Une exposition critique aux risques de sécurité

Basé sur une analyse exhaustive de 27 millions d’analyses portant sur 750 000 applications, le rapport révèle que la région EMEA est confrontée à un risque accru avec un pourcentage élevé de failles de « gravité élevée », pouvant entraîner des conséquences critiques pour les entreprises. Plus de 80 % des applications développées dans la région présentent au moins une faille de sécurité détectée au cours des 12 derniers mois, un chiffre surpassant leurs homologues américains.

Des défis de sécurité persistants

Malgré les efforts déployés, le rapport souligne une persistance préoccupante des défis en matière de sécurité. Bien que le taux de résolution ait connu une amélioration de 12 points, s’élevant à près de 70%, plus de 70% des failles restent non résolues un mois après leur découverte, avec près de 55% persistant trois mois après. Avec son étude, Veracode met en avant l’urgence pour les entreprises d’adopter des pratiques de gestion des vulnérabilités plus efficaces. « Nos données montrent que les organisations du monde entier continuent de déployer de manière inquiétante un nombre élevé d’applications comportant des failles du Top 25 CWE (Common Weakness Enumeration) » déclare Chris Eng, directeur de la recherche chez Veracode. « Nous avons toutefois identifié des différences régionales intéressantes, notamment en termes d’utilisation de codes tiers ou open source et la manière dont les failles sont introduites tout au long du cycle de vie de l’application » ajoute-t-il.

Des tendances régionales significatives

Les différences régionales dans l’utilisation de codes tiers ou open source sont notables, impactant la sécurité logicielle. L’étude révèle également des retards dans l’adoption des bonnes pratiques DevSecOps, en particulier dans des secteurs clés tels que l’infrastructure, la fabrication et la finance. Veracode met également en avant la persistance des vulnérabilités dans les applications Java en EMEA, soulignant l’importance de l’analyse des composants open-source des logiciels (SCA). Alors que l’IA générative continue d’évoluer, les risques associés à l’utilisation de codes tiers et à l’IA augmentent, nécessitant une utilisation judicieuse des outils SCA pour garantir la sécurité tout en tirant parti des avantages de l’IA.

L’importance des analyses régulières et l’adoption de DevSecOps

La fréquence des analyses joue un rôle crucial, avec des applications analysées entre 7 et 12 fois par an corrigent leurs failles 3,5 fois plus rapidement. Les pratiques DevSecOps se révèlent être un facteur clé, permettant aux organisations fortement engagées dans ces méthodologies de corriger leurs failles plus de 11,5 fois plus rapidement que leurs pairs.

Des applications plus vulnérables au fil du temps

Le rapport révèle que de nouvelles vulnérabilités continuent d’être introduites à un rythme plus élevé en EMEA par rapport à d’autres régions, soulignant la nécessité d’une attention particulière à la dernière phase du cycle de vie des applications. La formation des développeurs en matière de sécurité est également identifiée comme une priorité. Chris Eng, Directeur de la Recherche chez Veracode, insiste sur l’urgence d’automatiser la sécurité logicielle pour des analyses régulières et encourage les équipes de développement en EMEA à adopter une approche stratégique face aux risques liés au code tiers et à l’IA générée.

À Propos du Rapport State of Software Security
Le 13e volume du rapport annuel de Veracode sur l’état de la sécurité des logiciels examine les tendances historiques qui façonnent le paysage logiciel et la façon dont les pratiques de sécurité évoluent avec ces tendances. Les conclusions de cette année sont basées sur l’ensemble des données historiques disponibles auprès des services et des clients de Veracode et représentent un échantillon de grandes et petites entreprises, de fournisseurs de logiciels commerciaux, de sous-traitants de logiciels et de projets open-source. Le rapport contient des conclusions sur les applications qui ont fait l’objet d’une analyse statique, d’une analyse dynamique, d’une analyse des composants open-source du logiciel et/ou d’un test de pénétration manuel par l’intermédiaire de la plateforme cloud de Veracode.