<\/a><\/div>\nLe nombre moyen \u00e9lev\u00e9 de r\u00e9sultats \u00ab Critique \u00bb et \u00ab \u00c9lev\u00e9 \u00bb est largement influenc\u00e9 par les actifs ex\u00e9cutant les syst\u00e8mes d’exploitation Microsoft Windows ou Microsoft Windows Server. Les actifs ex\u00e9cutant des syst\u00e8mes d’exploitation autres que Microsoft, tels que les syst\u00e8mes d’exploitation bas\u00e9s sur Linux, sont pr\u00e9sents, mais ils sont proportionnellement beaucoup moins signal\u00e9s. <\/p>\n
Il convient toutefois de noter que les r\u00e9sultats \u00ab Critique \u00bb ou \u00ab \u00c9lev\u00e9 \u00bb associ\u00e9s aux actifs ex\u00e9cutant Windows ne correspondent pas n\u00e9cessairement \u00e0 des vuln\u00e9rabilit\u00e9s du syst\u00e8me d’exploitation, mais peuvent \u00e9galement \u00eatre li\u00e9s aux applications ex\u00e9cut\u00e9es sur l’actif. <\/p>\n
Il est peut-\u00eatre compr\u00e9hensible que les versions non prises en charge de Microsoft Windows et de Windows Server soient pr\u00e9dominantes ici, mais il est surprenant de trouver des versions plus r\u00e9centes de ces syst\u00e8mes d’exploitation avec des niveaux de gravit\u00e9 class\u00e9s comme \u00ab Critique \u00bb ou \u00ab \u00c9lev\u00e9 \u00bb.<\/p>\n
Point de vue de l’industrie<\/h2>\n
Nous utilisons SCIAN<\/a> pour notre classification industrielle. Les r\u00e9sultats ici prennent uniquement en compte les r\u00e9sultats bas\u00e9s sur des analyses d’h\u00f4tes plut\u00f4t que sur des services tels que des applications Web. Le r\u00e9sultat r\u00e9el unique moyen par actif unique est de 31,74 dans toutes les organisations, indiqu\u00e9 par la ligne horizontale pointill\u00e9e dans le graphique ci-dessous. <\/p>\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1705937499_192_52-des-vulnerabilites-graves-que-nous-trouvons-sont-liees.jpg\")
<\/a><\/div>\nNos clients du secteur de la construction semblent avoir des performances exceptionnelles par rapport aux clients d’autres secteurs, avec une moyenne de 12,12 r\u00e9sultats par actif. \u00c0 l\u2019oppos\u00e9 du spectre, nous avons les secteurs des mines, des carri\u00e8res et du p\u00e9trole et du gaz, o\u00f9 nous rapportons en moyenne 76,25 d\u00e9couvertes uniques par actif. Les clients de l’administration publique nous ont surpris en surperformant les finances et les assurances avec une moyenne de 35,3 r\u00e9sultats par actif, contre 43,27, malgr\u00e9 le plus grand nombre d’actifs. Bien entendu, ces valeurs d\u00e9rivent de l\u2019ensemble des clients pr\u00e9sents dans notre \u00e9chantillon et peuvent ne pas repr\u00e9senter la r\u00e9alit\u00e9 universelle.<\/p>\n
![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1705937499_664_52-des-vulnerabilites-graves-que-nous-trouvons-sont-liees.jpg\")
<\/a><\/div>\nLorsque l\u2019on compare la gravit\u00e9 moyenne par actif unique et par secteur, nous obtenons un tableau mitig\u00e9. Nous pouvons ignorer les soins de sant\u00e9, l’assistance sociale et l’information, avec un nombre d’actifs uniques relativement faible, qui se traduit par des moyennes disproportionn\u00e9es par rapport aux autres industries. <\/p>\n
Notre moyenne globale de l\u2019industrie pour l\u2019indice de gravit\u00e9 \u00e9lev\u00e9 est de 21,93 et \u200b\u200bl\u2019extraction mini\u00e8re, l\u2019exploitation en carri\u00e8re et l\u2019extraction de p\u00e9trole et de gaz ont plus du double de cette moyenne. <\/p>\n
De m\u00eame, les secteurs Finance et Assurance avec services d’h\u00e9bergement et de restauration ont \u00e9galement d\u00e9pass\u00e9 la moyenne globale de 10,2 et 3,4 r\u00e9sultats par actif unique, respectivement. Les trois m\u00eames secteurs ont d\u00e9pass\u00e9 la moyenne globale pour les r\u00e9sultats jug\u00e9s critiques, l’h\u00e9bergement et les serveurs de restauration le faisant presque d’un facteur 3.<\/p>\n
![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1705937500_280_52-des-vulnerabilites-graves-que-nous-trouvons-sont-liees.jpg\")
<\/a><\/div>\nLa vuln\u00e9rabilit\u00e9 vieillit<\/h2>\n
Alors que nous revisitons le th\u00e8me mena\u00e7ant des vuln\u00e9rabilit\u00e9s cette ann\u00e9e, nous regardons une fois de plus avec m\u00e9fiance l\u2019histoire omnipr\u00e9sente et persistante de faiblesses syst\u00e8me non r\u00e9solues qui ne font que vieillir. Nous avons \u00e9valu\u00e9 plus de 2,5 millions de d\u00e9couvertes de vuln\u00e9rabilit\u00e9s que nous avons signal\u00e9es \u00e0 nos clients et plus de 1\u00a0500 rapports de nos pirates informatiques professionnels \u00e9thiques pour comprendre l’\u00e9tat actuel des vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 et consid\u00e9rer leur r\u00f4le et leur efficacit\u00e9 en tant qu’outil de priorisation.<\/p>\n
La majeure partie des d\u00e9couvertes uniques signal\u00e9es par nos \u00e9quipes d’analyse – 79 % – sont class\u00e9es comme \u00ab \u00e9lev\u00e9es \u00bb ou \u00ab moyennes \u00bb, et 18 % de toutes les d\u00e9couvertes graves datent de 150 jours ou plus. M\u00eame si ces probl\u00e8mes sont g\u00e9n\u00e9ralement trait\u00e9s plus rapidement que d\u2019autres, certains r\u00e9sidus s\u2019accumulent n\u00e9anmoins au fil du temps. M\u00eame si la plupart des constatations que nous identifions sont r\u00e9solues apr\u00e8s 90 jours, 35 % de toutes les constatations que nous signalons persistent pendant 120 jours ou plus. Et beaucoup trop de probl\u00e8mes ne sont jamais abord\u00e9s. <\/p>\n
Les r\u00e9sultats de notre analyse mettent en lumi\u00e8re le probl\u00e8me persistant des vuln\u00e9rabilit\u00e9s non corrig\u00e9es. Pendant ce temps, nos \u00e9quipes de piratage \u00e9thique rencontrent plus fr\u00e9quemment des applications et des syst\u00e8mes plus r\u00e9cents construits sur des plates-formes, des frameworks et des langages contemporains. <\/p>\n
Le r\u00f4le du hacker \u00e9thique est d\u2019effectuer des tests d\u2019intrusion \u2013 pour \u00e9muler un attaquant malveillant et \u00e9valuer un syst\u00e8me, une application, un appareil ou m\u00eame des personnes \u00e0 la recherche de vuln\u00e9rabilit\u00e9s qui pourraient \u00eatre utilis\u00e9es pour acc\u00e9der ou refuser l\u2019acc\u00e8s aux ressources informatiques. <\/p>\n
Les tests d’intrusion sont g\u00e9n\u00e9ralement consid\u00e9r\u00e9s comme un \u00e9l\u00e9ment de la gestion des vuln\u00e9rabilit\u00e9s, mais peuvent \u00e9galement \u00eatre consid\u00e9r\u00e9s comme une forme de renseignement sur les menaces que les entreprises devraient exploiter dans le cadre de leur strat\u00e9gie de d\u00e9fense proactive. <\/p>\n
17,67 % des d\u00e9couvertes signal\u00e9es par nos hackers \u00e9thiques ont \u00e9t\u00e9 jug\u00e9es \u00ab\u00a0s\u00e9rieuses\u00a0\u00bb, mais, sur une note plus positive, les pirates informatiques doivent travailler plus dur aujourd’hui pour les d\u00e9couvrir que par le pass\u00e9.<\/p>\n
Ceci n\u2019est qu\u2019un extrait de l\u2019analyse. Plus de d\u00e9tails sur notre analyse des vuln\u00e9rabilit\u00e9s et du Pentesting (ainsi que de nombreux autres sujets de recherche int\u00e9ressants comme la cat\u00e9gorisation VERIS des incidents trait\u00e9s dans nos CyberSOC, les statistiques de cyber-extorsion et une analyse du hacktivisme) peuvent \u00eatre trouv\u00e9s dans le Navigateur de s\u00e9curit\u00e9<\/b><\/a>. Remplissez simplement le formulaire et obtenez votre t\u00e9l\u00e9chargement. \u00c7a en vaut la peine!<\/p>\nNote:<\/b> Cet article informatif a \u00e9t\u00e9 r\u00e9dig\u00e9 de mani\u00e8re experte et g\u00e9n\u00e9reusement partag\u00e9 par Charl van der Walt, responsable du centre de recherche sur la s\u00e9curit\u00e9 d’Orange Cyberdefense.<\/i><\/p>\n
<\/p>\n
Security Navigator 2024 est l\u00e0 – T\u00e9l\u00e9chargez maintenant#<\/a><\/h2>\nLe nouveau sorti Navigateur de s\u00e9curit\u00e9 2024<\/a> offre des informations essentielles sur les menaces num\u00e9riques actuelles, documentant 129\u00a0395 incidents et 25\u00a0076 violations confirm\u00e9es. Plus qu\u2019un simple rapport, il sert de guide pour naviguer dans un paysage num\u00e9rique plus s\u00fbr.<\/p>\nQu’est-ce qu’il y a \u00e0 l’int\u00e9rieur?<\/strong>#<\/a><\/h4>\n\n- \ud83d\udcc8 Analyse en profondeur:<\/strong> Explorez les tendances, les mod\u00e8les d’attaques et les pr\u00e9visions. Apprenez des \u00e9tudes de cas sur CyberSOC et Pentesting.<\/li>\n
- \ud83d\udd2e Pr\u00eat pour l’avenir\u00a0:<\/strong> \u00c9quipez-vous de nos pr\u00e9visions de s\u00e9curit\u00e9 et de notre r\u00e9sum\u00e9 de recherche.<\/li>\n
- \ud83d\udc41\ufe0f Donn\u00e9es en temps r\u00e9el\u00a0:<\/strong> De la surveillance du Dark Net aux statistiques sp\u00e9cifiques \u00e0 un secteur.<\/li>\n<\/ul>\n
Gardez une longueur d’avance en mati\u00e8re de cybers\u00e9curit\u00e9. Votre guide essentiel vous attend\u00a0!<\/p>\n
\ud83d\udd17 Obtenez votre copie maintenant<\/a><\/p>\n<\/div>\nR\u00e9sultats de l’analyse des vuln\u00e9rabilit\u00e9s par gravit\u00e9<\/h2>\n
En examinant la part de l’\u00e9valuation de la gravit\u00e9 par r\u00e9sultat unique, nous constatons que la majeure partie des r\u00e9sultats uniques, soit 79\u00a0%, sont class\u00e9s comme \u00ab\u00a0\u00e9lev\u00e9\u00a0\u00bb ou \u00ab\u00a0moyen\u00a0\u00bb. Cependant, il convient \u00e9galement de noter que la moiti\u00e9, soit 50,4 %, des r\u00e9sultats uniques sont consid\u00e9r\u00e9s comme \u00ab critiques \u00bb ou \u00ab \u00e9lev\u00e9s \u00bb.<\/p>\n
<\/a><\/div>\nLe nombre moyen de r\u00e9sultats \u00ab critiques \u00bb ou \u00ab \u00e9lev\u00e9s \u00bb a diminu\u00e9 respectivement de 52,17 % et 43,83 % par rapport \u00e0 nos r\u00e9sultats publi\u00e9s pr\u00e9c\u00e9demment. Une am\u00e9lioration peut \u00e9galement \u00eatre observ\u00e9e pour les r\u00e9sultats dont les niveaux de gravit\u00e9 \u00ab Moyen \u00bb et \u00ab Faible \u00bb sont en baisse de 29,92 % et 28,76 %. \u00c9tant donn\u00e9 que ce rapport utilise un \u00e9chantillon de clients l\u00e9g\u00e8rement diff\u00e9rent de celui de l’ann\u00e9e derni\u00e8re, une comparaison annuelle a une valeur limit\u00e9e, mais nous constatons que les clients r\u00e9agissent bien aux conclusions que nous rapportons, ce qui entra\u00eene une am\u00e9lioration globale.<\/p>\n
<\/a><\/div>\nLa majorit\u00e9 des r\u00e9sultats (78 %) class\u00e9s \u00ab\u00a0critique\u00a0\u00bb ou \u00ab\u00a0\u00e9lev\u00e9\u00a0\u00bb datent de 30\u00a0jours ou moins (sur une p\u00e9riode de 120\u00a0jours). \u00c0 l\u2019inverse, 18 % de tous les r\u00e9sultats jug\u00e9s \u00ab critiques \u00bb ou \u00ab \u00e9lev\u00e9s \u00bb datent de 150 jours ou plus. Du point de vue de la priorisation, les constatations r\u00e9elles \u00ab critiques \u00bb ou \u00ab \u00e9lev\u00e9es \u00bb semblent \u00eatre trait\u00e9es rapidement, mais certains r\u00e9sidus s’accumulent encore au fil du temps. Nous constatons donc que les d\u00e9couvertes non r\u00e9solues continuent de vieillir. En effet, environ 35 % de tous les CVE uniques proviennent de d\u00e9couvertes datant de 120 jours ou plus.<\/p>\n
<\/a><\/div>\nLe graphique ci-dessus montre la longue tra\u00eene des d\u00e9couvertes r\u00e9elles non r\u00e9solues. A noter le premier pic remarquable de longue queue vers 660 jours et le second \u00e0 1380 jours (3 ans et 10 mois).<\/p>\n
Une fen\u00eatre d\u2019opportunit\u00e9<\/h2>\n<\/a><\/div>\nLe nombre moyen \u00e9lev\u00e9 de r\u00e9sultats \u00ab Critique \u00bb et \u00ab \u00c9lev\u00e9 \u00bb est largement influenc\u00e9 par les actifs ex\u00e9cutant les syst\u00e8mes d’exploitation Microsoft Windows ou Microsoft Windows Server. Les actifs ex\u00e9cutant des syst\u00e8mes d’exploitation autres que Microsoft, tels que les syst\u00e8mes d’exploitation bas\u00e9s sur Linux, sont pr\u00e9sents, mais ils sont proportionnellement beaucoup moins signal\u00e9s. <\/p>\n
Il convient toutefois de noter que les r\u00e9sultats \u00ab Critique \u00bb ou \u00ab \u00c9lev\u00e9 \u00bb associ\u00e9s aux actifs ex\u00e9cutant Windows ne correspondent pas n\u00e9cessairement \u00e0 des vuln\u00e9rabilit\u00e9s du syst\u00e8me d’exploitation, mais peuvent \u00e9galement \u00eatre li\u00e9s aux applications ex\u00e9cut\u00e9es sur l’actif. <\/p>\n
Il est peut-\u00eatre compr\u00e9hensible que les versions non prises en charge de Microsoft Windows et de Windows Server soient pr\u00e9dominantes ici, mais il est surprenant de trouver des versions plus r\u00e9centes de ces syst\u00e8mes d’exploitation avec des niveaux de gravit\u00e9 class\u00e9s comme \u00ab Critique \u00bb ou \u00ab \u00c9lev\u00e9 \u00bb.<\/p>\n
Point de vue de l’industrie<\/h2>\n
Nous utilisons SCIAN<\/a> pour notre classification industrielle. Les r\u00e9sultats ici prennent uniquement en compte les r\u00e9sultats bas\u00e9s sur des analyses d’h\u00f4tes plut\u00f4t que sur des services tels que des applications Web. Le r\u00e9sultat r\u00e9el unique moyen par actif unique est de 31,74 dans toutes les organisations, indiqu\u00e9 par la ligne horizontale pointill\u00e9e dans le graphique ci-dessous. <\/p>\n<\/a><\/div>\nNos clients du secteur de la construction semblent avoir des performances exceptionnelles par rapport aux clients d’autres secteurs, avec une moyenne de 12,12 r\u00e9sultats par actif. \u00c0 l\u2019oppos\u00e9 du spectre, nous avons les secteurs des mines, des carri\u00e8res et du p\u00e9trole et du gaz, o\u00f9 nous rapportons en moyenne 76,25 d\u00e9couvertes uniques par actif. Les clients de l’administration publique nous ont surpris en surperformant les finances et les assurances avec une moyenne de 35,3 r\u00e9sultats par actif, contre 43,27, malgr\u00e9 le plus grand nombre d’actifs. Bien entendu, ces valeurs d\u00e9rivent de l\u2019ensemble des clients pr\u00e9sents dans notre \u00e9chantillon et peuvent ne pas repr\u00e9senter la r\u00e9alit\u00e9 universelle.<\/p>\n
<\/a><\/div>\nLorsque l\u2019on compare la gravit\u00e9 moyenne par actif unique et par secteur, nous obtenons un tableau mitig\u00e9. Nous pouvons ignorer les soins de sant\u00e9, l’assistance sociale et l’information, avec un nombre d’actifs uniques relativement faible, qui se traduit par des moyennes disproportionn\u00e9es par rapport aux autres industries. <\/p>\n
Notre moyenne globale de l\u2019industrie pour l\u2019indice de gravit\u00e9 \u00e9lev\u00e9 est de 21,93 et \u200b\u200bl\u2019extraction mini\u00e8re, l\u2019exploitation en carri\u00e8re et l\u2019extraction de p\u00e9trole et de gaz ont plus du double de cette moyenne. <\/p>\n
De m\u00eame, les secteurs Finance et Assurance avec services d’h\u00e9bergement et de restauration ont \u00e9galement d\u00e9pass\u00e9 la moyenne globale de 10,2 et 3,4 r\u00e9sultats par actif unique, respectivement. Les trois m\u00eames secteurs ont d\u00e9pass\u00e9 la moyenne globale pour les r\u00e9sultats jug\u00e9s critiques, l’h\u00e9bergement et les serveurs de restauration le faisant presque d’un facteur 3.<\/p>\n
<\/a><\/div>\nLa vuln\u00e9rabilit\u00e9 vieillit<\/h2>\n
Alors que nous revisitons le th\u00e8me mena\u00e7ant des vuln\u00e9rabilit\u00e9s cette ann\u00e9e, nous regardons une fois de plus avec m\u00e9fiance l\u2019histoire omnipr\u00e9sente et persistante de faiblesses syst\u00e8me non r\u00e9solues qui ne font que vieillir. Nous avons \u00e9valu\u00e9 plus de 2,5 millions de d\u00e9couvertes de vuln\u00e9rabilit\u00e9s que nous avons signal\u00e9es \u00e0 nos clients et plus de 1\u00a0500 rapports de nos pirates informatiques professionnels \u00e9thiques pour comprendre l’\u00e9tat actuel des vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 et consid\u00e9rer leur r\u00f4le et leur efficacit\u00e9 en tant qu’outil de priorisation.<\/p>\n
La majeure partie des d\u00e9couvertes uniques signal\u00e9es par nos \u00e9quipes d’analyse – 79 % – sont class\u00e9es comme \u00ab \u00e9lev\u00e9es \u00bb ou \u00ab moyennes \u00bb, et 18 % de toutes les d\u00e9couvertes graves datent de 150 jours ou plus. M\u00eame si ces probl\u00e8mes sont g\u00e9n\u00e9ralement trait\u00e9s plus rapidement que d\u2019autres, certains r\u00e9sidus s\u2019accumulent n\u00e9anmoins au fil du temps. M\u00eame si la plupart des constatations que nous identifions sont r\u00e9solues apr\u00e8s 90 jours, 35 % de toutes les constatations que nous signalons persistent pendant 120 jours ou plus. Et beaucoup trop de probl\u00e8mes ne sont jamais abord\u00e9s. <\/p>\n
Les r\u00e9sultats de notre analyse mettent en lumi\u00e8re le probl\u00e8me persistant des vuln\u00e9rabilit\u00e9s non corrig\u00e9es. Pendant ce temps, nos \u00e9quipes de piratage \u00e9thique rencontrent plus fr\u00e9quemment des applications et des syst\u00e8mes plus r\u00e9cents construits sur des plates-formes, des frameworks et des langages contemporains. <\/p>\n
Le r\u00f4le du hacker \u00e9thique est d\u2019effectuer des tests d\u2019intrusion \u2013 pour \u00e9muler un attaquant malveillant et \u00e9valuer un syst\u00e8me, une application, un appareil ou m\u00eame des personnes \u00e0 la recherche de vuln\u00e9rabilit\u00e9s qui pourraient \u00eatre utilis\u00e9es pour acc\u00e9der ou refuser l\u2019acc\u00e8s aux ressources informatiques. <\/p>\n
Les tests d’intrusion sont g\u00e9n\u00e9ralement consid\u00e9r\u00e9s comme un \u00e9l\u00e9ment de la gestion des vuln\u00e9rabilit\u00e9s, mais peuvent \u00e9galement \u00eatre consid\u00e9r\u00e9s comme une forme de renseignement sur les menaces que les entreprises devraient exploiter dans le cadre de leur strat\u00e9gie de d\u00e9fense proactive. <\/p>\n
17,67 % des d\u00e9couvertes signal\u00e9es par nos hackers \u00e9thiques ont \u00e9t\u00e9 jug\u00e9es \u00ab\u00a0s\u00e9rieuses\u00a0\u00bb, mais, sur une note plus positive, les pirates informatiques doivent travailler plus dur aujourd’hui pour les d\u00e9couvrir que par le pass\u00e9.<\/p>\n
Ceci n\u2019est qu\u2019un extrait de l\u2019analyse. Plus de d\u00e9tails sur notre analyse des vuln\u00e9rabilit\u00e9s et du Pentesting (ainsi que de nombreux autres sujets de recherche int\u00e9ressants comme la cat\u00e9gorisation VERIS des incidents trait\u00e9s dans nos CyberSOC, les statistiques de cyber-extorsion et une analyse du hacktivisme) peuvent \u00eatre trouv\u00e9s dans le Navigateur de s\u00e9curit\u00e9<\/b><\/a>. Remplissez simplement le formulaire et obtenez votre t\u00e9l\u00e9chargement. \u00c7a en vaut la peine!<\/p>\nNote:<\/b> Cet article informatif a \u00e9t\u00e9 r\u00e9dig\u00e9 de mani\u00e8re experte et g\u00e9n\u00e9reusement partag\u00e9 par Charl van der Walt, responsable du centre de recherche sur la s\u00e9curit\u00e9 d’Orange Cyberdefense.<\/i><\/p>\n
<\/p>\n
Qu’est-ce qu’il y a \u00e0 l’int\u00e9rieur?<\/strong>#<\/a><\/h4>\n\n- \ud83d\udcc8 Analyse en profondeur:<\/strong> Explorez les tendances, les mod\u00e8les d’attaques et les pr\u00e9visions. Apprenez des \u00e9tudes de cas sur CyberSOC et Pentesting.<\/li>\n
- \ud83d\udd2e Pr\u00eat pour l’avenir\u00a0:<\/strong> \u00c9quipez-vous de nos pr\u00e9visions de s\u00e9curit\u00e9 et de notre r\u00e9sum\u00e9 de recherche.<\/li>\n
- \ud83d\udc41\ufe0f Donn\u00e9es en temps r\u00e9el\u00a0:<\/strong> De la surveillance du Dark Net aux statistiques sp\u00e9cifiques \u00e0 un secteur.<\/li>\n<\/ul>\n
Gardez une longueur d’avance en mati\u00e8re de cybers\u00e9curit\u00e9. Votre guide essentiel vous attend\u00a0!<\/p>\n
\ud83d\udd17 Obtenez votre copie maintenant<\/a><\/p>\n<\/div>\nR\u00e9sultats de l’analyse des vuln\u00e9rabilit\u00e9s par gravit\u00e9<\/h2>\n
En examinant la part de l’\u00e9valuation de la gravit\u00e9 par r\u00e9sultat unique, nous constatons que la majeure partie des r\u00e9sultats uniques, soit 79\u00a0%, sont class\u00e9s comme \u00ab\u00a0\u00e9lev\u00e9\u00a0\u00bb ou \u00ab\u00a0moyen\u00a0\u00bb. Cependant, il convient \u00e9galement de noter que la moiti\u00e9, soit 50,4 %, des r\u00e9sultats uniques sont consid\u00e9r\u00e9s comme \u00ab critiques \u00bb ou \u00ab \u00e9lev\u00e9s \u00bb.<\/p>\n
<\/a><\/div>\nLe nombre moyen de r\u00e9sultats \u00ab critiques \u00bb ou \u00ab \u00e9lev\u00e9s \u00bb a diminu\u00e9 respectivement de 52,17 % et 43,83 % par rapport \u00e0 nos r\u00e9sultats publi\u00e9s pr\u00e9c\u00e9demment. Une am\u00e9lioration peut \u00e9galement \u00eatre observ\u00e9e pour les r\u00e9sultats dont les niveaux de gravit\u00e9 \u00ab Moyen \u00bb et \u00ab Faible \u00bb sont en baisse de 29,92 % et 28,76 %. \u00c9tant donn\u00e9 que ce rapport utilise un \u00e9chantillon de clients l\u00e9g\u00e8rement diff\u00e9rent de celui de l’ann\u00e9e derni\u00e8re, une comparaison annuelle a une valeur limit\u00e9e, mais nous constatons que les clients r\u00e9agissent bien aux conclusions que nous rapportons, ce qui entra\u00eene une am\u00e9lioration globale.<\/p>\n
<\/a><\/div>\nLa majorit\u00e9 des r\u00e9sultats (78 %) class\u00e9s \u00ab\u00a0critique\u00a0\u00bb ou \u00ab\u00a0\u00e9lev\u00e9\u00a0\u00bb datent de 30\u00a0jours ou moins (sur une p\u00e9riode de 120\u00a0jours). \u00c0 l\u2019inverse, 18 % de tous les r\u00e9sultats jug\u00e9s \u00ab critiques \u00bb ou \u00ab \u00e9lev\u00e9s \u00bb datent de 150 jours ou plus. Du point de vue de la priorisation, les constatations r\u00e9elles \u00ab critiques \u00bb ou \u00ab \u00e9lev\u00e9es \u00bb semblent \u00eatre trait\u00e9es rapidement, mais certains r\u00e9sidus s’accumulent encore au fil du temps. Nous constatons donc que les d\u00e9couvertes non r\u00e9solues continuent de vieillir. En effet, environ 35 % de tous les CVE uniques proviennent de d\u00e9couvertes datant de 120 jours ou plus.<\/p>\n
<\/a><\/div>\nLe graphique ci-dessus montre la longue tra\u00eene des d\u00e9couvertes r\u00e9elles non r\u00e9solues. A noter le premier pic remarquable de longue queue vers 660 jours et le second \u00e0 1380 jours (3 ans et 10 mois).<\/p>\n
Une fen\u00eatre d\u2019opportunit\u00e9<\/h2>\n<\/a><\/div>\nLe nombre moyen \u00e9lev\u00e9 de r\u00e9sultats \u00ab Critique \u00bb et \u00ab \u00c9lev\u00e9 \u00bb est largement influenc\u00e9 par les actifs ex\u00e9cutant les syst\u00e8mes d’exploitation Microsoft Windows ou Microsoft Windows Server. Les actifs ex\u00e9cutant des syst\u00e8mes d’exploitation autres que Microsoft, tels que les syst\u00e8mes d’exploitation bas\u00e9s sur Linux, sont pr\u00e9sents, mais ils sont proportionnellement beaucoup moins signal\u00e9s. <\/p>\n
Il convient toutefois de noter que les r\u00e9sultats \u00ab Critique \u00bb ou \u00ab \u00c9lev\u00e9 \u00bb associ\u00e9s aux actifs ex\u00e9cutant Windows ne correspondent pas n\u00e9cessairement \u00e0 des vuln\u00e9rabilit\u00e9s du syst\u00e8me d’exploitation, mais peuvent \u00e9galement \u00eatre li\u00e9s aux applications ex\u00e9cut\u00e9es sur l’actif. <\/p>\n
Il est peut-\u00eatre compr\u00e9hensible que les versions non prises en charge de Microsoft Windows et de Windows Server soient pr\u00e9dominantes ici, mais il est surprenant de trouver des versions plus r\u00e9centes de ces syst\u00e8mes d’exploitation avec des niveaux de gravit\u00e9 class\u00e9s comme \u00ab Critique \u00bb ou \u00ab \u00c9lev\u00e9 \u00bb.<\/p>\n
Point de vue de l’industrie<\/h2>\n
Nous utilisons SCIAN<\/a> pour notre classification industrielle. Les r\u00e9sultats ici prennent uniquement en compte les r\u00e9sultats bas\u00e9s sur des analyses d’h\u00f4tes plut\u00f4t que sur des services tels que des applications Web. Le r\u00e9sultat r\u00e9el unique moyen par actif unique est de 31,74 dans toutes les organisations, indiqu\u00e9 par la ligne horizontale pointill\u00e9e dans le graphique ci-dessous. <\/p>\n<\/a><\/div>\nNos clients du secteur de la construction semblent avoir des performances exceptionnelles par rapport aux clients d’autres secteurs, avec une moyenne de 12,12 r\u00e9sultats par actif. \u00c0 l\u2019oppos\u00e9 du spectre, nous avons les secteurs des mines, des carri\u00e8res et du p\u00e9trole et du gaz, o\u00f9 nous rapportons en moyenne 76,25 d\u00e9couvertes uniques par actif. Les clients de l’administration publique nous ont surpris en surperformant les finances et les assurances avec une moyenne de 35,3 r\u00e9sultats par actif, contre 43,27, malgr\u00e9 le plus grand nombre d’actifs. Bien entendu, ces valeurs d\u00e9rivent de l\u2019ensemble des clients pr\u00e9sents dans notre \u00e9chantillon et peuvent ne pas repr\u00e9senter la r\u00e9alit\u00e9 universelle.<\/p>\n
<\/a><\/div>\nLorsque l\u2019on compare la gravit\u00e9 moyenne par actif unique et par secteur, nous obtenons un tableau mitig\u00e9. Nous pouvons ignorer les soins de sant\u00e9, l’assistance sociale et l’information, avec un nombre d’actifs uniques relativement faible, qui se traduit par des moyennes disproportionn\u00e9es par rapport aux autres industries. <\/p>\n
Notre moyenne globale de l\u2019industrie pour l\u2019indice de gravit\u00e9 \u00e9lev\u00e9 est de 21,93 et \u200b\u200bl\u2019extraction mini\u00e8re, l\u2019exploitation en carri\u00e8re et l\u2019extraction de p\u00e9trole et de gaz ont plus du double de cette moyenne. <\/p>\n
De m\u00eame, les secteurs Finance et Assurance avec services d’h\u00e9bergement et de restauration ont \u00e9galement d\u00e9pass\u00e9 la moyenne globale de 10,2 et 3,4 r\u00e9sultats par actif unique, respectivement. Les trois m\u00eames secteurs ont d\u00e9pass\u00e9 la moyenne globale pour les r\u00e9sultats jug\u00e9s critiques, l’h\u00e9bergement et les serveurs de restauration le faisant presque d’un facteur 3.<\/p>\n
<\/a><\/div>\nLa vuln\u00e9rabilit\u00e9 vieillit<\/h2>\n
Alors que nous revisitons le th\u00e8me mena\u00e7ant des vuln\u00e9rabilit\u00e9s cette ann\u00e9e, nous regardons une fois de plus avec m\u00e9fiance l\u2019histoire omnipr\u00e9sente et persistante de faiblesses syst\u00e8me non r\u00e9solues qui ne font que vieillir. Nous avons \u00e9valu\u00e9 plus de 2,5 millions de d\u00e9couvertes de vuln\u00e9rabilit\u00e9s que nous avons signal\u00e9es \u00e0 nos clients et plus de 1\u00a0500 rapports de nos pirates informatiques professionnels \u00e9thiques pour comprendre l’\u00e9tat actuel des vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 et consid\u00e9rer leur r\u00f4le et leur efficacit\u00e9 en tant qu’outil de priorisation.<\/p>\n
La majeure partie des d\u00e9couvertes uniques signal\u00e9es par nos \u00e9quipes d’analyse – 79 % – sont class\u00e9es comme \u00ab \u00e9lev\u00e9es \u00bb ou \u00ab moyennes \u00bb, et 18 % de toutes les d\u00e9couvertes graves datent de 150 jours ou plus. M\u00eame si ces probl\u00e8mes sont g\u00e9n\u00e9ralement trait\u00e9s plus rapidement que d\u2019autres, certains r\u00e9sidus s\u2019accumulent n\u00e9anmoins au fil du temps. M\u00eame si la plupart des constatations que nous identifions sont r\u00e9solues apr\u00e8s 90 jours, 35 % de toutes les constatations que nous signalons persistent pendant 120 jours ou plus. Et beaucoup trop de probl\u00e8mes ne sont jamais abord\u00e9s. <\/p>\n
Les r\u00e9sultats de notre analyse mettent en lumi\u00e8re le probl\u00e8me persistant des vuln\u00e9rabilit\u00e9s non corrig\u00e9es. Pendant ce temps, nos \u00e9quipes de piratage \u00e9thique rencontrent plus fr\u00e9quemment des applications et des syst\u00e8mes plus r\u00e9cents construits sur des plates-formes, des frameworks et des langages contemporains. <\/p>\n
Le r\u00f4le du hacker \u00e9thique est d\u2019effectuer des tests d\u2019intrusion \u2013 pour \u00e9muler un attaquant malveillant et \u00e9valuer un syst\u00e8me, une application, un appareil ou m\u00eame des personnes \u00e0 la recherche de vuln\u00e9rabilit\u00e9s qui pourraient \u00eatre utilis\u00e9es pour acc\u00e9der ou refuser l\u2019acc\u00e8s aux ressources informatiques. <\/p>\n
Les tests d’intrusion sont g\u00e9n\u00e9ralement consid\u00e9r\u00e9s comme un \u00e9l\u00e9ment de la gestion des vuln\u00e9rabilit\u00e9s, mais peuvent \u00e9galement \u00eatre consid\u00e9r\u00e9s comme une forme de renseignement sur les menaces que les entreprises devraient exploiter dans le cadre de leur strat\u00e9gie de d\u00e9fense proactive. <\/p>\n
17,67 % des d\u00e9couvertes signal\u00e9es par nos hackers \u00e9thiques ont \u00e9t\u00e9 jug\u00e9es \u00ab\u00a0s\u00e9rieuses\u00a0\u00bb, mais, sur une note plus positive, les pirates informatiques doivent travailler plus dur aujourd’hui pour les d\u00e9couvrir que par le pass\u00e9.<\/p>\n
Ceci n\u2019est qu\u2019un extrait de l\u2019analyse. Plus de d\u00e9tails sur notre analyse des vuln\u00e9rabilit\u00e9s et du Pentesting (ainsi que de nombreux autres sujets de recherche int\u00e9ressants comme la cat\u00e9gorisation VERIS des incidents trait\u00e9s dans nos CyberSOC, les statistiques de cyber-extorsion et une analyse du hacktivisme) peuvent \u00eatre trouv\u00e9s dans le Navigateur de s\u00e9curit\u00e9<\/b><\/a>. Remplissez simplement le formulaire et obtenez votre t\u00e9l\u00e9chargement. \u00c7a en vaut la peine!<\/p>\nNote:<\/b> Cet article informatif a \u00e9t\u00e9 r\u00e9dig\u00e9 de mani\u00e8re experte et g\u00e9n\u00e9reusement partag\u00e9 par Charl van der Walt, responsable du centre de recherche sur la s\u00e9curit\u00e9 d’Orange Cyberdefense.<\/i><\/p>\n
<\/p>\n
Gardez une longueur d’avance en mati\u00e8re de cybers\u00e9curit\u00e9. Votre guide essentiel vous attend\u00a0!<\/p>\n
\ud83d\udd17 Obtenez votre copie maintenant<\/a><\/p>\n<\/div>\n En examinant la part de l’\u00e9valuation de la gravit\u00e9 par r\u00e9sultat unique, nous constatons que la majeure partie des r\u00e9sultats uniques, soit 79\u00a0%, sont class\u00e9s comme \u00ab\u00a0\u00e9lev\u00e9\u00a0\u00bb ou \u00ab\u00a0moyen\u00a0\u00bb. Cependant, il convient \u00e9galement de noter que la moiti\u00e9, soit 50,4 %, des r\u00e9sultats uniques sont consid\u00e9r\u00e9s comme \u00ab critiques \u00bb ou \u00ab \u00e9lev\u00e9s \u00bb.<\/p>\n Le nombre moyen de r\u00e9sultats \u00ab critiques \u00bb ou \u00ab \u00e9lev\u00e9s \u00bb a diminu\u00e9 respectivement de 52,17 % et 43,83 % par rapport \u00e0 nos r\u00e9sultats publi\u00e9s pr\u00e9c\u00e9demment. Une am\u00e9lioration peut \u00e9galement \u00eatre observ\u00e9e pour les r\u00e9sultats dont les niveaux de gravit\u00e9 \u00ab Moyen \u00bb et \u00ab Faible \u00bb sont en baisse de 29,92 % et 28,76 %. \u00c9tant donn\u00e9 que ce rapport utilise un \u00e9chantillon de clients l\u00e9g\u00e8rement diff\u00e9rent de celui de l’ann\u00e9e derni\u00e8re, une comparaison annuelle a une valeur limit\u00e9e, mais nous constatons que les clients r\u00e9agissent bien aux conclusions que nous rapportons, ce qui entra\u00eene une am\u00e9lioration globale.<\/p>\n La majorit\u00e9 des r\u00e9sultats (78 %) class\u00e9s \u00ab\u00a0critique\u00a0\u00bb ou \u00ab\u00a0\u00e9lev\u00e9\u00a0\u00bb datent de 30\u00a0jours ou moins (sur une p\u00e9riode de 120\u00a0jours). \u00c0 l\u2019inverse, 18 % de tous les r\u00e9sultats jug\u00e9s \u00ab critiques \u00bb ou \u00ab \u00e9lev\u00e9s \u00bb datent de 150 jours ou plus. Du point de vue de la priorisation, les constatations r\u00e9elles \u00ab critiques \u00bb ou \u00ab \u00e9lev\u00e9es \u00bb semblent \u00eatre trait\u00e9es rapidement, mais certains r\u00e9sidus s’accumulent encore au fil du temps. Nous constatons donc que les d\u00e9couvertes non r\u00e9solues continuent de vieillir. En effet, environ 35 % de tous les CVE uniques proviennent de d\u00e9couvertes datant de 120 jours ou plus.<\/p>\n Le graphique ci-dessus montre la longue tra\u00eene des d\u00e9couvertes r\u00e9elles non r\u00e9solues. A noter le premier pic remarquable de longue queue vers 660 jours et le second \u00e0 1380 jours (3 ans et 10 mois).<\/p>\n Le nombre moyen \u00e9lev\u00e9 de r\u00e9sultats \u00ab Critique \u00bb et \u00ab \u00c9lev\u00e9 \u00bb est largement influenc\u00e9 par les actifs ex\u00e9cutant les syst\u00e8mes d’exploitation Microsoft Windows ou Microsoft Windows Server. Les actifs ex\u00e9cutant des syst\u00e8mes d’exploitation autres que Microsoft, tels que les syst\u00e8mes d’exploitation bas\u00e9s sur Linux, sont pr\u00e9sents, mais ils sont proportionnellement beaucoup moins signal\u00e9s. <\/p>\n Il convient toutefois de noter que les r\u00e9sultats \u00ab Critique \u00bb ou \u00ab \u00c9lev\u00e9 \u00bb associ\u00e9s aux actifs ex\u00e9cutant Windows ne correspondent pas n\u00e9cessairement \u00e0 des vuln\u00e9rabilit\u00e9s du syst\u00e8me d’exploitation, mais peuvent \u00e9galement \u00eatre li\u00e9s aux applications ex\u00e9cut\u00e9es sur l’actif. <\/p>\n Il est peut-\u00eatre compr\u00e9hensible que les versions non prises en charge de Microsoft Windows et de Windows Server soient pr\u00e9dominantes ici, mais il est surprenant de trouver des versions plus r\u00e9centes de ces syst\u00e8mes d’exploitation avec des niveaux de gravit\u00e9 class\u00e9s comme \u00ab Critique \u00bb ou \u00ab \u00c9lev\u00e9 \u00bb.<\/p>\n Nous utilisons SCIAN<\/a> pour notre classification industrielle. Les r\u00e9sultats ici prennent uniquement en compte les r\u00e9sultats bas\u00e9s sur des analyses d’h\u00f4tes plut\u00f4t que sur des services tels que des applications Web. Le r\u00e9sultat r\u00e9el unique moyen par actif unique est de 31,74 dans toutes les organisations, indiqu\u00e9 par la ligne horizontale pointill\u00e9e dans le graphique ci-dessous. <\/p>\n Nos clients du secteur de la construction semblent avoir des performances exceptionnelles par rapport aux clients d’autres secteurs, avec une moyenne de 12,12 r\u00e9sultats par actif. \u00c0 l\u2019oppos\u00e9 du spectre, nous avons les secteurs des mines, des carri\u00e8res et du p\u00e9trole et du gaz, o\u00f9 nous rapportons en moyenne 76,25 d\u00e9couvertes uniques par actif. Les clients de l’administration publique nous ont surpris en surperformant les finances et les assurances avec une moyenne de 35,3 r\u00e9sultats par actif, contre 43,27, malgr\u00e9 le plus grand nombre d’actifs. Bien entendu, ces valeurs d\u00e9rivent de l\u2019ensemble des clients pr\u00e9sents dans notre \u00e9chantillon et peuvent ne pas repr\u00e9senter la r\u00e9alit\u00e9 universelle.<\/p>\n Lorsque l\u2019on compare la gravit\u00e9 moyenne par actif unique et par secteur, nous obtenons un tableau mitig\u00e9. Nous pouvons ignorer les soins de sant\u00e9, l’assistance sociale et l’information, avec un nombre d’actifs uniques relativement faible, qui se traduit par des moyennes disproportionn\u00e9es par rapport aux autres industries. <\/p>\n Notre moyenne globale de l\u2019industrie pour l\u2019indice de gravit\u00e9 \u00e9lev\u00e9 est de 21,93 et \u200b\u200bl\u2019extraction mini\u00e8re, l\u2019exploitation en carri\u00e8re et l\u2019extraction de p\u00e9trole et de gaz ont plus du double de cette moyenne. <\/p>\n De m\u00eame, les secteurs Finance et Assurance avec services d’h\u00e9bergement et de restauration ont \u00e9galement d\u00e9pass\u00e9 la moyenne globale de 10,2 et 3,4 r\u00e9sultats par actif unique, respectivement. Les trois m\u00eames secteurs ont d\u00e9pass\u00e9 la moyenne globale pour les r\u00e9sultats jug\u00e9s critiques, l’h\u00e9bergement et les serveurs de restauration le faisant presque d’un facteur 3.<\/p>\n Alors que nous revisitons le th\u00e8me mena\u00e7ant des vuln\u00e9rabilit\u00e9s cette ann\u00e9e, nous regardons une fois de plus avec m\u00e9fiance l\u2019histoire omnipr\u00e9sente et persistante de faiblesses syst\u00e8me non r\u00e9solues qui ne font que vieillir. Nous avons \u00e9valu\u00e9 plus de 2,5 millions de d\u00e9couvertes de vuln\u00e9rabilit\u00e9s que nous avons signal\u00e9es \u00e0 nos clients et plus de 1\u00a0500 rapports de nos pirates informatiques professionnels \u00e9thiques pour comprendre l’\u00e9tat actuel des vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 et consid\u00e9rer leur r\u00f4le et leur efficacit\u00e9 en tant qu’outil de priorisation.<\/p>\n La majeure partie des d\u00e9couvertes uniques signal\u00e9es par nos \u00e9quipes d’analyse – 79 % – sont class\u00e9es comme \u00ab \u00e9lev\u00e9es \u00bb ou \u00ab moyennes \u00bb, et 18 % de toutes les d\u00e9couvertes graves datent de 150 jours ou plus. M\u00eame si ces probl\u00e8mes sont g\u00e9n\u00e9ralement trait\u00e9s plus rapidement que d\u2019autres, certains r\u00e9sidus s\u2019accumulent n\u00e9anmoins au fil du temps. M\u00eame si la plupart des constatations que nous identifions sont r\u00e9solues apr\u00e8s 90 jours, 35 % de toutes les constatations que nous signalons persistent pendant 120 jours ou plus. Et beaucoup trop de probl\u00e8mes ne sont jamais abord\u00e9s. <\/p>\n Les r\u00e9sultats de notre analyse mettent en lumi\u00e8re le probl\u00e8me persistant des vuln\u00e9rabilit\u00e9s non corrig\u00e9es. Pendant ce temps, nos \u00e9quipes de piratage \u00e9thique rencontrent plus fr\u00e9quemment des applications et des syst\u00e8mes plus r\u00e9cents construits sur des plates-formes, des frameworks et des langages contemporains. <\/p>\n Le r\u00f4le du hacker \u00e9thique est d\u2019effectuer des tests d\u2019intrusion \u2013 pour \u00e9muler un attaquant malveillant et \u00e9valuer un syst\u00e8me, une application, un appareil ou m\u00eame des personnes \u00e0 la recherche de vuln\u00e9rabilit\u00e9s qui pourraient \u00eatre utilis\u00e9es pour acc\u00e9der ou refuser l\u2019acc\u00e8s aux ressources informatiques. <\/p>\n Les tests d’intrusion sont g\u00e9n\u00e9ralement consid\u00e9r\u00e9s comme un \u00e9l\u00e9ment de la gestion des vuln\u00e9rabilit\u00e9s, mais peuvent \u00e9galement \u00eatre consid\u00e9r\u00e9s comme une forme de renseignement sur les menaces que les entreprises devraient exploiter dans le cadre de leur strat\u00e9gie de d\u00e9fense proactive. <\/p>\n 17,67 % des d\u00e9couvertes signal\u00e9es par nos hackers \u00e9thiques ont \u00e9t\u00e9 jug\u00e9es \u00ab\u00a0s\u00e9rieuses\u00a0\u00bb, mais, sur une note plus positive, les pirates informatiques doivent travailler plus dur aujourd’hui pour les d\u00e9couvrir que par le pass\u00e9.<\/p>\n Ceci n\u2019est qu\u2019un extrait de l\u2019analyse. Plus de d\u00e9tails sur notre analyse des vuln\u00e9rabilit\u00e9s et du Pentesting (ainsi que de nombreux autres sujets de recherche int\u00e9ressants comme la cat\u00e9gorisation VERIS des incidents trait\u00e9s dans nos CyberSOC, les statistiques de cyber-extorsion et une analyse du hacktivisme) peuvent \u00eatre trouv\u00e9s dans le Navigateur de s\u00e9curit\u00e9<\/b><\/a>. Remplissez simplement le formulaire et obtenez votre t\u00e9l\u00e9chargement. \u00c7a en vaut la peine!<\/p>\n Note:<\/b> Cet article informatif a \u00e9t\u00e9 r\u00e9dig\u00e9 de mani\u00e8re experte et g\u00e9n\u00e9reusement partag\u00e9 par Charl van der Walt, responsable du centre de recherche sur la s\u00e9curit\u00e9 d’Orange Cyberdefense.<\/i><\/p>\n <\/p>\nR\u00e9sultats de l’analyse des vuln\u00e9rabilit\u00e9s par gravit\u00e9<\/h2>\n
![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/52-des-vulnerabilites-graves-que-nous-trouvons-sont-liees.jpg\")
<\/a><\/div>\n<\/a><\/div>\n<\/a><\/div>\nUne fen\u00eatre d\u2019opportunit\u00e9<\/h2>\n
<\/a><\/div>\nPoint de vue de l’industrie<\/h2>\n
<\/a><\/div>\n<\/a><\/div>\n<\/a><\/div>\nLa vuln\u00e9rabilit\u00e9 vieillit<\/h2>\n