Dans la série des « Combien coûte« , je demande… la vulnérabilité web ! Le blogger Jeremiah Grossman a interrogé de manière informelle 1 100 contacts (via Twitter, de quoi faire tousser la Sofres) afin de savoir combien ils consacraient de temps au colmatage des failles détectées dans leurs applications web maison.

Bilan : entre deux et quatre-vingt heures par vulnérabilité. Jeremiah Grossman a donc choisi de baser son calcul sur une moyenne de 40 heures, au taux horaire de 100$. Ce qui lui donne un coût de 4000$ par vulnérabilité.

Et puisqu’une faille n’arrive jamais seule, le blogger s’est appuyé sur les statistiques issues de sa propre entreprise , qui indiquent qu’en moyenne un site web audité aura sept vulnérabilités importantes exploitables à distance. Donc, 7×4000 = 28 000$ de réparation pour le site web moyen développé en interne sans processus de développement formel.

Bien entendu, comme pour la plupart des évaluations chiffrées, celle-ci est à prendre avec du recul. Mais elle permettra, peut-être, d’apporter des arguments à vos demandes de budget d’audit d’application web, ou pour la mise en oeuvre d’un processus de développement formel !

Pour les plus curieux d’entre vous, n’hésitez pas à lire le post complet sur le site de Jeremiah Grossman.