Securite internet Gunter Ollmann, directeur de la stratégie de sécurité d'Internet Security Systems d' IBM, 7 247 failles logicielles sont publiées chaque année. Le problème est qu'il estime qu'il y a en fait 132 115 vulnérabilités découvertes par an mais qui ne sont pas dévoilées; ce qui signifie que seulement 5,48 % des brèches sont rendues publiques.

" 139 262 nouvelles vulnérabilités par an est un chiffre colossal, mais est-on si loin de la réalité ? s'interroge t-il dans un billet publié sur son blogue. " Beaucoup trop de gens sous-estiment le nombre de vulnérabilités parmi les logiciels qu'ils utilisent à la maison ou au bureau. Les annonces publiques de failles fournissent seulement une partie du nombre total de brèches au niveau annuel ".

" Si vous basez votre stratégie de protection uniquement sur les annonces publiques de vulnérabilités, vous manquez en réalité 95 % des failles. Si vos systèmes de défense sont conçus pour vous protéger contre des failles spécifiques, cela signifie probablement qu'ils sont protégés contre des vulnérabilités annoncées. Des moteurs de protection sont nécessaires en amont pour les 97 % restants des brèches annuelles " a déclaré Ollmann.

Selon lui, le fait que tous les trous de sécurité ne soient pas dévoilés au grand jour est un problème dû par exemple aux éditeurs qui les comblent de manière silencieuse. De même, nombre d'entre eux restent autistes sur des failles qui leur sont rapportées jusqu'à ce qu'ils fournissent un correctif. Certaines vulnérabilités sont parfois mêmes des doublons et n'ont donc aucun intérêt à être révélées. " Plus l'application est grande, plus les failles découvertes seront découvertes ", a insisté Ollmann, précisant qu'une équipe de seulement quatre chercheurs avait découvert 600 vulnérabilités en cinq jours dans le cadre d'un de ses travaux realisés l'année dernière et auquel il participait.