Les découvertes de l'étude "Laws of Vulnerabilities" 2005

Cette étude publiée tous les ans identifie les nouvelles tendances des vulnérabilités. L’édition 2005 s’étend au domaine du sans fil

Gerhard Eschelbeck, Directeur Technique et Vice Président Engineering de Qualys™, Inc., leader des solutions de Gestion de Vulnérabilités et de vérification des règles de sécurité On Demand, a présenté le résultats de ses recherches de l’année 2005 dans l’étude « Laws of Vulnérabilities », qui révèle les nouvelles tendances se dégageant de l’analyse des vulnérabilités réseaux.

Selon cette étude, alors que des améliorations significatives ont été réalisées au cours de l’année en ce qui concerne la gestion des patchs, près de 70% des systèmes, soit les deux tiers d’entre eux, sont encore vulnérables et susceptibles d’être la cible d’exploits ou d’attaques potentiels.

Pour réaliser l’étude « Laws of Vulnerabilities », Gerhard Eschelbeck a analysé pendant plus de trois ans les données statistiques relatives aux vulnérabilités. En déterminant les tendances en matière de sécurité réseaux, cette étude permet aux entreprises d’identifier les menaces en évolution et d’estimer l’impact des différentes actions correctives.

Issue de l’analyse statistique de près de 21 millions de vulnérabilités critiques identifiées après 32 millions de scans réseaux, l’édition 2005 de « Laws of Vulnerabilities » constitue la compilation la plus importante de données relatives aux vulnérabilités réseaux collectées en conditions réelles.

Les données démontrent que les entreprises ont amélioré de 23 % l’exécution du patching sur les systèmes internes et de 10 % sur les systèmes externes. Toutefois, le laps de temps entre les attaques automatiques et les exploits qui en découlent tend a se réduire de plus en plus. Aujourd’hui, 85% des dommages issus des attaques automatiques sont réalisés au cours des 15 premiers jours qui suivent l’incident.

L’étude montre également que la menace visant les systèmes sans fil est aujourd’hui statistiquement très faible. En effet, seulement 1 vulnérabilité sur 20. 000 est causée par un équipement sans fil. Mais il apparaît également que les vulnérabilités se sont déplacées de la partie serveur à la partie client. Plus de 60 % des nouvelles vulnérabilités apparaissent en effet dans les applications clients, consécutivement a l’action des utilisateurs, telle que la visite d’un site Web malicieux ou l’ouverture d’une pièce jointe infectée.

« 2005 se présente comme l’année de l’amélioration du patching et des mises à jour des systèmes vulnérables » déclare Gerhard Eschelbeck, CTO et VP de l’Engineering chez Qualys. « Ceci est du au fait que des éditeurs, tels que Microsoft, émettent régulièrement des avis de mises à jours de patchs, ce qui permet d’accélérer les efforts de hiérarchisation et de correction dans les entreprises. »

L’ensemble des découvertes de cette étude est consultable sur http://www.qualys.com/laws

Résumé des principaux points :

Half-Life : le terme « half-life » désigne le laps de temps dont les utilisateurs ont besoin pour patcher la moitié de leurs systèmes et réduire ainsi leur fenêtre d’exposition. Au cours de l'année passée, le « half-life » des vulnérabilités critiques des systèmes externes est passé de 21 à 19 jours et de 62 à 48 jours pour les systèmes internes. Le laps de temps nécessaire pour patcher les vulnérabilités apparaissant à un moment prédéfini a quant a lui été réduit de 18% ;

Prévalence : 50% des vulnérabilités les plus prévalentes et critiques sont remplacées par de nouvelles vulnérabilités, selon un cycle annuel ;

Persistance : 4 % des vulnérabilités critiques persistent et ont une durée de vie illimitée ;
Règle : 90 % de l’exposition aux vulnérabilités sont causés par 10 % des vulnérabilités critiques ;

Fenêtre d’exposition : Le laps de temps entre l’exploit et l’apparition de la vulnérabilité associée augmente plus vite que le cycle de rémédiation. 80% des exploits sont realisés pendant le premier « half-life » des vulnérabilités critiques ;

Exploitation : Les attaques automatiques créent 85 % de leurs dommages pendant les 15 premiers jours suivants l’incident et ont une durée de vie illimitée ;

« L’étude Laws of Vulnerabilities fournit une information claire et statistique permettant aux Responsable de la Sécurité et aux Dirigeants de prendre des décisions en étant mieux informés,» déclare Howard A. Schmidt, conseiller en Cyber Sécurité auprès de la Présidence des Etats-Unis. « Sachant que les attaques automatiques créent 85 % des dommages dès les 15 premiers jours qui suivent leur apparition, il parait indispensable d’accélérer le processus d’identification et de correction des menaces. Cette étude aide les entreprises a estimer le niveau de vulnérabilité de leurs réseaux, et à définir où doivent se situer les priorités. »

A propos de Qualys
Avec plus de 2000 références incluant des PME comme des multinationales, Qualys est le leader des solutions de gestion des vulnérabilités et de vérification des règles de sécurité en mode ASP. La solution QualysGuard permet aux responsables sécurité de renforcer efficacement la sécurité de leurs réseaux de manière proactive, de mener des audits de sécurité automatisés et de contrôler et superviser de manière globale les normes de sécurité internes et les réglementations définies dans la politique de sécurité de l’entreprise. Le modèle On Demand permet de réaliser des économies significatives, puisqu’il ne nécessite aucune ressource, ni déploiement ou maintenance d’infrastructure supplémentaire. De plus, le niveau de précision et de fiabilité des scans de QualysGuard, quelque soit son déploiement, en font la solution idéale des grandes entreprises, dont les réseaux sont hétérogènes et distribués. Des centaines de multinationales ont déployé Qualys de manière globale dont AXA, Hewlett- Packard, Société Générale, Sodexho, Standard Chartered Bank et beaucoup d’autres. Le siège de Qualys est situé à Redwood Shores en Californie, et la société dispose de bureaux européens en France, Allemagne et Royaume Uni et a des représentants en Asie: Japon, Singapour, Australie, Corée et la République de Chine. Pour toutes informations complémentaires, merci de visiter le site http://www.qualys.com