Une étude de Veracode révèle les étapes à suivre pour réduire l'introduction et l'accumulation de failles de sécurité à mesure que les applications grandissent et vieillissent

Veracode, un fournisseur mondial leader de solutions modernes permettant de tester la sécurité des applications, a aujourd'hui révélé des informations qui pourraient faire gagner du temps et de l'argent aux sociétés en aidant les développeurs à limiter l'introduction et l'accumulation de failles de sécurité dans leurs logiciels. Le rapport de Veracode sur l'état de la sécurité logicielle de 2023 (State of Security 2023 report) a révélé que l'accumulation de failles au fil du temps est si importante que près de 32 % des applications présentent des failles lors de la première analyse et qu'au bout de cinq ans de service, près de 70 % d'entre elles contiennent au moins une faille de sécurité. Les rapports annuels que Veracode publie depuis 2010 résument les principales découvertes de sa clientèle très diverse.

L'atteinte à la protection des données coûtant en moyenne 4,35 millions de dollars*, les équipes devraient prioriser la résolution de ces problèmes au début du cycle de vie des logiciels afin de minimiser les risques occasionnés par l'accumulation de failles. Le directeur des recherches chez Veracode, Chris Eng, a déclaré : «?Comme dans toutes nos études, nous nous efforçons de fournir des idées que les développeurs peuvent mettre en oeuvre sur le champ. Cette année, deux considérations importantes ressortent des conclusions de l'étude : comment réduire les risques d'introduction de failles et comment réduire le nombre de failles introduites. Hormis les contrôles d'accès techniques, les pratiques de codage sécurisé sont d'autant plus cruciales pour la cybersécurité en 2023 et au-delà.?»

Aucune corrélation directe entre la croissance des applications et l'introduction de failles

Après l'analyse initiale, les applications entrent très vite dans une sorte de «?lune de miel?» de stabilité, et près de 80 % d'entre elles ne présentent aucune nouvelle faille au cours du premier an et demi de service. Cependant, après cette période, le nombre de nouvelles failles introduites augmente à nouveau et atteint environ 35 % des applications au bout de cinq ans.

L'étude a révélé que la formation des développeurs, l'utilisation de plusieurs méthodes d'analyse, y compris l'analyse via API, ainsi que la fréquence des analyses sont des facteurs qui influent sur la réduction des probabilités d'introduction de failles, ce qui laisse penser que les équipes devraient les intégrer en priorité dans leurs programmes de sécurité logicielle. Par exemple, le fait de ne pas effectuer d'analyse pendant plusieurs mois augmente la probabilité de détecter des failles lors de la prochaine analyse. En outre, l'identification des principales failles dans les applications dépend du type de test, ce qui souligne l'importance d'utiliser plusieurs méthodes d'analyse pour détecter même les failles difficiles à identifier.

La fragilité du logiciel libre (open source)

À cause de l'importance accrue accordée à la nomenclature des logiciels au cours de l'année dernière, l'équipe de recherche de Veracode a également examiné 30?000 référentiels de logiciels libres hébergés publiquement sur GitHub. Il est intéressant de noter que 10 % des référentiels n'avaient pas été soumis pour validation, autrement dit une modification du code source, depuis près de six ans. Eng rajoute : «?L'utilisation d'une solution d'analyse de la composition des logiciels (SCA), qui exploite plusieurs sources de failles en allant au-delà de la base de données nationale sur les vulnérabilités, permet d'avertir les équipes dès qu'une vulnérabilité sera découverte et leur permettra donc de mettre en place des mesures de protection plus rapidement, peut-être avant même que l'exploitation ne commence. Il est également recommandé de définir des politiques organisationnelles sur la détection et la gestion des vulnérabilités, et d'envisager des mesures de réduction de la dépendance vis-à-vis des tiers.?»

Mieux vaut prévenir que guérir : les étapes à suivre pour réussir

L'étude de Veracode révèle les principales mesures que les équipes de sécurité et de développement devraient prendre :

• S'attaquer à la dette technique ou sécuritaire le plus tôt et le plus rapidement possible. La courbe des corrections doit baisser plus tôt et plus rapidement, car une application accumulera de nombreuses failles après deux ans de service. Que ce soit à cause d'une complexité accrue due à des années de croissance soutenue ou d'une baisse de l'attention portée au développement des applications, cette tendance continue à augmenter, ce qui signifie qu'il y a 90 % de chances qu'une application présente au moins une faille au bout de 10 ans. Une analyse fréquente en utilisant une variété d'outils vous aidera à détecter et à corriger les failles qui pourraient apparaître ou s'accumuler au fil du temps.
• Prioriser l'automatisation et la formation des développeurs à la sécurité pour leur expliquer quelles sont les vulnérabilités les plus susceptibles d'être introduites, ainsi que les différentes méthodes permettant d'éviter complètement toute introduction de failles. Globalement, les données révèlent une probabilité de 27 % que de nouvelles failles soient introduites dans une application au cours d'un mois donné. Les sociétés qui effectuent des analyses via API sont capables de réduire cette probabilité à 25 %. Celles qui participent à 10 Security Labs, une plateforme de formation offrant une expérience pratique de détection et de correction des vulnérabilités, sont également à même de réduire la probabilité d'introduction de failles de 1,8 % au cours d'un mois donné.
• Établir un protocole de gestion du cycle de vie des applications qui tient compte de la gestion des changements, de l'affectation des ressources et des contrôles organisationnels. Il convient d'étudier les phases de viabilité et de contrôle de la qualité au sein de votre société. Les premières discussions pourraient mener à l'obsolescence planifiée de certaines applications et à une révision des processus et des mesures de contrôle de la qualité associés à l'ingénierie continue des produits.

Jay Jacobs, cofondateur et scientifique des données à l'Institut Cyentia, avec qui Veracode a élaboré le rapport, a conclu : «?Grâce au rapport sur l'état des logiciels de Veracode, il fut très intéressant d'examiner l'accumulation et le comportement des failles en nous appuyant sur des données recueillies sur près de deux décennies. L'ampleur et la profondeur des données nous permettent non seulement d'identifier les meilleures pratiques, mais aussi certains des facteurs plus discrets qui doivent être abordés tôt dans le processus de développement pour atténuer les risques plus tard.?»

L'étude sur la sécurité logicielle de 2023 de Veracode a analysé plus de 750?000 applications provenant de fournisseurs de logiciels commerciaux, de sous-traitants de logiciels et de projets open source. Le rapport complet peut être téléchargé ici.

* IBM Security et The Ponemon Institute, Cost of a Data Breach Report 2022 (Le coût d'une violation de données), juillet 2022, https://www.ibm.com/downloads/cas/3R8N1DZJ

À propos du rapport State of Software Security

Le rapport sur l'état de la sécurité logicielle de 2023 (State of Software Security) de Veracode a analysé des données provenant de grandes et de petites entreprises, de fournisseurs de logiciels commerciaux, de sous-traitants de logiciels et de projets open source. Le rapport contient les résultats de 759?445 d'applications ayant utilisé toutes les méthodes d'analyse, de 1?262?147 analyses dynamiques, de 7?522?989 analyses statiques et de 18?473?203 analyses de composition logicielle. Toutes ces analyses ont produit 86 millions de résultats bruts statiques, 3,7 millions de résultats bruts dynamiques et 8,5 millions de résultats bruts d'analyse de composition logicielle.

À propos de Veracode

Veracode est un partenaire AppSec de référence pour la conception de logiciels sécurisés, la réduction des risques de violation de la sécurité et l'augmentation de la productivité des équipes de sécurité et de développement. Ainsi, les entreprises qui ont recours à Veracode sont en mesure de faire progresser leur activité et le monde. En combinant l'automatisation des processus, les intégrations, la vitesse et la réactivité, Veracode offre aux entreprises des résultats précis et fiables qui leur permettent de concentrer leurs efforts sur la correction, et pas seulement sur la recherche, des éventuelles vulnérabilités. Pour en savoir plus, rendez-vous surwww.veracode.com, sur le blog de Veracode, sur LinkedIn et sur Twitter.

Copyright © 2023 Veracode, Inc. Tous droits réservés. Veracode est une marque déposée de Veracode, Inc. aux États-Unis et peut être enregistré dans d'autres juridictions. Tous les autres noms de produits, marques et logos appartiennent à leurs propriétaires respectifs. Toutes les autres marques commerciales citées dans ce communiqué sont la propriété de leurs détenteurs respectifs.

Le texte du communiqué issu d'une traduction ne doit d'aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d'origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.