Selon cette étude, les incidents liés à la sécurité des applications web sont devenus de plus en plus courants et onéreux. En effet, la majorité des entreprises qui ont répondu à l’enquête a connu au moins une faille de sécurité au cours des 18 derniers mois. En conséquence, beaucoup d’entre elles ont perdu des centaines de milliers, voire des millions de dollars. De même, l’étude montre que la majorité des entreprises doit encore instituer des pratiques de développement sécurisées. La plupart cite la pression du time-to-market, le coût et le manque de technologies appropriées comme principaux obstacles.

Selon une étude effectuée auprès de 240 influenceurs dans le secteur du développement de logiciels issus d’entreprises qui développent des applications web en Amérique du Nord et en Europe, « The Software Security Risk Report » met en évidence que :

– Les incidents de sécurité sont courants et coûteux : un peu plus de la moitié des questionnés (51%) ont subi au moins une attaque via une application web au cours des 18 derniers mois. Parmi ces incidents, 18% évaluent leurs pertes à plus de 500 000 dollars et 5% à plus d’un million de dollars. 2% annoncent des pertes de plus de 10 millions de dollars.

– Le volume de code et les exigences métier mettent la sécurité sur la touche : une grande majorité des interrogés qui ont connu une attaque déclare manquer de technologies de sécurité adaptées au développement (71%), que les processus de sécurité ne peuvent pas s’adapter au volume de code qu’elles produisent (79%) et qu’elles n’ont pas les fonds nécessaires pour investir dans la sécurité (71%). Presque la moitié des interrogés (41%) déclare que les pressions liées au time-to-market de plus en plus court les empêchent de promouvoir la sécurité jusqu’au développement.

– Trop peu d’entreprises ont recours à des pratiques de sécurité lors du développement : moins de la moitié (42%) des répondants suit des directives liés à la sécurisation du code, seulement 28% ont une librairie de fonctions validées ou interdites et à peine un quart (26%) utilisent la modélisation de menaces. De plus, seuls 17% effectuent des tests au cours du cycle de développement et plus de la moitié ne vérifient pas leur code en amont des tests d’intégration.

– Les développeurs luttent avec les outils de sécurité existants : selon les développeurs interrogés, les trois principaux challenges pour l’utilisation d’outils de sécurité pré-existants pour les applications web sont le manque d’intégration avec leur environnement de développement, le besoin de haute expertise sur la sécurité et le fort taux de faux positifs. En comparaison, autant certains spécialistes de la sécurité s’accordent à dire que l’intégration était un challenge majeur mais aucun d’eux ne croit que les outils de sécurité étaient complexes ou exigeaient une trop grande expertise.

Alors que les entreprises sont aux prises avec un panel de menaces plus sophistiquées, elles doivent impérativement améliorer la sécurité des applications. Si le développement n’intègre pas la sécurité dans ses pratiques au plus tôt dans son cycle, gérer ces problèmes par la suite serait non seulement très onéreux mais pourrait aussi être inefficace.

« Il est évident que les spécialistes de la sécurité et les développeurs ne parlent pas le même langage en termes de sécurité des applications, et cela a des conséquences très coûteuses pour les entreprises », explique Jennifer Johnson, Vice-Présidente Marketing de Coverity. « La sécurité des applications commence et finit avec le développement. Les développeurs doivent faire partie de la solution et l’industrie ne résoudra pas le problème sans que la sécurité soit intégrée dans la procédure de développement, et ce grâce à des technologies et processus que les développeurs peuvent comprendre et adopter. Imposer le développement avec des outils déjà existants et conçus pour les équipes sécurité ne fonctionne pas. »