18 378, le chiffre est donné par le NIST (National Instute of Standard and Technology) en cette fin d’année et représente le nombre de vulnérabilités comptabilisées pour l’année 2021. Ce chiffre augmente donc pour la 5ème année consécutive (en 2020, la liste comptait 18 351 failles). Si 2021 a été une année record, il faut se pencher dans le détails des différents bugs recensés. En regardant plus loin dans le rétroviseur, l’inflation de failles est encore plus flagrante : 17 306 failles totales enregistrées en 2019, 16 510 en 2018 et 14 645 en 2017.

Pour 2021, le NIST a enregistré à date (soit le 9 décembre) 2 966 failles jugées à risque faible, 11 777 évaluées comme moyen et 3 657 comportant une gravité élevée. Pour rappel, en 2020, quelque 2 766 d'entre elles étaient qualifiées à risque faible, 11 204 jugées moyennes et 4 381 avec une sévérité élevée. En y regardant de plus près, on observe que les vulnérabilités critiques ont été moindre cette année. A l’inverse, les failles de moyenne intensité ont progressé.

De l'analyse de code plus qualitative

Pour expliquer cette croissance perpétuelle des menaces, le CEO et co-fondateur de K2 Cyber Security, Pravin Madhani, a avancé quelques réflexions sur un blog. Il évoque bien évidemment l’impact de la pandémie avec la bascule dans le cloud des entreprises et de leurs applications. Mais cette migration a peut-être été un peu trop rapide avec moins des cycles de test sur le code réalisés. Un avis partagé par Casey Ellis, fondateur et CTO de Bugcrowd, « cela correspond à ce que nous avons vu ». Il ajoute « plus simplement, la technologie s’accélère et les vulnérabilités sont inhérentes au développement des logiciels. C’est un jeu de probabilité et plus on produit d’applications, plus il y a des failles ».

Sur la moindre sévérité des bugs découverts, Pravin Madhani revient sur la pratique du développement des logiciels en soulignant que si il y a moins d’analyse de code, elle est plus qualitative. Il pointe de meilleures pratiques en terme de code. En adoptant une stratégie de « Shift left », dans laquelle les tests sont réalisés plutôt dans le cycle de développement, les programmeurs accordent une plus grande importance à la sécurité.