Principaux enseignements :

• 80% des responsables IT ont choisi de mettre en place une politique de gestion des correctifs afin d’améliorer leur sécurité.

• 77% des personnes interrogées estiment que les OS Microsoft représentent les défis les plus constants en matière de correctifs pour leur entreprise, et 59% estiment que l’application tierce Java est celle qui pose le plus de défis.

• 55% des professionnels de l’informatique estiment avoir suffisamment de visibilité sur la sécurité de leur entreprise

• Dans 55% des entreprises ayant répondu à cette étude, les collaborateurs ont des droits administrateurs, ce qui augmente le risque de sécurité.

• Pour près de deux tiers des entreprises, la gestion des correctifs prend plus de 8h par semaine.

Au total, 178 professionnels ont répondu au questionnaire. Pour 76,5% d’entre eux, le système d’exploitation Microsoft est celui qui pose les plus gros défis en matière de correctifs pour leur entreprise. L’année dernière, ce chiffre s’élevait à 86%, on dénote donc une amélioration pour Microsoft. Les systèmes Linux (19,1%) et Mac (4,2%) sont également cités mais dans une moindre mesure, ce qui peut s’expliquer, au moins partiellement, par un nombre moindre de correctifs.

La gestion des correctifs au niveau des systèmes d’exploitation n’est qu’un des éléments à prendre en compte pour définir une stratégie de gestion des correctifs efficace. Lorsqu’on demande aux professionnels IT quelles applications tierces leur posent le plus de soucis, Oracle (Java) est mentionnée comme l’application la plus délicate à corriger à 59%. Suivent Adobe Reader/Flash Player avec 38%, Google Chrome 21%, Firefox 18% et Apple iTunes 10%.

La bonne nouvelle : 79,7% des responsables de département informatique ont mis en place une politique afin de gérer les correctifs. En revanche, si 37,2% des répondants reportent passer moins de 8 heures par mois sur la gestion des correctifs, 29,6% y passent plus de 16 heures par mois, et 14% y passent plus de 48h ! Cela représente près d’un jour et demi pour la plupart des organisations, ce qui est loin d’être efficace.

Enfin, 54,7% des entreprises donnent des droits administrateurs complets à leurs employés, ce qui rend les systèmes plus vulnérables aux malwares. Cette approche augmente les risques en cas d’attaque, car il n’y a pas de moyen de limiter les dommages en limitant les droits utilisateurs sur les terminaux infectés.

Andy Baldin, VP de la Région EMEA chez Shavlik, commente : « Les résultats de cette étude montrent que la nécessité d’établir une politique de gestion des correctifs est intégrée pour de plus en plus de services informatiques. Malgré cela, de nombreuses entreprises passent trop de temps sur des problématiques de patching, et gèrent les droits de leurs collaborateurs de façon risquée sans le savoir. Cela confirme l’importance de notre travail d’accompagnement des entreprises dans la gestion de leurs correctifs, leur permettant de réduire les coûts, gagner du temps tout en minimisant les risques pour la sécurité de leur parc informatique. »

Andy Baldin souligne l’intérêt de faciliter le travail de sécurisation et de gestion des correctifs pour les entreprises : « Les résultats de notre étude montrent que 7% des répondants n’ont pas de système de sécurité pour leur parc informatique ou ne savent pas ce qu’il en est, 3% n’ont qu’un système de back-up, 13% se content d’un antivirus, 7% d’un firewall et 10% d’un antivirus couplé à un firewall. Au total, ce sont 40% de répondants qui pourraient facilement améliorer la sécurité de leurs postes. Shavlik publie un rapport mensuel lors de chaque Patch Tuesday afin d’aider les entreprises : nous faisons cette veille et fournissons notre analyse afin d’aider les entreprises à prioriser l’affectation de leurs ressources en sécurité informatique. »