Veracode révèle que la rapidité de la remédiation permet de réduire la dette de sécurité critique de 75 %
février 2024 par Veracode
Veracode dévoile son rapport annuel State of Software Security (SoSS) 2024, qui met en lumière le problème critique de la dette de sécurité dans les applications. La dette de sécurité (définie dans ce rapport comme les failles non corrigées pendant plus d’un an), existe dans 42 % des applications et 71 % des organisations. Il est inquiétant de constater que 46 % des organisations présentent une dette de sécurité « critique » avec des failles graves et persistantes. Ces failles exposent de facto les entreprises à de sérieux risques en termes de confidentialité, d’intégrité et de disponibilité.
Selon le rapport Veracode, environ 63 % des applications présentent des failles dans le code de première partie, tandis que 70 % contiennent des failles dans le code de tierces parties importé via des bibliothèques extérieures. Cela souligne l’importance de tester les deux types de code tout au long du cycle de développement du logiciel. Les taux de correction varient également en fonction du type de faille : la correction des failles dans le code tiers prend 50 % plus de temps, la moitié des failles connues étant corrigées au bout de 11 mois, contre sept mois pour les failles dans le code d’origine.
Il y a toutefois une bonne nouvelle : dans les applications, les failles de sécurité de grande gravité ont diminué de moitié depuis 2016. Cet indicateur souligne les progrès réalisés dans les pratiques de sécurité logicielle ainsi que la vitesse de correction qui sont réalisées. Ceci a un véritable impact sur la dette de sécurité critique.
A graph with text overlay Description automatically generatedSoSS 2024 révèle que les équipes de développement qui corrigent les failles le plus rapidement réduisent la dette de sécurité critique de 75 % (passant de 22,4 % des applications à un peu plus de 5 %) . En outre, les équipes qui agissent rapidement sont quatre fois moins susceptibles de laisser la dette de sécurité critique se matérialiser dans leurs applications en premier lieu.
Chris Eng, directeur de recherche chez Veracode, déclare : « Alors que nous continuons à voir des améliorations dans le paysage de la sécurité, ces résultats sont une sonnette d’alarme pour les organisations qui doivent s’attaquer de front à leur dette de sécurité. En donnant la priorité à la correction des failles, en se concentrant sur la sécurité des codes tiers et en adoptant des pratiques de développement efficaces, les organisations peuvent réduire considérablement leur dette de sécurité et améliorer l’état général de la sécurité des logiciels dans tous les domaines. »
L’IA et la chaîne d’approvisionnement des logiciels
Alors que l’IA (intelligence artificielle) révolutionne rapidement le développement de logiciels, le rapport met en évidence une tendance préoccupante. « Malgré la vitesse et l’efficacité que l’IA apporte au développement de logiciels, elle ne produit pas nécessairement un code sécurisé. Des recherches ont montré que 36 % du code généré par GitHub CoPilot contient des failles de sécurité ». Déclare Chris. Cette prolifération de code non sécurisé à grande échelle représente un risque important pour les organisations et la chaîne d’approvisionnement en logiciels, entraînant l’accumulation d’une dette de sécurité au fil du temps.
La hiérarchisation des risques est essentielle
L’étude de Veracode a également révélé que la capacité de remédiation des équipes était limitée, avec seulement 64 % des applications ayant une capacité de remédiation suffisante pour éliminer la dette de sécurité critique. En fait, seules deux applications sur dix affichent un taux de correction mensuel moyen supérieur à 10 % de toutes les failles de sécurité. Cela suggère que, même dans les cas où la capacité de correction des équipes est suffisante, celles-ci ne donnent pas la priorité aux failles critiques.
Malgré cela, il y a un espoir de réussite. Seuls trois pour cent de toutes les failles constituent une dette de sécurité critique, et ce sous-ensemble représente la plus grande exposition au risque pour les applications. En donnant la priorité à ces trois pour cent, les organisations peuvent parvenir à une réduction maximale des risques grâce à des efforts ciblés.
Chris conclut : « L’IA ouvre également la voie à une nouvelle frontière dans le domaine de la sécurité des logiciels en permettant aux entreprises d’intensifier leurs efforts de remédiation et de s’attaquer plus facilement à la longue dette de sécurité, ainsi qu’aux nouvelles failles qui émergent. La grande majorité des CWE (Common Weakness Enumeration) dont le niveau de gravité va de moyen à très élevé peuvent être corrigés grâce aux modifications de code générées par l’IA de Veracode Fix. »