Selon Veracode, l’un des principaux fournisseurs mondiaux de solutions de test de sécurité des applications, le secteur manufacturier présente le nombre le plus faible de failles de sécurité logicielle, détrônant ainsi les services financiers qui figuraient à la première place l’an dernier. Ces données sont publiées dans le rapport annuel de Veracode, «State of Software Security (SoSS) report v12», qui a analysé 20 millions de scans parmi un demi-million d’applications dans les secteurs manufacturier, de la santé, des services financiers, des technologies, de la vente au détail et des organismes publics.
En 2021, année où l’industrie était confrontée à la pression et à la demande accrues qui pesaient sur les chaînes d’approvisionnement, la fabrication s’est avérée être le secteur le plus ciblé par les cybercriminels, l’exploitation des vulnérabilités étant le principal vecteur d’attaque initiale*. Dès lors, depuis que des règlements tels que la directive présidentielle américaine sur la cyber-sécurité et l’acte législatif européen sur la cyber-résilience ont mis la question sous les projecteurs, la priorité donnée à la sécurisation de la chaîne d’approvisionnement logicielle n’a jamais été aussi haute.
Chris Eng, directeur R&D chez Veracode, a déclaré: «Dans un contexte où les entreprises de fabrication continuent de faire de la sécurité logicielle une priorité, il est encourageant de constater qu’il y a eu une diminution des failles l’an dernier, d’autant plus que les innovations technologiques ont conduit à l’adoption accrue de nouvelles plateformes et de nouveaux environnements. L’an dernier, nous avons observé que 76% des applications de fabrication contenaient des vulnérabilités, dont 21% étaient considérées comme « très graves ». Ces chiffres ont considérablement diminué.»
Les failles de sécurité open source persistent plus longtemps
Malgré des résultats positifs en termes de prévalence des failles, les recherches de Veracode montrent que le secteur manufacturier, ainsi que les secteurs de la santé et des technologies, présentent la plus faible proportion de failles qui sont corrigées une fois qu’elles sont repérées. Plus inquiétant encore, le temps nécessaire pour corriger les vulnérabilités: les entreprises manufacturières affichent les délais les plus lents de correction des vulnérabilités repérées par analyse statique (SAST), analyse dynamique (DAST) et analyse de la composition logicielle (SCA). Par exemple, environ 55% des faiblesses découvertes par analyse statique ne sont toujours pas corrigées au bout d’un an, et le secteur manufacturier est constamment en retard de quatre mois sur la moyenne générale.
Les failles découvertes par analyse statique dans les bibliothèques tierces persistent longtemps. Ainsi, dans tous les secteurs, 30% des bibliothèques vulnérables restent dans cet étant pendant deux ans en moyenne. Dans le secteur manufacturier, ce chiffre s’élève à plus de 40%, soit un retard de plus de six mois par rapport à la moyenne intersectorielle.
Selon Chris Eng, «Cela peut être dû au fait qu’il y a un plus grand nombre d’applications industrielles spécialisées présentant moins de failles, mais plus difficiles à corriger, que dans d’autres secteurs. Ces résultats soulignent la nécessité pour les fabricants de se concentrer à temps sur la résolution des vulnérabilités.»
Certaines faiblesses sont plus courantes que d’autres
La recherche s’est également intéressée aux différentes failles affectant les langages de programmation utilisés dans les applications du secteur manufacturier, notamment Java, .NET et JavaScript. Veracode a examiné les types de failles affectant les applications et constaté que les faiblesses les plus courantes repérées dans le secteur de la fabrication concernent la configuration du serveur, les dépendances non sécurisées et les fuites d’informations.
En conclusion, Chris Eng a déclaré: «La sécurité des entreprises et des infrastructures critiques dépend principalement de la sécurité de la chaîne d’approvisionnement logicielle, laquelle ne peut être assurée que si l’on a une visibilité sur ses composantes. L’intégration de la sécurité au tout début du cycle de vie du développement logiciel et l’utilisation d’outils pour générer une nomenclature logicielle (SBOM) donneront aux fabricants l’assurance que les produits qu’ils mettent sur le marché présentent moins de vulnérabilités et, par conséquent, moins de risques.»
Le résumé du rapport «State of Software Security v12: Manufacturing» de Veracode peut être téléchargé ici et la version intégrale du rapport est disponible ici.
* IBM Security, «X-Force Threat Intelligence Index», février 2022.
À propos du rapport State of Software Security
Le Veracode State of Software Security (SoSS) v12 analyse les données historiques complètes relatives aux services et aux clients de Veracode, ce qui représente un total de plus d’un demi-million d’applications (592 720) pour lesquelles tous les types d’analyse ont été utilisés: plus d’un million d’analyses dynamiques (1 034 855), plus de cinq millions d’analyses statiques (5 137 882) et plus de 18 millions d’analyses de composition de logiciels (18 473 203). Toutes ces analyses ont produit 42 millions de résultats statiques bruts, 3,5 millions de résultats dynamiques bruts et six millions de résultats SCA bruts.
Ces données représentent de grandes comme de petites entreprises, des fournisseurs de logiciels commerciaux, des sous-traitants de logiciels et des projets de logiciels libres. Dans la plupart des analyses, une même application n’a été comptée qu’une seule fois, même si elle a été soumise plusieurs fois au fur et à mesure que les vulnérabilités étaient corrigées et que de nouvelles versions étaient mises en ligne.
À propos de Veracode
Veracode, le partenaire de référence en matière de sécurité des applications, est une entreprise axée sur la conception de logiciels sécurisés, la réduction des risques de violation de la sécurité et l’augmentation de la productivité des équipes de sécurité et de développement. Ainsi, les entreprises qui font appel à Veracode sont en mesure de faire progresser leurs activités et le monde. En combinant l’automatisation des processus, les intégrations, la vitesse et la réactivité, Veracode aide les entreprises à obtenir des résultats précis et fiables qui leur permettent de concentrer leurs efforts, pas seulement sur la recherche des éventuelles vulnérabilités, mais aussi sur leur correction. Pour plus d’informations, rendez-vous sur www.veracode.com, sur le blog de Veracode et sur Twitter.
Copyright © 2022 Veracode, Inc. Tous droits réservés. Veracode est une marque déposée de Veracode, Inc. aux États-Unis et peut être enregistré dans d’autres juridictions. Tous les autres noms de produits, marques et logos appartiennent à leurs propriétaires respectifs. Toutes les autres marques commerciales citées dans ce communiqué sont la propriété de leurs détenteurs respectifs.
Le texte du communiqué issu d’une traduction ne doit d’aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d’origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.
Consultez la version source sur businesswire.com : https://www.businesswire.com/news/home/20221019005137/fr/
