Dans une étude récente, l’éditeur Cherkmarx relève que 86% des organisations auraient déployé du code applicatif vulnérable délibérément et subi, en conséquence, pour 88% d’entre-elles au moins une violation de sécurité en conséquence
Checkmarx, spécialisé dans la sécurité applicative publie aujourd’hui les résultats de son étude Global Pulse of Application Security conduite en collaboration avec Censuswide et présentée à la conférence RSA 2023 de San Francisco. Le rapport révèle les enjeux de sécurité mondiaux auxquels sont confrontés les RSSI, les responsables de la sécurité applicative (AppSec) et les développeurs, dans un contexte accéléré de migration vers le cloud et de transformation numérique.
Plus de 1500 RSSI interrogés
Une violation de données coûterait en moyenne 9,44 millions de dollars aux États-Unis et 4,35 millions de dollars dans le monde selon IBM. L’étude Checkmarx conduite auprès de plus de 1 500 RSSI, responsables AppSec et développeurs au niveau mondial a révélé que 88% des responsables AppSec auraient subi au moins une violation de sécurité au cours de l’année 2022 en conséquence directe de vulnérabilités dans le code applicatif. L’évolution vers des pratiques de développement modernes s’appuyant sur des micro-services et des technologies Serverless, la sécurité des conteneurs et l’infrastructure as code (IaC) multiplient la surface d’attaque, mettant ainsi en exergue de nouvelles priorités critiques pour la sécurité des applications. Les trois principales causes de violations pour les responsables AppSec sont les attaques ciblant la chaîne d’approvisionnement (Supply Chain) logicielle open source, le vol d’identifiants, les secrets ou les authentifications/autorisations faibles et les vulnérabilités connues et/ou inconnues dans le code mis en production
Principaux enseignements du rapport :
- 86% des responsables AppSec et des développeurs ont déployé ou connaissent quelqu’un qui a déployé en pleine conscience du code vulnérable
- 60% en moyenne des vulnérabilités sont détectées durant les phases de développement, de build ou de test selon les responsables AppSec sondés
- Les RSSI considèrent que les risques de sécurité prioritaires au sein de leurs organisations sont :
- Le développement de l’utilisation et de l’exposition des API (37%)
- Les risques liés à la chaîne d’approvisionnement (Supply Chain) logicielle open source (c.-à-d. du code malveillant) (37%)
- La conteneurisation des applications (37%)
- L’utilisation de librairies « open source » (36%)
- L’infrastructure as code (36%)
- Seuls 34% des développeurs déclarent que leurs scans AppSec sont totalement intégrés et automatisés au sein de leurs systèmes de gestion de code source (SCM), leurs environnements de développement (IDE) et leurs outils d’intégration CI/CD.
- Seuls 22% des RSSI estiment que leurs développeurs maîtrisent parfaitement les meilleures pratiques AppSec.
La rédaction