Le directeur technique de Qualys, Wolfgang Kandek, dévoile les résultats de l’étude « Laws of Vulnerabilities 2.0 » lors de la Conférence RSA 2009

Paris, - le 27 avril 2009 - Wolfgang Kandek, directeur technique de Qualys, Inc., le principal fournisseur de solutions à la demande pour la gestion des risques de sécurité informatique et de la conformité, dévoile son étude « Laws of Vulnerabilities 2.0 » et s’appuie sur la plus importante compilation de données de vulnérabilités disponible. L’étude Laws 2.0 indique les tendances en matière de durée de vie moyenne, de prévalence, de persistance et d’exploitation des vulnérabilités pour les 5 marchés critiques que sont les secteurs de la finance, de la santé, de la vente au détail, de la production et des services. Tirées de l’analyse statistique de plus de 680 millions de vulnérabilités, parmi lesquelles 72 millions sont critiques, ces tendances s’appuient sur 80 millions de scans réseaux réalisés en 2008.

Méthodologie de l’étude « Laws of Vulnerabilities 2.0 »
Les conclusions tirées de cette étude sont :

• 1. Durée de vie moyenne — La durée de vie moyenne des vulnérabilités critiques est restée de 30 jours pour tous les marchés concernés. Si l’on prend chaque marché pris séparément, l’industrie des services connaît la durée de vie moyenne la plus courte, avec 21 jours. Le secteur financier se classe en seconde place, avec 23 jours, le marché de la vente au détail en troisième position, avec 24 jours et le secteur de la production est en dernière place avec un cycle de vie moyen de 51 jours pour une vulnérabilité.
• 2. Prévalence — 60% des vulnérabilités les plus répandues et les plus critiques sont remplacées par de nouvelles vulnérabilités chaque année. Ce nombre a augmenté par rapport à l’étude Laws de 2004 où il était de 50%. D’après l’étude Laws 2.0, les principales solutions pointées du doigt sont Microsoft Office, Windows 2003 SP2, Adobe Acrobat et le Plug-in Java de Sun.
• 3. Persistance — L’étude Laws 2.0 signale que la durée de vie de la plupart, sinon de toutes les vulnérabilités, est illimitée, un pourcentage important de vulnérabilités n’étant jamais totalement résolues. Cette tendance a été illustrée par des échantillons de données de MS08-001, MS08-007, MS08-015 et MS08-021.
• 4. Exploitation — 80% des attaques de vulnérabilités se produisent désormais dans les 10 jours qui suivent la publication de la vulnérabilité. En 2008, l’entité Qualys Labs avait consigné 56 vulnérabilités avec des attaques à zéro jour (Zero Day), dont la vulnérabilité RPC qui a engendré Conficker. En 2009, la première vulnérabilité signalée par Microsoft, MS09-001, a été victime d’une attaque dans les 7 jours qui ont suivi. Le Patch Tuesday d’avril de Microsoft mentionnait des attaques connues pour plus de 47% des vulnérabilités publiées. C’est cette tendance qui a le plus évolué depuis l’étude Laws 1.0 de 2004, qui signalait alors un laps de temps indicatif confortable de 60 jours.

« Il est de plus en plus difficile d’assurer la sécurité en raison de l’extrême sophistication des attaques et de la fenêtre d’exposition désormais ramenée à quelques jours seulement pour les vulnérabilités les plus critiques », déclare Wolfgang Kandek, directeur technique de Qualys et auteur de l’étude « Laws of Vulnerabilities 2.0 ». « L’objectif de cette étude est d’aider les entreprises des différents secteurs d’activités à comprendre les tendances plus vastes, les dommages potentiels ainsi que les priorités en matière de vulnérabilités. Elles pourront ainsi prendre des décisions plus efficaces et immédiates pour protéger leurs réseaux. Grâce aux résultats générés par une étude comme « Laws of Vulnerabilities 2.0 », nous pouvons fournir, en temps réel, aux marchés une approche statistique des tendances de ces menaces. »

Méthodologie de recherche pour l’étude « Laws of Vulnerabilities 2.0 »
Cette étude s’appuie sur une compilation anonyme qui ne permet pas d’identifier un quelconque client, adresse IP ou réseau. Les données sont collectées via l’infrastructure d’analyse QualysGuard qui effectue plus de 200 millions d’audits d’adresses IP chaque année. De simples compteurs sont activés pendant l’analyse des réseaux des clients et les données collectées sont ensuite synthétisées puis consignées quotidiennement à des fins d’analyse et d’étude.

Les résultats complets de cette étude sont disponibles sur http://laws.qualys.com.

A propos de Qualys

Qualys, Inc. est le principal fournisseur de solutions « à la demande » pour la gestion des vulnérabilités et de la conformité sous la forme de services (SaaS). Déployables en quelques heures seulement partout dans le monde, les solutions SaaS de Qualys fournissent aux entreprises une vue immédiate et permanente de l’état de leur sécurité et de leur conformité.
Actuellement utilisé par plus de 3500 entreprises dans 85 pays, dont 40 des 100 premières sociétés mondiales du classement établi par Fortune, le service QualysGuard® réalise plus de 200 millions d’audits IP par an. Qualys a opéré le plus important déploiement de ressources de gestion des vulnérabilités au monde au sein d’une société figurant parmi les 50 premières entreprises mondiales du classement Fortune.
Qualys a signé des accords stratégiques avec des fournisseurs de services d’infogérance (« managed services ») de premier ordre et des cabinets de conseil tels que BT, Etisalat, Fujitsu, IBM, I(TS)2, LAC, SecureWorks, Symantec, Tata Communications, TELUS et VeriSign. Pour de plus amples informations, rendez-vous sur www.qualys.com.

###

Qualys, the Qualys logo and QualysGuard are proprietary trademarks of Qualys, Inc. All other products or names may be trademarks of their respective companies.

For media inquiries or to find the appropriate spokesperson
Contact: Adeline Lescale-Babel
Agence Tukilik
+33 (0)1 56 80 11 50
qualys@tukilik.com

For all other matters
Contact: pr@qualys.com

Media Contact:
Tami Casey
Qualys
media@qualys.com