- About Trend Micro
- Salle de presse
- Communiqués de presse
- 2023
- Trend Micro publie les résultats des activités de détection du programme ZDI, pour lequel il est contributeur majeur.
Rueil-Malmaison, le 09 août 2023 - Trend Micro Incorporated (TYO: 4704; TSE: 4704), leader mondial de la cybersécurité, a révélé les résultats du programme Zero Day Initiative dans lequel il est engagé depuis 2005. La Zero Day Initiative est le plus grand plus grand programme indépendant de bug bounty de fournisseur au monde, à l’origine de près de 64 % des failles 0-day divulguées en 2021.
« Notre investissement annuel de plusieurs millions de dollars dans la recherche et l'achat de vulnérabilités 0-day permet à nos clients ainsi qu’au marché d'économiser des milliards de dollars », a déclaré Kevin Simzer, COO – Trend Micro. « Nous observons une tendance inquiétante dans les entreprises : elles manquent cruellement de transparence en matière de divulgation/publication des vulnérabilités et d'application de correctifs par les fournisseurs. Une situation qui constitue une menace pour la sécurité du monde numérique. »
Aujourd'hui, Trend Micro appelle à la fin des correctifs silencieux ; une pratique qui consiste à ralentir ou à diluer la divulgation publique et la documentation des vulnérabilités comme des correctifs. Il s'agit d'un obstacle majeur dans la lutte contre la cybercriminalité, mais cette pratique est trop courante chez les principaux fournisseurs et prestataires de cloud.
Lors d'une session au Black Hat USA 2023, les représentants de Trend Micro Research ont révélé que les correctifs silencieux sont devenus particulièrement courants chez les fournisseurs de cloud. Les entreprises s'abstiennent plus fréquemment d'attribuer un identifiant CVE (Common Vulnerabilities and Exposures) pour la documentation publique et émettent plutôt des correctifs en privé.
L'absence de transparence ou de numéros de version pour les services cloud entrave l'évaluation des risques et prive les acteurs du marché d'informations précieuses pour améliorer la sécurité globale de l'écosystème.
Lors de la conférence Black Hat de l'année dernière, Trend Micro a alerté sur le nombre croissant de correctifs incomplets ou défectueux diffusés par les éditeurs et la réticence croissante des fournisseurs de sécurité à mettre à disposition de leurs clients des informations fiables sur les correctifs, rédigées dans un langage simple. Une posture qui empêche les protecteurs/défenseurs du réseau d'évaluer avec précision leur exposition au risque.
Le fossé se creuse, certaines entreprises se privant complètement de l'application de correctifs, laissant leurs clients et leurs secteurs exposés à des risques inutiles et croissants.
Il est urgent d’intervenir pour donner la priorité aux correctifs, traiter les vulnérabilités et encourager la collaboration entre les chercheurs, les acteurs de la cybersécurité et les fournisseurs de services cloud afin de renforcer les capacités de protection de chacun tout en protégeant les utilisateurs contre de potentiels risques.
Trend Micro s'engage à corriger les vulnérabilités de manière transparente et entend améliorer les mesures de sécurité du marché grâce à son engagement au sein du programme Zero Day Initiative. Dans ce cadre, l’entité a publié lors de Black Hat USA 2023 des avis sur plusieurs vulnérabilités de type "zero-day", notamment :
ZDI-CAN-20784 Github (CVSS 9.9)
ZDI-CAN-20771 Microsoft Azure (CVSS 4.4)
La Zero Day Initiative a ouvert la voie au marché des vulnérabilités en mettant l'accent sur les risques liés à l’achat de telles informations par les acteurs de la menace ; ainsi qu’en soutenant l'achat légitime du fruit de leurs recherches et leur divulgation aux fournisseurs concernés afin qu'ils les corrigent avant que les informations ne soient rendues publiques et/ou utilisées à des fins malveillantes.
À propos de Trend Micro
Leader mondial de solutions de cyber-sécurité, Trend Micro contribue à créer un monde plus sûr en sécurisant les échanges d'informations numériques. S’appuyant sur plus de 30 ans d'expertise en matière de sécurité, de recherche sur les menaces et d'innovation continue, Trend Micro permet au grand public, aux entreprises et aux organisations gouvernementales de faire preuve de résilience grâce à des solutions de sécurité connectées pour les environnements Cloud, les Endpoints, la messagerie, l'IIoT et les réseaux.
Fort de plus de 6 800 collaborateurs répartis dans 65 pays, et s’appuyant sur l’infrastructure de veille sur les menaces la plus avancée au monde, Trend Micro permet aux entreprises de sécuriser leur environnement connecté. www.trendmicro.com
Contacts média :
ComCorp
Caroline Pierron
cpierron@comcorp.fr
06 33 62 23 31
Mathilde Ozanne
mozanne@comcorp.fr
06 09 99 13 84
Trend Micro SA
Sophie Saulet
sophie_saulet@trendmicro.com
06 24 50 44 15
Web: http://www.trendmicro.fr
Twitter: @TrendMicroFR