La région EMEA exposée aux cybermenaces via ses applications

L’analyse des données collectées à partir de plus de 27 millions d’analyses sur 750 000 applications a permis de produire le nouveau rapport annuel de Veracode sur le State of Software Security. De toutes les régions observées, l’EMEA a le pourcentage le plus élevé de failles de « gravité élevée », qui pourraient causer un problème critique pour l’entreprise si elles étaient exploitées. Un grand nombre de vulnérabilités dans les applications sont corrélées à des niveaux de risque accrus. Les chercheurs ont constaté qu’un peu plus de 80 % des applications développées par des organisations de la région présentaient au moins une faille de sécurité détectée au cours des 12 derniers mois, contre un peu moins de 73 % pour les organisations américaines. De plus, le pourcentage d’applications contenant des failles de « gravité élevée » était le plus important de toutes les régions, avec près de 20 %.

« Nos données montrent que les organisations du monde entier continuent de déployer de manière inquiétante un nombre élevé d’applications comportant des failles du Top 25 CWE (Common Weakness Enumeration) » déclare Chris Eng, directeur de la recherche chez Veracode. « Nous avons toutefois identifié des différences régionales intéressantes, notamment en termes d’utilisation de codes tiers ou open source et la manière dont les failles sont introduites tout au long du cycle de vie de l’application ».

Java et le code tiers introduisent des failles de sécurité significatives

Le rapport de Veracode met en évidence des différences régionales notables dans l’utilisation des langages, Java s’avérant être le favori des développeurs de la région EMEA. Les équipes qui utilisent ce langage remédient aux failles plus lentement que celles qui utilisent .NET ou JavaScript, ce qui a conduit à la persistance de nombreuses vulnérabilités. Les applications Java étant composées à plus de 95 % de code tiers ou open-source, cela souligne l’importance de l’analyse des composants open-source des logiciels (SCA). Alors que l’IA générative continue de s’imposer dans le développement de logiciels, le risque de vulnérabilités provenant de sources externes augmente. Il est donc essentiel que les entreprises s’appuient sur les outils SCA pour trouver et corriger les failles, afin de permettre aux développeurs de tirer parti de l’IA sans compromettre la sécurité des applications.

Les applications deviennent plus vulnérables au fil du temps

Le rapport de Veracode montre également que de nouvelles vulnérabilités continuent d’être introduites dans les applications de la zone EMEA à un rythme beaucoup plus élevé que dans les autres régions, et ce tout au long du cycle de vie de l’application. Si les organisations maintiennent leurs applications à jour, elles accordent moins d’importance à la qualité. Au bout de 5 ans, 50 % des applications continuent de présenter de nouvelles failles, contre un peu plus de 30 % dans le reste du monde. Globalement, la probabilité qu’une vulnérabilité soit introduite au cours d’un mois donné est de 27 %. Les entreprises de la zone EMEA auraient donc intérêt à accorder plus d’attention à la dernière partie du cycle de vie des applications et à les analyser plus régulièrement. Elles devraient également accorder la priorité à la formation des développeurs en matière de sécurité.

« Cette édition du rapport State of Software Security met en lumière l’importance de la sécurité tout au long du cycle de vie des logiciels, ainsi que la nécessité urgente de prendre en compte les risques posés par le code tiers et l’IA générée », a ajouté M. Eng. « Alors qu’à l’échelle mondiale, nous constatons toujours un volume préoccupant de vulnérabilités, ces chiffres sont plus élevés dans la région EMEA pour presque tous les indicateurs. Les équipes de développement de cette région doivent saisir l’opportunité d’automatiser la sécurité des logiciels pour une analyse régulière, et considérer attentivement leur utilisation d’outils d’IA, à la fois pour renforcer la sécurité et responsabiliser les développeurs. »

Le rapport Veracode State of Software Security EMEA 2023 recommande 4 actions que les équipes de développement de logiciels peuvent entreprendre pour améliorer leur posture de cybersécurité.

À propos du rapport State of Software Security
Le 13e volume du rapport annuel de Veracode sur l’état de la sécurité des logiciels examine les tendances historiques qui façonnent le paysage logiciel et la façon dont les pratiques de sécurité évoluent avec ces tendances. Les conclusions de cette année sont basées sur l’ensemble des données historiques disponibles auprès des services et des clients de Veracode et représentent un échantillon de grandes et petites entreprises, de fournisseurs de logiciels commerciaux, de sous-traitants de logiciels et de projets open-source. Le rapport contient des conclusions sur les applications qui ont fait l’objet d’une analyse statique, d’une analyse dynamique, d’une analyse des composants open-source du logiciel et/ou d’un test de pénétration manuel par l’intermédiaire de la plateforme cloud de Veracode.