Selon une étude de Veracode, un quart des applications technologiques contiennent des failles de sécurité «très graves» représentant un risque élevé pour la cybersécurité en cas d'exploitation

Veracode, l'un des principaux fournisseurs mondiaux de solutions modernes de test de sécurité des applications, a indiqué aujourd'hui que 24% des applications du secteur technologique contiennent des failles de sécurité «à haut risque», ce qui signifie qu'en cas d'exploitation elles entraîneraient un problème critique pour l'application. Les entreprises technologiques, qui gèrent sans doute beaucoup plus d'applications que d'autres secteurs, auraient tout intérêt à organiser des formations pour leurs équipes de développement et à améliorer la sécurisation de leurs pratiques de codage.

Chris Eng, directeur de la recherche chez Veracode, a déclaré: «Il est essentiel que les développeurs acquièrent une expérience réelle et pratique de la détection et de l'exploitation d'une faille présente dans un code et de son impact potentiel sur l'application; une telle expérience crée le contexte et la compréhension nécessaires au développement de leur intuition quant à la sécurité des logiciels. Nos recherches montrent que les organisations dont les développeurs n'ont suivi qu'une seule leçon de notre programme de formation pratique Security Labs corrigent 50% des failles dans un délai inférieur de deux mois par rapport à celles qui n'ont pas suivi cette formation.»

Ces données ont été publiées dans le rapport annuel State of Software Security (SoSS) v12 de Veracode. L'étude a procédé à 20 millions d'analyses sur un demi-million d'applications des secteurs des technologies, de la vente au détail, de la fabrication, de la santé, des services financiers et des administrations publiques. Globalement, le secteur des technologies affiche la deuxième proportion la plus élevée d'applications contenant des failles de sécurité (79%), un score légèrement meilleur que celui du secteur public (82%). En ce qui concerne la proportion de failles corrigées, le secteur technologique se situe au milieu du peloton.

Les entreprises technologiques corrigent relativement rapidement les failles de sécurité des logiciels

Fait encourageant, lorsque les entreprises technologiques découvrent des failles dans leurs applications, elles atteignent relativement rapidement le point médian de la procédure de correction. Elles affichent en effet des temps de correction parmi les meilleurs du secteur pour les failles repérées par les tests d'analyse statique de la sécurité (SAST) et par analyse de la composition logicielle (SCA). Bien que ces efforts soient louables, le secteur a encore besoin de 363 jours pour corriger 50% des failles: il reste donc encore beaucoup à faire.

Chris Eng a ajouté: «La découverte d'une faille dans Log4j en décembre dernier a déclenché un signal d'alarme chez de nombreuses organisations. Cette alerte a été suivie par des mesures gouvernementales, sous la forme de directives de l'Office of Management and Budget (OMB, Bureau américain de la gestion et du budget) et du règlement européen sur la cyber-résilience, tous deux axés sur la chaîne d'approvisionnement. Pour améliorer les performances au cours de l'année prochaine, les entreprises technologiques doivent non seulement élaborer des stratégies visant à aider les développeurs à réduire le taux de failles introduites dans les codes, mais aussi renforcer l'automatisation des tests de sécurité du pipeline CI/CD (intégration continue/livraison continue) pour améliorer l'efficacité.»

La configuration des serveurs, les dépendances non sécurisées et les fuites d'informations sont les types de failles les plus courantes repérées par l'analyse dynamique des applications technologiques: un schéma globalement similaire à celui d'autres secteurs. En revanche, le secteur se distingue très nettement par rapport à la moyenne de l'industrie en ce qui concerne les problèmes cryptographiques et les fuites d'informations, ce qui indique peut-être que les développeurs de l'industrie technologique sont plus avertis sur les défis de la protection des données.

Une synthèse du rapport State of Software Security v12 de Veracode peut être téléchargée ici et la version intégrale du rapport est disponible ici.

À propos du rapport State of Software Security

Le rapport State of Software Security (SoSS) v12 de Veracode a analysé l'intégralité des données historiques des services et des clients de Veracode. Cela représente un total de plus d'un demi-million d'applications (592 720) ayant utilisé tous les types d'analyse: plus d'un million d'analyses dynamiques (1 034 855), plus de cinq millions d'analyses statiques (5 137 882) et plus de 18 millions d'analyses de composition de logiciels (18 473 203). Toutes ces analyses ont produit 42 millions de résultats statiques bruts, 3,5 millions de résultats dynamiques bruts et six millions de résultats SCA bruts.

Ces données représentent de grandes comme de petites entreprises, des fournisseurs de logiciels commerciaux, des sous-traitants de logiciels et des projets de logiciels libres. Dans la plupart des analyses, une même application n'a été comptée qu'une seule fois, même si elle a été soumise plusieurs fois au fur et à mesure que les vulnérabilités étaient corrigées et que de nouvelles versions étaient mises en ligne.

À propos de Veracode

Veracode est un partenaire AppSec (sécurité des applications) de premier plan pour la création de logiciels sécurisés, la réduction du risque de faille de sécurité et l'augmentation de la productivité des équipes de sécurité et de développement. Par conséquent, les entreprises qui font confiance à Veracode peuvent faire avancer leur entreprise et le monde. En combinant automatisation des processus, intégrations, rapidité et réactivité, Veracode aide les entreprises à obtenir des résultats précis et fiables qui leur permettent de concentrer leurs efforts sur la correction ? et pas seulement sur la recherche ? des vulnérabilités potentielles. Pour plus d'informations, rendez-vous sur www.veracode.com et sur le blog Veracode, et suivez-nous surLinkedIn et Twitter.

Copyright © 2022 Veracode, Inc. Tous droits réservés. Veracode est une marque déposée de Veracode, Inc. aux États-Unis et peut être enregistré dans d'autres juridictions. Tous les autres noms de produits, marques et logos appartiennent à leurs propriétaires respectifs. Toutes les autres marques commerciales citées dans ce communiqué sont la propriété de leurs détenteurs respectifs.

Le texte du communiqué issu d'une traduction ne doit d'aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d'origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.