Veracode, leader mondial dans la fourniture de solutions d’analyse de la sécurité des applications, a publié ce jour des données qui révèlent que l’industrie des services financiers se classe parmi les secteurs présentant le pourcentage total de failles le plus faible par rapport aux autres industries, mais possède l’un des taux de correction les plus bas en matière de failles de sécurité logicielle. Ce secteur se situe dans la moyenne pour les failles de haute gravité : le taux d’applications présentant d’importantes vulnérabilités est de 18 %, un chiffre qui suggère que les prestataires de services financiers devraient avant tout œuvrer à identifier et à corriger les failles les plus critiques.
Ces résultats figurent dans le rapport annuel State of Software Security version 12 de la société, qui a examiné 20 millions d’analyses sur un demi-million d’applications des secteurs de la finance, de la technologie, de la production, du commerce de détail, de la santé et de l’administration. Parmi ces six industries, le secteur financier présente un taux d’applications contenant des failles de sécurité de 73 %, deuxième pourcentage le plus faible. Dans le rapport de l’an dernier, le secteur financier était pourtant premier à ce classement, mais a été battu cette année par le secteur de la production. Malgré un nombre de failles globalement inférieur, le secteur des services financiers arrive dernier avec les secteurs de la technologie et de l’administration, avec un faible pourcentage de failles corrigées.
« L’un des avantages pour Veracode d’être au service de la communauté des développeurs de logiciels depuis un si grand nombre d’années est que nous pouvons observer l’évolution dans le temps des pratiques de développement au sein des différentes industries. Nous avons constaté que les applications de services financiers présentent moins de failles de sécurité que l’an dernier, mais que ce secteur est en retard par rapport aux autres concernant le taux de correction. Nos recherches ont montré qu’une formation sur les questions de sécurité peut nettement améliorer la vitesse de correction, et que les entreprises dont les équipes de développement ont été formées sur des applications réelles ont corrigé leurs failles à une vitesse 35 % plus élevée que celles n’ayant pas suivi de formation dédiée », a déclaré Chris Eng, directeur de la recherche chez Veracode.
Sécuriser la chaîne logistique logicielle mondiale
Même s’il reste indubitablement une marge de progression en termes de prévalence des failles comme de taux de correction, lorsque les prestataires de services financiers corrigent effectivement leurs failles, ils évoluent à un rythme plus rapide que les autres.
Selon Eng, « aux États-Unis, le décret présidentiel sur la cybersécurité, en plus de différentes mesures sur les contrôles de sécurité concernant l’utilisation des logiciels open source, comme le RGPD et le règlement sur la cybersécurité du New York Department of Financial Services, a mis en lumière l’importance de la sécurisation de la chaîne logistique logicielle. Le fait que la finance soit un secteur très réglementé peut expliquer en partie la relative vitesse à laquelle cette industrie a abordé les problèmes de vulnérabilité découverts dans les bibliothèques par analyse de composition logicielle (software composition analysis, SCA). »
Les failles présentes dans les bibliothèques de tiers découvertes par SCA ont tendance à durer plus longtemps au sein de toutes les industries, avec 30 % de failles non résolues au bout de deux ans. En matière de résolution des vulnérabilités des logiciels open source, cependant, le secteur de la finance apporte des corrections à la même vitesse que les autres industries pour la première année, mais accélère la cadence pour gagner un mois sur la moyenne intersectorielle.
Bien que le secteur de la finance dépasse la performance de la plupart des autres industries en vitesse de correction des failles découvertes par analyse dynamique, statique et SCA, le rapport met en évidence qu’il reste une grande marge d’amélioration continue en matière de nombre de jours nécessaires pour résoudre 50 % des failles : 116 jours pour l’analyse dynamique, 385 jours pour la SCA, et 288 jours pour l’analyse statique. Les composants tiers comprennent jusqu’à 90 %* du code source d’une application ; ainsi, une analyse précoce et l’utilisation fréquente d’une combinaison de types d’analyse peuvent réduire le travail de correction d’urgence non prévu, et limiter le risque d’introduire des failles de sécurité de tiers dans les logiciels.
Le rapport State of Software Security v12 de Veracode sur les services financiers est disponible au téléchargement en cliquant ici et une vidéo des résultats peut être visionnée en cliquant ici.
* The Linux Foundation Statista, Joseph Perlow, « A Summary of Census II: Open Source Software Application Libraries the World Depends On » : https://www.statista.com/statistics/617136/digital-population-worldwide/, 7 mars 2022
À propos du rapport State of Software Security
Le rapport State of Software Security (SoSS) version 12 de Veracode a analysé les données historiques complètes issues des services et des clients de Veracode. Cet ensemble représente un total de plus d’un demi-million d’applications (592 720) utilisant tous types d’analyses, plus d’un million d’analyses dynamiques (1 034 855), plus de cinq millions d’analyses statiques (5 137 882) et plus de 18 millions d’analyses de composition logicielle (18 473 203). Toutes ces analyses ont produit 42 millions de résultats statiques bruts, 3,5 millions de résultats dynamiques bruts et six millions de résultats SCA bruts.
Ces données représentent de grandes comme de petites entreprises, des fournisseurs de logiciels commerciaux, des sous-traitants de logiciels et des projets de logiciels libres. Dans la plupart des analyses, une même application n’a été comptée qu’une seule fois, même si elle a été soumise plusieurs fois au fur et à mesure que les vulnérabilités étaient corrigées et que de nouvelles versions étaient mises en ligne.
À propos de Veracode
Veracode est un partenaire AppSec de référence pour la conception de logiciels sécurisés, la réduction des risques de violation de la sécurité et l’augmentation de la productivité des équipes de sécurité et de développement. Ainsi, les entreprises qui ont recours à Veracode sont en mesure de faire progresser leur activité et le monde. En combinant l’automatisation des processus, les intégrations, la vitesse et la réactivité, Veracode offre aux entreprises des résultats précis et fiables qui leur permettent de concentrer leurs efforts sur la correction, et pas seulement sur la recherche, des éventuelles vulnérabilités. En savoir plus à l’adresse www.veracode.com, sur le Veracode blog et sur Twitter.
Copyright © 2022 Veracode, Inc. Tous droits réservés. Veracode est une marque déposée de Veracode, Inc. aux États-Unis et peut être enregistré dans d’autres juridictions. Tous les autres noms de produits, marques et logos appartiennent à leurs propriétaires respectifs. Toutes les autres marques commerciales citées dans ce communiqué sont la propriété de leurs détenteurs respectifs.
Le texte du communiqué issu d’une traduction ne doit d’aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d’origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.
Consultez la version source sur businesswire.com : https://www.businesswire.com/news/home/20220823005501/fr/
