Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Etude Veracode - SoSS Volume 11 : la finance donne l’exemple dans la remédiation des failles de sécurité logicielle

novembre 2020 par Veracode

Veracode dévoile ses conclusions relatives au secteur financier, disponibles au sein du dernier rapport phare de l’entreprise, le State of Software Security (SOSS) Volume 11. Cette étude a en effet analysé 130 000 applications issues de 2 500 entreprises.

Selon le rapport, le secteur financier présente le meilleur taux de correction de vulnérabilités parmi les six secteurs analysés, et s’impose dans la découverte de failles de sécurité présentes dans les composants open source. Rappelons que la correction de ces vulnérabilités est essentielle car la surface d’attaque des applications est beaucoup plus grande dans les bibliothèques de logiciels open source que dans le code conçu en interne.

Le rapport a révélé que les entreprises de services financiers détiennent la plus faible proportion d’applications présentant des failles de sécurité et la deuxième plus faible prévalence de vulnérabilités graves, derrière le secteur manufacturier. La finance présente également le taux de correction le plus élevé tous secteurs confondus, avec 75 % des vulnérabilités corrigées. Néanmoins, le rapport a révélé que les entreprises de services financiers ont besoin d’environ six mois et demi pour résoudre la moitié des failles qu’elles découvrent, ce qui indique qu’elles sont plus lentes que d’autres secteurs à les corriger.

« Le secteur de la finance met en moyenne plus de six mois à corriger ses failles, malgré un taux de remédiation élevé par rapport aux autres secteurs, a déclaré Chris Wysopal, CTO de Veracode. Cependant, les développeurs dans ce secteur particulier sont souvent limités par la nature des environnements dans lesquels ils travaillent. Les applications ont en effet tendance à être plus anciennes, ont une densité moyenne de failles plus élevée et ne suivent pas systématiquement les pratiques DevSecOps observées dans les autres secteurs. Avec de la formation supplémentaire et en s’en tenant aux meilleures pratiques, ils peuvent rapidement remédier aux problèmes et commencer à réduire leur dette de sécurité ».

Conclusions spécifiques aux services financiers

La finance est un secteur de pointe au niveau de la correction des failles de sécurité de leurs logiciels open source et dans la mise en place de fortes cadences de scan.
Les services financiers ont encore du chemin à parcourir en ce qui concerne la fréquence de scans et l’intégration de tests de sécurité, et ne sont pas enclins à utiliser la technologie de scan par analyse dynamique (DAST) afin de découvrir des vulnérabilités.
Ce secteur surpasse les moyennes de tous les secteurs pour ce qui est des problèmes liés à la cryptographie, à la validation des entrées, au Cross-Site Scripting et à la gestion des identifiants - tous ces aspects étant liés à la protection des utilisateurs d’applications financières.




Voir les articles précédents

    

Voir les articles suivants