Peu de sujets relatifs à la sécurité des applications suscitent autant de remous que la divulgation de vulnérabilités informatiques. Un débat vif puisqu’il met en lumière des intérêts très divergents.
Etude Veracode – D’un côté, les experts en sécurité informatique veulent corriger rapidement les vulnérabilités et recevoir des mises à jour de la part du fournisseur ; de l’autre, la priorité de l’entreprise concernée sera de résoudre le problème avant sa divulgation, tout en protégeant les données de ses utilisateurs. Cet enjeu provoque même des réactions mal avisées de la part des entreprises vis-à-vis de l’identification de vulnérabilités dans leurs produits ou services, pouvant aller jusqu’à la formulation de menaces à l’encontre de l’employeur d’un expert en sécurité.
Dans ce contexte, Veracode a commandé une étude à l’institut 451 Research auprès d’un millier de sondés répartis dans cinq pays du globe (France, Etats-Unis, Italie, Royaume-Uni, Allemagne) afin de déterminer dans quelle mesure la « divulgation coordonnée » est pratiquée et quelles difficultés elle suscite. Par divulgation coordonnée, on entend l’identification par un expert en sécurité informatique d’une vulnérabilité, ainsi que le processus qui s’ensuit avec l’entreprise et les fournisseurs dans le but de corriger puis divulguer publiquement ladite faille. Ainsi, quels sont les moyens mis en place par les entreprises afin d’être au fait des rapports de vulnérabilité ? De quelle manière les politiques de divulgation coordonnée sont-elles perçues par les entreprises, fournisseurs et les experts en cybersécurité ?
Les conclusions de cette étude permettent de dégager quelques éléments de réponse à ces questions : en effet, si la divulgation est plébiscitée en théorie, elle fait toujours peur aux entreprises en pratique.
- 9 répondants sur 10 estiment que la divulgation des vulnérabilités s’apparente à un bien public qui améliore la transparence tout en étant bénéfique à la sécurité de tous.
- Pourtant, la divulgation fait peur aux entreprises, puisque seulement 9% des répondants ayant identifié une vulnérabilité de sécurité ont opté pour cette solution.
- A tel point que parmi les entreprises qui mettent en place des processus permettant de recevoir les rapports de vulnérabilité, au moins un tiers sont motivés par la crainte d’une divulgation complète de la vulnérabilité.
- Les personnes interrogées considèrent qu’un expert en sécurité informatique sous contrat ne devrait pas divulguer les vulnérabilités qu’il identifie (70%).
- Plus du tiers (37%) des entreprises interrogées ont reçu un rapport de vulnérabilités qu’elles n’ont pas sollicité au cours des 12 derniers mois.
- Parmi les entreprises ayant reçu un rapport non sollicité, 90 % des vulnérabilités ont été divulguées de manière coordonnée entre les experts de sécurité et les entreprises.