Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Rapport Veracode : les entreprises ayant recours au DevSecOps traitent les failles onze fois plus rapidement que leurs pairs

janvier 2019 par Veracode

CA Veracode, affilié à CA Technologies et son portefeuille dédié à la sécurité informatique dans le secteur industriel, publie son dernier rapport “SOSS report” sur la sécurité des logiciels. L’étude révèle que le rôle de DevSecOps rend possible une meilleure sécurité, une plus grande efficacité, et fournit aux entreprises un premier examen mesurant la longévité des failles persistantes après leur identification.

L’état de la sécurité des logiciels s’améliore

Au sein de chaque industrie, les entreprises font face à un volume massif de failles ouvertes. Cependant, des signes d’amélioration sont perceptibles dans le traitement de ces brèches. Selon le rapport, 69% des failles découvertes ont été fermées grâce à une réparation ou une atténuation. Il s’agit d’une hausse de près de 12% depuis la publication de l’étude précédente. Ceci montre que les entreprises gagnent en performance dans la fermeture de brèches récemment découvertes, ce que les hackers cherchent souvent à exploiter.

En dépit de ces progrès, le nouveau rapport SOSS indique également que le nombre d’applications vulnérables demeure incroyablement élevé. Les composants Open Source présentent toujours des risques significatifs pour les sociétés. Plus de 85% des applications abritent au moins une faille après première analyse, quand plus de 13% des applications contiennent au moins une faille grave. En outre, les dernières observations des entreprises montrent qu’une application sur trois est vulnérable aux attaques permises par de très graves failles de sécurité.

Un examen du taux de correction réalisé sur 2 trillions de lignes de code montre que les entreprises doivent faire face à une plus forte exposition aux risques, et ce en raison de la présence de brèches persistantes :

• Plus de 70% des brèches sont restées ouvertes un mois après leur découverte, et près de 55% trois mois après identification.
• 25% des failles graves ou très graves n’ont pas été traitées dans les 290 jours après leur découverte.
• Globalement, 25% des failles ont été corrigées en moins de 21 jours, alors que les 25% restants sont restées ouvertes plus d’un an après leur découverte.

“Les entreprises ayant opté pour des approches sécuritaires ont admis que l’intégration de plans de sécurité et les essais effectués directement dans le cycle de réalisation des logiciels sont essentiels afin d’atteindre le principe d’équilibre parfait entre vitesse, flexibilité et gestion des risques, prôné par DevSecOps. Jusqu’à présent, il a été difficile d’identifier les bénéfices de cette approche, même si le nouveau rapport SOSS prouve de manière concrète que les entreprises procédant à des analyses plus régulières corrigent les failles plus rapidement”, indique Chris Eng, président adjoint à la recherche de CA Veracode. “Ces améliorations graduelles se traduisent avec le temps par un avantage significatif dans la compétitivité des entreprises concernées et par une baisse drastique des risques de failles”.

Des disparités régionales dans la persistance des failles

Même les données en provenance des Etats-Unis dominent les échantillons, le rapport SOSS propose un aperçu des différences entre les régions du globe dans l’appréhension des brèches et la rapidité de traitement.

Le Royaume-Uni se situe dans l’une des régions les plus performantes de la planète : les sociétés y corrigent en effet 25% de leurs failles de sécurité en 11 jours (deuxième plus rapide toutes régions confondues), 50% en 72 jours et 75% en 304 jours. Ces chiffres surpassent les moyennes présentées dans d’autres régions. Les entreprises d’Asie Pacifique sont néanmoins les plus réactives, fermant 25% de leurs failles en 8 jours environ, suivies par les sociétés américaines (22 jours) puis européennes, moyen-orientales et africaines (28 jours). Cependant, les entreprises américaines ont rattrapé une partie de leur retard, fermant 75% de leurs brèches en moins de 413 jours, une performance largement supérieure à celle des sociétés d’Asie pacifique et de la région EMEA (Europe, Moyen-Orient et Afrique). En parallèle, Il a fallu à la région EMEA plus du double du temps moyen pour corriger les trois quarts de leurs failles de sécurité. Il est même troublant de constater que 25% des failles ouvertes des entreprises d’Europe, du Moyen-Orient et d’Afrique se maintiennent plus de deux ans et demi après leur découverte.

Les données confirment la pertinence des procédures DevSecOps

Dans son rapport SOSS qui documente les procédures DevSecOPS pour la troisième année consécutive, CA Veracode met en exergue une forte corrélation entre la fréquence des analyses de sécurité et la faiblesse des risques de long-terme, ce qui fournit une preuve irréfutable de l’efficacité de DevSecOps. Les données de Veracode sur la persistance des failles montrent que les entreprises ayant recours aux programmes et procédures DevSecOps surclassent largement leurs pairs dans la rapidité avec laquelle elles traitent les brèches. Les programmes DevSecOps les plus actifs corrigent ainsi les failles plus de 11,5 fois plus rapidement qu’une entreprise ordinaire, grâce à des contrôles de sécurité permanents lors de la configuration logicielle, qui résultent en grande partie d’une détection accrue des codes malveillants.

Les composants Open Source inquiètent toujours les entreprises

En marge du rapport SOSS, des données avaient montré que les composants Open Source défaillants prenaient de l’ampleur dans la plupart des programmes. La présente étude indique que les applications aux composants défaillants sont toujours très répandues, bien que des progrès aient été constatés du côté de Java. En effet, si l’année dernière, environ 88% des applications Java abritaient au moins une faille dans un composant, ce taux est tombé à 77% selon le rapport. Les entreprises s’attaquent certes aux composants bogués mais elles ne doivent pas seulement traiter les failles ouvertes des bibliothèques et systèmes. Elles doivent également améliorer leur usage de ces composants. Ainsi, non seulement l’appréhension du statut du composant mais également l’identification d’une méthode défaillante permettent-elles aux entreprises de cibler les éléments à risques et privilégier des corrections prévenant les usages les plus périlleux.


Voir les articles précédents

    

Voir les articles suivants