Introduction :
L’année 2023 a été marquée par une augmentation significative du nombre de Common Vulnerabilities and Exposures (CVE), atteignant un total de 28 902, soit une hausse de plus de 15 % par rapport aux 25 081 CVE publiées en 2022. Dans cet article, nous examinerons de près ces chiffres, en mettant en lumière les tendances mensuelles, les jours de la semaine les plus critiques, la croissance des CVE et d’autres statistiques importantes.
Croissance des CVE :
Comme chaque année depuis 2017, 2023 a enregistré un nombre record de CVE publiées, avec une augmentation de 15,23 % par rapport à 2022. Cela représente également 13,18 % de toutes les CVE publiées au cours de la dernière année. Cette croissance souligne l’importance croissante de la sécurité informatique et la nécessité de renforcer les mesures de prévention.
Répartition mensuelle complète :
La répartition mensuelle des CVE pour l’année 2023 est la suivante :
| Mois | CVEs | Pourcentage |
|---|---|---|
| Janvier | 2337 | 8,1 |
| Février | 2123 | 7,3 |
| Mars | 2517 | 8,7 |
| Avril | 2330 | 8,1 |
| Mai | 2418 | 8,4 |
| Juin | 2391 | 8,3 |
| Juillet | 2307 | 8,0 |
| Août | 2478 | 8,6 |
| Septembre | 2152 | 7,4 |
| Octobre | 2690 | 9,3 |
| Novembre | 2483 | 8,6 |
| Décembre | 2676 | 9,3 |
Jours de la semaine et CVE :
Les mardis ont été les jours les plus propices à la publication, représentant 22,3 % de toutes les CVE. Les lundis ont également été significatifs, totalisant 17,3 % des CVE hebdomadaires. Les samedis et dimanches, en revanche, ont connu une activité moindre, représentant respectivement 3,5 % et 3,1 % des CVE.
CVSS (Common Vulnerability Scoring System) :
Le score CVSS moyen cette année était de 7,12. Sur les 36 CVE, 36 ont obtenu un score parfait de 10, tandis que CVE-2023-21928 a enregistré le score le plus bas de 1,8.
CPE (Common Platform Enumeration) :
Le CPE a identifié 3 119 configurations uniques cette année, dont cpe:2.3:o:google:android:12.0:::::::* qui a été appliqué à 547 CVE. La CVE-2023-44183 de Juniper Networks Junos OS détient le record du plus grand nombre de CPE, avec 240 configurations vulnérables uniques.
CNAs (CVE Numbering Authorities) :
Il existe actuellement 346 CNAs, dont 250 ont publié au moins une CVE cette année. Les cinq principales CNAs étaient Patchstack, VulDB, Github, Microsoft et WPScan, avec quatre d’entre elles axées sur les projets open source ou les plugins WordPress, publiant ensemble 24,12 % de toutes les CVE de l’année.
CWE (Common Weakness Enumeration) :
Il existe 1 332 CWEs, dont 237 ont été attribués à des CVE cette année. La CWE-79 a été la plus fréquemment attribuée, représentant 15,48 % de toutes les CVE. À noter que dans 14,23 % des cas, la NVD n’a pas attribué de CWE.
Conclusion :
L’analyse des CVE en 2023 souligne l’importance croissante de la sécurité informatique, avec une augmentation significative du nombre de vulnérabilités publiées. Il est crucial pour les organisations de rester informées sur ces statistiques pour renforcer leurs mesures de sécurité et protéger leurs systèmes contre les menaces croissantes.
