Face à l’explosion des vulnérabilités dans les systèmes d’information, seules 7,6% des entreprises françaises ont les ressources nécessaires pour corriger les failles critiques (CVE) dans les 24 heures suivant leur publication. La moitié parvient à les corriger en moins d’une semaine, un délai souvent imposé par les Politiques de Sécurité des Systèmes d’Information (PSSI), mais rarement respecté. Par contraste, les hackers exploitent ces CVE dans les 24 à 48 heures en moyenne. Ces chiffres sont tirés d’une récente étude d’I‑Tracing, menée auprès de 250 membres du Club des Experts de la Sécurité de l’Information et du Numérique (le Cesin).
L’enquête met notamment en avant la surcharge opérationnelle liée au volume croissant des failles critiques à traiter et les difficultés de priorisation dans des environnements hybrides et distribués. 56% des responsables de la sécurité des systèmes d’information (RSSI) du panel déclarent manquer de personnel qualifié pour absorber le volume de vulnérabilités, dont plus de la moitié est jugée trop critique pour être ignorée.
« La pénurie de ressources humaines et l’augmentation des cyberattaques obligent les entreprises à repenser leur approche. Il ne s’agit plus seulement de prioriser les risques, mais aussi de mieux répartir la charge de travail pour éviter l’épuisement des équipes », commente Laurent Besset, directeur général adjoint et Cyberdéfense chez I-Tracing.
Un livre blanc sur la gestion des vulnérabilités est issu de cette enquête du spécialiste français des services de cybersécurité. Il détaille les défis rencontrés par les RSSI et les stratégies mises en place dans leur entreprise.