Vaut-il mieux travailler en sachant que son système informatique contient une faille de sécurité que l’on ne peut pas corriger dans l’immédiat ou bien continuer à vivre dans l’ignorance (voire l’insouciance) jusqu’à la publication du correctif, au risque d’être finalement infecté ou victime d’une attaque informatique ? 80 % des entreprises américaines optent pour la première solution, selon une étude effectuée auprès de 300 sociétés et rapportée par notre confrère américain ZDNet.com. Même quand les éditeurs ne disposent d’aucune solution de sécurisation, les responsables informatiques préfèrent être informés des risques qu’ils encourent. Peut-être parce que deux tiers d’entre eux estiment comme négligeables ou bas les coûts générés par les failles.
Cette enquête fait écho à une récente déclaration de grands éditeurs, dont Microsoft, qui fustigeaient les internautes délurés de ne pas attendre l’arrivée d’un patch avant de publier les informations liées à la sécurité du système. Délai que les éditeurs estiment à 30 jours minimum. Au contraire, les deux tiers des utilisateurs interrogés veulent avoir l’information dans la semaine qui suit la découverte d’une faille, correctif prêt ou non. 40 % d’entre eux se contenteraient d’une description générale de la faille. 40 autres exigent un rapport détaillé. Mais peu d’entreprises estiment qu’il faudrait inclure le code source de l’application.
Il semble que ce désir d’information se manifeste par dépit plus que par un réel besoin de sécurisation. Plus de la moitié des 80 % de personnes favorables à la publication rapide des informations de sécurité les réclament pour mettre l’éditeur dans l’embarras. « Ils sont fatigués des éditeurs qui n’écrivent pas d’applications fiables », déclare à ZDNet.com Pete Lindstrom, consultant en sécurité. Aucun nom d’éditeur n’est évidemment cité mais Microsoft apparaît clairement en ligne de mire. Le problème de la sécurité ? ou plutôt de l’insécurité ? informatique atteint de telles proportions outre-Atlantique que la National Academy of Sciences demande une jurisprudence afin d’établir des règles claires sur les obligations de l’éditeur. Mais aucun projet de loi n’est à l’ordre du jour sur le sujet.
Et vous, qu’en pensez-vous ? Exprimez-vous sur notre Forum.
Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…