Les risques auxquels s’exposent les banques lorsqu’elles ne traitent pas les vulnérabilités de logiciel

0
125

Le rapport Veracode sur l’état de la sécurité des logiciels révèle que le secteur de la finance met plus d’un an à remédier aux failles ouvertes.

Le dernier rapport Veracode sur l’état de la sécurité des logiciels (dit SoSS) révèle que le secteur de la finance est l’un des plus lents dans le traitement de vulnérabilités communes découvertes dans ses logiciels. Cette étude globale indique en effet que les entreprises de services financiers nécessitent en moyenne 29 jours afin de traiter un quart de leurs failles dans le codage, et plus d’un an – 574 jours plus exactement- afin de remédier à toute vulnérabilité ouverte. Le rapport classe ainsi la finance pénultième secteur s’agissant de la rapidité dans la résolution des vulnérabilités.

Substantiellement, 67% des programmes utilisés par les banques sont exposés aux attaques de fuite d’informations, à travers lesquelles un logiciel révèle des données sensibles qu’un cybercriminel peut utiliser afin d’exploiter une application web ou ses utilisateurs. Ceci est préoccupant dans la mesure où les institutions financières internationales sont une cible privilégiée et constante des pirates informatiques. Les problèmes cryptographiques (63%) et de code de qualité (51%) sont également parmi les vulnérabilités majeures du secteur financier.

Le rapport Veracode, effectué sur une période de 12 mois et sur 70,000 utilisateurs d’applications, révèle que la plupart des programmes analysés provenait des services financiers. Alors que les organisations financières sont réputées pour bénéficier des pratiques les plus pointues en matière de cyber sécurité, les données de Veracode démontrent au contraire qu’elles luttent autant que les autres secteurs à se maintenir au sommet de la sécurité des logiciels. 

La dernière étude sur le taux de réussite du scan OWASP indique que le secteur financier se classe avant-dernier des huit marchés verticaux analysés.  Fondée sur une analyse de persistance aux failles – qui dévoile la durée de vie des vulnérabilités après leur découverte -, cette étude révèle que les défauts de codage perdurent plus longtemps dans la finance que dans d’autres secteurs. Néanmoins, les données soulignent une tendance prometteuse : si le secteur bancaire traite lentement la première moitié de ses vulnérabilités, le rythme s’accélère pour la seconde moitié.

« Puisque les institutions financières et les banques détiennent des informations de haute valeur et des actifs cruciaux, elles demeureront les cibles privilégiées de cybercriminels et de hackeurs frauduleux », indique Paul Farrington, directeur de Veracode dans les régions EMEA et Asie pacifique. « Nos données montrent que le secteur des services financiers analyse un volume conséquent d’applications et identifie des vulnérabilités nécessitant correction. Même si cela est encourageant, la prochaine étape sera de parvenir à une résolution plus prompte de ces failles, car la rapidité compte. En effet, la vitesse à laquelle les entreprises corrigent les vulnérabilités qu’elles découvrent dans leurs programmes est directement proportionnelle au niveau de risque encouru par ces logiciels. Le secteur de la finance devrait donc considérer toutes les dimensions du risque afin de prioriser quelles failles traiter en premier ».

Lisez le rapport complet de Veracode sur l’état de la sécurité des logiciels (2018) ici.