La rapidité de la remédiation permet de réduire la dette de sécurité critique de 75%
Veracode, un leader mondial de la sécurité logicielle intelligente
Veracode* est une société américaine qui fournit une sécurité logicielle intelligente. Sa plateforme détecte en permanence les failles et les vulnérabilités à chaque étape du cycle de développement des logiciels. https://www.veracode.com
Guidés par une puissante IA entraînée par des trillions de lignes de code, les clients de Veracode corrigent les failles plus rapidement et avec une grande précision. Les équipes de sécurité, les développeurs et les chefs d'entreprise de milliers d'organisations, parmi les plus importantes au monde, font confiance à Veracode qui est le pionnier et continue de définir la sécurité logicielle intelligente.
La dette de sécurité
Veracode a dévoilé son rapport annuel « State of Software Security (SoSS) 2024 », qui met en lumière le problème critique de la dette de sécurité dans les applications. La dette de sécurité (définie dans ce rapport comme les failles non corrigées pendant plus d'un an), existe dans 42% des applications et 71% des organisations. Il est inquiétant de constater que 46% des organisations présentent une dette de sécurité « critique », avec des failles graves et persistantes. Ces failles exposent de facto les entreprises à de sérieux risques en termes de confidentialité, d’intégrité et de disponibilité.
Selon le rapport Veracode, environ 63% des applications présentent des failles dans le code de première partie, tandis que 70% contiennent des failles dans le code de tierces parties, importées via des bibliothèques extérieures.
Diviser par quatre la dette critique de sécurité
Cela souligne l'importance de tester les deux types de code tout au long du cycle de développement du logiciel. Les taux de correction varient également en fonction du type de faille : la correction des failles dans le code tiers prend 50% plus de temps, la moitié des failles connues étant corrigées au bout de 11 mois, contre sept mois pour les failles dans le code d'origine.
Il y a toutefois une bonne nouvelle : dans les applications, les failles de sécurité de grande gravité ont diminué de moitié depuis 2016. Cet indicateur souligne les progrès réalisés dans les pratiques de sécurité logicielle dans la vitesse de correction qui sont réalisés. Ceci a un véritable impact sur la dette de sécurité critique.
State of Software Security SoSS 2024 révèle que les équipes de développement, qui corrigent les failles le plus rapidement, réduisent la dette de sécurité critique de 75% (passant de 22,4% des applications à un peu plus de 5%). En outre, les équipes qui agissent rapidement sont quatre fois moins susceptibles de laisser la dette de sécurité critique se matérialiser dans leurs applications.
L'IA et la chaîne d'approvisionnement des logiciels
Alors que l'IA (intelligence artificielle) révolutionne rapidement le développement de logiciels, le rapport SoSS 2024 met en évidence une tendance préoccupante. Malgré la vitesse et l'efficacité que l'IA apporte au développement de logiciels, elle ne produit pas nécessairement un code sécurisé. Des recherches ont montré que 36 % du code généré par GitHub CoPilot contient des failles de sécurité. Cette prolifération de code non sécurisé à grande échelle représente un risque important pour les organisations et la chaîne d'approvisionnement en logiciels, entraînant l'accumulation d'une dette de sécurité au fil du temps.
La hiérarchisation des risques est essentielle
L'étude de Veracode a également révélé que la capacité de remédiation des équipes était limitée, avec seulement 64% des applications ayant une capacité de remédiation suffisante pour éliminer la dette de sécurité critique. En fait, seules deux applications sur dix affichent un taux de correction mensuel moyen supérieur à 10 % de toutes les failles de sécurité. Cela suggère que, même dans les cas où la capacité de correction des équipes est suffisante, celles-ci ne donnent pas la priorité aux failles critiques.
Malgré cela, il y a un espoir de réussite. Seuls trois pour cent de toutes les failles constituent une dette de sécurité critique et ce sous-ensemble représente la plus grande exposition au risque pour les applications. En donnant la priorité à ces trois pour cent, les organisations peuvent parvenir à une réduction maximale des risques grâce à des efforts ciblés.
Le rapport complet State of Software Security 2024 sur le site web de Veracode.
*Nous avons rencontré les dirigeants de Veracode Europe lors du Forum InCyber 2024