La 13e édition du rapport sur l'état de la sécurité logicielle publie les tendances du paysage logiciel et l'évolution des pratiques de sécurité. Certains résultats sont inquiétants : 82 % des applications développées dans le secteur public ont eu au moins une vulnérabilité de sécurité découverte, contre 74 % dans les entreprises privées.
L'étude sur l'état de la sécurité logicielle a révélé que les applications du secteur public ont tendance à présenter plus de failles de sécurité que les applications du secteur privé. Le nombre plus élevé d'erreurs et de vulnérabilités dans les applications est en corrélation avec un risque de sécurité accru. L'étude a été menée dans le contexte d'un certain nombre d'initiatives gouvernementales mondiales visant à améliorer la cybersécurité, telles que la loi européenne sur la cyber-résilience, qui vise à introduire des exigences de sécurité minimales supplémentaires pour les produits contenant des éléments numériques. L'analyse des données de plus de 27 millions de scans dans 750.000 XNUMX applications a constitué la base du dernier rapport annuel de Veracode
De nombreuses applications avec des failles de sécurité
Les chercheurs ont découvert qu'environ 82 % des applications développées par les organisations du secteur public présentaient au moins une faille de sécurité. Cela se compare à 74% pour les entreprises privées. Les données de l'étude ont été recueillies au cours des 12 derniers mois. Selon le type de vulnérabilité identifié, il y avait une probabilité de 12 à 7 % plus élevée qu'une vulnérabilité ait été intégrée aux applications du secteur public au cours des 12 derniers mois.
Les chiffres seuls ne reflètent pas les conséquences qui se produisent lorsque les pirates exploitent les bogues et les vulnérabilités. En août de l'année dernière, par exemple, une attaque de la chaîne d'approvisionnement contre la Chambre de commerce et d'industrie allemande a obligé cette dernière à fermer complètement ses systèmes informatiques et ses services numériques, ses téléphones et ses serveurs de messagerie. Les services essentiels étaient à nouveau disponibles peu de temps après l'attaque, mais il a fallu plus d'un mois avant que toutes les fonctionnalités soient restaurées.
De graves vulnérabilités dans le secteur public
En ce qui concerne les vulnérabilités de « gravité élevée », les secteurs publics ont le dessus. Au cours de la période d'étude de 12 mois, le pourcentage d'applications présentant des failles de sécurité critiques était plus faible dans le secteur public (16,5 %) que dans les entreprises privées (19 %). Les vulnérabilités de gravité plus élevée ont un potentiel plus élevé d'affecter l'ensemble du système si elles sont exploitées.
Les tests d'application modernes encouragent l'utilisation d'outils d'analyse de sécurité tels que Static Application Security Testing (SAST) et Software Composition Analysis (SCA). Différents types d'analyses peuvent découvrir différents types de vulnérabilités. SAST et SCA ont trouvé un pourcentage de défauts plus faible dans les applications du secteur public que dans les applications des entreprises privées.
La prudence vaut mieux que l'abstention
Il existe une grande différence entre les secteurs public et privé en ce qui concerne la vitesse à laquelle les analyses détectent de nouvelles vulnérabilités dans les logiciels vieillissants. Pour les applications utilisées depuis 5 ans, les failles de sécurité augmentent dans le secteur privé, alors qu'elles diminuent dans les organisations publiques. Cette tendance montre que les organisations du secteur public sont attentives à la sécurité de leurs applications sur plusieurs années et pas seulement au tout début du cycle de vie.
Le « Rapport sur l'état de la sécurité des logiciels dans le secteur public 2023 » recommande quatre actions que les agences gouvernementales peuvent prendre pour améliorer leur position en matière de cybersécurité :
- Rattrapage : les retards de bogues connus doivent être corrigés dès que possible.
- Analyse fréquente : une analyse irrégulière rend plus difficile la correction des erreurs et entraîne davantage de retards.
- Automatiser : en automatisant les tests via les API, les erreurs et les défauts dans les applications sont mieux évités.
- Ajout de DAST à la pile de sécurité : utilisez l'analyse dynamique pour découvrir les vulnérabilités que d'autres types d'analyse manquent.
« Le secteur public a parcouru un long chemin dans l'amélioration de la sécurité de ses applications. Cependant, il reste encore beaucoup à faire pour permettre aux autorités d'améliorer leur cybersécurité et de parer aux nouvelles menaces. En concentrant leurs efforts de sécurité sur la cause profonde de la plupart des cyber-violations, la couche application, ils peuvent apporter des améliorations significatives. Des analyses régulières utilisant diverses méthodes de test et la correction ultérieure des vulnérabilités ouvriront la voie à un avenir plus sûr pour le secteur public », a déclaré Julian Totzek-Hallhuber, Manager Solution Architects EMEA & APAC chez Veracode.
Plus sur Veracode.com
À propos de Veracode
Veracode est synonyme de sécurité logicielle intelligente. La plate-forme de sécurité logicielle Veracode détecte les failles et les vulnérabilités à chaque étape du cycle de développement logiciel moderne. Grâce à une puissante IA formée sur des billions de lignes de code, les clients de Veracode corrigent les erreurs plus rapidement et avec une grande précision.