Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Explosion du nombre et de la criticité des vulnérabilités

06 mars 2018 - 11:40,
Tribune - Charles Blanc-Rolin
Selon les chiffres publiés sur le site CVE Details [1], le nombre de vulnérabilités enregistrées par MITRE [2] dans son célèbre référentiel CVE [3] en 2017 atteint un nombre record de 14 712 vulnérabilités face à 6 447 en 2016, soit une augmentation de près de 130 % !

nombre_vuln_par_an

Avec plus de 2 600 vulnérabilités déjà référencées sur les deux premiers mois de l’année 2018, nous pourrions passer la barre des 15 000 d’ici à la fin de l’année.

Au-delà du nombre, il est également important d’observer le niveau de criticité des vulnérabilités publiées. Pour cela, nous pouvons nous appuyer sur le score CVSS V3 [4].

En effectuant une recherche sur les dix dernières années dans la base de données (NVD) du NIST [5], et en sélectionnant comme critère un niveau de vulnérabilité critique (ayant un score CVSS V3 supérieur ou égal à 9/10), nous pouvons constater que le niveau de criticité des vulnérabilités découvertes est lui aussi en plein essor.

 

 

En passant de 858 vulnérabilités critiques en 2016 à 1 849 en 2017, on constate là encore une explosion des chiffres avec une augmentation de 115 % !

Que peut-on en conclure au-delà du fait que de plus en plus de vulnérabilités sont découvertes chaque année et que leur niveau de gravité ne cesse de croître ?

Tout d’abord que la sécurité est devenue un élément primordial dans le secteur du numérique, à plus forte raison quand le système d’information contient des données sensibles, telles que des données de santé par exemple.

Ensuite qu’il n’est plus acceptable aujourd’hui de ne pas appliquer les correctifs de sécurité publiés par les éditeurs ou constructeurs.

On peut aussi se demander si cette augmentation du nombre de vulnérabilités reflète une diminution de la qualité des développements ou une explosion de l’expertise des chercheurs ?

Pour ma part, je dirai qu’il y a un peu des deux. Les contraintes commerciales qui conduisent à produire toujours plus et plus vite mènent forcément à une diminution de la qualité des développements réalisés.

D’un autre côté, la sécurité est de plus en plus prise au sérieux : plus de budget est alloué à la recherche, avec plus de chercheurs, plus de temps passé à effectuer des recherches, notamment grâce à l’expansion des programmes et des plateformes de Bugs Bounty [6]. La France est d’ailleurs bien représentée dans ce secteur, avec des plateformes telles que Yes We Hack/Bounty Factory ou encore Yogosha.

Pour en revenir à nos systèmes d’information de santé, ils devront être « patchés » à un rythme nettement plus soutenu. Nous avons donc encore du travail et des efforts à fournir de ce côté, sans perdre de vue que des vulnérabilités non encore référencées (des 0-Day) sont et seront toujours dans la nature… 

À ne pas rater non plus dans l’actualité récente : la publication au Journal officiel du décret relatif à la certification des hébergeurs de données de santé [7].


[1] https://www.cvedetails.com/browse-by-date.php

[2] https://fr.wikipedia.org/wiki/MITRE

[3] https://cve.mitre.org/

[4] https://fr.wikipedia.org/wiki/Common_Vulnerability_Scoring_System

[5] https://fr.wikipedia.org/wiki/National_Institute_of_Standards_and_Technology

      https://nvd.nist.gov/vuln/search

[6] https://fr.wikipedia.org/wiki/Bug_bounty

[7] https://www.legifrance.gouv.fr/eli/decret/2018/2/26/SSAZ1733293D/jo/texte

Avez-vous apprécié ce contenu ?

A lire également.

Illustration « Apporter de la simplicité sans être simplistes », la voie d’Axigate Link

« Apporter de la simplicité sans être simplistes », la voie d’Axigate Link

27 oct. 2025 - 17:43,

Actualité

- DSIH

Avec une offre de solutions numériques pluridisciplinaire, Axigate Link est un acteur qui compte dans l’Europe de l’e-santé. Il couvre les besoins de l’ensemble de l’écosystème du soin et fluidifie les liens entre professionnels de santé pour une prise en charge plus pertinente des patients. Grégoir...

Illustration La transformation numérique en santé : un défi humain avant tout

La transformation numérique en santé : un défi humain avant tout

27 oct. 2025 - 11:44,

Actualité

- Rédaction, DSIH

Dans les hôpitaux et établissements de santé, la réussite d’un projet numérique ne dépend pas seulement des solutions techniques mises en place. Elle repose d’abord sur un facteur souvent sous-estimé : la conduite du changement. C’est le message clé que portera la formation « Conduite du changement ...

Illustration Horizon Santé 360 : des promesses concrètes de l’innovation en santé

Horizon Santé 360 : des promesses concrètes de l’innovation en santé

27 oct. 2025 - 11:04,

Actualité

- Pauline Nicolas, DSIH

Après une matinée centrée sur la souveraineté et les perspectives stratégiques du groupe La Poste Santé & Autonomie et de ses expertises, l’après-midi d’Horizon Santé 360 a laissé place à la mise en pratique avec ateliers riches et inspirants où l’innovation a pu se déployer tout autant qu’être soum...

Illustration L’Alliance Rhumatech lance FormaRIC, une solution numérique pour la prise en charge des rhumatismes inflammatoires chroniques

L’Alliance Rhumatech lance FormaRIC, une solution numérique pour la prise en charge des rhumatismes inflammatoires chroniques

27 oct. 2025 - 10:17,

Actualité

- Rédaction, DSIH

En Europe, près de trois millions d’adultes et cinquante mille enfants vivent avec un rhumatisme inflammatoire chronique (RIC), un ensemble de pathologies regroupant notamment les spondylarthropathies, la polyarthrite rhumatoïde et le rhumatisme psoriasique. Ces maladies se caractérisent par une inf...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.