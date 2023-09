Une étude de Veracode révèle que 80 % des applications développées dans la région EMEA contiennent des failles de sécurité





Veracode, l'un des principaux fournisseurs mondiaux de logiciels de sécurité intelligents, a publié aujourd'hui une étude indiquant que les applications développées par des organisations en Europe, au Moyen-Orient et en Afrique ont tendance à contenir plus de failles de sécurité que celles créées par leurs homologues américaines. Parmi toutes les régions analysées, la région EMEA présente également le pourcentage le plus élevé de failles « critiques », ce qui signifie qu'elles poseraient un problème critique pour l'entreprise si elles étaient exploitées. Un grand nombre de failles et de vulnérabilités dans les applications est corrélé à des niveaux de risque accrus, ce qui est particulièrement notable alors que les cyberattaques contre la chaîne d'approvisionnement logicielle font la une des journaux en 2023.

Les chercheurs ont découvert qu'un peu plus de 80 % des applications développées par des organisations de la région EMEA présentaient au moins une faille de sécurité détectée lors de leur analyse la plus récente au cours des 12 derniers mois, contre un peu moins de 73 % des organisations américaines. En outre, le pourcentage de candidatures contenant des failles « critiques » était le plus élevé de toutes les régions, soit près de 20 %.

« Nos données montrent que des organisations du monde entier continuent de déployer un nombre inquiétant d'applications présentant un nombre élevé de failles dans le Top 25 CWE », déclare Chris Eng, directeur de la recherche chez Veracode. « Nous avons cependant identifié des différences régionales intéressantes, notamment en termes d'utilisation de codes tiers ou open source et de la manière dont les vulnérabilités sont introduites tout au long du cycle de vie des applications », poursuit-il.

L'analyse des données collectées à partir de plus de 27 millions d'analyses dans 750 000 applications a contribué à produire le dernier rapport annuel State of Software Security de Veracode. Ce nouveau rapport présente les résultats spécifiques à la région EMEA issus de ces analyses et applications, notamment les résultats du Royaume-Uni, de l'Allemagne, de la France, de l'Italie ainsi que du Moyen-Orient et de l'Afrique.

Les chiffres à eux seuls ne rendent pas compte des conséquences de l'exploitation des vulnérabilités logicielles par les pirates. Alors que les organisations de la zone EMEA utilisent une combinaison toujours plus complexe de logiciels tiers pour fournir leurs services, l'exploitation d'une vulnérabilité grave peut avoir un impact simultané sur des milliers de victimes. Plus tôt cette année, une vulnérabilité affectant les outils logiciels d'impression PaperCut MF et PaperCut NG a été activement exploitée par des acteurs malveillants. Jusqu'à 70 000 organisations dans 200 pays sont devenues des victimes potentielles, et les rapports des forces de l'ordre ont révélé que les auteurs de menaces ont réussi à compromettre des entités vulnérables du secteur de l'éducation.

Java et le code tiers introduisent des failles de sécurité importantes

L'étude a identifié des différences régionales notables dans l'utilisation du langage préféré, Java s'étant révélé comme langage préféré des développeurs de la région EMEA. Elle a constaté que les équipes utilisant Java corrigeaient les failles à un rythme plus lent que celles utilisant .NET ou JavaScript, ce qui faisait que bon nombre de ces failles persistaient ou restaient inaperçues beaucoup plus longtemps. L'utilisation de Java est également un facteur clé dans le pourcentage plus élevé de vulnérabilités introduites dans les applications dans la région, dans la mesure où plus de 95 % des applications Java sont composées de code tiers ou open source. Cela met en évidence l'importance de l'analyse de la composition logicielle (SCA), qui détecte les failles dans le code open source, l'étude ayant révélé une proportion plus élevée de failles signalées par SCA dans la région EMEA que dans d'autres régions.

Le risque de vulnérabilités provenant de sources externes augmente à mesure que l'IA générative continue de gagner du terrain dans le développement de logiciels. Une étude présentée à la conférence Black Hat en 2022 a décelé des vulnérabilités dans 40 % du code écrit par de grands modèles de langage formés sur de vastes réserves de données non affinées, y compris des millions de référentiels GitHub publics. Il est donc essentiel que les organisations exploitent les outils SCA pour rechercher et corriger les failles, afin de permettre aux développeurs de tirer parti de l'IA sans compromettre la sécurité des applications.

Les applications deviennent plus vulnérables au fil du temps

L'étude a également montré que de nouvelles failles continuent d'être introduites dans les applications de la région EMEA à un rythme bien plus élevé tout au long du cycle de vie des applications que dans d'autres régions. Tandis que les organisations de la zone EMEA continuent de mettre à jour leurs applications, l'accent est moins mis sur la qualité. Après une période de cinq ans, 50 % des applications dans la région EMEA continuent d'introduire de nouvelles failles, contre un peu plus de 30 % dans le reste du monde. Dans l'ensemble, la probabilité de base qu'une faille soit introduite au cours d'un mois donné était de 27 %.

Les organisations de la zone EMEA gagneraient ainsi à accorder plus d'attention à la dernière partie du cycle de vie des applications et à analyser celles-ci plus régulièrement. Elles devraient également donner la priorité à la formation en sécurité des développeurs, l'étude révélant que la réalisation de 10 laboratoires de sécurité interactifs réduit la probabilité d'introduction de failles de 27 % à environ 25 % au cours d'un mois donné.

« Le rapport State of Software Security de cette année met en lumière l'importance de la sécurité tout au long du cycle de vie des logiciels, ainsi que le besoin urgent de faire face aux risques posés par le code tiers et le code généré par IA », ajoute Chris Eng. « Même si, à l'échelle mondiale, nous constatons encore un volume préoccupant de vulnérabilités, ces chiffres sont plus élevés dans la région EMEA selon presque tous les critères. Les équipes de développement de cette région doivent saisir l'opportunité d'automatiser la sécurité des logiciels pour une analyse régulière et réfléchir attentivement à leur utilisation des outils d'IA, à la fois pour accroître la sécurité et responsabiliser les développeurs. »

Le Veracode State of Software Security EMEA 2023 recommande quatre actions que les équipes de développement de logiciels peuvent prendre pour améliorer leur attitude en matière de cybersécurité et peut être téléchargé sur le site Web de Veracode.

Le rapport mondial Veracode State of Software Security 2023 est disponible en téléchargement.

