"Le présent rapport mesure l’écart, en nombre de jours, entre le moment où un code malveillant permettant d’exploiter une vulnérabilité devient publiquement disponible (délai de disponibilité de l’exploit) et le moment où cette vulnérabilité est évaluée pour la première fois (délai d’évaluation).
Un delta négatif indique que l’attaquant a la possibilité d’exploiter une vulnérabilité avant même que le défenseur ne prenne connaissance du risque.
L’échantillon utilisé pour cette analyse est basé sur les 50 vulnérabilités les plus courantes parmi près de 200 000 scans de vulnérabilité uniques. (...)
Recommandations :
- • Réalisez des évaluations des vulnérabilités continues afin de réduire le délai d’évaluation. Cependant, cette mesure ne suffit pas à elle seule à refermer totalement la fenêtre d’exposition.
- • De nouvelles vulnérabilités ou nouveaux exploits sont constamment découverts et publiés. Les attaques et menaces évoluent rapidement et peuvent frapper à tout moment. Un programme efficace de gestion des vulnérabilités doit avoir pour objectif de s’adapter et de réagir rapidement face à ces situations changeantes. Un modèle de type marchearrêt ou cyclique n’est pas à la hauteur d’un tel objectif, nécessitant plutôt une approche de gestion de vulnérabilité de type intégration et distribution continues (CI/CD).
- • Alignez les processus opérationnels de façon à favoriser une réponse rapide, des demandes de remédiation et de limitation de risque ad hoc, en dehors des fenêtres habituelles de maintenance et de patch.
- • Concentrez vos efforts de correction et de priorisation sur les vulnérabilités pour lesquelles des exploits sont publiquement disponibles, ainsi que sur celles activement visées par des programmes malveillants, des kits d’exploit et des ransomwares. Cela nécessite de comprendre la situation et le contexte des menaces en se basant sur des données à jour."
