- Plus de 70 % des organisations sont confrontées à des lacunes de sécurité et près de 50 % sont confrontées à des lacunes « critiques »
- Le rapport State of Software Security 2024 expose les codes tiers comme principaux coupables, avec deux tiers des lacunes critiques provenant de bibliothèques open source
- Corriger les défaillances tierces prend 50 % plus longtemps, mais les équipes de développement les plus rapides peuvent réduire par 4 les lacunes de sécurité
BURLINGTON, Massachusetts--(BUSINESS WIRE)--Veracode, un chef de file mondial de la sécurité logicielle intelligente, dévoile aujourd’hui son rapport State of Software Security (SoSS) 2024, mettant en lumière la question pressante des insuffisances de sécurité dans les applications. Les lacunes de sécurité, définies pour ce rapport comme des défauts qui restent non résolus pendant plus d’un an, existent dans 42 pour cent des applications et 71 pour cent des organisations. De manière inquiétante, 46 pour cent des organisations présentent des défauts persistants et de forte gravité qui constituent une lacune de sécurité « critique », mettant les entreprises en danger en termes d’impact sur la confidentialité, l’intégrité et la disponibilité.
Selon le rapport, environ 63 pour cent des applications présentent des défauts dans le code de première partie, tandis que 70 pour cent contiennent des défauts dans le code tiers importé via des bibliothèques tierces. Cela souligne l’importance de tester les deux types tout au long du cycle de vie du développement logiciel. Les taux de correction varient également en fonction du type de défauts : corriger les défauts tiers prend 50 pour cent plus de temps, avec la moitié des défauts connus corrigés après 11 mois, comparativement à sept mois pour les défauts de première partie.
Il y a néanmoins de bonnes nouvelles : les failles de sécurité de haute gravité dans les applications ont diminué de moitié depuis 2016, ce qui indique des progrès dans les pratiques de sécurité logicielle et que la rapidité de la correction a un impact significatif sur les lacunes de sécurité critiques.
Le rapport SoSS 2024 révèle que les équipes de développement qui corrigent les défauts réduisent le plus rapidement les lacunes de sécurité critiques de 75 pour cent, passant de 22,4 pour cent des applications à un peu plus de cinq pour cent. En outre, ces équipes à action rapide sont quatre fois moins susceptibles de laisser les lacunes de sécurité critiques se concrétiser dans leurs applications.
Chris Eng, Chief Research Officer, Veracode, déclare : « Bien que nous continuions à voir des améliorations dans l'écosystème de la sécurité, ces résultats servent de prise de conscience pour que les organisations s’attaquent de front à leurs lacunes de sécurité. En donnant la priorité à la correction des défauts, en se concentrant sur la sécurité des codes tiers et en adoptant des pratiques de développement efficaces, les organisations peuvent réduire considérablement leurs lacunes de sécurité et améliorer l’état général de la sécurité des logiciels dans tous les domaines. »
Aborder la question de l’IA et de la chaîne d’approvisionnement logicielle
À une époque où l’IA (intelligence artificielle) révolutionne rapidement le développement logiciel, le rapport met en évidence une tendance inquiétante. Chris déclare : « Malgré la rapidité et l’efficacité que l’IA apporte au développement logiciel, elle ne produit pas nécessairement de code qui est sécurisé. Des études ont montré que 36 pour cent du code généré par GitHub CoPilot contient des failles de sécurité. » Cette prolifération de code non sécurisé à grande échelle pose un risque important pour les organisations et la chaîne d’approvisionnement logiciel, ce qui entraîne une accumulation des lacunes de sécurité au fil du temps.
La priorisation des risques est la clé
Le rapport de Veracode révèle également que la capacité de correction des équipes était limitée, avec seulement 64 pour cent des applications ayant une capacité de correction suffisante pour éliminer les lacunes de sécurité critique. En fait, seules deux applications sur dix affichent un taux de correction mensuel moyen dépassant 10 pour cent de tous les défauts de sécurité. Cela suggère, même dans les cas où la capacité de correction des équipes est suffisante, qu’elles ne donnent pas la priorité aux défauts critiques.
Malgré cela, un changement de cap dans la bonne direction est à espérer. Seulement trois pour cent de tous les défauts constituent des lacunes de sécurité critiques, et ce sous-ensemble représente la plus grande exposition aux risques pour les applications. En donnant la priorité à ces trois pour cent, les organisations peuvent atteindre une réduction maximale des risques grâce à des efforts ciblés.
Chris conclut : « L’IA ouvre également la voie à un nouveau chapitre dans la sécurité logicielle en donnant aux organisations les moyens d’intensifier leurs efforts de remédiation et de s’attaquer plus facilement au long arriéré des lacunes de sécurité, ainsi qu’aux nouveaux défauts qui émergent. La grande majorité des CWE (Common Weakness Enumeration) avec une note de sévérité de moyenne à très élevée peut être traitée par des modifications de code générées par l’IA de Veracode Fix. »
Le rapport State of Software Security 2024 est téléchargeable sur le site web de Veracode. Pour accéder au rapport et mieux comprendre les conclusions et les recommandations, visitez le site web. Un blog décrivant les principales conclusions du rapport est également consultable ici.
-FIN-
À propos du rapport State of Software Security
Le rapport Veracode State of Software Security 2024 a analysé les données de grandes et petites entreprises, fournisseurs de logiciels commerciaux, sous-traitants de logiciels et projets open source. Le rapport s’appuie sur plus d’un million (1 007 133) d’applications pour tous les types d’analyses, 1 553 022 analyses dynamiques et 11 429 365 analyses statiques. Toutes ces analyses ont produit 96 millions de résultats statiques bruts, 4 millions de résultats dynamiques bruts et 12,2 millions de résultats d’analyse bruts de la composition logicielle.
À propos de Veracode
Veracode est une société de sécurité logicielle intelligente. La plateforme de sécurité logicielle Veracode recherche en permanence les failles et les vulnérabilités à chaque étape du cycle de vie du développement logiciel moderne. Grâce à une IA puissante formée à l’aide d’un ensemble de données éprouvées issues de l’analyse de trillions de lignes de code, les clients de Veracode corrigent les failles plus rapidement et avec une grande précision. Solution préférée des équipes de sécurité, des développeurs et des dirigeants de milliers des plus grandes entreprises du monde, Veracode est le pionnier et continue de redéfinir ce que signifie la sécurité logicielle intelligente.
Pour plus d’informations, visitez le site www.veracode.com, le blog Veracode, et les pages LinkedIn et Twitter.
Copyright © 2024 Veracode, Inc. Tous droits réservés. Veracode est une marque déposée de Veracode, Inc. aux États-Unis et peut être enregistré dans d'autres juridictions. Tous les autres noms de produits, marques et logos appartiennent à leurs propriétaires respectifs. Toutes les autres marques commerciales citées dans ce communiqué sont la propriété de leurs détenteurs respectifs.
Le texte du communiqué issu d’une traduction ne doit d’aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d’origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.
Contacts
Pour plus d'informations :
Katy Gwilliam
kgwilliam@veracode.com