À l'heure où la cybersécurité est au cœur de toutes les attentions, Veracode, acteur des solutions de sécurité logicielle intelligente, publie une analyse exhaustive basée sur 27 millions d'analyses de 750 000 applications.
Ce rapport, baptisé "State of Software Security", met en lumière un déclin inquiétant de la conformité, mais également des perspectives d'amélioration grâce à l'adoption de pratiques telles que DevSecOps. Avec des recommandations pratiques pour les équipes de développement, cette édition cherche à guider les professionnels vers une meilleure gestion des vulnérabilités.
Des défis en matière de conformité et de persistance des failles
La tendance de ces dernières années montre un déclin alarmant en matière de conformité. Le taux de conformité avec OWASP Top 10 lors de la première analyse a diminué pour la troisième année consécutive, atteignant seulement 22,5%. De plus, 85% des applications contiennent au moins une vulnérabilité, dont 13% sont de gravité critique. Malgré ces défis, les entreprises ont montré une volonté d'adresser ces problèmes, avec une amélioration de 12 points du taux de résolution, s'élevant à près de 70%. Néanmoins, le défi persiste avec plus de 70% des failles non résolues un mois après leur découverte et près de 55% subsistant trois mois après.
« Nos données montrent que les organisations du monde entier continuent de déployer de manière inquiétante un nombre élevé d'applications comportant des failles du Top 25 CWE (Common Weakness Enumeration), déclare Chris Eng, directeur de la recherche chez Veracode. Nous avons toutefois identifié des différences régionales intéressantes, notamment en termes d'utilisation de codes tiers ou open source et la manière dont les failles sont introduites tout au long du cycle de vie de l'application ».
L'importance des analyses régulières et l'impact de DevSecOps
La fréquence d'analyse s'avère être un facteur clé. Les applications analysées entre 7 et 12 fois par an corrigent leurs failles 3,5 fois plus rapidement que celles qui sont scrutées moins fréquemment. Dans cette dynamique, les pratiques DevSecOps se révèlent cruciales. Les organisations adoptant fortement DevSecOps corrigent leurs failles plus de 11,5 fois plus rapidement que leurs pairs. Toutefois, certains secteurs, comme l'infrastructure, la fabrication et la finance, ainsi que la région EMEA, sont en retard dans l'adoption de ces bonnes pratiques.
L'engagement des développeurs et la nécessité d'une réflexion stratégique
L'implication des développeurs est palpable. Moins de 4% des vulnérabilités sont rejetées comme de faux positifs, montrant une prise en compte sérieuse des tests de sécurité. En conclusion, l'étude de Veracode insiste sur l'importance pour les entreprises de prioriser et de réagir rapidement aux vulnérabilités identifiées. La rapidité de réponse est essentielle pour minimiser les risques liés à ces failles.
« Cette édition du rapport State of Software Security met en lumière l'importance de la sécurité tout au long du cycle de vie des logiciels, ainsi que la nécessité urgente de prendre en compte les risques posés par le code tiers et l'IA générée, a ajouté Chris Eng. Alors qu'à l'échelle mondiale, nous constatons toujours un volume préoccupant de vulnérabilités, ces chiffres sont plus élevés dans la région EMEA pour presque tous les indicateurs. Les équipes de développement de cette région doivent saisir l'opportunité d'automatiser la sécurité des logiciels pour une analyse régulière, et considérer attentivement leur utilisation d'outils d'IA, à la fois pour renforcer la sécurité et responsabiliser les développeurs. »
Le rapport Veracode State of Software Security EMEA 2023 recommande 4 actions que les équipes de développement de logiciels peuvent entreprendre pour améliorer leur posture de cybersécurité, disponibles sur le site de Veracode.