REDWOOD CITY, Californie, le 20 juin 2024 /PRNewswire/ -- Synack, la principale plateforme de tests de sécurité, a publié aujourd'hui son deuxième rapport annuel sur l'état des vulnérabilités. Ce rapport combine des centaines de milliers d'heures de tests de pénétration et une analyse de plus de 14 000 vulnérabilités exploitables, offrant un aperçu direct de la gravité, du volume et des tendances de remédiation des failles logicielles dans différents secteurs.

« Comprendre votre surface d'attaque et l'impact potentiel de l'exploitation des vulnérabilités sur votre organisation est crucial pour prendre des décisions éclairées en matière de sécurité et de gestion d'entreprise », a déclaré Jay Kaplan, PDG et co-fondateur de Synack. « Nous sommes fiers de publier le deuxième rapport annuel de Synack sur l'état des vulnérabilités pour aider les organisations des secteurs de la santé, des services financiers, du gouvernement fédéral, de la technologie et de la fabrication à comprendre les vulnérabilités auxquelles elles sont confrontées et comment elles peuvent rester une longueur d'avance sur les attaquants. Nous voyons de nombreuses raisons d'être optimistes, mais cela ne signifie pas que la menace diminue. »

Augmentation des vulnérabilités de gravité critique, mais amélioration des délais de remédiation

L'équipe Red Team (SRT) de Synack, une communauté des hackers éthiques les plus dignes de confiance et les plus qualifiés au monde, a découvert que, tous secteurs confondus, les clients ont connu une part plus élevée de vulnérabilités de gravité critique en 2023 par rapport à 2022, et une légère réduction des vulnérabilités de haute gravité. Malgré les pressions croissantes sur les équipes de sécurité, les organisations ont réduit leur temps moyen de remédiation pour les vulnérabilités de gravité critique de 24 jours et pour les vulnérabilités de haute gravité de 18 jours, atteignant respectivement 56 et 74 jours.

Cependant, le rapport a identifié les mêmes catégories de vulnérabilités persistantes d'année en année, indiquant des menaces accrues liées aux failles d'injection, mises en évidence dans une récente alerte « Secure by Design » de la Cybersecurity and Infrastructure Security Agency. Les secteurs de la santé et de la technologie ont tous deux connu une augmentation des injections SQL, et les failles d'injection, y compris XSS, représentaient environ un tiers de toutes les vulnérabilités découvertes par Synack en 2023.

Analyse par secteur d'activité

Le rapport de Synack révèle des conclusions clés concernant les vulnérabilités les plus importantes et les délais de remédiation pour les secteurs de la santé, des services financiers, du gouvernement fédéral, de la technologie et de la fabrication.

Voici quelques tendances clés identifiées dans les cinq secteurs :

En moyenne, les entreprises de santé avaient plus de 5 400 sous-domaines, 1 500 applications web et 1 400 adresses IP exposées publiquement – la plus grande surface d'attaque de tous les secteurs examinés.

Parmi les vulnérabilités trouvées, près de 1 900 étaient des injections SQL classées comme critiques ou de haute gravité.

Les failles d'injection ont amplifié les faiblesses des secteurs. En moyenne, les entreprises de services financiers ont mis 53 jours pour remédier aux vulnérabilités d'injection SQL, les entreprises technologiques ont mis 57 jours et les entreprises de santé ont mis seulement 45 jours.

Le rapport s'appuie sur les données des évaluations de sécurité réalisées sur la base de clients mondiaux de Synack et s'aligne sur les catégories de vulnérabilités du document de sensibilisation OWASP Top 10. Les plus de 1 500 membres de la SRT ont collectivement passé plus de 27 000 jours à tester les actifs des clients de Synack l'année dernière, y compris les surfaces d'attaque des infrastructures cloud, des interfaces de programmation d'applications (API), des grands modèles de langage d'IA, des applications web, des infrastructures hôtes et des mobiles.

