Un rapport dévoile une sécurité logicielle à la traîne dans les organismes du secteur public

Veracode, l'un des principaux fournisseurs mondiaux de sécurité logicielle intelligente, publie aujourd'hui une étude indiquant que les applications développées par les organisations du secteur public ont tendance à présenter plus de failles de sécurité que les applications créées par le secteur privé. Les conclusions sont notables étant donné que le nombre accru de défaillances et de vulnérabilités dans les applications est en corrélation avec l'augmentation des niveaux de risque. L'étude intervient au milieu d'une vague d'initiatives récentes du gouvernement fédéral visant à renforcer la cybersécurité, y compris des efforts visant à réduire les vulnérabilités dans les applications qui remplissent des fonctions gouvernementales critiques.

Les chercheurs ont constaté qu'un peu moins de 82 pour cent des applications développées par des organisations du secteur public comportaient au moins une faille de sécurité détectée dans leur analyse la plus récente au cours des 12 derniers mois, contre 74 pour cent des organisations du secteur privé. Selon le type de défaut suivi, les applications du secteur public avaient une probabilité de 7 à 12 pour cent plus élevée d'avoir une défaillance introduite au cours des 12 derniers mois.

« La différence entre le taux d'apparition de défaillances dans les applications des secteurs public et privé est importante. Les efforts déployés par le gouvernement pour combler ce fossé sont nécessaires et devraient se poursuivre. En tant que gardiens de la sécurité publique, les agences ont la responsabilité d'effacer cette lacune et de renforcer la sécurité afin de protéger la nation et ses citoyens », déclare Chris Eng, Chief Research Officer, Veracode.

L'analyse des données recueillies à partir de plus de 27 millions points de contrôle dans 750 000 applications a permis de produire le dernier rapport annuel de Veracode sur l'état de la sécurité logicielle. Ce nouveau rapport présente les résultats spécifiques du secteur public à partir de ces points de contrôle et applications, y compris les résultats du gouvernement fédéral, des États et des collectivités locales.

Les chiffres à eux seuls ne transmettent pas les conséquences qui se produisent lorsque les pirates exploitent les failles et les vulnérabilités des logiciels. Au début du mois de mai de cette année, une attaque par ransomware contre la ville de Dallas a mis à mal des fonctions essentielles pour fournir des services publics, y compris les systèmes informatiques utilisés par les agences de sécurité publique. Plus de trois semaines après l'attaque, les agences publiques de Dallas ne s'étaient pas complètement rétablies.

Défaillances de gravité élevée : une victoire pour le secteur public

Le rapport de Veracode a également trouvé des sources d'optimisme pour les organisations du secteur public quant à la sécurité des applications. La découverte de défaillances de « haute gravité » dans les applications du secteur public (16,5 pour cent) au cours d'une période de 12 mois était inférieure à celle des applications non publiques (19 pour cent). Ce résultat est à noter parce que lorsqu'elles sont exploitées, les failles de gravité élevée ont un plus grand risque d'impacter négativement les systèmes.

Les tests d'application modernes encouragent l'utilisation de plusieurs types d'outils d'analyse de sécurité, tels que les tests de sécurité des applications statiques (SAST) et l'analyse de la composition logicielle (SCA), car différents types de contrôles excellent à découvrir différents types de défaillances. Les SAST et SCA ont constaté des défaillances d'application dans un pourcentage plus faible d'organismes du secteur public que dans les applications du secteur privé.

Trouver moins de failles lors de l'utilisation des outils SCA pourrait signaler l'impact initial du décret exécutif de mai 2021 (EO 14028), qui demande aux agences fédérales américaines de renforcer les efforts visant à protéger la chaîne d'approvisionnement des logiciels. Cet OE appelle également à une plus grande utilisation des factures de matériel logiciel (SBOM), qui énumèrent les éléments des logiciels, favorisant ainsi le partage d'informations, la transparence et la visibilité. Ailleurs, le Programme fédéral de gestion des risques et des autorisations (FedRAMP) normalise l'évaluation de la sécurité des produits et services cloud. De même, StateRAMP permet aux gouvernements des États et aux collectivités locales de vérifier la conformité des fournisseurs de services cloud aux politiques de cybersécurité.

« Au fur et à mesure que les systèmes informatiques modernes ont évolué et sont devenus plus complexes, la taxonomie des failles applicatives est devenue plus variée », déclare Eng. « En tant que tel, l'utilisation de plusieurs types de contrôle pour trouver et corriger les failles est devenue une bonne pratique. »

Une once de prévention vaut une livre de remède

Une différence frappante entre les applications des secteurs public et privé est la cadence à laquelle les contrôles découvrent de nouvelles failles dans les logiciels vieillissants. Au moment où un logiciel est en production depuis cinq ans, les deux secteurs divergent fortement : les taux de nouvelles failles introduites dans les applications du secteur privé augmentent, tandis que les taux pour les organismes du secteur public diminuent.

Cette tendance suggère que les organismes du secteur public sont plus vigilants à l'égard de la sécurité des applications au fil du temps, et pas seulement pendant les premières années du cycle de vie. Les applications en dehors du gouvernement connaissent en revanche une augmentation progressive et régulière de l'introduction de nouvelles failles à mesure qu'elles vieillissent.

Le rapport State of Software Security Public Sector 2023 recommande quatre mesures que les agences peuvent prendre pour améliorer leur posture de cybersécurité.

• Rattraper le retard : corriger l'ensemble des défaillances connues
• Contrôler régulièrement : une analyse incohérente rend la correction des failles plus difficile, ce qui entraîne une accumulation
• Automatiser : automatiser les tests via des API réduit l'introduction de failles applicatives
• Ajouter le DAST à la pile : utiliser le contrôle dynamique pour découvrir les failles que les autres types de contrôle ne détectent pas

« Le secteur public a parcouru un long chemin dans le renforcement de la sécurité des applications qui servent notre gouvernement, mais il reste encore beaucoup à faire pour que les agences améliorent leur positionnement informatique et repoussent les menaces. En concentrant les efforts de sécurité sur la cause fondamentale de la plupart des cyberviolations ? la couche applicative ? les agences peuvent apporter les améliorations requises. Contrôler régulièrement avec une variété de types de tests et combler les lacunes en matière de sécurité ? les vulnérabilités logicielles accumulées qui menacent la sécurité d'un système ? ouvrira la voie à un avenir plus sûr pour les agences gouvernementales », conclut Eng.

L'étude complète du secteur public issue du rapport Veracode State of Software Security est disponible et fournit des comparatifs fondamentaux entre les différentes agences gouvernementales.

Le rapport Veracode State of Software Security 2023 est téléchargeable dans son intégralité.

À propos du rapport State of Software Security

Le 13e volume du rapport annuel de Veracode sur l'état de la sécurité logicielle examine les tendances historiques qui façonnent le paysage logiciel et comment les pratiques de sécurité évoluent avec ces tendances. Les résultats de cette année sont basés sur les données historiques complètes disponibles auprès des services et des clients de Veracode et représentent un échantillon de grandes et petites entreprises, de fournisseurs de logiciels commerciaux, d'externalisateurs de logiciels et de projets open source. Le rapport contient des résultats sur les applications qui ont fait l'objet d'analyse statique, d'analyse dynamique, d'analyse de composition logicielle et/ou de tests de pénétration manuelle via la plateforme cloud de Veracode. Le rapport examine les données fournies par les clients de Veracode et les informations qui ont été calculées ou dérivées au cours de l'analyse de Veracode.

À propos de Veracode

Veracode est synonyme de sécurité logicielle intelligente. La plateforme de sécurité logicielle Veracode détecte en continu les failles et les vulnérabilités à chaque étape du cycle de développement des logiciels modernes. Guidés par une puissante IA entraînée par des billions de lignes de code, les clients de Veracode corrigent les failles plus rapidement et avec une grande précision. Les équipes de sécurité, les développeurs et les chefs d'entreprise de milliers d'organisations parmi les plus importantes au monde font confiance à Veracode, le pionnier sectoriel qui repense sans relâche ce que signifie une sécurité logicielle intelligente. Veracode est accrédité pour le programme de gestion des risques et des autorisations de FedRAMP et StateRAMP.

Copyright © 2023 Veracode, Inc. Tous droits réservés. Veracode est une marque déposée de Veracode, Inc. aux États-Unis et peut être enregistré dans d'autres juridictions. Tous les autres noms de produits, marques et logos appartiennent à leurs propriétaires respectifs. Toutes les autres marques commerciales citées dans ce communiqué sont la propriété de leurs détenteurs respectifs.

Le texte du communiqué issu d'une traduction ne doit d'aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d'origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.