Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Etude Veracode, State of Software Security (SoSS) Volume 11

mars 2021 par Veracode

Entre les piratages informatiques des hôpitaux de Narbonne, Villefranche-sur-Saône et Dax et le détournement des données médicales de 350 000 patients bretons, le secteur médical français est confronté à des cyberattaques d’ampleur en ce début d’année. Et pour cause.

Veracode révèle en effet que 25% des applications du secteur de la santé contiennent une faille de haute gravité, mais que le secteur remédie aux vulnérabilités plus rapidement que la plupart des autres secteurs. Cette efficacité s’explique par un traitement d’applications plus petites, plus récentes et présentant une plus faible densité de failles que les applications des secteurs tels que la technologie, les services financiers, l’industrie et le gouvernement. Cela contribue à la capacité du secteur à corriger les failles plus rapidement que tous les autres secteurs, à l’exception du commerce de détail. Dans le même temps, le secteur de la santé reste à la traîne en ce qui concerne la fréquence d’analyse des applications et est le moins susceptible d’analyser les vulnérabilités des composants open source. Ces deux facteurs contribuent à la persistance de failles non corrigés, connus sous le nom de dette de sécurité, qui pourraient être exploités lors de cyberattaques.

« Les hôpitaux et les systèmes de santé sont considérés comme des cibles faciles par les cybercriminels car ils n’ont souvent ni le budget ni le personnel nécessaires pour se protéger des attaques, a déclaré Chris Wysopal, cofondateur et CTO de Veracode. La menace est évidemment plus grande en raison du caractère critique du travail effectué dans ce secteur. Les entreprises du secteur de la santé doivent redoubler d’efforts pour sécuriser leur code ».

En 2020, le coût moyen d’une violation de données dans le secteur de la santé s’élevait à 7,1 millions de dollars de dommages et intérêts, soit environ le double du coût moyen dans tous les secteurs, exposant des millions de dossiers sensibles contenant des informations personnelles identifiables. Le phishing, les attaques par récolte de données d’identification et les attaques d’ingénierie sociale ont été les incidents de sécurité les plus importants de l’année dernière, selon l’enquête 2020 sur la cybersécurité du HIMSS. Ces menaces sont aggravées par les faibles investissements dans la cybersécurité, le manque de formation des employés en matière de sécurité et l’interruption des opérations informatiques en raison du travail à distance.

Les recherches de Veracode montrent que :
• 75% des applications de santé contiennent au moins une faille,
o 26% d’entre elles sont des failles de haute gravité.
• Le secteur corrige 70 % des failles qu’il trouve, ce qui le place derrière plusieurs autres secteurs pour ce qui est du nombre de failles corrigées.
• Les développeurs des organismes de santé gèrent mieux les problèmes liés à l’injection de CRLF et à la cryptographie, qui sont tous deux importants pour protéger les DPI. Les types de vulnérabilité par langage sont accessibles sur la Heat Map interactive.


À propos du rapport State of Software Security
Le rapport State of Software Security (SOSS) Volume 11 de Veracode présente une analyse complète des données de test de la sécurité des applications issues d’analyses de plus de 130 000 applications actives, effectuées sur la base clients de plus de 2 500 entreprises de Veracode. Cela représente l’ensemble de tests de sécurité des applications le plus complet du secteur. Pour ce rapport, Veracode a collaboré avec des data scientists du Cyentia Institute pour mieux visualiser et comprendre les nouvelles menaces et la manière dont les développeurs peuvent améliorer et sécuriser les applications.




Voir les articles précédents

    

Voir les articles suivants