Failles de sécurité logicielle: le secteur manufacturier moins impacté que les services financiers





Selon Veracode, l'un des principaux fournisseurs mondiaux de solutions de test de sécurité des applications, le secteur manufacturier présente le nombre le plus faible de failles de sécurité logicielle, détrônant ainsi les services financiers qui figuraient à la première place l'an dernier. Ces données sont publiées dans le rapport annuel de Veracode, «State of Software Security (SoSS) report v12», qui a analysé 20 millions de scans parmi un demi-million d'applications dans les secteurs manufacturier, de la santé, des services financiers, des technologies, de la vente au détail et des organismes publics.

En 2021, année où l'industrie était confrontée à la pression et à la demande accrues qui pesaient sur les chaînes d'approvisionnement, la fabrication s'est avérée être le secteur le plus ciblé par les cybercriminels, l'exploitation des vulnérabilités étant le principal vecteur d'attaque initiale*. Dès lors, depuis que des règlements tels que la directive présidentielle américaine sur la cyber-sécurité et l'acte législatif européen sur la cyber-résilience ont mis la question sous les projecteurs, la priorité donnée à la sécurisation de la chaîne d'approvisionnement logicielle n'a jamais été aussi haute.

Chris Eng, directeur R&D chez Veracode, a déclaré: «Dans un contexte où les entreprises de fabrication continuent de faire de la sécurité logicielle une priorité, il est encourageant de constater qu'il y a eu une diminution des failles l'an dernier, d'autant plus que les innovations technologiques ont conduit à l'adoption accrue de nouvelles plateformes et de nouveaux environnements. L'an dernier, nous avons observé que 76% des applications de fabrication contenaient des vulnérabilités, dont 21% étaient considérées comme "très graves". Ces chiffres ont considérablement diminué.»

Les failles de sécurité open source persistent plus longtemps

Malgré des résultats positifs en termes de prévalence des failles, les recherches de Veracode montrent que le secteur manufacturier, ainsi que les secteurs de la santé et des technologies, présentent la plus faible proportion de failles qui sont corrigées une fois qu'elles sont repérées. Plus inquiétant encore, le temps nécessaire pour corriger les vulnérabilités: les entreprises manufacturières affichent les délais les plus lents de correction des vulnérabilités repérées par analyse statique (SAST), analyse dynamique (DAST) et analyse de la composition logicielle (SCA). Par exemple, environ 55% des faiblesses découvertes par analyse statique ne sont toujours pas corrigées au bout d'un an, et le secteur manufacturier est constamment en retard de quatre mois sur la moyenne générale.

Les failles découvertes par analyse statique dans les bibliothèques tierces persistent longtemps. Ainsi, dans tous les secteurs, 30% des bibliothèques vulnérables restent dans cet étant pendant deux ans en moyenne. Dans le secteur manufacturier, ce chiffre s'élève à plus de 40%, soit un retard de plus de six mois par rapport à la moyenne intersectorielle.

Selon Chris Eng, «Cela peut être dû au fait qu'il y a un plus grand nombre d'applications industrielles spécialisées présentant moins de failles, mais plus difficiles à corriger, que dans d'autres secteurs. Ces résultats soulignent la nécessité pour les fabricants de se concentrer à temps sur la résolution des vulnérabilités.»

Certaines faiblesses sont plus courantes que d'autres

La recherche s'est également intéressée aux différentes failles affectant les langages de programmation utilisés dans les applications du secteur manufacturier, notamment Java, .NET et JavaScript. Veracode a examiné les types de failles affectant les applications et constaté que les faiblesses les plus courantes repérées dans le secteur de la fabrication concernent la configuration du serveur, les dépendances non sécurisées et les fuites d'informations.

En conclusion, Chris Eng a déclaré: «La sécurité des entreprises et des infrastructures critiques dépend principalement de la sécurité de la chaîne d'approvisionnement logicielle, laquelle ne peut être assurée que si l'on a une visibilité sur ses composantes. L'intégration de la sécurité au tout début du cycle de vie du développement logiciel et l'utilisation d'outils pour générer une nomenclature logicielle (SBOM) donneront aux fabricants l'assurance que les produits qu'ils mettent sur le marché présentent moins de vulnérabilités et, par conséquent, moins de risques.»

Le résumé du rapport «State of Software Security v12: Manufacturing» de Veracode peut être téléchargé ici et la version intégrale du rapport est disponible ici.

* IBM Security, «X-Force Threat Intelligence Index», février 2022.

