2009 Vs 2019 : la correction de vulnérabilités, une question toujours épineuse aujourd’hui

0
111

« Le mal passé en comparaison du présent n’était encore que sucre ». Cette citation du célèbre dramaturge français Pierre Corneille s’applique-t-elle à l’évolution de la sécurité des logiciels ? Comme prophétisé par Marc Andreessen en 2011, le logiciel a bel et bien « mangé le monde », tout en héritant de vulnérabilités informatiques démultipliées.

Tribune VeraCode – Et de fait, la prolifération des mauvaises pratiques de cybersécurité n’ont jamais été aussi visibles. Dans ce contexte, Veracode, expert en sécurité applicative, a publié son 10ème rapport annuel dédié à l’état de la sécurité des logiciels, dit SoSS report X. Un anniversaire qui permet de porter un regard très précis sur les évolutions constatées au cours de la dernière décennie en la matière, à travers d’édifiantes comparaisons chiffrées « avant / après »… et ainsi, de donner raison ou tort au propos de Pierre Corneille.

  • La proportion de logiciels comportant au moins une vulnérabilité a également augmenté de 11 % entre le rapport vol. 1 et le vol. 2 : 72% contre 83% aujourd’hui
  • Entre 2009 et 2019, le nombre moyen de jours requis pour corriger des vulnérabilités a plus que doublé, passant de 59 jours en moyenne à 171 jours aujourd’hui.
  • Les vulnérabilités anciennes sont négligées et entraînent depuis 10 ans une augmentation inquiétante de la dette de sécurité
  • En 10 ans d’écart, les 2 types de vulnérabilités les plus fréquentes sont identiques : les problèmes de cryptographie et les fuites d’informations
  • Néanmoins, la situation s’améliore s’agissant les vulnérabilités sévères, puisque le pourcentage d’applications comportant une ou plusieurs failles sévères a baissé de 14 % (34% contre 20%)

Cliquez ici pour télécharger le rapport State of Software Security Volume 10 de Veracode.

Méthodologie : Le rapport State of Software Security (SOSS) Volume 10 de Veracode présente une analyse complète des données de test de la sécurité des applications issues d’analyses de plus de 2 000 milliards de lignes de code effectuées par la base de plus de 2 300 entreprises de Veracode Pour cette itération, Veracode a collaboré avec des scientifiques des données du Cyentia Institute afin de mieux visualiser et comprendre le comportement en matière de correction des vulnérabilités. En 2009, le premier volume du rapport SoSS avait scanné 1 591 applications contre 85 000 en 2019 via la dixième édition/