Flexera publie une étude relative aux vulnérabilités des 50 principales applications de postes de travail sous Windows. Au total, 1922 vulnérabilités ont été repérées dans 22 produits de 8 éditeurs différents. C’est le résultat d’une enquête plus large. Elle a été menée par l’équipe Secunia Research du spécialiste de la gestion d’actifs logiciels (SAM).
Si le nombre de failles dans le Top 50 a baissé de 3% en 2017 par rapport à 2016, il a bondi de 27% en cinq ans, observe l’éditeur. Par ailleurs, en 2017, 83% des bulletins de sécurité concernant ces applications ont été classés « très critiques » ou « extrêmement critiques ». Contre 17% pour l’ensemble des logiciels évalués (source : Vulnerability Review 2018).
De surcroît, 94% des failles repérées dans le top 50 pourraient être exploitées à distance, via internet (Remote Network), sans action de la part de l’utilisateur.
Flexera souligne, par ailleurs, que 65% des failles repérées concernent des solutions d’autres éditeurs (Adobe, Google, Mozilla, Oracle, Apple…) que Microsoft. Les mises à jour automatiques proposées par l’éditeur de Redmond ne suffisent donc pas.
Pour réduire le risque de piratage, la gestion de correctifs devrait s’appliquer à toutes les applications des postes de travail. Et le « shadow SaaS » être contrôlé, selon Flexera.
« Les entreprises doivent faire le tri », a déclaré Kasper Lindgaard, directeur recherche et sécurité chez Flexera, cité dans un communiqué. « Toutes les mises à jour logicielles ne sont pas liées à la sécurité. Et toutes les mises à jour de sécurité ne sont pas aussi critiques ».
Trois étapes suffisent, selon lui, pour améliorer la gestion de correctifs de sécurité :
1. fournir aux administrateurs des postes de travail des indicateurs clés de performance (KPI) pour maintenir à un niveau de priorité élevé l’installation des patches de sécurité ;
2. créer un inventaire des applications qui équipent les postes de travail. L’installation de correctifs sera ainsi facilitée ;
3. se doter d’un calendrier de hiérarchisation des vulnérabilités et de mise à disposition des patches. Pour assurer la supervision constante et le déploiement rapide des correctifs.
(crédit photo de une : morrisonbrett via VisualHunt.com / CC BY)
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…
Les grands de l'IT suppriment des milliers de jobs au nom du déploiement de. Une…
Quatre ans après l’appel de Rome - un pacte présenté en 2020 par le Vatican…