Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Blog Tenable

S'abonner

3 observations relatives aux vulnérabilités qui méritent votre attention

Le Rapport sur les vulnérabilités, publié aujourd'hui par Tenable Research, présente les tendances actuelles de la divulgation des vulnérabilités, ainsi que des analyses de données démographiques concrètes relatives aux vulnérabilités en entreprise. Voici trois faits marquants de ce rapport.

Étant donné que les vulnérabilités sont au centre de toutes nos activités chez Tenable Research, la situation de l'écosystème des vulnérabilités revêt un intérêt tout particulier pour nous.

Pour obtenir une visibilité globale sur cet écosystème, vous devez d'abord examiner les évolutions et les tendances en matière de recherche et de divulgation des vulnérabilités. Cet aspect est bien documenté : en effet, de nombreux fournisseurs et entreprises du secteur publient régulièrement des analyses sur les tendances observées dans les référentiels CVE (Common Vulnerabilities and Exposures) et NVD (National Vulnerability Database). Connaître la diversité, la croissance et l'évolution des vulnérabilités et des faiblesses courantes nous donne une idée générale de la situation, mais offre uniquement des informations descriptives. Le CVE et le NVD vous indiquent quelles vulnérabilités existent en théorie, non en pratique, et ils n'offrent aucune information sur la population véritablement active des vulnérabilités.

Pour comprendre quelles vulnérabilités existent réellement, des informations sur le comportement des utilisateurs finaux et la télémétrie sont nécessaires. Tenable Research est le seul à proposer ces données uniques. Nous savons quelles vulnérabilités sont réellement actives. Sur les 107 710 CVE distinctes publiées depuis 1999, 22 625 (soit 23 %) existent réellement en entreprise. Voilà la réalité de l'écosystème des vulnérabilités. Le reste a disparu ou se cache dans l'équivalent digital du lac Vostok.

Nous constatons une croissance continue du nombre relatif et absolu de vulnérabilités. En 2017, 15 038 nouvelles vulnérabilités ont été publiées, contre 9 837 en 2016, soit une augmentation de 53 %. Si l'on compare la première moitié de 2018 à celle de 2017, nous nous dirigeons actuellement vers une augmentation de 27 %, soit 18 000 à 19 000 nouvelles vulnérabilités cette année. Et il s'agit certainement là d'une estimation basse.

Une gestion efficace des vulnérabilités et des menaces dépend désormais de la façon de gérer les questions de scalabilité, complexité, volume et vitesse : à savoir la scalabilité et la complexité des utilisateurs et réseaux distribués, mobiles et hétérogènes, le volume des vulnérabilités qui en découlent et la vitesse à laquelle de nouvelles vulnérabilités sont divulguées et exploitées. Plus que jamais, des informations exploitables sont nécessaires. Cette nécessité nous concerne tout autant, ici chez Tenable Research, et nous mettons en pratique ce que nous prônons. D'où notre Rapport sur les vulnérabilités. Comme nous croyons à la transparence et au partage de connaissances, nous partageons ce rapport avec notre communauté.

Cliquez ici pour vous procurer un exemplaire du rapport. En attendant, je souhaiterais développer trois observations qui, selon nous, méritent votre attention.

Le CVSS version 3 a aggravé le problème de priorisation

Le CVSS version 3 a vu le jour en 2015. Il visait à résoudre certaines limites de la version 2, notamment en ce qui concerne l'évaluation de l'impact d'une vulnérabilité, entre autres modifications. Bien que les scores de la version 3 soient rarement disponibles pour les vulnérabilités plus anciennes, la plupart des vulnérabilités de 2016 jusqu'à aujourd'hui ont commencé à être notées selon le CVSSv3. Les résultats obtenus sur le terrain et des rapports tiers ont mis en évidence des faiblesses dans la version 3 depuis sa mise en production. Venant confirmer cette critique, nos propres analyses ont démontré que le CVSSv3 note la majorité des vulnérabilités comme étant élevées ou critiques.

Comme représenté dans le schéma 1, le CVSSv2 a noté 31 % des CVE comme étant de gravité élevée, contre 60 % notées comme étant de gravité élevée ou critique par le CVSSv3.

Utilisé seul, le CVSSv3 aggrave le problème de priorisation au lieu de le résoudre. Avant que notre analyse soit interprétée comme une recommandation en faveur du CVSSv2, veuillez noter que la raison initiale de l'adoption de la version 3 est toujours d'actualité, la version 2 ne reflétant pas fidèlement le risque représenté par une vulnérabilité pour d'autres composants système.

Rapport sur les vulnérabilités Tenable - CVE au total - Distributions de gravité CVSS

Schéma 1 : CVE au total - Distributions de gravité CVSS

Les vulnérabilités héritées représentent toujours un risque résiduel

Dans la deuxième section du rapport, nous examinons la prévalence des vulnérabilités (celles qui existent réellement en entreprise) en analysant les données issues de plus de 900 000 évaluations des vulnérabilités effectuées entre mars et août 2018. Nous avons également approfondi l'analyse en examinant les vulnérabilités des navigateurs web et des applications, en raison de leur inclusion dans des kits d'exploits, ainsi que d'autres attaques côté client. Qu'est-ce qui nous a immédiatement frappé ? De nombreuses vulnérabilités détectées par les entreprises se trouvent dans des logiciels datés ou hérités.

Le schéma 2 montre clairement la concentration de vulnérabilités Firefox entre 2012 et 2017, avec un pic en 2015. Firefox possède un peu plus de 10 % de parts de marché pour les navigateurs web, mais représente en fait 53 % de toutes les vulnérabilités de gravité élevée dans notre ensemble de données. Les vulnérabilités de Firefox ne sont pas corrigées.

Schéma 2 : Diverses CVE de navigateur web de gravité élevée très répandues dans les environnements d'entreprise

Comme vous pouvez le constater dans le schéma 3, il existe un phénomène similaire pour Microsoft Office et Oracle Java.

Schéma 3 : Diverses CVE d'application de gravité élevée très répandues dans les environnements d'entreprise

De nombreuses raisons peuvent justifier qu'une entreprise continue d'utiliser d'anciennes versions de logiciels et de systèmes. Java, en particulier, est réputé poser des problèmes en raison de ses dépendances de version. Dans ce type de cas, les systèmes vulnérables peuvent être segmentés ou les logiciels peuvent être installés sur un système virtuel et être démarrés uniquement en cas de besoin. Sans raison légitime pour l'entreprise, ces applications représentent cependant un risque résiduel qui pourrait être évité.

L'exploitabilité n'est pas assez utilisée comme critère de priorisation

Lorsqu'une vulnérabilité est découverte, elle représente un risque hypothétique. Après la publication d'un exploit, cette vulnérabilité devient un risque potentiel si elle est présente dans votre système. Notre recherche montre que des exploits publics étaient disponibles pour 7 % des vulnérabilités découvertes en 2017. Même si cela laisse encore aux entreprises jusqu'à 751 vulnérabilités à prioriser, c'est un progrès par rapport au volume qu'elles auraient dû gérer si elles avaient utilisé le CVSSv3 seulement. Avec cette approche, 8 120 vulnérabilités (soit 54 % du total) auraient été évaluées avec une note CVSSv3 de 7,0 ou plus, soit autant de vulnérabilités à prioriser. Même en se concentrant sur les notes de 9,0 à 10 du CVSSv3, le nombre de vulnérabilités « critiques » se serait élevé à 1 804 (soit 12 %).

Ces informations sont disponibles pour la plupart des utilisateurs finaux dans leur solution VA. Elles sont automatiquement rendues opérationnelles via une mise en corrélation des données d'exploitabilité avec les vulnérabilités détectées.

En analysant les 609 vulnérabilités d'application de gravité élevée de notre ensemble de données, nous avons découvert que la majorité des mises à jour de sécurité non effectuées corrigeaient les vulnérabilités pour lesquelles des exploits publics étaient disponibles. Comme vous pouvez le constater dans le schéma 4, des exploits publics sont disponibles pour au moins 79 % des mises à jour de sécurité manquantes qui corrigent les vulnérabilités de gravité élevée d'Adobe Flash et qui ont été détectées comme manquantes par les entreprises dans leur environnement. Pour Adobe PDF, ce chiffre est de 96 %. Étant donné que le contenu utilisant Flash sur Internet a fortement décliné et ne sera plus pris en charge dès 2020, il n'y a que peu d'intérêt à garder Flash sachant que cela représente un important risque résiduel. Dans l'ensemble de données, le pourcentage le plus bas parmi les groupes d'applications pour lesquels des mises à jour de sécurité corrigeant une vulnérabilité avec un exploit public disponible étaient manquantes était de 41 %.

Schéma 4 : des exploits publics sont disponibles pour au moins 79 % des mises à jour de sécurité manquantes corrigeant des vulnérabilités de gravité élevée d'Adobe Flash.

Étant donné l'utilité indéniable du critère de l'exploitabilité pour évaluer si une vulnérabilité représente un risque aigu et compte-tenu de la disponibilité publique des informations, cette découverte nous a surpris. Il est clair que nous devons faire connaître et populariser ce critère de priorisation simple mais efficace.

Voilà trois des observations clés qui ont retenu notre attention. Vous pouvez lire le rapport en intégralité ici.

Pour en savoir plus :

Articles connexes

Des actualités décisives sur la cyber-sécurité

Saisissez votre adresse e-mail et ne manquez plus aucune alerte ni aucun conseil en matière de sécurité de la part de nos experts Tenable.

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

Votre essai de Tenable Vulnerability Management inclut également Tenable Lumin et Tenable Web App Scanning.

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

100 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

Votre essai de Tenable Vulnerability Management inclut également Tenable Lumin et Tenable Web App Scanning.

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

100 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

Votre essai de Tenable Vulnerability Management inclut également Tenable Lumin et Tenable Web App Scanning.

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

100 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant

Essayer Tenable Web App Scanning

Profitez d'un accès complet à notre dernière offre de scan des applications web conçue pour les applications modernes dans la plateforme de gestion des expositionsTenable One. Scannez l'ensemble de votre portefeuille en toute sécurité et avec une grande précision, sans effort manuel important ni interruption des applications web stratégiques. Abonnez-vous dès maintenant.

Votre essai de Tenable Web App Scanning inclut également Tenable Vulnerability Management et Tenable Lumin.

Acheter Tenable Web App Scanning

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

5 FQDN

3 578,00 $

Acheter maintenant

Essayer Tenable Lumin

Visualisez et explorez votre gestion de l'exposition, suivez la réduction des risques au fil du temps et comparez-la à celle des autres entreprises avec Tenable Lumin.

Votre essai de Tenable Lumin inclut également Tenable Vulnerability Management et Tenable Web App Scanning.

Acheter Tenable Lumin

Contactez un commercial pour découvrir comment Lumin peut vous permettre d'obtenir des informations exploitables sur l'ensemble de votre entreprise et de gérer votre cyber-risque.

Essayer gratuitement Tenable Nessus Professional

GRATUIT PENDANT 7 JOURS

Tenable Nessus est aujourd'hui le scanner de vulnérabilités le plus complet du marché.

NOUVEAU - Tenable Nessus Expert
Maintenant disponible

Nessus Expert offre encore plus fonctionnalités, comme les scans de surface d'attaque externe, et la possibilité d'ajouter des domaines et de scanner l'infrastructure cloud. Cliquez ici pour essayer Nessus Expert.

Remplissez le formulaire ci-dessous pour profiter d'un essai de Nessus Pro.

Acheter Tenable Nessus Professional

Tenable Nessus est aujourd'hui le scanner le plus complet du marché. Tenable Nessus Professional vous permet d'automatiser le processus de scan des vulnérabilités, d'écourter les cycles de mise en conformité et de mieux tirer parti de votre équipe informatique.

Achetez une licence pluriannuelle et faites des économies. Ajoutez l'assistance avancée pour bénéficier de l'accès 24 h/24 et 7 j/7 à une assistance par téléphone, via la communauté et via le chat.

Sélectionnez votre licence

Achetez une licence pluriannuelle et faites des économies.

Ajoutez une assistance et une formation

Essayer gratuitement Tenable Nessus Expert

GRATUIT PENDANT 7 JOURS

Conçu pour la surface d'attaque moderne, Nessus Expert vous permet de bénéficier d'une meilleure visibilité et de protéger votre entreprise des vulnérabilités issues de l'IT, comme du cloud.

Vous avez déjà Nessus Professional de Tenable ?
Passez à Nessus Expert gratuitement pendant 7 jours.

Acheter Tenable Nessus Expert

Conçu pour la surface d'attaque moderne, Nessus Expert vous permet de bénéficier d'une meilleure visibilité et de protéger votre entreprise des vulnérabilités issues de l'IT, comme du cloud.

Sélectionnez votre licence

Achetez une licence pluriannuelle pour économiser davantage.

Ajoutez une assistance et une formation