Selon Justine Aitel, PDG du spécialiste en sécurité Immunity, il s'écoule en moyenne 348 jours entre la découverte d'une faille et son annonce publique ou mieux, la publication du correctif correspondant. Immunity, qui achète des failles de sécurité avant que celles-ci ne soit rendues publiques pour en intégrer les protections à ses logiciels, garde régulièrement une trace de ses failles. Les plus évidentes sont rendues publiques en 99 jours, et les plus longues ont tenu 1080 jours, soit près de trois ans ! « Les bugs meurent lorsqu'ils sont rendus publics », explique Justine Aitel. « Et ils meurent à nouveau lorsqu'ils sont patchés. » Elle incite d'ailleurs les responsables informatiques à ne pas attendre les publications de failles pour protéger leurs logiciels. C'est en amont qu'elles sont les plus dangereuses : « D'énormes sommes d'argent sont offertes pour des failles « zéro day » (NDLR, non-encore publiée) ». Et si des sociétés comme la sienne existent, les cyber-criminels ont de gros moyens financiers à leurs dispositions. Pour se protéger, selon Justin Aitel, les sociétés doivent faire des audits de sécurité - interne comme externe - réguliers. « Partez du principe que tous les logiciels ont des trous. C'est vrai : ils en ont. » Notons par ailleurs que les politiques de diffusion de correctifs de certains éditeurs suivent un calendrier rigoureux. Chez Microsoft, par exemple, les rustines sont distillées une fois par mois - le deuxième mardi- à l'occasion du sempiternel Patch Tuesday. D'autres attendent pour délivrer d'un bloc un ensemble de correctifs. Ces initiatives peuvent ainsi décaler la publication de la rustine, de sa découverte souvent réalisée bien plus en amont.