Solutions
&
techno

Cybersécurité : la grande majorité des entreprises n’a toujours pas comblé Log4Shell

Par Bertrand Lemaire | Le | Cybersécurité

Une étude de Tenable montre que la faille Log4Shell dans Log4J n’était toujours pas comblée dans 72 % des entreprises en octobre 2022.

Déployer les correctifs de failles n’est pas suffisamment systématique comme le montre cet exemple. - © Markus Spiske / Pixabay
Déployer les correctifs de failles n’est pas suffisamment systématique comme le montre cet exemple. - © Markus Spiske / Pixabay

La vulnérabilité dans le service Java Log4J de la Fondation Apache connue sous le nom Log4Shell a été communiquée à la fondation par l'équipe de sécurité cloud d’Alibaba le 24 novembre 2021. Les correctifs de cette vulnérabilité ont été rendus disponibles le 6 décembre 2021 et la faille a été publiée le 9 décembre 2021. Cette vulnérabilité est jugée hautement critique car elle permet l’exécution de code arbitraire. Le déploiement du correctif était donc hautement prioritaire. Or, selon une étude réalisée par Tenable, la faille n’était toujours pas totalement comblée, en octobre 2022, dans 72 % des entreprises. Par conséquent, 28 % ont totalement remédié au problème (+14 points par rapport à mai 2022).

Ces chiffres sont issus d’une étude réalisée à partir de 500 millions de tests dans le monde par Tenable, un spécialiste de l’étude de l’exposition aux cyber-risques. Si seulement 2,5 % des actifs logiciels sont toujours vulnérables, il existait encore des récurrences de Log4Shell après la réalisation d’une remédiation prévue pour être complète dans 29 % des cas.

L’exposition à la faille n’est pas homogène selon les secteurs : l’ingénierie (45 % de taux de remédiation), les services juridiques (38 %), les services financiers (35 %), les organismes à but non lucratif (33 %), les administrations publiques (30 %) et les organisations d’infrastructures critiques selon la définition du gouvernement américain (28 %) sont en tête de liste avec le plus grand nombre d’organisations entièrement remédiées. L’exposition n’est pas plus homogène selon les pays. L’Amérique du Nord a un taux de remédiation de 28 % et est donc devant l’Europe, le Moyen-Orient et l’Afrique (27 %), l’Asie-Pacifique (25 %) et l’Amérique latine (21 %). De même, l’Amérique du Nord est la première région avec le pourcentage d’organisations ayant partiellement remédié à la situation (90 %), suivie de l’Europe, du Moyen-Orient et de l’Afrique (85 %), de l’Asie-Pacifique (85 %) et de l’Amérique latine (81 %).