Ces bugs logiciels sont vieux de plusieurs années. Mais les entreprises ne les corrigent toujours pas

Spread the love
  • Yum

Ces bugs logiciels sont vieux de plusieurs années. Mais les entreprises ne les corrigent toujours pas

Près des deux tiers des vulnérabilités présentes sur les réseaux d’entreprise concernent des failles datant de plus de deux ans qui n’ont pas été corrigées, bien que des correctifs soient disponibles. Cette absence de correctifs expose les entreprises à des attaques qui pourraient souvent être facilement évitées si des mises à jour de sécurité étaient appliquées, mentionne une étude récente.

L’analyse de Bitdefender révèle que 64 % des vulnérabilités non corrigées signalées au cours du premier semestre 2020 concernent des bugs connus datant de 2018 et des années précédentes. Ce qui signifie que les organisations sont menacées par des failles qui auraient dû être corrigées il y a longtemps. « La grande majorité des organisations présentent encore des vulnérabilités non corrigées qui ont été identifiées entre 2002 et 2018 », indique le rapport.

L’application des patchs peut être un travail long, fastidieux et peu gratifiant. Mais pour les cybercriminels, les vulnérabilités non corrigées constituent un moyen simple de déployer des cyberattaques et des logiciels malveillants. Mais, si les entreprises et les utilisateurs sont encouragés à appliquer des correctifs de sécurité aux systèmes d’exploitation et aux logiciels dès que possible, les chiffres du rapport de Bitdefender “2020 Business Threat Landscape Report” suggèrent que certaines organisations tardent à les appliquer.

publicité

Trouver l’équilibre entre sécurité informatique et compatibilité

« Les organisations ayant (désormais) la plupart de leurs effectifs à distance, la mise en place et le déploiement de politiques de correctifs n’ont jamais été aussi cruciaux. Avec six organisations sur dix ayant des machines dont les vulnérabilités non corrigées sont antérieures à 2018, les risques de voir ces vulnérabilités exploitées (…) sont plus élevés que jamais », avertit le rapport.

Dans certains cas, les organisations n’appliquent pas les correctifs de sécurité parce qu’elles craignent que cela puisse avoir un impact négatif sur la façon dont elles gèrent leurs systèmes – et préfèrent donc plutôt courir le risque d’une cyberattaque.

« La rétrocompatibilité joue un rôle essentiel pour décider si certaines applications doivent être patchées ou non. Par exemple, le fait de corriger ou de mettre à niveau une application ou un service pourrait rompre la compatibilité avec d’autres logiciels qui pourraient être critiques pour l’organisation. Dans ce cas, ne pas appliquer de correctifs pourrait être moins une décision de sécurité qu’une décision commerciale », explique à ZDNet Liviu Arsene, chercheur en cybersécurité mondiale chez Bitdefender.

Cependant, en ayant une bonne connaissance de l’aspect du réseau et en ayant un plan pour appliquer les correctifs, les organisations peuvent contribuer grandement à se protéger contre les cyberattaques visant à tirer parti des vulnérabilités connues. « Avoir une politique de correctifs et une procédure de déploiement est toujours la meilleure solution pour remédier aux vulnérabilités connues », précise le chercheur.

« Les systèmes qui sont critiques mais qui ne peuvent pas être patchés pour des raisons de rétrocompatibilité ou de continuité des activités doivent être isolés et leur accès doit être étroitement réglementé », a-t-il ajouté.

Source : ZDNet.com

Leave a Reply

%d bloggers like this: