Les vulnérabilités logicielles ont augmenté de 21 % depuis 2021, avec plus de 65 000 découvertes cette année, selon un rapport de HackerOne.
La plate-forme de cybersécurité externalisée a analysé les vulnérabilités découvertes par ses pirates éthiques, constatant que les vulnérabilités dans les projets de transformation numérique ont considérablement augmenté au cours de l’année dernière, avec leurs erreurs de configuration associées multipliées par deux et demie et les protocoles d’autorisation inappropriés par près de moitié.
En interrogeant plus de 5 000 hackers dans leur communauté, HackerOne a également constaté que plus d’un tiers des hackers pensaient que le manque d’expertise était le plus gros problème pour la posture de sécurité des entreprises.
Ce que pensent les pirates
Ce qui est plus inquiétant, c’est que la plupart des pirates pensaient que les outils de détection automatisée des menaces n’étaient pas assez bons, 92 % affirmant qu’ils peuvent découvrir des vulnérabilités que ces logiciels négligent dans les analyses.
Le rapport a également interrogé les pirates sur leurs motivations, la plupart (79%) déclarant qu’ils voulaient apprendre de leurs activités et 72% étaient motivés par l’argent. Près de la moitié piratent plus maintenant que l’année dernière également.
De manière quelque peu contre-intuitive, ils ont également eu tendance à cibler des programmes de meilleure qualité, la moitié évitant les programmes qui ont de mauvaises fonctionnalités de communication et sont lents dans leurs temps de réponse.
La moitié encore n’ont pas signalé les vulnérabilités qu’ils ont trouvées, 42 % affirmant que la cible en question n’avait pas de processus adéquat pour le faire.
Les paiements moyens aux pirates pour trouver des vulnérabilités – appelées primes – n’ont pas beaucoup augmenté par rapport à l’année dernière, mais il y a eu une augmentation marquée de 315% du paiement moyen des primes liées aux programmes de crypto-monnaie et de blockchain, de 6 443 $ en 2021 à 26 728 $ en 2022.
« Les clients continuent d’introduire des risques lors des projets de transformation numérique », a commenté Chris Evans, CISO de HackerOne. « Le rapport montre également que les pirates sont capables d’identifier les vulnérabilités introduites afin que nos clients puissent les corriger avant qu’elles ne provoquent un incident. »