Flexera publie une étude relative aux vulnérabilités des 50 principales applications de postes de travail sous Windows. Au total, 1922 vulnérabilités ont été repérées dans 22 produits de 8 éditeurs différents. C’est le résultat d’une enquête plus large. Elle a été menée par l’équipe Secunia Research du spécialiste de la gestion d’actifs logiciels (SAM).
Si le nombre de failles dans le Top 50 a baissé de 3% en 2017 par rapport à 2016, il a bondi de 27% en cinq ans, observe l’éditeur. Par ailleurs, en 2017, 83% des bulletins de sécurité concernant ces applications ont été classés « très critiques » ou « extrêmement critiques ». Contre 17% pour l’ensemble des logiciels évalués (source : Vulnerability Review 2018).
De surcroît, 94% des failles repérées dans le top 50 pourraient être exploitées à distance, via internet (Remote Network), sans action de la part de l’utilisateur.
Flexera souligne, par ailleurs, que 65% des failles repérées concernent des solutions d’autres éditeurs (Adobe, Google, Mozilla, Oracle, Apple…) que Microsoft. Les mises à jour automatiques proposées par l’éditeur de Redmond ne suffisent donc pas.
Pour réduire le risque de piratage, la gestion de correctifs devrait s’appliquer à toutes les applications des postes de travail. Et le « shadow SaaS » être contrôlé, selon Flexera.
« Les entreprises doivent faire le tri », a déclaré Kasper Lindgaard, directeur recherche et sécurité chez Flexera, cité dans un communiqué. « Toutes les mises à jour logicielles ne sont pas liées à la sécurité. Et toutes les mises à jour de sécurité ne sont pas aussi critiques ».
Trois étapes suffisent, selon lui, pour améliorer la gestion de correctifs de sécurité :
1. fournir aux administrateurs des postes de travail des indicateurs clés de performance (KPI) pour maintenir à un niveau de priorité élevé l’installation des patches de sécurité ;
2. créer un inventaire des applications qui équipent les postes de travail. L’installation de correctifs sera ainsi facilitée ;
3. se doter d’un calendrier de hiérarchisation des vulnérabilités et de mise à disposition des patches. Pour assurer la supervision constante et le déploiement rapide des correctifs.
(crédit photo de une : morrisonbrett via VisualHunt.com / CC BY)
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
