Stratégie

Les entreprises croulent sous la dette liée à la sécurité applicative

Le délai moyen de correction d’une faille de sécurité est passé de 171 à 252 jours au cours des cinq dernières années. (Photo : Tom / Pixabay)

Les dettes de sécurité non résolues exposent les entreprises à un risque accru de cyberattaque ; Le tout alors que les délais de correction s'allongent et que les écosystèmes applicatifs se complexifient.

PublicitéLes entreprises mettent de plus en plus de temps à corriger les failles de sécurité de leurs logiciels. Conséquence : la dette de sécurité qui en découle devient de plus en plus critique. Selon le dernier rapport State of Software Security de l'éditeur de logiciels Veracode, le délai moyen de correction des failles de sécurité est en effet passé de 171 à 252 jours au cours des cinq dernières années.

Par ailleurs, selon cette même étude, 50% des organisations ont aujourd'hui une dette de sécurité qualifiée "à haut risque", soit une accumulation de failles laissées ouvertes pendant plus d'un an. La majorité de celles-ci proviennent de codes issus de tiers et de la supply chain logicielle, source récurrente de risques majeurs malgré l'attention grandissante qui lui est portée.

Bien que le chiffre de 50% d'entreprises exposées à une dette à haut risque n'augmente que marginalement par rapport aux 46% enregistrés lors de l'édition 2024 de l'étude annuelle de Veracode, le résultat demeure préoccupant, car la tendance est mauvaise. Chris Wysopal, cofondateur et évangéliste en chef de la sécurité chez Veracode, souligne notamment un des aspects de la sécurité applicative qui s'est régulièrement dégradé au fil des ans : le temps nécessaire pour corriger les failles. « Il y a de nombreuses raisons à cela, mais la portée et la complexité sans cesse croissantes de l'écosystème logiciel en constituent une cause majeure, dit-il. Les organisations ont davantage d'applications et beaucoup plus de code à maîtriser, et cela ne fera qu'augmenter à mesure que de plus en plus d'équipes adoptent l'IA pour la génération de code. ». Sans même parler du fait que la génération de code avec l'IA pourrait en elle-même renforcer les problématiques de sécurité ou en créer de nouvelles, que cette pratique provienne de l'interne ou de tierces parties dont l'entreprise est dépendante.

Appliquer des stratégies de réduction des risques

L'étude de Veracode révèle des différences marquées dans la façon dont les organisations gèrent cette dette de sécurité, avec des écarts importants entre les meilleurs et les moins performants. Selon l'éditeur, cinq mesures clés permettent d'évaluer la maturité de la sécurité et d'améliorer la capacité d'une organisation à réduire systématiquement ses risques :

Prévalence des failles : les organisations les plus performantes ont des failles dans moins de 43% des applications, taux qui grimpe à 86% au sein des organisations les moins performantes.
Capacité de correction : les leaders résolvent plus de 10% des failles par mois, tandis que les retardataires en corrigent moins de 1%.
Vitesse de correction : les entreprises les plus performantes corrigent la moitié des failles en cinq semaines ; les moins performantes mettent plus d'un an à le faire.
Prévalence de la dette de sécurité : moins de 17% des applications des organisations les plus avancées ont une dette de sécurité, contre plus de 67% parmi les retardataires.
Dette en matière de logiciels libres : les organisations les plus performantes maintiennent la dette critique liée aux logiciels libres à moins de 15%, alors que 100% de la dette critique est liée aux logiciels libres dans les organisations les moins avancées.

Publicité« La plupart des entreprises souffrent d'une visibilité fragmentée sur les failles logicielles et les risques au sein de leurs applications, avec des ensembles d'outils dispersés qui créent un sentiment de fatigue lié à la profusion d'alertes en même temps que des silos de données qu'il faut interpréter avant de prendre des décisions », souligne Chris Wysopal. Selon lui, un des leviers majeurs pour combler le retard en matière de sécurité réside dans la capacité à prioriser la remédiation des failles en fonction du risque qu'elles présentent.

L'étude de Veracode est basée sur des résultats issus d'environ 1,3 million d'applications soumises à une combinaison d'analyse statique, d'analyse dynamique, d'analyse de la composition du logiciel et/ou de tests de pénétration manuels par le biais de la plateforme cloud de l'éditeur. Les logiciels mis à l'épreuve provenaient d'entreprises de toutes tailles, et étaient issus d'éditeurs, d'outsourceurs et de projets Open Source.

Risques liés à la supply chain logicielle

En ce qui concerne la dette de sécurité liée aux logiciels libres, la société Black Duck, spécialisée dans la sécurité des applications, indique qu'une analyse de 965 bases de code dans 16 secteurs d'activité a révélé que 86% d'entre elles contenaient des vulnérabilités provenant des logiciels libres et que 81% d'entre elles présentaient des vulnérabilités à risque élevé ou critique.

Huit des dix principales vulnérabilités à haut risque couvertes par le rapport Open Source Security and Risk Analysis de Black Duck ont été trouvées dans jQuery, une bibliothèque JavaScript largement utilisée. La faille à haut risque la plus fréquemment identifiée est CVE-2020-11023, une vulnérabilité XSS affectant les versions obsolètes de jQuery, mais toujours présente dans un tiers des bases de code analysées.

Les risques issus des vulnérabilités provenant de codes d'éditeurs et de projets Open Source peuvent être atténués en analysant continuellement le code tout au long du cycle de vie du développement du logiciel, conseille Veracode. « L'analyse de la composition des applications (SCA pour Software composition analysis) permet d'atteindre cet objectif en détectant et en gérant les risques liés aux composants logiciels tiers et Open Source par le biais d'un processus automatisé, précise Chris Wysopal. Elle génère des nomenclatures logicielles (SBOM, pour Software bills of materials), recherche les vulnérabilités, évalue les risques et fournit des conseils de remédiation. »

Mettre en place un programme de réduction de la dette

Selon Veracode, en s'attaquant à la dette de sécurité et en s'appuyant sur les meilleures pratiques, les entreprises peuvent améliorer leur résilience, réduire les risques et se conformer à l'évolution réglementaire en matière de cybersécurité. Le spécialiste de la sécurité des applications propose une liste de facteurs permettant d'élaborer une stratégie efficace de réduction de cette dette :

Tests automatisés : intégrer SAST (analyse statique de la sécurité du code), DAST (analyse dynamique), SCA (composition des applications) et d'autres frameworks de tests automatisés dans la chaîne CI/CD pour détecter les failles de façon précoce.
Politiques fondées sur le risque : se concentrer sur les failles facilement exploitables et d'une certaine gravité, et appliquer des politiques strictes de non-passage en production.
Développeurs responsabilisés : former, désigner des champions en matière de sécurité et considérer les tâches de sécurité comme un travail normal de développeur.
Culture de la responsabilité : suivre les vulnérabilités en même temps que les bogues fonctionnels et les corriger au fur et à mesure de leur apparition.
Surveillance des logiciels libres : maintenir un inventaire clair des bibliothèques open source exploitées, les mettre à jour régulièrement et automatiser les vérifications.
Discipline : si les ressources sont utiles, une stratégie cohérente et des processus solides sont plus importants. Même les petites équipes, si elles sont bien alignées et disciplinées, obtiennent souvent de meilleurs résultats que des équipes pléthoriques moins focalisées sur le sujet.