Les derniers résultats de l’étude Qualys sur les vulnérabilités « The Laws of Vulnerabilities », montre une forte augmentation des menaces sur les réseaux internes

— September 7, 2004 — Gerhard Eschelbeck, CTO de Qualys™ Inc., publie les nouveaux résultats de sa célèbre étude statistique « The Laws of Vulnerabilities », basée sur l’analyse des scans effectués pour le compte des clients de Qualys et représentant la plus importante base de données du marché.

Cette étude démontre que d’importantes améliorations ont été apportées, au cours de l’année 2004, pour sécuriser les périmètres réseaux tandis que les systèmes internes des entreprises demeurent encore très sensibles aux attaques.

Actuellement, il faut, en moyenne, 62 jours aux entreprises pour corriger les vulnérabilités découvertes sur leurs réseaux internes et 21 jours pour les réseaux externes. Le temps de réaction reste donc important rendant les applications et dispositifs des réseaux internes, et plus particulièrement les navigateurs Web ou les serveurs, vulnérables aux éventuelles attaques.

Ce constat est le résultat d’une étude statistique menée sur 2 ans et demi faisant état de 4 millions de vulnérabilités critiques, répertoriées sur 6.5 millions de scans effectués. L’année précédente, la recherche portait sur plus d’1.5 millions de scans sur une période d’un an et demi.

« Cette étude montre très clairement que d’importantes questions stratégiques restent en suspens concernant la protection des réseaux internes. C’est la première fois que nous récoltons de telles données nous démontrant à quel point les réseaux internes sont vulnérables. Nous ne pouvons plus ignorer cet aspect,», déclare Howard A. Schmidt, ex-conseiller sécurité du Président Bush et président du comité de direction de Qualys. « L’étude menée par Gerhard Eschelbeck, nous fournit une vue unique sur le niveau de vulnérabilité des réseaux et de précieuses informations pour identifier les dernières menaces, et anticiper les actions à prendre pour protéger les réseaux de manière efficace. »

Le détail de cette nouvelle étude est disponible sur www.qualys.com/laws.

Les 4 principaux enseignements de cette étude sont les suivants:

1. L’écart se creuse entre la durée de vie moyenne des vulnérabilités sur les réseaux internes et les réseaux externes: le temps nécessaire pour éliminer les vulnérabilités sur la moitié des systèmes et réduire ainsi leur degré d’exposition. Le cycle de vie moyen pour des vulnérabilités critiques est de 21 jours pour les réseaux externes et de 62 jours pour les réseaux internes. Le temps nécessaire est multiplié par 2 lorsque le degré de criticité des vulnérabilités diminue.
2. La prévalence: la moitié des attaques les plus répandues et les plus critiques sont remplacées par de nouvelles vulnérabilités chaque année. En d’autres termes, il y a un flot constant de nouvelles vulnérabilités à gérer.
3. La persistance: la durée de vie de certaines vulnérabilités et alertes est illimitée. L’étude démontre que les failles, causées par les virus Blaster et Nachi en 2004, étaient encore visibles, des mois après que ces virus ne soient effectivement apparus.
4. L’exploitation: le cycle d’exploitation est plus court que le cycle de remediation. Plus de 80% des alertes ciblent les deux premiers cycles de vie des vulnérabilités.

« Nous avons fait d’importants progrès en raccourcissant le degré d’exposition des systèmes externes, en revanche, nous devons désormais nous pencher sur les systèmes internes », déclare Gerhard Eschelbeck, CTO et Vice Président Technique de Qualys. « Les vulnérabilités des navigateurs Web, des centres de données, des serveurs et autres systèmes internes arrivent systématiquement en haut de notre liste des vulnérabilités les plus critiques. Les alertes circulent rapidement mais les actions de correction à l’intérieur même du réseau sont prises encore beaucoup trop tardivement. Les entreprises doivent faire preuve de plus d’agressivité concernant leurs protections internes ».

S’appuyant sur son étude des vulnérabilités, Qualys fournit également une liste, en temps réel, des 10 vulnérabilités les plus critiques et les plus répandues, à la fois sur les systèmes internes et externes.

Les listes “ Top 10 Internal“ et “Top 10 External“ de Qualys sont mises à jour continuellement et automatiquement. Elles sont disponibles gratuitement sur le site Web de Qualys: www.qualys.com/top10.

A propos de Qualys

Qualys est le leader des audits de sécurité réseaux et du management des vulnérabilités automatisés. Avec QualysGuard, quelle que soit la taille de leurs réseaux, petites et grandes entreprises peuvent gérer, de manière effective et proactive, la sécurité de leurs réseaux en menant régulièrement des audits de sécurité, et en assurer le suivi et la remediation, de manière entièrement automatisée afin de neutraliser les virus et autres menaces avant qu’elles ne soient exploitées par des Hackers.

Disposer d’un processus entièrement automatisé pour détecter, corriger les vulnérabilités, permet de hiérarchiser les informations recueillies ainsi que les actions à mener en fonction du niveau de criticité des failles et des dispositifs concernés et donc, de leur impact sur l’activité de l’entreprise. Le service “on demand” (délivré via le Web), permet de significatives économies, ne nécessitant aucune ressource humaine ou financière pour le déploiement, la mise à jour et la maintenance de l’infrastructure, et répond aux problématiques des entreprises internationales et des réseaux distribués.

Des milliers de clients font confiance à Qualys parmi lesquels DuPont, Hershey Foods, Hewlett Packard, Standard Chartered Bank, AXA IM, Geodis, Le Crédit Agricole, La Société Générale, Sodexho… Qualys est basé à Redwood en Californie, et dispose de bureaux en Europe : France, Allemagne et Royaume Uni, ainsi qu’en Asie: Japon, Singapour, Australie, Corée et République de Chine. www.qualys.com.

Qualys, the Qualys logo and QualysGuard are proprietary trademarks of Qualys, Inc. All other products or names may be trademarks of their respective companies.

Pour toutes informations complémentaires, vous pouvez contacter:

Contact: Nathalie Kanaf
EMEA Marketing Manager
01 44 17 00 46
pr-fr@qualys.com

Contact: Agence Sogoa

01 58 60 33 00
presse@sogoa.com

For all other matters

Contact: pr@qualys.com

Media Contact:
Tami Casey
Qualys
media@qualys.com