Une vulnérabilité en matière de cybersécurité désigne généralement une faille dans un code logiciel qui permet à un attaquant d’accéder à un réseau ou à un système. Les vulnérabilités exposent les entreprises et les particuliers à toute une série de menaces, dont les logiciels malveillants et les prises de contrôle de comptes.

Si ça n’est pas fait, n’hésitez pas à découvrir notre offre cybersécurité, pour vous prémunir!

Il existe un large éventail de vulnérabilités possibles et de conséquences potentielles de leur exploitation. La base de données nationale sur les vulnérabilités (NVD) du gouvernement américain, qui est alimentée par la liste CVE (Common Vulnerabilities and Exposures), compte actuellement plus de 176 000 entrées. Un exemple bien connu de vulnérabilité en matière de cybersécurité est la faiblesse de Windows CVE-2017-0144 qui a ouvert la porte aux attaques de ransomware WannaCry via l’exploit EternalBlue. Un autre cas tristement célèbre est celui du botnet Mirai qui s’est propagé grâce à l’exploitation de multiples failles.

Une fois les vulnérabilités découvertes, les développeurs travaillent généralement rapidement pour publier une mise à jour, ou « patch ». Idéalement, tous les utilisateurs installent la mise à jour avant que les attaquants aient la possibilité d’exploiter la vulnérabilité. Mais la réalité est que, dans de nombreux cas, les attaquants frappent rapidement pour tirer parti d’une faiblesse connue. De plus, même lorsqu’un correctif est publié, la lenteur de la mise en œuvre des mises à jour signifie que les attaquants peuvent exploiter les vulnérabilités des années après leur découverte.

Dans ce billet, nous avons rassemblé les principales statistiques et faits relatifs à la vulnérabilité de la cybersécurité dont il faut être conscient à l’aube de 2021.

1. Plus de 8 000 vulnérabilités ont été publiées au premier trimestre de 2022.

La base de données NVD contient 8 051 vulnérabilités publiées au premier trimestre 2022. Cela représente une augmentation d’environ 25 % par rapport à la même période l’année précédente. Si ces chiffres se maintiennent, cela marquerait une légère augmentation d’une année sur l’autre puisqu’il y avait environ 22 000 publiées en 2021.

2. La moitié des vulnérabilités des applications web orientées vers l’intérieur sont considérées comme à haut risque

Le rapport 2022 d’Edgescan sur les statistiques de vulnérabilité a analysé la gravité des vulnérabilités des applications web. Il a révélé que près d’une vulnérabilité sur dix dans les applications tournées vers Internet est considérée comme un risque élevé ou critique. Ce chiffre passe à 15 % si la cible traitait normalement des paiements en ligne.

3. Les organisations comptant plus de 100 employés présentent davantage de vulnérabilités à haut risque ou à risque critique.

Le rapport 2021 d’Edgescan a ventilé la gravité des vulnérabilités en fonction de la taille des entreprises. Les petites entreprises de 100 employés ou moins ont enregistré la plus faible proportion de vulnérabilités à risque moyen, élevé ou critique (5 % au total). Les entreprises de plus de 10 000 employés présentent la plus grande part de vulnérabilités à risque moyen et critique, tandis que les organisations de taille moyenne de 101 à 1 000 employés présentent la plus grande part de vulnérabilités à risque élevé.

4. Le délai moyen d’assainissement (MTTR) est d’environ 58 jours.

Selon Edgescan, le délai moyen de correction des vulnérabilités liées à l’Internet était de 57,5 jours. Il s’agit d’une légère amélioration par rapport à l’année précédente, où le MTTR était de 60,3 jours.

Ce chiffre varie toutefois d’un secteur à l’autre. Les administrations publiques, par exemple, ont enregistré un MTTR de 92 jours, tandis que les organismes de soins de santé n’ont eu qu’un MTTR de 44 jours. Les données montrent que plus une organisation touchée est petite, plus elle a tendance à se rétablir rapidement.

5. La vulnérabilité la plus grave de 2021 était CVE-2021-44228

CVE-2021-44228 est une vulnérabilité affectant Log4j, une bibliothèque de journalisation open-source utilisée dans des milliers de projets, applications et sites web. Cette vulnérabilité permet aux attaquants d’exécuter du code arbitraire sur tout système affecté, et bien qu’elle ait été rapidement corrigée, il est extrêmement probable qu’un grand nombre d’applications vulnérables restent en ligne.

6. La plus ancienne vulnérabilité découverte en 2020 avait 21 ans.

Il est intéressant de noter qu’Edgescan a trouvé une vulnérabilité assez ancienne qui existe depuis 1999 : CVE-1999-0517. Elle affecte le Simple Network Management Protocol version 2 (SNMPv2), qui est utilisé pour gérer les périphériques et les ordinateurs sur un réseau IP. La vulnérabilité peut permettre un accès SNMP non autorisé via une chaîne de communauté devinée. Elle a un score de base CVSS (Common Vulnerability Scoring System) de 7,5, ce qui en fait une faiblesse de haute gravité.

7. Les premières vulnérabilités critiques dans une grande infrastructure en nuage ont été découvertes en janvier 2020.

Début 2020, les chercheurs de Check Point ont découvert et signalé des vulnérabilités critiques dans l’infrastructure Microsoft Azure. Selon l’article de Check Point détaillant la vulnérabilité, les chercheurs « ont voulu réfuter l’hypothèse selon laquelle les infrastructures de cloud sont sécurisées. » Les vulnérabilités ont reçu le score CVSS le plus élevé, soit 10.0. Le classement qualitatif de la gravité d’un score de 9,0 à 10,0 est « critique ».

Ces vulnérabilités permettent aux acteurs malveillants de compromettre les applications et les données des utilisateurs qui utilisent le même matériel.

8. Plus de 11% des vulnérabilités ont un score critique

Selon CVE Details, sur environ 176 000 vulnérabilités, plus de 19 000 ont un score CVSS de 9.0 à 10.0. Cela dit, la grande majorité (77,5 %) a un score compris entre 4,0 et 8,0.

9. 75% des attaques en 2020 ont utilisé des vulnérabilités vieilles d’au moins deux ans

Selon le rapport sur la cybersécurité 2021 de Check Point, trois attaques sur quatre ont tiré parti de failles qui ont été signalées en 2017 ou avant. Et 18 % des attaques ont utilisé des vulnérabilités qui ont été divulguées en 2013 ou avant, ce qui les rend vieilles d’au moins sept ans.

10. Les attaques contre les vulnérabilités des accès distants Citrix ont augmenté de 2 066 % en 2020.

Selon Check Point, le nombre d’attaques exploitant les vulnérabilités des produits d’accès à distance a considérablement augmenté en 2020. Le nombre d’attaques contre Citrix a été multiplié par plus de 20, tandis que les attaques contre Cisco, VPN et RDP ont augmenté respectivement de 41 %, 610 % et 85 %.

11. 31% des entreprises ont détecté des tentatives d’exploitation de vulnérabilités logicielles

Un rapport 2020 de Positive Technologies nous apprend que près d’un tiers des menaces détectées impliquent des tentatives d’exploitation de logiciels. Selon le rapport :

« Plus de la moitié des tentatives impliquaient la vulnérabilité CVE2017-0144 dans la mise en œuvre du protocole SMBv1. Il s’agit de la même vulnérabilité exploitée par le tristement célèbre ransomware WannaCry, et pour laquelle un correctif a été publié dès 2017. Mais les attaquants l’ont gardée dans leurs arsenaux en recherchant des ordinateurs qui n’ont pas été mis à jour au cours des 3,5 dernières années. »

12. Des vulnérabilités à haut risque sont présentes sur les périmètres des réseaux de 84 % des entreprises.

Une autre étude de Positive Technologies a révélé une statistique alarmante : 84 % des entreprises ont des vulnérabilités à haut risque sur leurs réseaux externes. L’étude a également révélé que plus de la moitié de ces vulnérabilités pouvaient être éliminées par la simple installation de mises à jour.

13. Plus d’une entreprise sur quatre est encore vulnérable à WannaCry

Positive Technologies a également constaté que 26 % des entreprises restent vulnérables au ransomware WannaCry car elles n’ont pas encore patché la vulnérabilité qu’il exploite. C’est d’autant plus inquiétant que les attaques WannaCry ont connu un pic au premier trimestre 2021.

14. XSS reste une menace importante

Les recherches de Hacker One ont révélé que les faiblesses de type cross-site scripting (XSS) étaient le type de vulnérabilité le plus courant en 2020, représentant 23 pour cent de tous les rapports. La divulgation d’informations (18 %) et le contrôle d’accès inadéquat (10 %) complètent le top trois des types de faiblesses.

15. L’industrie la plus rentable pour les chasseurs de primes est celle des logiciels informatiques.

Lorsqu’il s’agit de savoir quels secteurs rapportent le plus aux chasseurs de primes, les faiblesses des logiciels informatiques sont celles qui rapportent le plus, et de loin. Le montant moyen de la prime versée pour une vulnérabilité critique est d’environ 5 754 dollars. L’industrie de l’électronique et des semi-conducteurs paie 4 633 dollars par vulnérabilité critique et le domaine des crypto-monnaies et des blockchains paie environ 4 481 dollars.

13. Plus d’une entreprise sur quatre est encore vulnérable à WannaCry

Positive Technologies a également constaté que 26 % des entreprises restent vulnérables au ransomware WannaCry car elles n’ont pas encore patché la vulnérabilité qu’il exploite. C’est d’autant plus inquiétant que les attaques WannaCry ont connu un pic au premier trimestre 2021.

14. XSS reste une menace importante

Les recherches de Hacker One ont révélé que les faiblesses de type cross-site scripting (XSS) étaient le type de vulnérabilité le plus courant en 2020, représentant 23 pour cent de tous les rapports. La divulgation d’informations (18 %) et le contrôle d’accès inadéquat (10 %) complètent le top trois des types de faiblesses.

15. L’industrie la plus rentable pour les chasseurs de primes est celle des logiciels informatiques.

Lorsqu’il s’agit de savoir quels secteurs rapportent le plus aux chasseurs de primes, les faiblesses des logiciels informatiques sont celles qui rapportent le plus, et de loin. Le montant moyen de la prime versée pour une vulnérabilité critique est d’environ 5 754 dollars. L’industrie de l’électronique et des semi-conducteurs paie 4 633 dollars par vulnérabilité critique et le domaine des crypto-monnaies et des blockchains paie environ 4 481 dollars.

16. « 80% des exploits publics sont publiés avant que les CVE ne soient publiés »

Un rapport publié par Palo Alto Networks en août 2020 a révélé que 80 % des exploits étudiés ont été rendus publics avant même la publication des CVE correspondantes. Le temps qui s’écoule entre les dates de publication est peut-être plus inquiétant. En moyenne, les exploits sont publiés 23 jours avant leurs CVE respectifs. Comme indiqué dans le rapport :

« Par conséquent, il y a de fortes chances qu’un exploit soit déjà disponible lorsque le CVE est officiellement publié – illustrant une fois de plus le fait que les attaquants ont trop souvent une longueur d’avance sur les professionnels de la sécurité. »

17. Plus de 28 500 vulnérabilités de WordPress ont été détectées au cours des huit dernières années.

Le nombre de nouvelles vulnérabilités n’a cessé d’augmenter depuis que WPScan a commencé à effectuer un suivi en 2014. Plus de 3 000 nouvelles vulnérabilités ont été découvertes en 2021, et au premier trimestre de 2022, nous en avons déjà vu 700 de plus.

18. Au quatrième trimestre 2021, les exploits de type « zero-day » étaient impliqués dans 66 % des logiciels malveillants.

Le rapport de sécurité Internet de WatchGuard – T4 2021 nous apprend que d’octobre à décembre 2021, les logiciels malveillants de type  » zero-day  » ont représenté deux tiers de toutes les menaces. Il s’agit d’une baisse marginale par rapport au trimestre précédent.

19. Diminution du nombre de vulnérabilités spécifiques aux fournisseurs en 2021

Selon le rapport de fin d’année 2021 de RiskBased Security, IBM est le fournisseur qui a confirmé le plus de vulnérabilités cette année. Toutefois, il convient de noter que la plupart des fournisseurs ont en fait moins de vulnérabilités que l’année dernière. Les exceptions sont Software in the Public Interest, Inc et le projet Fedora, qui ont connu une légère augmentation.

20. Plus de 75 % des applications présentent au moins une faille

Le volume 11 du rapport de Veracode sur l’état de la sécurité logicielle, publié en octobre 2020, révèle que plus des trois quarts (75,2 %) des applications présentent des failles de sécurité. Cela dit, seuls 24 % d’entre eux sont considérés comme des failles de haute gravité.

21. Les défauts de fuite d’information sont les plus courants

Veracode nous apprend également que les types de failles les plus courants sont les fuites d’informations, l’injection de CRLF (où un attaquant injecte du code inattendu), les problèmes cryptographiques, la qualité du code et la gestion des informations d’identification.

22. Une faille sur quatre est toujours ouverte après 18 mois

Une conclusion assez alarmante du rapport 2021 de Veracode est qu’après un an et demi, environ 27 % des failles sont toujours ouvertes.

23. Une analyse fréquente est corrélée à un temps de remédiation beaucoup plus rapide.

Veracode a constaté que les applications qui analysaient régulièrement les failles présentaient des temps de correction moyens beaucoup plus rapides. Celles qui effectuaient plus de 260 analyses par jour ont corrigé 50 % des failles en 62 jours. Ce délai est passé à 217 jours pour les applications n’exécutant que 1 à 12 analyses par jour.

24. Google a versé 35 millions d’euros en primes de bug depuis 2010.

Le programme de récompense des vulnérabilités de Google (communément appelé « programme de primes aux bugs ») récompense les chercheurs qui découvrent et signalent des bugs dans les logiciels de l’entreprise. Il a versé 35 millions d’euros depuis 2010. En 2021, 696 chercheurs de 62 pays ont reçu des primes, la récompense la plus importante s’élevant à 157 000 dollars.

25. Microsoft a payé près de 14 millions d’euros en primes de bogues en un an.

Dans le même ordre d’idées, Microsoft récompense les chercheurs qui repèrent et signalent les bogues dans ses logiciels. Dans un bilan de juillet 2021, l’entreprise a indiqué avoir versé 13,6 millions d’euros en primes de bug au cours des 12 derniers mois. C’est plus du double du montant versé par Google en 2019. Au total, 340 chercheurs ont été récompensés, la récompense la plus importante s’élevant à 200 000 dollars.

26. Facebook (désormais Meta) a attribué près de 7 000 primes depuis 2011.

Dans un billet de blog publié en décembre 2021 par Facebook (désormais connu sous le nom de Meta), on apprend que depuis le lancement de son programme de primes aux bugs en 2011, l’entreprise a reçu plus de 150 000 rapports et attribué 7 800 primes. Au moment de la publication du rapport, les primes de 2021 s’élevaient à 2,3 millions d’euros. Environ 25 000 rapports ont été reçus, et plus de 800 primes ont été attribuées. Sa prime la plus élevée à ce jour est de 80 000 dollars.

27. Les vulnérabilités non corrigées sont impliquées dans 60 % des violations de données.

Selon une étude de 2019 Ponemon Institute Vulnerability Survey:

« 60 % des victimes de brèches ont déclaré avoir été victimes d’une brèche due à une vulnérabilité connue non corrigée pour laquelle le correctif n’a pas été appliqué. » Cependant, une proportion encore plus élevée (62 %) a affirmé qu’elle n’était pas au courant des vulnérabilités de son organisation avant une brèche.

28. Le marché mondial de la sécurité informatique devrait atteindre près de 400 milliards d’euros d’ici 2028.

Selon un rapport de Fortune Business insights, la valeur du marché de la sécurité de l’information devrait atteindre 366,1 milliards d’euros d’ici 2028. Cette croissance exponentielle est stimulée par l’intégration de l’apprentissage automatique, l’Internet des objets (IoT) et l’explosion du nombre de plateformes de commerce électronique.

FAQ sur les failles de la cybersécurité

Comment identifier les vulnérabilités en matière de cybersécurité ?

Que vous soyez un utilisateur à domicile ou que vous utilisiez un système pour votre entreprise, il existe plusieurs façons d’identifier une vulnérabilité en matière de cybersécurité afin de prévenir les menaces des cybercriminels. Voici quelques bonnes pratiques à suivre :

• Vérifiez que le logiciel de votre appareil et les systèmes d’exploitation sont à jour.
• Utilisez une suite de sécurité Internet pour surveiller votre réseau à la recherche d’éventuelles vulnérabilités.
• Tenez-vous au courant des dernières informations sur les cybermenaces afin d’éviter les risques de ransomware et d’attaques de phishing.

Quels sont les différents types de vulnérabilités en matière de cybersécurité ?

Les vulnérabilités en matière de cybersécurité se répartissent généralement en quatre catégories :

1. Les vulnérabilités des systèmes d’exploitation apparaissent lorsque le système d’exploitation est obsolète, ce qui permet souvent à un attaquant de trouver une exploitation qui n’a pas encore été corrigée et de s’introduire dans un système.
2. Les vulnérabilités du réseau, c’est-à-dire les problèmes de logiciel ou de matériel sur un réseau qui pourraient permettre à une entité extérieure de s’introduire de manière malveillante.
3. L’erreur de l’utilisateur est l’un des moyens les plus courants pour que des données sensibles tombent entre de mauvaises mains, ce que l’on appelle la vulnérabilité humaine.
4. On parle de vulnérabilité des processus lorsque ceux-ci ne sont pas suivis correctement ou ne sont pas en place au départ. Des mots de passe réutilisés ou des mots de passe faibles peuvent rendre un système plus vulnérable à la pénétration d’un attaquant.