S’appuyer sur un bon programme de sécurité des applications ne signifie pas pour les entreprises la fin des déploiements de code « vulnérable ». C’est l’un des enseignements d’une enquête nord-américaine promue par l’éditeur spécialisé de logiciels Veracode.
378 professionnels de l’IT, de la cybersécurité et du développement applicatif ont été interrogés en juin 2020 par Enterprise Strategy Group (ESG) pour Veracode.
La plupart des professionnels interrogés jugent le programme de sécurité applicative de leur organisation plutôt bon. Ils lui attribuent une note moyenne de 7,92 sur 10. Plus d’un tiers des répondants (36%) leur accordent même une note de 9 ou 10 sur 10.
Tout est pour le mieux dans le meilleur des mondes numériques ?
Investir dans un logiciel de sécurité applicative est une chose. En finir avec les vulnérabilités du code d’applications et de microservices livrés en est une autre.
Ainsi, 48% des répondants reconnaissent pousser « régulièrement » du code « vulnérable » (le code hérité inclut des composants obsolètes, des correctifs ne sont pas appliqués, le nouveau code est déployé hors d’un cadre rigoureux de développement…).
31% disent le faire « occasionnellement ».
Tous déclarent agir pour respecter une échéance de livraison jugée « urgente », avec l’ambition de corriger la faille ultérieurement. L’argument est mentionné par 54% des répondants concernés. Ils peuvent aussi considérer le risque très modéré (49%) ou arguer d’une découverte tardive de failles dans le cycle de développement (45%).
La formation à la sécurité cyber (le Sec du DevSecOps) des développeurs et d’autres profils techniques est irrégulière.
35% des répondants déclarent que moins de la moitié des équipes en charge du développement applicatif participent à des sessions de formation sur la sécurité. 15% seulement rapportent que tous les développeurs son conviés à participer à ces sessions.
Investir dans l’AppSec limiterait le risque. Malgré tout, pour 6 répondants sur 10, des applications déployées en production ont été exposées aux 10 principales vulnérabilités du référentiel OWASP (Open Web Application Security Project) ces derniers mois.
« Ces failles ne sont pas nécessairement liées au code dans lequel des vulnérabilités connues ont été identifiées. Toutefois, elles mettent en évidence l’attention requise, notamment en ce qui concerne le suivi du code et la fréquence des tests sur l’ensemble du cycle de vie du développement logiciel (SDLC) », ont indiqué les auteurs du rapport.
(crédit photo via Pixabay)
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…