Dans son nouveau rapport State of Software Security, l’éditeur américain Veracode met en garde contre les risques croissants en termes de cybersécurité et souligne l’impératif d’une vigilance renforcée.
Basé sur une analyse exhaustive de 27 millions d’analyses portant sur 750 000 applications, le rapport révèle que la région EMEA est confrontée à un risque accru avec un pourcentage élevé de failles de gravité élevée, pouvant entraîner des conséquences critiques pour les entreprises. Plus de 80 % des applications développées dans la région présentent au moins une faille de sécurité détectée au cours des 12 derniers mois, un chiffre surpassant leurs homologues américains.
Des défis de sécurité persistants
Malgré les efforts déployés, le rapport souligne une persistance préoccupante des défis en matière de sécurité. Bien que le taux de résolution ait connu une amélioration de 12 points, s’élevant à près de 70%, plus de 70% des failles restent non résolues un mois après leur découverte, avec près de 55% persistant trois mois après. Avec son étude, Veracode met en avant l’urgence pour les entreprises d’adopter des pratiques de gestion des vulnérabilités plus efficaces. “Nos données montrent que les organisations du monde entier continuent de déployer de manière inquiétante un nombre élevé d’applications comportant des failles du Top 25 CWE (Common Weakness Enumeration), déclare Chris Eng, directeur de la recherche chez Veracode. Nous avons toutefois identifié des différences régionales intéressantes, notamment en termes d’utilisation de codes tiers ou open source et la manière dont les failles sont introduites tout au long du cycle de vie de l’application”, ajoute-t-il.
Des tendances régionales significatives
Les différences régionales dans l’utilisation de codes tiers ou open source sont notables, impactant la sécurité logicielle. L’étude révèle également des retards dans l’adoption des bonnes pratiques DevSecOps, en particulier dans des secteurs clés tels que l’infrastructure, la fabrication et la finance. Veracode met également en avant la persistance des vulnérabilités dans les applications Java en EMEA, soulignant l’importance de l’analyse des composants open-source des logiciels (SCA). Alors que l’IA générative continue d’évoluer, les risques associés à l’utilisation de codes tiers et à l’IA augmentent, nécessitant une utilisation judicieuse des outils SCA pour garantir la sécurité tout en tirant parti des avantages de l’IA.
L’importance des analyses régulières et l’adoption de DevSecOps
La fréquence des analyses joue un rôle crucial, avec des applications analysées entre 7 et 12 fois par an corrigent leurs failles 3,5 fois plus rapidement. Les pratiques DevSecOps se révèlent être un facteur clé, permettant aux organisations fortement engagées dans ces méthodologies de corriger leurs failles plus de 11,5 fois plus rapidement que leurs pairs.
Des applications plus vulnérables au fil du temps
Le rapport révèle que de nouvelles vulnérabilités continuent d’être introduites à un rythme plus élevé en EMEA par rapport à d’autres régions, soulignant la nécessité d’une attention particulière à la dernière phase du cycle de vie des applications. La formation des développeurs en matière de sécurité est également identifiée comme une priorité. Chris Eng, Directeur de la Recherche chez Veracode, insiste sur l’urgence d’automatiser la sécurité logicielle pour des analyses régulières et encourage les équipes de développement en EMEA à adopter une approche stratégique face aux risques liés au code tiers et à l’IA générée.
Félix Marcel