Veracode, fournisseur mondial de solutions de test de sécurité des applications, a publié de nouvelles conclusions selon lesquelles le secteur public présente la plus grande proportion de failles de sécurité dans ses applications et maintient des taux de correction parmi les plus bas et les plus lents par rapport aux autres secteurs industriels. Ces résultats sont issus de l’analyse des données recueillies à partir de 20 millions de scans sur un demi-million d’applications dans le cadre du rapport annuel de Veracode sur l’état de la sécurité des logiciels (State of Software Security, SoSS).
82 % des applications logicielles du secteur public présentent des failles de sécurité !
« Les décideurs et dirigeants du secteur public reconnaissent que les technologies datées et les vastes étendues de données sensibles font des applications gouvernementales une cible de choix pour les acteurs malveillants. C’est pourquoi, aux Etats-Unis, la Maison Blanche et le Congrès travaillent ensemble pour mettre à jour les réglementations régissant la conformité en matière de cybersécurité. Dans le sillage du décret de mai 2021 visant à améliorer la cybersécurité du pays et à protéger les réseaux du gouvernement fédéral, le Bureau de la gestion et du budget des Etats-Unis, le Ministère de la Défense américain et la Maison-Blanche ont publié quatre mémos sur la nécessité d’adopter le principe de confiance zéro (Zero Trust) et de renforcer la sécurité de la chaîne d’approvisionnement des logiciels. Notre étude confirme cette nécessité », a déclaré Chris Eng, Directeur de la recherche chez Veracode.
Pas de temps à perdre : Corriger plus de failles plus rapidement
L’étude de Veracode a révélé que, par rapport à d’autres secteurs, le secteur public présente la plus forte proportion d’applications présentant des failles de sécurité, soit 82 %. En ce qui concerne la rapidité avec laquelle les organisations corrigent les failles une fois détectées, le secteur public affiche les temps les plus lents en moyenne – environ deux fois plus lents que les autres secteurs. L’étude révèle également que 60 % des failles dans les bibliothèques tierces du secteur public ne sont toujours pas corrigées au bout de deux ans, ce qui représente le double des autres secteurs et un retard de plus de 15 mois par rapport à la moyenne inter-industrie. Enfin, avec un taux de correction de 22 % seulement, le secteur public doit relever le défi d’empêcher les attaques de la chaîne d’approvisionnement des logiciels d’avoir un impact sur les applications critiques de l’État, des collectivités locales et de l’éducation.
Chris Eng poursuit :
« Il est urgent pour les organisations de ce secteur d’agir. Elles peuvent améliorer considérablement leurs pratiques de sécurité DevOps en utilisant plusieurs types d’analyse – statique, dynamique et de composition logicielle – pour obtenir une image plus complète de la sécurité d’une application, ce qui les aidera à améliorer les délais de correction, à se conformer aux réglementations du secteur et à justifier l’augmentation des budgets consacrés à la sécurité des applications. »
Les failles de haute gravité sont prioritaires
Démontrant une tendance positive, le secteur public se classe en tête lorsqu’il s’agit de traiter les failles de haute gravité. L’étude révèle que les entités gouvernementales ont fait de grands progrès pour traiter ce type de failles, qui n’apparaissent que dans 16 % des applications. Le nombre de failles de haute gravité a d’ailleurs diminué de 30 % au cours de l’année dernière, ce qui suggère que les développeurs du secteur reconnaissent de plus en plus l’importance de donner la priorité aux failles qui présentent les plus grands risques. Cette évolution est encourageante et peut refléter une compréhension croissante des nouvelles directives en matière de sécurité logicielle, telles que celles décrites dans le décret américain sur la cybersécurité et la stratégie de cybersécurité du gouvernement britannique pour la période 2022-2030.
« Conscients que le temps est un facteur essentiel, les dirigeants du secteur public commencent à fixer des échéances. Par exemple, dans “Moving the US Government Toward Zero Trust Cybersecurity Principles”, Shalanda Young a fixé au 30 septembre 2024 la date limite à laquelle toutes les agences fédérales américaines devront respecter des normes de cybersécurité spécifiques. Nous pensons que les progrès réalisés contre les failles de sécurité élevées constituent un excellent point de départ et soutenons toutes les agences du secteur public qui cherchent à mieux contrôler la chaîne d’approvisionnement des logiciels », conclut Chris Eng.
La version complète de l’étude Veracode State of Software Security v12 peut être téléchargée ici.
Méthodologie
L’étude State of Software Security v12 a analysé l’ensemble des données historiques des services et des clients de Veracode. Cela représente un total de plus d’un demi-million d’applications (592 720) qui ont utilisé tous les types d’analyse, plus d’un million d’analyses dynamiques (1 034 855), plus de cinq millions d’analyses statiques (5 137 882) et plus de 18 millions d’analyses de composition logicielle (18 473 203). Tous ces scans ont produit 42 millions de résultats statiques bruts, 3,5 millions de résultats dynamiques bruts et six millions de résultats SCA bruts.
Les données représentent de grandes et petites entreprises, des fournisseurs de logiciels commerciaux, des sous-traitants de logiciels et des projets de logiciels libres. Dans la plupart des analyses, une application n’a été comptée qu’une seule fois, même si elle a été soumise plusieurs fois au fur et à mesure que les vulnérabilités étaient corrigées et que de nouvelles versions étaient mises en ligne.