Sur la base de 500 millions de tests réalisés, 72% des organisations restent vulnérables à la faille Log4Shell au 1er octobre 2022, selon Tenable. Près d’un an après la découverte de la faille critique sur Log4j, cela montre à quel point la remédiation est longue et imparfaite.
Selon le spécialiste en cybersécurité du Maryland, un actif sur 100 environ était vulnérable à Log4Shell en décembre 2021. En début octobre 2022, près d’un tiers de ces actifs présentait encore des récurrences de Log4Shell, même après mise en oeuvre du correctif.
C’est en Amérique du Nord que la remédiation complète à Log4j a été la plus forte : (28%) selon le rapport. Viennent ensuite la région Europe, Moyen-Orient et Afrique (27%), l’Asie-Pacifique (25%) et l’Amérique latine (21%).
Dans les semaines qui ont suivi la divulgation de la vulnérabilité Log4Shell, des ressources considérables ont été affectées à sa correction. L’étude cite un ministère fédéral américain indiquant que son équipe de sécurité a consacré 33.000 heures à la remédiation de la vulnérabilité.
De par le monde, les secteurs qui se sont le mieux emparés du problème sont l’ingénierie (45%), les services juridiques (38%), les services financiers (35%), les organismes à but non lucratif (33%) et les administrations publiques (30%).
« La remédiation complète est très difficile à réaliser pour une vulnérabilité aussi omniprésente et il est important de garder à l’esprit que la remédiation des vulnérabilités n’est pas un processus qui règle tout une fois pour toutes », commente le directeur de la sécurité de Tenable, Bob Huber, dans un communiqué. « Bien qu’une organisation ait pu être entièrement remédiée à un moment donné, elle est susceptible de rencontrer à nouveau Log4Shell au fur et à mesure qu’elle ajoute de nouveaux actifs à ses environnements. L’éradication de Log4Shell est une bataille permanente qui demande d’évaluer continuellement les environnements pour détecter cette faille, ainsi que d’autres vulnérabilités connues. »