Infos

Veracode révèle que la moitié des organisations souffrent d’une dette de sécurité critique et que 70 % de ces vulnérabilités proviennent de codes tiers et de la chaîne d’approvisionnement logicielle

Photo de WebSupport@BusinessWire.com WebSupport@BusinessWire.com Envoyer un courriel il y a 5 heures
0 7 minutes de lecture
  • La correction des failles de sécurité prend désormais huit mois et demi, soit 47 % de plus qu’il y a cinq ans
  • La 15e édition annuelle du rapport State of Software Security dévoile cinq mesures clés permettant d’évaluer la maturité en matière de la sécurité

BURLINGTON, Massachusetts--(BUSINESS WIRE)--Veracode, un chef de file mondial dans le domaine de la gestion des risques liés aux applications, a publié aujourd’hui la 15e édition de son rapport State of Software Security (SoSS). Ce rapport, qui s’appuie sur un vaste ensemble de données comprenant 1,3 million d’applications uniques et sur 126,4 millions de résultats bruts, met en évidence des tendances importantes et offre une nouvelle vision de la manière dont la maturité en matière de la sécurité des logiciels permet d’améliorer les pratiques de gestion des risques liés aux applications.





L’étude révèle une augmentation alarmante du temps moyen passé à corriger les failles de sécurité, lequel est passé de 171 à 252 jours au cours des cinq dernières années, et qui a augmenté de 327 % depuis le premier volume du rapport publié il y a 15 ans. En outre, 50 % des organisations font face aujourd’hui à une dette de sécurité critique, laquelle est définie comme l’accumulation de failles laissées ouvertes pendant plus d’un an. La majorité de ces vulnérabilités proviennent de codes tiers et de la chaîne d’approvisionnement logicielle. Une dette de sécurité non résolue laisse les organisations vulnérables aux attaques, les exposant à des dommages en termes de réputation, de coûts et d’exploitation.

Chris Wysopal, ambassadeur en chef de la sécurité chez Veracode, a déclaré : « La surface d’attaque est devenue de plus en plus complexe, en particulier au cours des deux dernières années avec l’explosion de l’ingénierie de l’IA. Le rapport de l’an dernier avait déjà révélé que 46 % des organisations étaient confrontées à une dette de sécurité de haute sévérité. Même si l’augmentation par rapport à l’année passée peut sembler marginale, elle va dans la mauvaise direction. Nos enquêtes montrent clairement que les organisations peuvent réduire leur dette, mais beaucoup d’entre elles ont besoin d’aide pour déterminer à quelles vulnérabilités il convient de s’attaquer en priorité. »

Analyse comparative des performances de sécurité

L’étude de Veracode a également analysé la répartition de la dette de sécurité au sein des organisations. Si certaines n’ont pratiquement aucune dette, d’autres s’enlisent dans celle-ci, tandis que la plupart se situent quelque part entre les deux, avec un mélange d’applications sans dette et d’applications criblées de dettes.

« L’écart entre les 25 % d’organisations les plus performantes et les 25 % d’organisations les moins performantes est fascinant », a déclaré M. Wysopal. « Face aux résultats, nous nous sommes demandé quels étaient les facteurs qui expliquaient les différences marquées dans la manière dont les organisations gèrent la dette de sécurité, et ce que les équipes pouvaient faire pour remédier à celle-ci. »

L’étude de Veracode met en évidence cinq mesures clés qui indiquent la maturité en matière de sécurité et prédisent l'aptitude d’une organisation à réduire systématiquement les risques. Ces mesures sont : la prévalence des failles, la capacité de correction, la vitesse de correction, la prévalence de la dette et la dette liée aux composants open source. Le rapport explique l’importance de chaque mesure et révèle les paramètres qui déterminent si une organisation peut être définie comme « performante » ou « à la traîne ».

  • Prévalence des failles : Les organisations performantes présentent des failles dans moins de 43 % des applications, tandis que les organisations à la traîne en présentent dans plus de 86 % des cas.
  • Capacité de correction : Les organisations performantes résolvent plus de 10 % des défauts chaque mois, alors que les organisations à la traîne en résolvent moins de 1 %.
  • Vitesse de correction : Les organisations les plus performantes remédient à la moitié des failles en cinq semaines, tandis que les organisations à la traîne mettent plus d’un an à y remédier.
  • Prévalence de la dette de sécurité : Moins de 17 % des applications dans les organisations performantes présentent une dette de sécurité, contre plus de 67 % dans les organisations à la traîne.
  • Dette liée aux composants open source : Les organisations performantes maintiennent leur niveau de dette critique lié aux composants open source en dessous de 15 %, tandis que ce niveau de dette critique liée aux composants open source est de 100 % dans les organisations à la traîne.

M. Wysopal a poursuivi : « L’étude fournit un cadre utile aux organisations qui souhaitent évaluer leur maturité en matière de sécurité. Elle leur permet de comprendre les facteurs spécifiques qui contribuent à leur dette de sécurité, d’évaluer l’importance de chaque mesure et de comparer leurs propres performances à celles d’organisations similaires. Nous proposons des recommandations détaillées de la part de nos experts et d’organisations performantes sur la manière de s’améliorer. »

Les réglementations en matière de cybersécurité favorisent les comportements positifs et renforcent la sécurité des applications

Sur une note positive, l’étude de Veracode a montré que le taux d’applications qui respectent le Top 10 de l’Open Worldwide Application Security Project (OWASP) avait augmenté de 63 % au cours des cinq dernières années et avait plus que doublé en 15 ans. Les nouvelles réglementations en matière de cybersécurité de 2024, telles que le Règlement de la Securities and Exchange Commission (SEC) américaine et la Législation sur la cyberrésilience de l’Union européenne, ont contribué à cette tendance, et ont poussé les fournisseurs de logiciels à adopter une approche plus disciplinée de la gestion des risques.

Une nouvelle vision de la maturité en matière de sécurité

La nouvelle vision de Veracode de la maturité en matière de sécurité des logiciels souligne la nécessité pour les entreprises d’adopter une approche stratégique et contextuelle permettant de gérer les risques les plus urgents et les plus exploitables. Le rapport recommande aux organisations de se concentrer sur deux domaines clés. Tout d’abord, elles doivent améliorer la visibilité et l’intégration tout au long du cycle de développement des logiciels, en utilisant l’automatisation et les boucles de rétroaction pour prévenir de nouvelles failles de sécurité. Ensuite, elles doivent donner la priorité à la corrélation et à la contextualisation des résultats de sécurité dans une vue unique, leur permettant de traiter efficacement leur retard en matière de sécurité et de réduire les risques les plus élevés avec le moins d’efforts possible.

M. Wysopal a ajouté : « Des outils comme Application Security Posture Management permettent aux professionnels de la sécurité et aux équipes chargées du développement d’établir des priorités et de prendre des décisions éclairées en déterminant ce qui est exploitable, atteignable et urgent. »

Alors que les organisations évoluent dans un paysage de menaces de plus en plus complexe, il est essentiel de donner la priorité à la maturité en matière de sécurité. L’étude de Veracode fournit une feuille de route aux organisations qui leur permet de comparer et d’améliorer leur posture de sécurité. En s’attaquant à leur dette de sécurité et en exploitant les meilleurs outils et pratiques, les entreprises peuvent renforcer leur résilience, réduire les risques et se conformer à l’évolution des réglementations en matière de cybersécurité.

Le rapport complet State of Software Security 2025 est disponible au téléchargement sur le site web de Veracode. Un blog décrivant les principales conclusions du rapport est également disponible à la lecture.

À propos du rapport State of Software Security

Le rapport State of Software Security 2025 de Veracode est la 15e édition du rapport. Il analyse les données d’entreprises de toutes tailles, fournisseurs de logiciels commerciaux, sous-traitants de logiciels et projets open source. Le rapport contient des conclusions sur les applications qui ont fait l’objet d’analyses statiques, d’analyses dynamiques, d’analyses de la composition logicielle et/ou des tests de pénétration manuels via la plateforme cloud de Veracode. Plus précisément, les données proviennent de :

  • 1,3 million d’applications uniques avec 126,4 millions de résultats bruts
  • 107,4 millions de résultats identifiés grâce aux analyses SAST
  • 3,9 millions de résultats identifiés grâce aux analyses DAST
  • 15 millions de résultats identifiés grâce aux analyses de la composition logicielle

À propos de Veracode

Veracode est un leader mondial dans le domaine de la gestion des risques liés aux applications à l’ère de l’IA. Alimentée par des billions de codes-barres de scanners et un moteur de mesures correctives exclusif assisté par l’IA, la plateforme Veracode bénéficie de la confiance d’entreprises du monde entier pour développer et entretenir des logiciels sécurisés, de la création du code jusqu’au déploiement dans le cloud. Des milliers d’équipes de développement et de sécurité figurant parmi les plus importantes au monde utilisent Veracode chaque seconde de chaque jour pour obtenir une visibilité précise et exploitable des risques d’exploitation, corriger en temps réel les vulnérabilités et réduire leur dette de sécurité à grande échelle. Veracode est une entreprise primée à maintes reprises qui met à disposition ses capacités à sécuriser l’ensemble du cycle de vie du développement des logiciels, avec notamment Veracode Fix, l’analyse statique, l’analyse dynamique, l’analyse de la composition logicielle, la sécurité des conteneurs, la gestion de la posture de sécurité des applications, la détection des packages malveillants et des tests de pénétration.

Pour en savoir plus, rendez-vous sur www.veracode.com, le blog Veracode, LinkedIn et X.

Copyright © 2025 Veracode, Inc. Tous droits réservés. Veracode est une marque déposée de Veracode, Inc. aux États-Unis et peut être déposée dans certaines autres juridictions. Tous les autres noms de produits, marques ou logos appartiennent à leurs détenteurs respectifs. Toutes les autres marques citées dans le présent document sont la propriété de leurs détenteurs respectifs.

Le texte du communiqué issu d’une traduction ne doit d’aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d’origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.


Contacts

Pour plus d'informations, veuillez contacter :
Katy Gwilliam
kgwilliam@veracode.com

Photo de WebSupport@BusinessWire.com WebSupport@BusinessWire.com Envoyer un courriel il y a 5 heures
0 7 minutes de lecture
Photo de WebSupport@BusinessWire.com

WebSupport@BusinessWire.com

Bouton retour en haut de la page