Approach Cyber a publié son 2025 Annual Pentest Report. Cette cinquième édition révèle une augmentation significative et préoccupante des vulnérabilités critiques dans les applications web, les API et les systèmes d’infrastructure. Basé sur plus de 100 tests de pénétration réels effectués dans 13 secteurs en 2024, le rapport fournit une évaluation sévère, basée sur des données, du paysage des menaces numériques d’aujourd’hui.
Les résultats révèlent que près de deux vulnérabilités identifiées sur cinq présentent des risques élevés à critiques. Nombre d’entre elles résultent de contrôles d’accès défaillants, d’une authentification mal configurée et de pratiques de gestion des correctifs insuffisantes. La sécurité de l’infrastructure reste un maillon faible. Près de 60 % des failles sont jugées élevées ou critiques, principalement en raison de systèmes obsolètes et de contrôles de privilèges inefficaces.
Fait inquiétant, le rapport confirme que les scanners automatisés ne suffisent pas. Bon nombre des vulnérabilités les plus dangereuses découvertes n’ont pas été détectées par les outils et n’ont été identifiées que par des tests manuels effectués par des experts. Les études de cas réels incluses dans le rapport illustrent comment des pirates éthiques ont pu enchaîner des failles mineures pour compromettre des domaines entiers. Les mêmes tactiques que celles utilisées dans les campagnes de ransomware et les brèches majeures dans le monde entier sont ainsi mises en évidence.
Le rapport souligne également la pression réglementaire croissante, en particulier dans le cadre de NIS2 et de DORA. Il met en garde contre le fait que de nombreuses organisations ne sont pas préparées aux risques opérationnels et de réputation que les lacunes en matière de conformité pourraient poser en 2025.
Il est encourageant de constater que les organisations qui investissent dans des tests réguliers et des efforts de remédiation constatent une diminution significative des résultats à haut risque. Jusqu ‘à 70 % de moins que les clients qui se soumettent pour la première fois à un test.
Pour aider les décideurs, les RSSI et les responsables de la sécurité, Approach Cyber fournit des recommandations personnalisées sur la conception sécurisée, la gestion des vulnérabilités et l’application des privilèges, des mesures qui peuvent réduire considérablement l’exposition dans un environnement de menaces en évolution rapide.
