Flexera publie une étude relative aux vulnérabilités des 50 principales applications de postes de travail sous Windows. Au total, 1922 vulnérabilités ont été repérées dans 22 produits de 8 éditeurs différents. C’est le résultat d’une enquête plus large. Elle a été menée par l’équipe Secunia Research du spécialiste de la gestion d’actifs logiciels (SAM).
Si le nombre de failles dans le Top 50 a baissé de 3% en 2017 par rapport à 2016, il a bondi de 27% en cinq ans, observe l’éditeur. Par ailleurs, en 2017, 83% des bulletins de sécurité concernant ces applications ont été classés « très critiques » ou « extrêmement critiques ». Contre 17% pour l’ensemble des logiciels évalués (source : Vulnerability Review 2018).
De surcroît, 94% des failles repérées dans le top 50 pourraient être exploitées à distance, via internet (Remote Network), sans action de la part de l’utilisateur.
Flexera souligne, par ailleurs, que 65% des failles repérées concernent des solutions d’autres éditeurs (Adobe, Google, Mozilla, Oracle, Apple…) que Microsoft. Les mises à jour automatiques proposées par l’éditeur de Redmond ne suffisent donc pas.
Pour réduire le risque de piratage, la gestion de correctifs devrait s’appliquer à toutes les applications des postes de travail. Et le « shadow SaaS » être contrôlé, selon Flexera.
« Les entreprises doivent faire le tri », a déclaré Kasper Lindgaard, directeur recherche et sécurité chez Flexera, cité dans un communiqué. « Toutes les mises à jour logicielles ne sont pas liées à la sécurité. Et toutes les mises à jour de sécurité ne sont pas aussi critiques ».
Trois étapes suffisent, selon lui, pour améliorer la gestion de correctifs de sécurité :
1. fournir aux administrateurs des postes de travail des indicateurs clés de performance (KPI) pour maintenir à un niveau de priorité élevé l’installation des patches de sécurité ;
2. créer un inventaire des applications qui équipent les postes de travail. L’installation de correctifs sera ainsi facilitée ;
3. se doter d’un calendrier de hiérarchisation des vulnérabilités et de mise à disposition des patches. Pour assurer la supervision constante et le déploiement rapide des correctifs.
(crédit photo de une : morrisonbrett via VisualHunt.com / CC BY)
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
