Le paysage des dangers ne s’arrête jamais. Presque chaque jour, une toute nouvelle vulnérabilité apparaît sous une forme ou une autre. Selon le NIST, 18 378 vulnérabilités ont été signalées en 2021, et de nombreux programmes de gestion des vulnérabilités des organisations ne sont pas adaptés à la fonction.
Chacune de ces vulnérabilités présente un point d’entrée potentiel permettant aux agresseurs d’utiliser et d’accéder à des informations délicates. De nombreuses entreprises ne disposent pas des compétences ou des ressources internes pour détecter ces vulnérabilités à la vitesse nécessaire pour assurer la protection de leurs environnements.
Une nouvelle étude publiée par Rezilion et le Ponemon Institute a révélé aujourd’hui que 66 % des responsables de la sécurité signalent un arriéré de vulnérabilités de plus de 100 000 vulnérabilités. Il a également révélé que 54% déclarent avoir été en mesure de repérer moins de 50% des vulnérabilités dans le backlog.
Avant tout, les données montrent que la méthode que la plupart des entreprises abordent pour la gestion des vulnérabilités n’est ni évolutive ni adaptée à la fonction, et qu’elle offre aux cybercriminels des possibilités adéquates d’accéder aux données critiques.
Pourquoi la gestion des vulnérabilités s’avère difficile
Les défis de la gestion des vulnérabilités ne sont pas nécessairement nouveaux. Selon NTT Application Security, le temps moyen pour réparer une vulnérabilité en 2021 était de 202 jours. Les recherches de Rezilion soulignent également que la suppression est un problème, 78 % déclarant que les vulnérabilités à haut risque mettent plus de 3 semaines à être détectées.
Au cœur de cet échec à atténuer efficacement les vulnérabilités, se trouve le manque d’outils essentiels.
« Ce qui revient à un manque d’outils, de personnes et d’informations pour gérer correctement cette difficulté. Les répondants à l’enquête déclarent qu’il y a un certain nombre de raisons pour lesquelles cela prend si longtemps, y compris la longue quantité de le temps que cela prend et la complexité du travail », a déclaré le PDG et cofondateur de Rezilion, Liran Tancman.
» Quelques-uns des facteurs qu’ils ont soulignés consistent en une incapacité à hiérarchiser ce qui doit être corrigé, une absence d’outils efficaces et une absence de ressources. L’absence de ressources n’est pas inattendue car le talent le resserrement de la sécurité est bien enregistré », a déclaré Tancman.
Tancman souligne également que peu d’organisations disposent de la visibilité ou du contexte requis pour identifier ce qui doit être corrigé, ce qui rend frustrant la gestion d’un arriéré.
Ce manque d’exposition n’est nulle part plus clairement démontré qu’avec l’échec de nombreuses organisations à corriger Log4j, avec un rapport lancé plus tôt cette année découvrant que 70 % des entreprises qui ont auparavant résolu la vulnérabilité dans leur zone de surface d’attaque ont encore du mal à repérer les possessions vulnérables de Log4j et à éviter que de nouvelles instances ne resurgissent.
L’automatisation est la réponse
Heureusement, l’automatisation offre une réponse efficace au défi de la gestion des vulnérabilités en permettant équipes de sécurité pour automatiser le processus d’analyse des vulnérabilités et reconnaître en permanence les exploits.
Cela réduit non seulement le temps nécessaire pour corriger les vulnérabilités, mais libère également l’équipe de sécurité pour qu’elle se concentre sur des tâches plus gratifiantes. L’étude de recherche de Rezilion suggère que l’automatisation peut être un multiplicateur de force considérable pour les équipes de sécurité, 43 % déclarant qu’il y avait un temps de réponse considérablement plus court.
Il convient de garder à l’esprit que, pour obtenir les meilleurs résultats, les organisations devraient vouloir exécuter des services qui utilisent la hiérarchisation basée sur les risques s’ils veulent tirer le meilleur parti de l’efficacité de leur programme de gestion des vulnérabilités.
« L’un des changements les plus importants que vous puissiez apporter est de vous concentrer sur les vulnérabilités qui sont utilisées dans la nature. Cela doit être l’objectif n°1 et réduira le plus de risques le plus rapidement possible « , a déclaré Craig Lawson, vice-président expert chez Gartner, dans un article de blog.
Les fournisseurs de services tels que Tenable, Balbix et Seemplicity expérimentent tous une gestion des vulnérabilités basée sur les risques pour aider les équipes de sécurité à se concentrer sur la correction des vulnérabilités à haut risque dans un premier temps, en fonction de l’activité d’exploitation actuelle et de l’exposition directe, afin qu’ils ne perdre du temps sur les vulnérabilités de moindre valeur.
L’objectif de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir des connaissances sur l’innovation commerciale transformatrice et de négocier. Découvrez nos aperçus.
Toute l’actualité en temps réel, est sur L’Entrepreneur
