Selon le rapport annuel de HackerOne les hackers éthiques ont signalé plus de 66 000 vulnérabilités valides cette année, un chiffre en augmentation de 20% par rapport à 2020.
La sécurité collaborative est une pratique en forte croissance, soutenue notamment par une hausse très significative des campagnes de pentests (+264%). La pandémie a eu pour conséquence une accélération de la transformation numérique et de la migration vers le cloud, exposant les organisations à davantage de vulnérabilités alors que les surfaces d'attaque s'étendent et que les services continuent de s’externaliser.
Ce rapport annuel Hacker-Powered Security Industry Insights nous apprend cette année que le montant des primes versées aux hackers pour la détection de vulnérabilités critiques est en hausse, les organisations priorisant les bugs à plus fort impact. Les entreprises sont également plus rapides que jamais dans la gestion et la remédiation des vulnérabilités, ces sujets devenant des enjeux commerciaux majeurs.
Le rapport révèle enfin le Top 10 des vulnérabilités les plus signalées, permettant ainsi de comprendre comment hiérarchiser les efforts pour corriger les vulnérabilités et quelles sont les vulnérabilités à plus forte valeur.
Quelques conclusions majeures du rapport à retenir :
- La sécurité collaborative poursuit son ascension avec une augmentation de 34% du nombre de programmes de sécurité impliquant des hackers éthiques en 2021.
- Tous les secteurs d’activité s’inscrivent dans cette tendance, y compris les secteurs les plus traditionnellement conservateurs. Dans le secteur de la finance notamment, les programmes de sécurité collaborative ont augmenté de 62%. Dans le secteur public, ces pratiques ont augmenté de 89%, portées par des institutions emblématiques comme le ministère de la Défense du Royaume-Uni ou l'agence GovTech de Singapour.
- Les hackers ont signalé 20% de vulnérabilités de plus qu'en 2020. Alors que le bug bounty traditionnel a connu une augmentation de 10%, les programmes de divulgation de vulnérabilités (VDP) ont connu une augmentation de 47%, et les rapports de tests d’intrusion (pentests) ont augmenté de 264%.
- Le prix médian d’une prime récompensant la découverte d'une vulnérabilité critique a augmenté de 20%, passant de 2 500 dollars à 3 000 dollars en 2021. Le montant moyen d’une prime a augmenté de 13% pour une vulnérabilité critique et de 30% pour une vulnérabilité très critique.
- Au cours de l'année écoulée, le délai moyen de résolution a diminué de 19%, passant de 33 jours à 26,7 jours, certains secteurs comme le retail et le e-commerce ayant vu le délai de résolution chuter de plus de 50%.
- Le bug le plus signalé sur HackerOne reste le Cross Site Scripting, cependant d’autres types de bugs ont connu une augmentation significative depuis 2020. La divulgation d'informations a connu une augmentation de 58% et les erreurs de logique d'entreprise ont connu une augmentation de 67%, ce qui leur confère pour la première fois une place dans le Top 10.