Clairement aucun système n'est parfait et il n'est pas exempt d'être violé et peu importe à quel point il prétend être sûr, il y aura toujours un moyen d'y accéder et un exemple assez grossier de ceci concerne la méthode qu'ils ont conçue l'année dernière dans laquelle il était possible de connaître les informations de un ordinateur à capter d'être déconnecté du réseau, du simple fait du son émis par les ventilateurs, pourrait être compromis.
Et bien, j'en ai parlé récemment, le rapport annuel "Hacker-Powered Security: Industry Insights" de HackerOne montre que les pirates éthiques ont identifié plus de 66.000 XNUMX vulnérabilités valides l'année dernière.
Pour ceux qui ne connaissent pas HackerOne, une plate-forme de sécurité collaborative mondiale, et il a été révélé que le Les pirates éthiques ont signalé plus de 66.000 XNUMX vulnérabilités valides cette année, 20% de plus qu'en 2020.
La sécurité collaborative est une pratique en croissance, particulièrement soutenue par une augmentation très significative des campagnes de pentest (+ 264%). La pandémie a entraîné une accélération de la transformation numérique et la migration vers le cloud, exposant les organisations à davantage de vulnérabilités à mesure que les surfaces d'attaque s'étendent et que les services continuent d'externaliser.
Le rapport annuel d'information sur l'industrie fournit des informations à partir de la base de données du programme de bogues et de vulnérabilités le plus grand du monde
La générosité. Il nous apprend cette année que le nombre de primes versées aux pirates pour la détection de vulnérabilités critiques est en augmentation, les organisations priorisant les bugs ayant le plus d'impact.
Les entreprises sont également plus rapides que jamais pour gérer et corriger les vulnérabilités, car ces problèmes deviennent des problèmes commerciaux majeurs.
Le rapport enfin révèle les 10 vulnérabilités les plus signalées, fournir une compréhension de la façon de hiérarchiser les efforts pour remédier aux vulnérabilités et quelles vulnérabilités sont les plus précieuses.
Chris Evans, RSSI et récemment nommé directeur du piratage chez HackerOne commente :
« Aujourd'hui, même les organisations les plus conservatrices reconnaissent la valeur ajoutée de la perspective extérieure apportée par les pirates éthiques. Par exemple, on assiste à une forte croissance des pratiques collaboratives de sécurité chez les acteurs financiers. Mesurer et quantifier les risques est leur cœur de métier, et ils se rendent compte que le risque est plus faible lorsqu'ils travaillent avec des pirates. Nos clients s'appuient sur les données de rapport de vulnérabilité tout au long de leurs cycles de développement logiciel. Par conséquent, ils peuvent détecter les défauts plus tôt et les réparer de manière économique.
Voici quelques-unes des principales conclusions du rapport :
La la sécurité collaborative continue d'augmenter avec une augmentation de 34 % du nombre de programmes de sécurité impliquant des pirates éthiques en 2021.
Toutes les industries font partie de cette tendance, y compris les industries les plus critiques et traditionnellement conservatrices.
Dans le secteur financier en particulier, les programmes de sécurité collaborative ont augmenté de 62 %. Dans le secteur public, ces pratiques ont augmenté de 89 %, portées par des institutions phares comme le ministère britannique de la Défense ou l'agence GovTech à Singapour.
Les pirates ont signalé 20 % de vulnérabilités en plus qu'en 2020. Bien que prime de bug traditionnelle augmentée de 10%, les programmes de divulgation de vulnérabilités (VDP) ont connu une augmentation de 47 % et les rapports de tests d'intrusion (pentests) ont augmenté de 264 %.
Le prix moyen d'une récompense pour trouver une vulnérabilité critique augmenté de 20 %, de 2500 XNUMX $ à 3000 $ en 2021. Le montant moyen d'une récompense a augmenté de 13 % pour une vulnérabilité critique et de 30 % pour une vulnérabilité très critique.
Au cours de la dernière année, le temps de résolution moyen a diminué 19%, de 33 jours à 26,7 jours, car certains secteurs tels que la vente au détail et le commerce électronique ont vu le temps de résolution chuter de plus de 50 jours.%.
Le bug le plus signalé dans HackerOne, c'est toujours Cross Site ScriptingCependant, d'autres types d'erreurs ont connu une augmentation significative depuis 2020. La divulgation d'informations a augmenté de 58% et les erreurs de logique métier ont connu une augmentation de 67%, leur donnant pour la première fois une place dans le Top 10.
Enfin si vous souhaitez en savoir plus vous pouvez vérifier les détails dans le lien suivant