Si une entreprise n’a pas de solution pour notifier les points faibles de ses systèmes, l’avertissement est voué à l’échec dans quasiment la moitié des cas. Il reste ainsi des tas de problèmes passant inaperçus.
Les hackers éthiques sont des gens qui tentent de pirater à distance des sites web ou des installations d’entreprises, afin d’y trouver des bugs et d’en in former ces dernières. Et ce, contrairement aux hackers criminels qui exploitent les points faibles à leur profit.
Intigriti, une ‘bug bounty platform’ belge, a effectué à ce propos un sondage au sein de sa propre communauté de hackers et en est arrivée à la conclusion que chez les entreprises n’ayant pas de solution de notification de leurs problèmes de sécurité, quelque 44 pour cent de ces notifications sont vouées à l’échec.
Le sondage effectué auprès d’un millier de hackers éthiques dans la communauté d’Intigriti montre que 70,1 pour cent des entreprises où un point faible est découvert, n’ont pas de politique permettant aux pirates de le mentionner en toute sécurité.
Via le service à la clientèle
Cela a un impact direct sur la fréquence de notification (réussie) d’un problème de sécurité. Pour les entreprises dépourvues d’une telle politique, 27,4 pour cent des observations ne font même pas l’objet d’un rapport. Dans les 72,6 pour cent restants, cela transite par un dédale de processus. Dans la plupart des cas (53,5 pour cent), cela passe par le service à la clientèle. L’e-mail (16,6 pour cent), les médias sociaux (11,6 pour cent) ou un acteur tiers sont aussi régulièrement utilisés.
Mais la notification ne signifie pas forcément que l’affaire sera effectivement suivie d’effet. En général, la ‘chance de réussite’ de cette notification est de 61,6 pour cent environ. Autrement dit, si une entreprise ne dispose d’aucune méthode ou solution pour notifier et suivre ses points faibles, seuls 31,6 pour cent des bugs découverts sont correctement annoncés.