Un nouveau rapport de la plateforme de tests de scurit Synack montre une augmentation des vulnrabilits de gravit critique en 2023 par rapport 2022.
Malgr les pressions croissantes exerces sur les quipes de scurit, les organisations ont rduit de 24 jours le dlai moyen de correction des vulnrabilits de gravit critique et de 18 jours le dlai moyen de correction des vulnrabilits de gravit leve, pour atteindre respectivement 56 et 74 jours.
« Comprendre votre surface d’attaque et l’impact d’une exploitation russie des vulnrabilits sur votre organisation est crucial pour prendre des dcisions intelligentes en matire de scurit et d’affaires« , dclare Jay Kaplan, PDG et cofondateur de Synack. « Nous sommes fiers de publier le deuxime rapport annuel de Synack sur l’tat des vulnrabilits pour aider les organisations des secteurs de la sant, des services financiers, du gouvernement fdral, de la technologie et de l’industrie comprendre les vulnrabilits auxquelles elles sont confrontes et comment elles peuvent garder une longueur d’avance sur les attaquants. Nous avons de nombreuses raisons d’tre optimistes, mais cela ne signifie pas que la menace diminue« .
Le rapport identifie les mmes catgories de vulnrabilits qui persistent d’une anne sur l’autre, indiquant des menaces accrues autour des failles d’injection, qui ont t mises en vidence dans une rcente alerte « Secure by Design » de l’Agence pour la cyberscurit et la scurit des infrastructures (Cybersecurity and Infrastructure Security Agency). Les secteurs de la sant et de la technologie ont tous deux connu une augmentation des injections SQL, et les failles d’injection, y compris XSS, reprsentaient environ un tiers de toutes les vulnrabilits dcouvertes par Synack en 2023.
En moyenne, les entreprises du secteur de la sant avaient plus de 5 400 sous-domaines, 1 500 applications web et 1 400 adresses IP exposs publiquement – la plus grande surface d’attaque de tous les secteurs industriels examins. Parmi les vulnrabilits dcouvertes, prs de 1 900 taient des injections SQL classes comme critiques ou de haute svrit.
Les failles d’injection ont mis en vidence les forces et les faiblesses des diffrents secteurs en matire de scurit. En moyenne, les entreprises de services financiers ont mis 53 jours pour remdier aux failles d’injection SQL, les entreprises technologiques 57 jours et les entreprises du secteur de la sant 45 jours.
propos de Synack
Le nom Synack provient d’une pierre angulaire de la cyberscurit. La « poigne de main trois voies » utilise pour tablir des connexions rseau fiables comporte des tapes de synchronisation et d’accus de rception pour le transfert d’informations entre l’expditeur et le destinataire. Dans ce flux constant de donnes, Synack a le potentiel d’unir la technologie et l’intelligence humaine pour rvolutionner le monde de la cyberscurit.
Source : « State of Vulnerabilities 2024 »
Et vous ?
Pensez-vous que ce rapport est crdible ou pertinent ?
Quel est votre avis sur le sujet ?
Voir aussi :