Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Qualys dévoile les résultats de l’étude « Laws of Vulnerabilities 2.0 »

avril 2009 par Qualys

Wolfgang Kandek, directeur technique de Qualys, Inc., dévoile les résultats de son étude « Laws of Vulnerabilities 2.0 ». Cette étude indique les tendances en matière de durée de vie moyenne, de prévalence, de persistance et d’exploitation des vulnérabilités pour les 5 marchés critiques que sont les secteurs de la finance, de la santé, de la vente au détail, de la production et des services. Tirées de l’analyse statistique de plus de 680 millions de vulnérabilités, parmi lesquelles 72 millions sont critiques, ces tendances s’appuient sur 80 millions de scans réseaux réalisés en 2008.

Les conclusions tirées de cette étude sont :

1. Durée de vie moyenne — La durée de vie moyenne[1] des vulnérabilités critiques est restée de 30 jours pour tous les marchés concernés. Si l’on prend chaque marché séparément, l’industrie des services connaît la durée de vie moyenne la plus courte, avec 21 jours. Le secteur financier se classe en seconde place, avec 23 jours, le marché de la vente au détail en troisième position, avec 24 jours et le secteur de la production est en dernière place avec un cycle de vie moyen de 51 jours pour une vulnérabilité.

2. Prévalence — 60% des vulnérabilités les plus répandues et les plus critiques sont remplacées par de nouvelles vulnérabilités chaque année. Ce nombre a augmenté par rapport à l’étude Laws de 2004 où il était de 50%. D’après l’étude Laws 2.0, les principales solutions pointées du doigt sont Microsoft Office, Windows 2003 SP2, Adobe Acrobat et le Plug-in Java de Sun.

3. Persistance — L’étude Laws 2.0 signale que la durée de vie de la plupart, sinon de toutes les vulnérabilités, est illimitée, un pourcentage important de vulnérabilités n’étant jamais totalement résolues. Cette tendance a été illustrée par des échantillons de données de MS08-001, MS08-007, MS08-015 et MS08-021.

4. Exploitation — 80% des attaques de vulnérabilités se produisent désormais dans les 10 jours qui suivent la publication de la vulnérabilité. En 2008, l’entité Qualys Labs avait consigné 56 vulnérabilités avec des attaques à zéro jour (Zero Day), dont la vulnérabilité RPC qui a engendré Conficker. En 2009, la première vulnérabilité signalée par Microsoft, MS09-001, a été victime d’une attaque dans les 7 jours qui ont suivi. Le Patch Tuesday d’avril de Microsoft mentionnait des attaques connues pour plus de 47% des vulnérabilités publiées. C’est cette tendance qui a le plus évolué depuis l’étude Laws 1.0 de 2004, qui signalait alors un laps de temps indicatif confortable de 60 jours.

Méthodologie de recherche pour l’étude « Laws of Vulnerabilities 2.0 »

Cette étude s’appuie sur une compilation anonyme qui ne permet pas d’identifier un quelconque client, adresse IP ou réseau. Les données sont collectées via l’infrastructure d’analyse QualysGuard qui effectue plus de 200 millions d’audits d’adresses IP chaque année. De simples compteurs sont activés pendant l’analyse des réseaux des clients et les données collectées sont ensuite synthétisées puis consignées quotidiennement à des fins d’analyse et d’étude.

Les résultats complets de cette étude sont disponibles sur http://laws.qualys.com> http://laws.qualys.com


[1] La durée de vie moyenne correspond au temps nécessaire au marché pour patcher 50% des vulnérabilités (CVE à numéro unique) découvertes après la première alerte. Cette durée de vie moyenne est le principal indicateur de la rapidité du déploiement des patches.




Voir les articles précédents

    

Voir les articles suivants