False positives and Zero-day exploits
Le risque auquel les entreprises sont confrontées est une combinaison de menaces connues et inconnues dirigées contre l'entreprise, qui présente elle-même une combinaison de vulnérabilités connues et inconnues. Une analyse de vulnérabilités qui n’identifie aucune faille ne signifie pas pour autant que le système est invulnérable de manière absolue. Cela signifie simplement que le type de vulnérabilités que l’analyse cherchait à détecter n’a pas été trouvé. L'absence de vulnérabilités détectées peut être due à leur inexistence réelle, ou bien à un faux négatif provoqué par une mauvaise configuration d’un outil ou une erreur lors d'une vérification manuelle. Même si des vulnérabilités connues existent dans le système, celui-ci peut être vulnérable à d'autres failles inconnues, dont beaucoup sont découvertes chaque jour (certaines étant stockées ou vendues pour un usage futur comme des exploits de type « zero-day »). La probabilité d'une attaque dépend souvent de fa...