Sécurité : la divulgation de failles informatiques reste épineuse

Ariane Beky,
avis-experts-cisco-cybersecurite

Le signalement de vulnérabilités de sécurité informatique sert la protection numérique de chacun. Mais les entreprises restent prudentes.

La divulgation publique de vulnérabilités et failles de sécurité informatique reste un sujet sensible. C’est ce que révèlent les résultats d’une enquête internationale* menée auprès de professionnels IT et de responsables de la sécurité des systèmes d’information.

Ils ont été interrogés par 451 Research pour Veracode.

90% des répondants considèrent que la divulgation publique de failles informatiques « sert à améliorer la façon dont les logiciels sont développés, utilisés et corrigés ». Ils estiment, en outre, que l’identification de ces failles sert la remédiation et la protection numérique de chacun.

Pourtant, au-delà des obligations légales de signalement (voir les recommandations et autres rapports de l’Anssi en France), seuls 9% des professionnels IT qui ont effectivement identifié une telle faille ces derniers mois ont opté pour un processus de divulgation étendu, des développeurs aux aurorités et fournisseurs concernés.

Au-delà du bug bounty

Globalement, 75% des organisations interrogées déclarent avoir un processus établi pour recevoir des rapports de bugs de la part de chercheurs en sécurité informatique. Mais, un tiers redoute une telle communication.

Pourtant, 37% des organisations concernées par l’enquête disent avoir reçu au moins un rapport de divulgation non sollicité dans les 12 derniers mois. De surcroît, 90% des vulnérabilités identifiées dans ce contexte ont été divulguées de manière coordonnée entre les experts en sécurité et les entreprises concernées.

Enfin, près d’une organisation sur deux propose des programmes et primes de chasse aux bugs informatiques (bug bounty). Mais ils ne fournissent qu’une partie de la solution. En outre, ces programmes seraient à l’origine de 19% seulement des rapports de failles, selon le rapport.

*L’enquête a été ménee entre décembre 2018 et janvier 2019 auprès de 1000 professionnels IT en charge des signalements de failles de sécurité. Cinq marchés sont concernés : Etats-Unis, France, Allemagne, Italie et Royaume-Uni.

(crédit photo © shutterstock)