Plus de 65 000 vulnérabilités en 2022 détectées par les hackers éthiques, selon un rapport HackerOne

Par:
fredericmazue

mar, 13/12/2022 - 13:31

HackerOne annonce que plus de 65 000 vulnérabilités logicielles ont été détectées par la communauté de hackers éthiques en 2022, soit une augmentation de 21 % par rapport à 2021. Pour HackerOne, cette augmentation des failles de sécurité s’explique surtout par la migration vers le cloud et la transformation numérique. Les rapports relatifs aux types de vulnérabilités introduits par les projets de transformation numérique ont connu une croissance importante, avec des configurations erronées augmentant de 150 % et des autorisations inappropriées de 45 %. 38% des hackers pensent que le défi le plus important auquel les organisations sont confrontées est le manque de compétences et d'expertise en interne alors qu’elles font face à des surfaces d'attaque grandissantes. L’automatisation de la sécurité ne remplace pas la créativité humaine, 92 % des hackers estiment en effet pouvoir identifier des vulnérabilités qui ne peuvent pas l’être par des scanners. 

Dans la 6ème édition de son rapport Hacker-Powered Security, HackerOne combine des informations provenant de la communauté des hackers, en examinant leurs motivations et leur expertise, ainsi que des tendances issues de la plus grande base de données de vulnérabilités au monde. Le rapport révèle également les prix moyens des primes dans différents secteurs, les vulnérabilités les plus impactantes pour lesquelles les clients paient, et la façon dont les hackers signalent ces vulnérabilités aux organisations.

Le rapport comprend également d’autres conclusions notables telles que: 

  • La motivation des hackers pour l’apprentissage, la rémunération et la mission de construire un internet plus sûr. 79% des hackers déclarent hacker dans le but d’apprendre, ils sont plus nombreux que ceux qui reconnaissent exercer pour une raison financière (72 %). Enfin, 47% d'entre eux hackent davantage qu’en 2021.
  • Les hackers sont particulièrement attirés par les programmes les plus matures, pour pouvoir travailler dans de bonnes conditions. Une mauvaise communication et une latence dans le temps de réponse empêchent plus de 50 % des hackers d’effectuer correctement leur mission. 50% des hackers déclarent également ne pas avoir signalé une vulnérabilité découverte, 42 % d'entre eux expliquent que cela est dû à l'absence d'un processus clair permettant de la signaler en toute sécurité.
  • Le nombre d’organisations investissant dans des programmes de sécurité HackerOne est en hausse de 45%, portée par une forte augmentation des programmes dans le secteur automobile (+400 %), le secteur des télécoms (+156 %) et le secteur des cryptomonnaies et de la blockchain (+143 %). 
  • Bien que la moyenne du secteur montre que les prix moyens et médians des primes n'ont pas augmenté de façon spectaculaire au cours des 12 derniers mois, les programmes de cryptomonnaie et de blockchain ont vu le paiement moyen augmenter de 315 %, passant d’environ 6 100 euros en 2021 à environ 25 440 euros en 2022. 

"Les informations fournies par la communauté de hackers sur leur expérience et leurs attentes aident les organisations à concevoir des programmes plus attractifs", a déclaré Chris Evans, RSSI et Chief Hacking Officer chez HackerOne. Il ajoute : "Nos données sur les vulnérabilités, issues de plus de 3 000 programmes clients, montrent aux organisations quelles vulnérabilités leurs pairs incitent les hackers à signaler. La transformation numérique est toujours un vecteur fort de risque cyber. Heureusement, le rapport montre que les hackers parviennent à identifier les vulnérabilités avant qu'elles n'entraînent un incident."

Lire le rapport complet.