Qualys, résultats de l’étude « Laws of Vulnerabilities 2.0 »

L’étude Laws 2.0 indique les tendances en matière de durée de vie moyenne, de prévalence, de persistance et d’exploitation des vulnérabilités pour les 5 marchés critiques que sont les secteurs de la finance, de la santé, de la vente au détail, de la production et des services.

Tirées de l’analyse statistique de plus de 680 millions de vulnérabilités, parmi lesquelles 72 millions sont critiques, ces tendances s’appuient sur 80 millions de scans réseaux réalisés en 2008.

Méthodologie de l’étude « Laws of Vulnerabilities 2.0 »

Les conclusions tirées de cette étude sont :

1. Durée de vie moyenne — La durée de vie moyenne des vulnérabilités critiques est restée de 30 jours pour tous les marchés concernés. Si l’on prend chaque marché pris séparément, l’industrie des services connaît la durée de vie moyenne la plus courte, avec 21 jours.

Le secteur financier se classe en seconde place, avec 23 jours, le marché de la vente au détail en troisième position, avec 24 jours et le secteur de la production est en dernière place avec un cycle de vie moyen de 51 jours pour une vulnérabilité.

2. Prévalence — 60% des vulnérabilités les plus répandues et les plus critiques sont remplacées par de nouvelles vulnérabilités chaque année. Ce nombre a augmenté par rapport à l’étude Laws de 2004 où il était de 50%. D’après l’étude Laws 2.0, les principales solutions pointées du doigt sont Microsoft Office, Windows 2003 SP2, Adobe Acrobat et le Plug-in Java de Sun.

3. Persistance — L’étude Laws 2.0 signale que la durée de vie de la plupart, sinon de toutes les vulnérabilités, est illimitée, un pourcentage important de vulnérabilités n’étant jamais totalement résolues. Cette tendance a été illustrée par des échantillons de données de MS08-001, MS08-007, MS08-015 et MS08-021.

4. Exploitation — 80% des attaques de vulnérabilités se produisent désormais dans les 10 jours qui suivent la publication de la vulnérabilité. En 2008, l’entité Qualys Labs avait consigné 56 vulnérabilités avec des attaques à zéro jour (Zero Day), dont la vulnérabilité RPC qui a engendré Conficker. En 2009, la première vulnérabilité signalée par Microsoft, MS09-001, a été victime d’une attaque dans les 7 jours qui ont suivi.

Le Patch Tuesday d’avril de Microsoft mentionnait des attaques connues pour plus de 47% des vulnérabilités publiées. C’est cette tendance qui a le plus évolué depuis l’étude Laws 1.0 de 2004, qui signalait alors un laps de temps indicatif confortable de 60 jours.

« Il est de plus en plus difficile d’assurer la sécurité en raison de l’extrême sophistication des attaques et de la fenêtre d’exposition désormais ramenée à quelques jours seulement pour les vulnérabilités les plus critiques », déclare Wolfgang Kandek, directeur technique de Qualys et auteur de l’étude « Laws of Vulnerabilities 2.0 ».

« L’objectif de cette étude est d’aider les entreprises des différents secteurs d’activités à comprendre les tendances plus vastes, les dommages potentiels ainsi que les priorités en matière de vulnérabilités. Elles pourront ainsi prendre des décisions plus efficaces et immédiates pour protéger leurs réseaux. Grâce aux résultats générés par une étude comme « Laws of Vulnerabilities 2.0 », nous pouvons fournir, en temps réel, aux marchés, une approche statistique des tendances de ces menaces. »

Méthodologie de recherche pour l’étude « Laws of Vulnerabilities 2.0 »

Cette étude s’appuie sur une compilation anonyme qui ne permet pas d’identifier un quelconque client, adresse IP ou réseau. Les données sont collectées via l’infrastructure d’analyse QualysGuard qui effectue plus de 200 millions d’audits d’adresses IP chaque année.

De simples compteurs sont activés pendant l’analyse des réseaux des clients et les données collectées sont ensuite synthétisées puis consignées quotidiennement à des fins d’analyse et d’étude.

Les résultats complets de cette étude