Comme il le fait depuis cinq ans, le SANS Institute, en coopération avec des organismes de sécurité américains et anglais, a publié le Top 20 des vulnérabilités critiques de l'année. Par critique, il faut entendre une faille, affectant un grand nombre d'utilisateurs et dont la rustine n'a pas été installée sur de nombreux systèmes, autorisant la prise de contrôle de l'ordinateur par un pirate, et dont suffisamment de détails techniques pour l'exploiter ont été divulgués sur Internet.

Grande nouveauté de cette édition 2005 : le SANS Institute ne s'intéresse plus seulement aux OS, Windows et déclinaisons Unix, mais aussi aux applications et aux équipements réseau. Et pour cause : au cours de l'année 2005, les pirates ont exploité de plus en plus de failles de logiciels et moins les trous de sécurité des OS.

« Ce constat correspond à notre discours, à savoir qu'une politique de rustine ce n'est pas uniquement Windows, c'est aussi le réseau et les logiciels de sécurité  », affirme Pascal Lointier, président du Clusif. En tête des vulnérabilités critiques figurent les logiciels de sauvegarde et de restauration de Symantec-Veritas, dans le domaine des applications, et le logiciel IOS de Cisco, en ce qui concerne le réseau.

Si les services Windows et Internet Explorer occupent encore le haut du tableau, le système de mise à jour automatique de Windows comble les failles de l'OS plus rapidement. Faut-il étendre ce système à l'ensemble des logiciels ? Pascal Lointier est sceptique : « On ne déploie pas une rustine sans réfléchir. Il faut vérifier qu'elle ne déstabilise pas l'application par des tests de non-régression. Il est plus important de combler une faille mineure d'une application exposée sur Internet qu'une faille critique d'un logiciel isolé dans le back office », estime-t-il.