OX Security vient de publier un rapport d’analyse portant sur plus de 101 millions de résultats de sécurité collectés auprès de 178 organisations. L’étude révèle qu’en moyenne, seules 2 à 5 % des alertes de sécurité seraient véritablement critiques. Les auteurs estiment que 95 % des alertes relèvent principalement du bruit.
“Cet écart considérable entraîne un épuisement des ressources et accentue les frictions entre les équipes de développement et les équipes de sécurité chargées de résoudre les problèmes non critiques. Il illustre également l’écart entre l’objectif des responsables de la sécurité — améliorer la sécurité des applications — et le résultat réel : une charge de travail accrue liée à l’analyse manuelle d’un grand volume d’alertes générées automatiquement”, expliquent les auteurs.
Selon les données recueillies, une organisation est en moyenne confrontée à 569 354 alertes de sécurité. Après priorisation contextuelle, ce chiffre pourrait être réduit à 11 836, dont 202 seraient considérées comme véritablement critiques.
L’étude met en évidence plusieurs informations majeures :
– 32 % des problèmes identifiés présentent un faible risque d’exploitation.
– 25 % des alertes ne sont associées à aucune exploitation publique connue.
– 25 % des résultats concernent des dépendances indirectes ou de développement.
– 1,71 % des alertes correspondent à des vulnérabilités connues et exploitées (KEV), c’est-à-dire activement exploitées dans l’environnement de l’organisation et nécessitant une intervention prioritaire.
– 1,62 % des résultats relèvent de l’exposition de secrets, un type de vulnérabilité considéré comme fréquent et à risque élevé.
L’analyse sectorielle indique que le taux de bruit moyen est de 98 %, quels que soient la taille ou le secteur d’activité des organisations. Cependant, les institutions financières sont parmi les plus exposées, avec un volume d’alertes significativement plus élevé que la moyenne.
Le faible taux des alertes de sécurité ne cache pas pour autant la dangerosité des risques.
