Quatre fois par an, régulièrement, Oracle poste son CPU (Critical Patch Updates) qui rassemble toutes les mises à jour de sécurité les plus importantes pour sa base de donnée. Et que font les administrateurs de ces bases ? Pour les deux tiers d'entre eux, strictement rien. C'est en effet le résultat d'un sondage mené par Sentrigo, revendeur américain de solutions de sécurité pour bases de données, auprès de 305 administrateurs Oracle provenant de 14 Oracle user group américains. Et dans le lot, seuls 10 % installent régulièrement les CPU, alors que 90 % d'entre eux n'ont pas installé le dernier lot de patches. Et 67,5 % des répondants n'ont même jamais installé un seul patch. Pour expliquer cette absence d'intérêt, Steve Markovich, directeur technique de Sentrigo a noté trois tendances majeures parmi les répondants. Primo, la plupart d'entre eux ne sont pas sensibilisés aux vulnérabilités pouvant affecter des bases de donnée. Deuxio, l'absence de certifications CPU pour les applications extérieures devant travailler avec une base Oracle est également un frein. Tertio, la sécurité n'est pas la préoccupation majeure de leurs employeurs qui les jugent sur la disponibilité et la performance de la base de donnée. « Au final, patcher une base de données est une opération complexe en soi », explique Steve Markovich. « Et si Oracle peut toujours rendre les choses de plus en plus facile, il faut que du côté client on reconnaisse que la sécurité doit faire partie d'une routine d'administration de base normale. »