De tous les secteurs, les organisations publiques sont celles qui ont le plus haut niveau de dette de sécurité des applications. Pour de nombreuses organisations gouvernementales, les tests de sécurité ne sont pas effectués de manière cohérente et ne sont sauvegardés que pour des points spécifiques.
La pandémie et les cyberattaques qui s’en sont suivi ont révélé qu’il existe des vulnérabilités critiques latentes dans les applications. Dans un rapport sur la sécurité des applications, Veracode, le spécialiste de la sécurité des applications et du code, révèle que de tous les secteurs, le secteur public avait le plus haut niveau de dette de sécurité, soit 80 % des applications utilisées ayant des failles de sécurité.
Pour les besoins de ce rapport, Veracode a examiné les données de plus de 130 000 applications actives. Ses limiers ont passé en revue l’ensemble de l’historique des applications actives, pour dégager une vision du cycle de vie complet des applications et permettre des mesures et des observations plus précises. Selon les chiffres du rapport, la grande majorité des applications (76 %) présentent un type de défaut de sécurité, mais seule une minorité (24 %) présente des défauts très graves.
Les types de défauts sont sensiblement les mêmes
Par ailleurs, les bibliothèques open source peuvent être une source de préoccupation importante. « Par exemple, 97 % des applications Java typiques sont constituées de bibliothèques open source », pointe le rapport. Les types de défauts les plus courants sont sensiblement les mêmes que les années précédentes, lit-on dans le rapport : fuite d’informations, injection CRLF, problèmes cryptographiques, qualité du code, gestion des identifiants. L’injection SQL et le Cross-Site Scripting restent dans le top 10.
« Le but de la sécurité des logiciels n’est pas d’écrire des applications parfaitement sécurisées du premier coup, mais de remédier aux défauts de manière complète et rapide, reconnaissent les rédacteurs du rapport. Nous savons qu’il est plus facile de trouver et résoudre les problèmes dans les applications qui ont moins de bagages de codage — petite taille de l’application, en utilisant des langues et des cadres modernes — mais même avec le “bagage”, les productions des équipes qui utilisent des pratiques de codage sûres, telles que le balayage fréquent des défauts, l’intégration et l’automatisation les contrôles de sécurité, et l’examen plus large de l’état de santé des applications, sont plus susceptibles d’avoir plus de succès dans leurs efforts de développement de logiciels sécurisés ».
Le paradoxe des applications publiques
À l’examen, la nature des applications gouvernementales et éducatives apparaît paradoxale. « Par rapport à d’autres secteurs, l’administration publique et l’éducation ont les applications les plus jeunes et les organisations les plus petites : deux caractéristiques positives. Mais, d’un autre côté, les applications du secteur public et de l’éducation sont assez importantes et présentent la plus grande densité de défauts », explique le rapport.
Les organismes gouvernementaux et le secteur de l’éducation font plus souvent des analyses et utilisent les API plus souvent que les autres industries. Mais le secteur est le moins bien classé en ce qui concerne l’utilisation des DAST (Dynamic application security testing) et la cadence de balayage, et se situe au milieu du classement pour les SCA (Software composition analysis).
« Afin d’améliorer son délai médian de remédiation des défauts et d’augmenter son taux de correction, le gouvernement et le secteur de l’éducation doivent commencer à utiliser le DAST et le SCA plus fréquemment et améliorer sa cadence de balayage (ce qui devrait contribuer à éliminer la dette de sécurité). Le simple fait d’utiliser certaines des meilleures pratiques DevSecOps ne fera pas bouger l’aiguille », conseille le rapport.