Les vulnérabilités applicatives internes à l'origine des violations dans 92% des cas
jeu, 21/03/2024 - 13:45
Checkmarx publie les résultats de son rapport annuel Future of AppSec, qui donne un aperçu approfondi de l'état de la sécurité des applications, des futurs investissements et des préoccupations des entreprises mondiales. Selon, les résultats de cette étude, 92% des organisations interrogées ont subi une violation au cours de l'année 2023 liée à des vulnérabilités applicatives développées en interne.
Censuswide a conduit une enquête pour le compte de Checkmarx auprès de 1504 développeurs, RSSI et responsables AppSec dans des entreprises de 1000 à 10 000+ employés d'Amérique du Nord, d'Europe (376 entreprises dont 85 en France) et d'Asie-Pacifique. L'enquête s’est déroulée en décembre 2023.
Depuis quelques années, la responsabilité exclusive de la sécurité des applications s'est éloignée des équipes de sécurité qui se partagent désormais la tâche avec les responsables AppSec et les développeurs. Les développeurs sont par ailleurs intégrés dans les processus d’achat de solutions AppSec clés pour près de la moitié des entreprises interrogées (49%) tandis que pour 41% ce sont toujours les responsables AppSec et 40% les RSSI qui gardent cette responsabilité.
Des logiciels vulnérables mis en production
91% des entreprises ont consciemment publié des applications vulnérables, déplorant un développement logiciel toujours plus rapide au sein d'environnements hétérogènes et moins de temps consacré à la sécurité.
A la question relative au choix de publier des applications présentant des vulnérabilités, la première raison avancée est la pression exercée par l'entreprise : 29% des responsables Appsec ont déclaré avoir publié les applications « pour respecter un délai imposé par l'entreprise, les fonctionnalités ou la sécurité », 18% des RSSI « espéraient » que la vulnérabilité ne serait pas exploitable et 29% des développeurs que la vulnérabilité serait corrigée au cours d’une version ultérieure. En France, 35% des entreprises ayant déployé du code vulnérable pensaient le corriger ultérieurement, 39% considéraient la vulnérabilité comme non critique et 35% comme trop difficile à réparer.
« Dans un contexte où les applications cloud natives sont déployées plusieurs fois par jour, l'atténuation des risques de sécurité applicative devient une responsabilité partagée », déclare Amit Daniel, Directrice marketing, Checkmarx. « Les entreprises recherchent aujourd’hui de la visibilité sur la posture de sécurité de l'ensemble de leur empreinte organisationnelle. Notre objectif est de leur fournir cette visibilité pour mettre en œuvre le « DevSecTrust », c'est-à-dire réinjecter de la confiance entre les développeurs et les équipes sécurité, pour les aider à atteindre un tout autre niveau de maturité Appsec. »
Un contexte applicatif complexe
Les trois principales préoccupations des développeurs sont la tension entre les exigences de délai de livraison (time to market) et les volumes potentiels de vulnérabilités nécessitant une correction, notamment l'entrave du processus de développement par les exigences en matière de sécurité, la difficulté à savoir quelles vulnérabilités corriger et comment les hiérarchiser, et enfin le manque de contexte pour les aider à corriger. Pas moins de 61% des développeurs ont déclaré qu'il était essentiel que la sécurité ne bloque pas ou ne ralentisse pas le processus de développement ou ne devienne pas un obstacle à la réussite de l'entreprise. Pour combler les lacunes en matière de sécurité applicative, l'intégration transparente d'outils AppSec dans les flux de travail des développeurs devient essentielle.
La composition des applications est devenue plus complexe, intégrant le code source, les packages open source, l'infrastructure as code (IaC), les conteneurs, etc. Cette augmentation exponentielle de la complexité renforce la nécessité pour les entreprises d'analyser l'ensemble du cycle de vie du développement logiciel, du code au cloud.
Une plateforme AppSec complète va permettre de répondre à ces préoccupations pour :
- Construire le #DevSecTrust, la coopération et la confiance entre les équipes AppSec et les développeurs
- Améliorer l'expérience des développeurs en fournissant une hiérarchisation des risques dans le cadre d'une toolbox intégrée à leurs environnements de développement préférés.
- Consolider l'AppSec cloud natif via une nouvelle approche holistique
- Sécuriser l'ensemble de l'empreinte applicative, du code au cloud