Le corpus de données n’a rien de négligeable : six mois d’attaques observées contre 6000 entreprises clientes de l’IPS TippingPoint, ainsi que les résultats de 100 millions de scans de vulnérabilités menés par Qualys sur neuf millions d’adresses IP. C’est la matière première de la dernière étude rapportée par le SANS, avec pour objectif de comprendre comment les entreprises corrigent leurs vulnérabilités et, accessoirement, pourquoi elles continuent malgré tout à être victimes d’exploits.

Le bilan : les entreprises corrigent certes 80% des vulnérabilités des systèmes Windows dans les deux mois suivant leur découverte, mais elles ne colmatent seulement 40% des failles applicatives sur la même période. Pourtant, observe le rapport, la majorité des attaques vise désormais les applications, et surtout in fine celles du poste de travail à travers les serveurs web.

Plus spécifiquement, le rapport note que 60% des attaques observées visaient les applications web afin de compromettre le serveur et infecter par la suite ses clients. La majorité de ces attaques étaient des injections SQL et du cross site scripting.

Il y a donc un écart significatif entre la pratique de rémédiation des entreprises et le risque encouru, et c’est le premier enseignement de cette étude.

A ce sujet, le prochain Petit-Déjeuner SecurityVibes sera, justement, consacré à la sécurité des applications web.

Le rapport sur le site du SANS (en anglais)