Comment déployer rapidement les services et logiciels sans réduire leur sécurité ? Face à ce dilemme, il ne faut pas placer toutes les menaces dans le même panier. Le système d'évaluation standardisé de la criticité des vulnérabilités, Common Vulnerability Scoring System (CVSS) catégorise les failles selon leur dangerosité. Mais d’après le rapport 2023 de Datadog sur l’état de la sécurité des applications, ce classement manque singulièrement de pertinence avec seulement 3 % des failles critiques correspondant à leur niveau réel de priorité.
Le risque augmente avec le nombre de dépendances tierces. Concernant les services Java, Node.js et Python, plus le nombre de dépendances augmente, plus le risque du service s’accroit. Pour Java, les services ayant plus de 300 dépendances présentent au moins une vulnérabilité avec une note de gravité CVSS élevée ou critique. Ce langage très utilisé est classé par Datadog comme celui présentant le score médian de risque de service le plus élevé, suivi de .NET, Node.js et Python. Ces mauvais scores peuvent s’expliquer par le fait que ces langages facilitent l'accès au code de bas niveau, permettant à un attaquant l'exécution de commandes.
Les vulnérabilités découvertes il y a plus de 20 ans ont toujours pignon sur rue. Il s’agit de l'injection SQL et de la falsification des requêtes côté serveur (SSRF). En 2022, 5 % des organisations présentaient au moins une vulnérabilité exploitable de type injection SQL, autorisant l’accès non autorisé à des données ou la compromission de l'hôte sous-jacent.
Trois-quarts des attaques font chou-blanc ce qui montre à quel point la qualification des menaces est importante pour concentrer les efforts des équipes de sécurité sur les failles critiques ou très critiques. Parmi les échecs des pirates, les deux-tiers des tentatives malveillantes visent des points absents du périmètre et prés d’un tiers de bases de données non utilisées.
PHP victime de choix à cause de son large succès dans la création de sites web
Avec environ 77 % des installations dans le monde, ce langage web est de loin le plus populaire, devant Java et Javascript. Il est la cible privilégiée des pirates totalisant 68 % des attaques qui exploitent ses vulnérabilités spécifiques. Quand PHP a été lancé en 1995, les pratiques de sécurité n'étaient pas une préoccupation majeure. De fait, les anciennes versions sont très régulièrement visées et présentent de gros risques de sécurité.Environ une attaque sur 10 des attaques vise des environnements informatiques hors production. Les risques concernent surtout les projets en développement ou en refonte. Notamment, les attaques de la chaîne d'approvisionnement logicielle où les ressources sont compromises avant d'être déployées. Selon l’étude, l’attention doit être portée sur le partage des clés, identifiants et données sensibles utilisées à des fins de test, soulignant la nécessité pour les entreprises de prêter attention à tous les cycles de vie des applications et services.
