- Le rapport State of Software Security 2023 révèle que la sécurité des logiciels est à la traîne dans la région EMEA, avec près de 20 % des applications contenant des failles « critiques »
- Les organisations de la zone EMEA courent un risque accru lié aux vulnérabilités de code tiers et de code généré par IA
LONDRES--(BUSINESS WIRE)--Veracode, l’un des principaux fournisseurs mondiaux de logiciels de sécurité intelligents, a publié aujourd’hui une étude indiquant que les applications développées par des organisations en Europe, au Moyen-Orient et en Afrique ont tendance à contenir plus de failles de sécurité que celles créées par leurs homologues américaines. Parmi toutes les régions analysées, la région EMEA présente également le pourcentage le plus élevé de failles « critiques », ce qui signifie qu’elles poseraient un problème critique pour l’entreprise si elles étaient exploitées. Un grand nombre de failles et de vulnérabilités dans les applications est corrélé à des niveaux de risque accrus, ce qui est particulièrement notable alors que les cyberattaques contre la chaîne d’approvisionnement logicielle font la une des journaux en 2023.
Les chercheurs ont découvert qu’un peu plus de 80 % des applications développées par des organisations de la région EMEA présentaient au moins une faille de sécurité détectée lors de leur analyse la plus récente au cours des 12 derniers mois, contre un peu moins de 73 % des organisations américaines. En outre, le pourcentage de candidatures contenant des failles « critiques » était le plus élevé de toutes les régions, soit près de 20 %.
« Nos données montrent que des organisations du monde entier continuent de déployer un nombre inquiétant d’applications présentant un nombre élevé de failles dans le Top 25 CWE », déclare Chris Eng, directeur de la recherche chez Veracode. « Nous avons cependant identifié des différences régionales intéressantes, notamment en termes d’utilisation de codes tiers ou open source et de la manière dont les vulnérabilités sont introduites tout au long du cycle de vie des applications », poursuit-il.
L’analyse des données collectées à partir de plus de 27 millions d’analyses dans 750 000 applications a contribué à produire le dernier rapport annuel State of Software Security de Veracode. Ce nouveau rapport présente les résultats spécifiques à la région EMEA issus de ces analyses et applications, notamment les résultats du Royaume-Uni, de l’Allemagne, de la France, de l’Italie ainsi que du Moyen-Orient et de l’Afrique.
Les chiffres à eux seuls ne rendent pas compte des conséquences de l’exploitation des vulnérabilités logicielles par les pirates. Alors que les organisations de la zone EMEA utilisent une combinaison toujours plus complexe de logiciels tiers pour fournir leurs services, l’exploitation d’une vulnérabilité grave peut avoir un impact simultané sur des milliers de victimes. Plus tôt cette année, une vulnérabilité affectant les outils logiciels d’impression PaperCut MF et PaperCut NG a été activement exploitée par des acteurs malveillants. Jusqu’à 70 000 organisations dans 200 pays sont devenues des victimes potentielles, et les rapports des forces de l’ordre ont révélé que les auteurs de menaces ont réussi à compromettre des entités vulnérables du secteur de l’éducation.
Java et le code tiers introduisent des failles de sécurité importantes
L’étude a identifié des différences régionales notables dans l’utilisation du langage préféré, Java s’étant révélé comme langage préféré des développeurs de la région EMEA. Elle a constaté que les équipes utilisant Java corrigeaient les failles à un rythme plus lent que celles utilisant .NET ou JavaScript, ce qui faisait que bon nombre de ces failles persistaient ou restaient inaperçues beaucoup plus longtemps. L’utilisation de Java est également un facteur clé dans le pourcentage plus élevé de vulnérabilités introduites dans les applications dans la région, dans la mesure où plus de 95 % des applications Java sont composées de code tiers ou open source. Cela met en évidence l’importance de l’analyse de la composition logicielle (SCA), qui détecte les failles dans le code open source, l’étude ayant révélé une proportion plus élevée de failles signalées par SCA dans la région EMEA que dans d’autres régions.
Le risque de vulnérabilités provenant de sources externes augmente à mesure que l’IA générative continue de gagner du terrain dans le développement de logiciels. Une étude présentée à la conférence Black Hat en 2022 a décelé des vulnérabilités dans 40 % du code écrit par de grands modèles de langage formés sur de vastes réserves de données non affinées, y compris des millions de référentiels GitHub publics. Il est donc essentiel que les organisations exploitent les outils SCA pour rechercher et corriger les failles, afin de permettre aux développeurs de tirer parti de l’IA sans compromettre la sécurité des applications.
Les applications deviennent plus vulnérables au fil du temps
L’étude a également montré que de nouvelles failles continuent d’être introduites dans les applications de la région EMEA à un rythme bien plus élevé tout au long du cycle de vie des applications que dans d’autres régions. Tandis que les organisations de la zone EMEA continuent de mettre à jour leurs applications, l’accent est moins mis sur la qualité. Après une période de cinq ans, 50 % des applications dans la région EMEA continuent d’introduire de nouvelles failles, contre un peu plus de 30 % dans le reste du monde. Dans l’ensemble, la probabilité de base qu’une faille soit introduite au cours d’un mois donné était de 27 %.
Les organisations de la zone EMEA gagneraient ainsi à accorder plus d’attention à la dernière partie du cycle de vie des applications et à analyser celles-ci plus régulièrement. Elles devraient également donner la priorité à la formation en sécurité des développeurs, l’étude révélant que la réalisation de 10 laboratoires de sécurité interactifs réduit la probabilité d’introduction de failles de 27 % à environ 25 % au cours d’un mois donné.
« Le rapport State of Software Security de cette année met en lumière l’importance de la sécurité tout au long du cycle de vie des logiciels, ainsi que le besoin urgent de faire face aux risques posés par le code tiers et le code généré par IA », ajoute Chris Eng. « Même si, à l’échelle mondiale, nous constatons encore un volume préoccupant de vulnérabilités, ces chiffres sont plus élevés dans la région EMEA selon presque tous les critères. Les équipes de développement de cette région doivent saisir l’opportunité d’automatiser la sécurité des logiciels pour une analyse régulière et réfléchir attentivement à leur utilisation des outils d’IA, à la fois pour accroître la sécurité et responsabiliser les développeurs. »
Le Veracode State of Software Security EMEA 2023 recommande quatre actions que les équipes de développement de logiciels peuvent prendre pour améliorer leur attitude en matière de cybersécurité et peut être téléchargé sur le site Web de Veracode.
Le rapport mondial Veracode State of Software Security 2023 est disponible en téléchargement.
À propos du rapport State of Software Security
Le 13e volume du rapport annuel State of Software Security de Veracode examine les tendances historiques qui façonnent le paysage logiciel et la manière dont les pratiques de sécurité évoluent en même temps que ces tendances. Les résultats de cette année sont basés sur les données historiques complètes disponibles auprès des services et des clients de Veracode et constituent un échantillon représentatif de grandes et petites entreprises, de fournisseurs de logiciels commerciaux, d’impartiteurs de logiciels et de projets open source. Le rapport présente des conclusions sur les applications ayant été soumises à une analyse statique, une analyse dynamique, une analyse de la composition logicielle et/ou des tests d’intrusion manuels via la plateforme cloud de Veracode.
À propos de Veracode
Veracode est une société de sécurité logicielle intelligente. La plateforme de sécurité logicielle Veracode détecte en permanence les failles et les vulnérabilités à chaque étape du cycle de vie du développement logiciel moderne. Grâce à une IA puissante formée sur des milliards de lignes de code, les clients de Veracode corrigent les failles plus rapidement et avec une grande précision. Reconnu par les équipes de sécurité, développeurs et chefs d’entreprise de milliers de grandes organisations mondiales, Veracode est un pionnier et continue de redéfinir ce que signifie la sécurité logicielle intelligente.
Copyright © 2023 Veracode, Inc. Tous droits réservés. Veracode est une marque déposée de Veracode, Inc. aux États-Unis et peut être enregistré dans d'autres juridictions. Tous les autres noms de produits, marques et logos appartiennent à leurs propriétaires respectifs. Toutes les autres marques commerciales citées dans ce communiqué sont la propriété de leurs détenteurs respectifs.
Le texte du communiqué issu d’une traduction ne doit d’aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d’origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.
Contacts
Katy Gwilliam
kgwilliam@veracode.com