Un tiers des logiciels utilisés dans le secteur financier présente des failles à haut risque, selon le rapport « State of Software Security (SOSS) Volume 10 » de Veracode sur l'état de la sécurité des logiciels
Dans son dernier rapport sur l'état de la sécurité des logiciels (SOSS), Veracode, expert en sécurité applicative, démontre que le secteur de la finance corrige 76 % des failles au sein de ses logiciels.
Il s’agit d’un pourcentage bien supérieur à la moyenne de 56 %, tous secteurs confondus. Pourtant, son rapport indique également que la finance est le deuxième secteur le plus lent, derrière celui de la santé, à remédier aux vulnérabilités, avec une durée moyenne de plus de deux mois (67 jours).
Cette étude confirme celle publiée il y a un an par Kenna Security et du Cyentia Institute. En mesurant le temps nécessaire à appliquer les correctifs de sécurité, ils avaient constaté qu’en moyenne il a fallu 26 jours pour corriger un quart des failles, 100 jours pour atteindre la moitié et presqu’un an pour atteindre 75 %...
85 000 applications scannées
Pour son rapport « State of Software Security (SOSS) Volume 10 », Veracode a étudié les niveaux de dette de sécurité, définie comme le nombre de failles non corrigées qui s'accumulent dans les logiciels au fil du temps, dans différents secteurs : services financiers, administration et éducation, la santé, infrastructures, fabrication, vente au détail et technologie.
Plus de 85 000 applications dans plus de 2 300 entreprises dans le monde ont été analysées. Pour cette itération, Veracode a, comme Kenna Security, collaboré avec des scientifiques des données du Cyentia Institute afin de mieux visualiser et comprendre le comportement en matière de correction des vulnérabilités.
Résultat : les équipes qui scannent le plus souvent les applications ont une dette de sécurité environ cinq fois moindre que les scanners peu fréquents.
Concernant les langages de programmation, cette édition indique que Python et JavaScript présentent le plus de failles.
Par ailleurs, le précédent rapport avait mis en avant que l’approche DevSecOps permet de corriger les failles jusqu’à 11 fois plus vite qu’une approche classique. L’intégration du DevOps et du DevSecOps au cours des dernières années a permis de changer les habitudes.
Même si le secteur financier n’est pas celui qui présente la plus importante dette de sécurité, un tiers des logiciels utilisés (36 %) présentent des vulnérabilités à haut risque. Les fuites d'informations (66 %), les problèmes de cryptographie (61 %) et la qualité du code (58 %) sont les catégories de failles les plus courantes dans le secteur.
Données sensibles
« Le secteur des services financiers a connu une transformation numérique rapide, laissant à de nombreuses institutions financières un mix de systèmes nouveaux et anciens. », explique Paul Farrington, CTO EMEA chez Veracode, a commenté le rapport.« Les failles de sécurité qui en ont résulté sont particulièrement problématiques dans un secteur traitant de données sensibles ».
« Pour relever ces défis, les entreprises du secteur ont dû rapidement augmenter leurs compétences, et au cours des dix dernières années, nous avons constaté une nette amélioration de l'état général de la sécurité des applications au sein du secteur ».
Source : Veracode