La divulgation publique de vulnérabilités et failles de sécurité informatique reste un sujet sensible. C’est ce que révèlent les résultats d’une enquête internationale* menée auprès de professionnels IT et de responsables de la sécurité des systèmes d’information.
Ils ont été interrogés par 451 Research pour Veracode.
90% des répondants considèrent que la divulgation publique de failles informatiques « sert à améliorer la façon dont les logiciels sont développés, utilisés et corrigés ». Ils estiment, en outre, que l’identification de ces failles sert la remédiation et la protection numérique de chacun.
Pourtant, au-delà des obligations légales de signalement (voir les recommandations et autres rapports de l’Anssi en France), seuls 9% des professionnels IT qui ont effectivement identifié une telle faille ces derniers mois ont opté pour un processus de divulgation étendu, des développeurs aux aurorités et fournisseurs concernés.
Globalement, 75% des organisations interrogées déclarent avoir un processus établi pour recevoir des rapports de bugs de la part de chercheurs en sécurité informatique. Mais, un tiers redoute une telle communication.
Pourtant, 37% des organisations concernées par l’enquête disent avoir reçu au moins un rapport de divulgation non sollicité dans les 12 derniers mois. De surcroît, 90% des vulnérabilités identifiées dans ce contexte ont été divulguées de manière coordonnée entre les experts en sécurité et les entreprises concernées.
Enfin, près d’une organisation sur deux propose des programmes et primes de chasse aux bugs informatiques (bug bounty). Mais ils ne fournissent qu’une partie de la solution. En outre, ces programmes seraient à l’origine de 19% seulement des rapports de failles, selon le rapport.
*L’enquête a été ménee entre décembre 2018 et janvier 2019 auprès de 1000 professionnels IT en charge des signalements de failles de sécurité. Cinq marchés sont concernés : Etats-Unis, France, Allemagne, Italie et Royaume-Uni.
(crédit photo © shutterstock)
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…