72 % des applications de services financiers contiennent des failles de sécurité ; les scans et la formation en sécurité interactive via API abaissent à 22 % la probabilité de failles
Le secteur est en tête des principales industries dans le rapport 2023 State of Software Security
BURLINGTON, Massachusetts--(BUSINESS WIRE)--Veracode, l’un des principaux fournisseurs mondiaux de sécurité logicielle intelligente, publie ce jour une nouvelle étude qui dévoile les principaux facteurs influençant l’introduction et l’accumulation de défauts dans le secteur des services financiers. La performance en matière de sécurité des applications financières surpasse généralement les autres secteurs, avec l’automatisation, la formation ciblée à la sécurité et le scan via l’interface de programmation d’applications (API) contribuant à une réduction en glissement annuel du pourcentage d’applications contenant des défauts.
Dans un contexte de réglementations majeures ayant une incidence sur le secteur des services financiers, notamment les règles de divulgation en matière de cybersécurité de la Securities and Exchange Commission des États-Unis et le règlement DORA (Digital Operational Resilience Act) dans l’UE, le rapport de Veracode fournit des recommandations visant à réduire les risques liés aux vulnérabilités logicielles. Bien que près de 72 pour cent des applications dans le secteur des services financiers contiennent des failles de sécurité, il s'agit du taux le plus bas de tous les secteurs étudiés, et qui présente une amélioration par rapport à l’an dernier.
« Les services financiers ont obtenu de solides résultats dans l’analyse de cette année », déclare Chris Eng, Chief Research Officer, Veracode. « L’intensification de la concurrence et les attentes des clients, combinées à des réglementations plus strictes dans l’ensemble du secteur, placent davantage de pression sur les développeurs et les équipes de sécurité pour trouver et corriger les défauts à grande échelle. De plus, la montée exponentielle de l’IA et de l’apprentissage automatique a poussé la cadence du développement logiciel vers de nouveaux sommets, conduisant à l’hyperprolifération des défauts. Le secteur a su améliorer ses performances, mais il reste encore beaucoup à faire et les sociétés financières bénéficieraient d’une automatisation accrue et de techniques de codage sécurisées pour les aider à prévenir, à détecter et à réagir plus rapidement que jamais aux vulnérabilités. »
Le scan et la formation des API réduisent la probabilité d'introduction de défauts
Le rapport de Veracode dévoile que les sociétés de services financiers voient des effets plus prononcés des éléments positifs des scans via API et la formation en sécurité, par rapport à la moyenne intersectorielle. Le scan via API est une mesure de maturité dans un programme de sécurité logicielle, et les entreprises qui intègrent l’utilisation d’API ont généralement une plus grande automatisation et un meilleur contrôle sur le pipeline de développement. En fait, les sociétés qui utilisent l'analyse via API génèrent une performance 11 pour cent plus élevée par rapport à la probabilité de base des secteurs non-financiers en ce qui concerne l’introduction de défauts par mois. L’ajout d’une formation interactive à la sécurité réduit encore cette probabilité, les deux facteurs combinés diminuant de 19 pour cent le risque d’introduction de défauts par mois.
L'impact des scans via API et de la formation en sécurité sur le nombre de défaillances au moment où elles sont introduites est encore plus flagrant. Après avoir terminé dix modules interactifs de formation à la sécurité, les équipes de services financiers ont introduit 26 pour cent de défauts en moins, ce qui place la performance du secteur bien au-dessus de la moyenne de l’ensemble de l’industrie. De même, le lancement des scans via API a eu une influence plus forte sur le nombre de défauts introduits dans les applications des services financiers que dans d’autres secteurs.
Et Eng de déclarer : « Les données indiquent que les sociétés de services financiers tirent grandement parti de l’automatisation grâce à l’utilisation d’API. Parvenir à l’automatisation est un objectif ambitieux pour de nombreuses entreprises, mais nous voyons que le lancement des scans via API est en corrélation avec une probabilité réduite d'introduction de défauts, et donc avec une réduction du nombre de défauts qui se retrouvent dans les logiciels. Sans surprise, la formation a également une corrélation directe avec la réduction de l’introduction de défauts. »
La puissance de l'IA et de l'apprentissage automatique
Le rapport State of Software Security se penche également sur les préférences en termes de langage par segments verticaux et dévoile qu'avec 51 pour cent, Java est la norme de facto au sein des services financiers. Veracode Fix, un outil correctif optimisé par l’IA lancé plus tôt dans l'année, exploite l’apprentissage automatique pour générer des correctifs pour 74 pour cent des résultats statiques de Java. Une économie aussi spectaculaire de temps et d'efforts permet aux entreprises d’améliorer leur capacité de sécurité et de réduire encore les risques, dégageant ainsi des ressources pour l’innovation et la création. De plus, étant donné les applications Java sont à > 95 pour cent composées de code tiers, les données de Veracode montrent les avantages sectoriels de l'analyse de la composition logicielle dans l'optique de renforcer la sécurité et l'intégrité des codes open-source.
Le rapport Veracode State of Software Security: Financial Services, avec des informations détaillées et des recommandations, est téléchargeable sur le site de Veracode.
Le rapport Veracode State of Software Security 2023 est téléchargeable dans son intégralité ici.
À propos du rapport State of Software Security
La 13e édition du rapport annuel State of Software Security de Veracode examine les tendances historiques qui façonnent le paysage logiciel et la manière dont les pratiques de sécurité évoluent en même temps que ces tendances. Les résultats de cette année sont basés sur les données historiques complètes disponibles auprès des services et des clients de Veracode et constituent un échantillon représentatif de grandes et petites entreprises, de fournisseurs de logiciels commerciaux, d’impartiteurs de logiciels et de projets open source. Le rapport étudie les données recueillies à partir de plus de 27 millions de scans dans 750 000 applications, et contient des résultats sur les applications qui ont été soumises à l’analyse statique, à l’analyse dynamique, à l’analyse de la composition logicielle et/ou à des tests d'intrusion manuelle via la plateforme nuagique de Veracode. Ce nouveau rapport met en lumière les conclusions propres aux services financiers en matière de fabrication, commerce de détail et hôtellerie, technologie, soins de santé et secteur public.
À propos de Veracode
Veracode est une société de sécurité logicielle intelligente. La plateforme de sécurité logicielle Veracode trouve sans interruption les failles et les vulnérabilités à chaque étape du cycle de vie du développement logiciel moderne. Grâce à une IA puissante formée à l'aide d'un ensemble de données éprouvées issues de l'analyse de trillions de lignes de code, les clients de Veracode corrigent les failles plus rapidement et avec une grande précision. Recevant la confiance des équipes de sécurité, des développeurs et des dirigeants de milliers des plus grandes entreprises du monde, Veracode est le pionnier et continue de redéfinir ce que signifie la sécurité logicielle intelligente.
Pour de plus amples renseignements, veuillez visiter www.veracode.com, le blog Veracode, et les pages LinkedIn et Twitter.
Copyright © 2023 Veracode, Inc. Tous droits réservés. Veracode est une marque déposée de Veracode, Inc. aux États-Unis et peut être enregistrée dans d'autres juridictions. Tous les autres noms de produits, marques ou logos appartiennent à leurs propriétaires respectifs. Toutes les autres marques commerciales mentionnées dans les présentes appartiennent à leurs propriétaires respectifs.
Le texte du communiqué issu d’une traduction ne doit d’aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d’origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.
Contacts
Katy Gwilliam
kgwilliam@veracode.com