Les coûts économiques liés aux fuites de données continuent de grimper, conformément aux informations publiées par Open Security. Selon le dernier rapport Cost of a Data Breach Report, le coût moyen par incident s’élève désormais à 4,88 millions de dollars en 2024, atteignant ainsi un record historique. Dans ce contexte, la société de cybersécurité ESET souligne l’importance d’une gestion proactive des vulnérabilités comme mesure essentielle pour prévenir ces incidents, beaucoup d’entre eux ayant pu être évités.
« Ce que nous observons, aussi bien en Espagne que dans d’autres pays, c’est que bon nombre de brèches ne sont pas dues à des attaques sophistiquées ou inconnues, mais à des failles déjà identifiées et disposant de solutions, qui ne sont pas corrigées à temps », avertit Josep Albors, directeur de la recherche et de la sensibilisation d’ESET Espagne. Selon lui, le véritable défi ne consiste pas uniquement à détecter les nouvelles menaces, mais également à appliquer rapidement les correctifs existants pour fermer toute porte d’entrée potentielle.
Malgré l’attention portée habituellement aux nouveaux types de logiciels malveillants ou d’exploits inconnus, la majorité des attaques s’appuient sur des vulnérabilités déjà documentées. À la fin de 2024, la base de données Common Vulnerabilities and Exposures (CVE) recensait plus de 40 000 entries. Pourtant, de nombreuses entreprises ne disposent pas de protocoles efficaces de déploiement des correctifs, laissant ainsi ouverte la voie à des attaques telles que les ransomwares, le vol de données ou des intrusions silencieuses qui peuvent rester cachées pendant des mois.
« Dans plusieurs incidents passés, les analyses postérieures ont révélé que le point d’entrée initial était une CVE déjà divulguée publiquement et pour laquelle un patch était disponible. Cela devrait nous servir de mise en garde : les organisations n’ont pas besoin de prévoir toutes les menaces futures pour se protéger efficacement, mais simplement de traiter efficacement celles qui sont déjà connues », explique Albors.
De plus en plus d’organisations réalisent des évaluations de sécurité régulières : en 2024, 24 % d’entre elles ont effectué plus de quatre scans de vulnérabilités, contre 15 % en 2023. Toutefois, ESET avertit qu’un nombre accru de scans ne garantit pas une meilleure protection si ceux-ci ne s’accompagnent pas d’une stratégie de priorisation basée sur le risque.
« Les équipes de sécurité sont souvent submergées par des rapports listant des centaines, voire des milliers de vulnérabilités possibles, avec peu de conseils sur celles qui représentent le plus grand danger pour l’organisation », commente l’expert. Pour cette raison, ESET préconise de prendre en compte des critères tels que la facilité d’exploitation, l’importance de l’actif concerné ou la présence de campagnes exploitant activement la vulnérabilité pour déterminer quels correctifs appliquer en priorité.
Se fier uniquement aux solutions de sécurité traditionnelles pour endpoints n’est plus suffisant. D’après ESET, plusieurs incidents débutent souvent sur des logiciels obsolètes. Des outils de gestion des vulnérabilités et des correctifs, comme ESET Vulnerability & Patch Management, permettent d’automatiser ces processus et de réduire considérablement la surface d’attaque. « Avec un coût moyen avoisinant les cinq millions de dollars par brèche, la gestion des vulnérabilités est devenue une étape cruciale pour assurer la continuité des activités. En Espagne, où les PME représentent plus de 95 % du tissu entrepreneurial, cette étape est indispensable pour anticiper les cybercriminels et protéger les données ainsi que la réputation », conclut Josep Albors.
