Seulement 3 % des vulnérabilités critiques méritent d’être traitées en priorité
La croissance exponentielle de la complexité des applications web et API a eu pour conséquence l’explosion du nombre de vulnérabilités. La tâche des équipes DevOps n’est pas rendue facile : elles doivent garder une longueur d’avance sur les attaquants et sécuriser leur code sans sacrifier leur vitesse de déploiement. Le tout en garantissant une utilisation efficace des budgets de sécurité. Toutes les vulnérabilités jugées critiques par le système CVSS (Common Vulnerability Scoring System) sont corrigées en priorité par les équipes chargées des applications et de la sécurité. Cependant, selon le rapport 2023 de Datadog sur l’état de la sécurité des applications, seulement 3% des vulnérabilités classées comme critiques par le CVSS valent réellement la peine d’être priorisées.

Le rapport compare le score de gravité CVSS standard à un score de gravité modifié qui tient compte du contexte d’exécution. Cette approche prend en compte des données d’exposition à des attaques, ainsi que des données sur la sensibilité de l’environnement où se trouvent les vulnérabilités. Il en résulte que 97 % des vulnérabilités qualifiées de critiques par le CVSS pourraient être déclassées et se voir attribuer un score de gravité inférieur.
« Dans l’environnement macroéconomique actuel, il est plus important que jamais d’optimiser les coûts. Pour les équipes de sécurité, cela signifie une pression accrue pour trouver et corriger les vulnérabilités qui auront le plus d’impact sur la réduction du risque pour l’entreprise », déclare Emilio Escobar, Chief Information Security Officer chez Datadog. « Les conclusions du rapport sur l’état de la sécurité des applications montrent qu’il est possible d’optimiser les budgets de sécurité cette année en donnant la priorité aux 3% de vulnérabilités réellement critiques et qui auront le plus grand impact sur la posture de sécurité de l’organisation. »

Parmi les autres résultats clés du rapport :
• 1 attaque sur 10 cible des environnements hors-production
• 7 attaques sur 10 échouent parce qu’elles ciblent les mauvais langage de programmation, systèmes d’exploitation ou vulnérabilités.
• Les services Java présentent les vulnérabilités les plus critiques, tandis que les services Python en présentent le moins.

Trois quarts des attaques sont mal ciblées
Le rapport 2023 sur l’état de la sécurité des applications sur est dès à présent disponible.