Vaut-il mieux travailler en sachant que son système informatique contient une faille de sécurité que l’on ne peut pas corriger dans l’immédiat ou bien continuer à vivre dans l’ignorance (voire l’insouciance) jusqu’à la publication du correctif, au risque d’être finalement infecté ou victime d’une attaque informatique ? 80 % des entreprises américaines optent pour la première solution, selon une étude effectuée auprès de 300 sociétés et rapportée par notre confrère américain ZDNet.com. Même quand les éditeurs ne disposent d’aucune solution de sécurisation, les responsables informatiques préfèrent être informés des risques qu’ils encourent. Peut-être parce que deux tiers d’entre eux estiment comme négligeables ou bas les coûts générés par les failles.
Cette enquête fait écho à une récente déclaration de grands éditeurs, dont Microsoft, qui fustigeaient les internautes délurés de ne pas attendre l’arrivée d’un patch avant de publier les informations liées à la sécurité du système. Délai que les éditeurs estiment à 30 jours minimum. Au contraire, les deux tiers des utilisateurs interrogés veulent avoir l’information dans la semaine qui suit la découverte d’une faille, correctif prêt ou non. 40 % d’entre eux se contenteraient d’une description générale de la faille. 40 autres exigent un rapport détaillé. Mais peu d’entreprises estiment qu’il faudrait inclure le code source de l’application.
Il semble que ce désir d’information se manifeste par dépit plus que par un réel besoin de sécurisation. Plus de la moitié des 80 % de personnes favorables à la publication rapide des informations de sécurité les réclament pour mettre l’éditeur dans l’embarras. « Ils sont fatigués des éditeurs qui n’écrivent pas d’applications fiables », déclare à ZDNet.com Pete Lindstrom, consultant en sécurité. Aucun nom d’éditeur n’est évidemment cité mais Microsoft apparaît clairement en ligne de mire. Le problème de la sécurité ? ou plutôt de l’insécurité ? informatique atteint de telles proportions outre-Atlantique que la National Academy of Sciences demande une jurisprudence afin d’établir des règles claires sur les obligations de l’éditeur. Mais aucun projet de loi n’est à l’ordre du jour sur le sujet.
Et vous, qu’en pensez-vous ? Exprimez-vous sur notre Forum.
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…