La divulgation publique de vulnérabilités et failles de sécurité informatique reste un sujet sensible. C’est ce que révèlent les résultats d’une enquête internationale* menée auprès de professionnels IT et de responsables de la sécurité des systèmes d’information.
Ils ont été interrogés par 451 Research pour Veracode.
90% des répondants considèrent que la divulgation publique de failles informatiques « sert à améliorer la façon dont les logiciels sont développés, utilisés et corrigés ». Ils estiment, en outre, que l’identification de ces failles sert la remédiation et la protection numérique de chacun.
Pourtant, au-delà des obligations légales de signalement (voir les recommandations et autres rapports de l’Anssi en France), seuls 9% des professionnels IT qui ont effectivement identifié une telle faille ces derniers mois ont opté pour un processus de divulgation étendu, des développeurs aux aurorités et fournisseurs concernés.
Globalement, 75% des organisations interrogées déclarent avoir un processus établi pour recevoir des rapports de bugs de la part de chercheurs en sécurité informatique. Mais, un tiers redoute une telle communication.
Pourtant, 37% des organisations concernées par l’enquête disent avoir reçu au moins un rapport de divulgation non sollicité dans les 12 derniers mois. De surcroît, 90% des vulnérabilités identifiées dans ce contexte ont été divulguées de manière coordonnée entre les experts en sécurité et les entreprises concernées.
Enfin, près d’une organisation sur deux propose des programmes et primes de chasse aux bugs informatiques (bug bounty). Mais ils ne fournissent qu’une partie de la solution. En outre, ces programmes seraient à l’origine de 19% seulement des rapports de failles, selon le rapport.
*L’enquête a été ménee entre décembre 2018 et janvier 2019 auprès de 1000 professionnels IT en charge des signalements de failles de sécurité. Cinq marchés sont concernés : Etats-Unis, France, Allemagne, Italie et Royaume-Uni.
(crédit photo © shutterstock)
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…