Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’approche DevSecOps et les sprints de sécurité permettent aux entreprises de réduire leur « dette de sécurité » croissante

octobre 2019 par Veracode

Veracode dévoile les conclusions du rapport State of Software Security (SOSS) Volume 10. La 10e édition de ce rapport révèle que plus de la moitié (56 %) des failles de sécurité détectées sont corrigées, mais que la correction des nouvelles failles identifiées est privilégiée tandis que les failles plus anciennes sont négligées, ce qui entraîne une augmentation de la dette de sécurité. La dette de sécurité est une variation de la dette technique et désigne le vieillissement et l’accumulation de failles dans les logiciels d’une entreprise.

Après avoir analysé plus de 85 000 applications dans plus de 2 300 entreprises à travers le monde, la recherche a révélé que la correction des vulnérabilités fait désormais partie intégrante du processus de développement, au même titre que l’amélioration des fonctionnalités, ce qui suggère un changement de mentalité chez les développeurs, qui considèrent à présent la sécurité de leur code comme étant aussi importante que d’autres mesures de valeur.

« Au cours des 10 dernières années, nous avons constaté une amélioration considérable de l’état général de la sécurité des applications. Nous n’en sommes plus à discuter des raisons pour lesquelles la sécurité des applications est importante ; nous nous attaquons désormais à la meilleure façon d’aborder le problème. Ce changement se reflète dans les données, qui montrent que les entreprises corrigent un pourcentage de failles plus élevé que jamais », a déclaré Chris Wysopal, cofondateur et Directeur de la technologie chez Veracode. « Cependant, le rapport nous montre également qu’il reste encore beaucoup à faire, notamment en ce qui concerne l’accroissement de la dette de sécurité. Comme c’est le cas avec les cartes de crédit, en reportant régulièrement un petit solde, on peut rapidement se retrouver endetté. »

Le rapport SOSS Volume 10 met en lumière les meilleures pratiques permettant aux entreprises d’intégrer la sécurité à leurs activités de routine et d’alléger leur dette de sécurité, notamment en mettant en place des tests fréquents et un plan pour gérer cette dette.

Bien que beaucoup de choses aient changé depuis la publication du premier rapport SoSS il y a près de 10 ans, le nouveau rapport révèle que bon nombre des failles identifiées par le passé sont toujours d’actualité aujourd’hui. Globalement, 83 % des applications présentent au moins une faille lors de l’analyse initiale. Les fuites d’informations (64 %), les problèmes de cryptographie (62 %) et l’injection de CRLF (61 %) constituent les failles les plus courantes. Fait intéressant, les problèmes de cryptographie et les fuites d’informations étaient également les deux types de failles les plus courants identifiés dans le rapport SOSS Volume 1. Malgré la persistance des failles, les équipes de développement parviennent de mieux en mieux à ne pas se laisser dépasser par ces vulnérabilités : 70 % réduisent le nombre de failles après la première analyse ou n’introduisent aucune nouvelle faille entre la première analyse et la dernière. Cette année, le taux de réussite en ce qui concerne la conformité au Top 10 de l’OWASP lors de l’analyse initiale a également inversé le déclin enregistré depuis trois ans en passant à 32 %, démontrant ainsi que la formation au développement sécurisé contribue à réduire l’introduction de failles.

Les développeurs se sont lancés dans une course contre la montre pour corriger les failles plus vite que la dette de sécurité ne s’accumule

Le rapport révèle que plus les failles persistent, plus les chances qu’elles soient corrigées diminuent, ce qui alourdit la dette de sécurité de l’entreprise. La dette de sécurité est en train de devenir un problème majeur pour les entreprises de tous les secteurs. La dette de sécurité d’environ la moitié des applications augmente au fil du temps. Pour un quart des applications, la dette diminue et pour le dernier quart, elle reste similaire.

« La prévalence globale des failles a augmenté de 11 % depuis la publication du premier rapport il y a 10 ans, mais la proportion de ces failles considérées comme de gravité élevée a chuté de 14 % au cours de la même période. Les données montrent que les développeurs sont très susceptibles de corriger les failles de gravité élevée, ce qui prouve que les équipes de développement sont de plus en plus à même d’identifier les failles qui doivent être corrigées en priorité », a déclaré Chris Eng, Directeur de la recherche chez Veracode.

Les entreprises doivent corriger les nouvelles failles de sécurité identifiées, tout en éliminant progressivement les plus anciennes. Les données indiquent que la fréquence d’analyse d’une application a un impact direct sur la dette de sécurité globale. Les 1 % d’applications avec la fréquence d’analyse la plus élevée ont une dette de sécurité environ cinq fois moins élevée que le tiers d’applications avec la fréquence d’analyse la plus basse, ce qui suggère que des analyses fréquentes permettent non seulement d’identifier les failles, mais aident également les entreprises à réduire considérablement les risques.

Le taux de correction des failles grimpe en flèche grâce à l’approche DevSecOps

La fréquence et la cadence des tests de sécurité sont liées à l’évolution des habitudes visant à réduire la dette de sécurité. Les applications analysées moins d’une fois par mois ont un délai de correction médian (MedianTTR) de 68 jours, tandis que lorsque les équipes de développement effectuent une analyse quotidienne, le délai de correction médian est de 19 jours seulement, ce qui contribue à réduire progressivement l’accumulation de la dette de sécurité. Les entreprises peuvent également réduire leur dette de sécurité en créant des check-lists de sécurité pour les développeurs pour toutes les nouvelles fonctionnalités et en analysant les bases de code après chaque build nocturne.

« Les équipes de développement ne peuvent pas ignorer les failles identifiées ni choisir de corriger les nouvelles plutôt que les plus anciennes. Elles doivent élaborer un plan pour corriger les nouvelles failles et effectuer régulièrement des "sprints de sécurité" pour corriger les failles non résolues qui pourraient être exploitées », a déclaré Chris Eng.

Les données révèlent que 30 % des applications présentent un nombre accru de failles au moment de leur dernière analyse, ce qui indique une augmentation de la dette de sécurité. Cela ne signifie pas forcément que les équipes de développement ne gèrent pas efficacement les failles (il peut s’agir d’une période de croissance et de changement rapides) ; en revanche, cela souligne le fait que les entreprises doivent réfléchir à l’impact positif sur la dette de sécurité que peuvent avoir les tests fréquents de sécurité des applications dans les environnements DevOps.

La région EMEA tarde à réparer les failles, mais garde la dette liée à la sécurité sous contrôle

Le rapport met également en lumière des différences régionales en ce qui concerne plusieurs mesures clés des tests de sécurité des logiciels. Les entreprises de la région EMEA présentaient le moins de failles de gravité élevée (32 %), suivies par les Amériques (37 %) et la région Asie-Pacifique (40 %). Les régions Amériques et EMEA ont corrigé le même pourcentage impressionnant de failles (respectivement 73 % et 72 %), tandis que la région APAC en a corrigé un peu plus de la moitié (55 %). Par le passé, l’écart entre les régions Amériques et EMEA était beaucoup plus important. Le taux de correction similaire suggère que les entreprises de la région EMEA s’emploient à développer leurs programmes de sécurité des applications afin de rivaliser avec ceux des Amériques. Cependant, les résultats sont très différents en ce qui concerne le temps médian que les entreprises prennent pour les corriger. La région APAC est largement en tête devant avec 42 jours, suivie par les Amériques avec 56 jours, tandis que les entreprises de la zone EMEA mettent en moyenne 147 jours pour corriger les failles.

En ce qui concerne la dette de sécurité par application, les entreprises transatlantiques arrivent en tête avec 156 failles par application, tandis que les régions EMEA et APAC comptent respectivement 210 et 732 failles par application. Bien que les entreprises de la région EMEA semblent généralement mettre plus de temps à corriger les failles, elles parviennent tout de même à maîtriser leur dette, sans doute parce qu’elles partent d’un nombre de failles moins élevé. Cela indique une fois de plus une approche consistant à corriger les failles progressivement, plutôt que dès leur découverte.

Cliquezici pour télécharger le rapport State of Software Security Volume 10 de Veracode.


Le rapport State of Software Security (SOSS) Volume 10 de Veracode présente une analyse complète des données de test de la sécurité des applications issues d’analyses de plus de 2 000 milliards de lignes de code effectuées par la base de plus de 2 300 entreprises de Veracode. Cela représente l’ensemble de tests de sécurité des applications le plus complet du secteur. Pour cette itération, Veracode a collaboré avec des scientifiques des données du Cyentia Institute afin de mieux visualiser et comprendre le comportement en matière de correction des vulnérabilités.




Voir les articles précédents

    

Voir les articles suivants