Une quantité inquiétante d’applications couramment utilisées présentent des failles de sécurité très graves, en particulier celles utilisées par les entreprises du secteur technologique, selon de nouvelles recherches.
Un rapport de Veracode analysant 20 millions d’analyses sur un demi-million d’applications dans les secteurs de la technologie, de la fabrication, de la vente au détail, des services financiers, de la santé et du gouvernement, a révélé que 24 % des applications du secteur technologique présentent des défauts de grande gravité.
Comparativement, il s’agit de la deuxième proportion la plus élevée d’applications présentant des failles de sécurité (79 %), seul le secteur public ayant la pire situation (82 %).
Corriger les défauts
Parmi les types de vulnérabilités les plus courants figurent les configurations de serveur, les dépendances non sécurisées et les fuites d’informations, indique en outre le rapport, affirmant que ces résultats « suivent globalement » un schéma similaire à celui d’autres secteurs. Cependant, le secteur présente la plus grande disparité par rapport à la moyenne de l’industrie en ce qui concerne les problèmes de cryptographie et les fuites d’informations, ce qui incite les chercheurs à spéculer sur la façon dont les développeurs de l’industrie technologique sont plus avertis sur les défis de la protection des données.
En ce qui concerne le nombre de problèmes résolus, le secteur de la technologie se situe quelque part au milieu. Cependant, les entreprises sont relativement rapides pour résoudre les problèmes. Il leur faut jusqu’à 363 jours pour corriger 50 % des défauts. Bien que ce soit mieux que la moyenne, il reste encore beaucoup à faire, a ajouté Veracode.
Pour Chris Eng, directeur de la recherche chez Veracode, il ne s’agit pas seulement de découvrir les failles, il s’agit également de réduire le nombre de failles introduites dans le code, en premier lieu. En outre, il pense que les entreprises doivent se concentrer davantage sur l’automatisation des tests de sécurité.
« Log4j a déclenché un signal d’alarme pour de nombreuses organisations en décembre dernier. Cela a été suivi par une action gouvernementale sous la forme d’orientations du Bureau de la gestion et du budget (OMB) et de la loi européenne sur la cyber-résilience, qui se concentrent toutes deux sur la chaîne d’approvisionnement », a déclaré Eng. « Pour améliorer les performances au cours de l’année à venir, les entreprises technologiques doivent non seulement envisager des stratégies qui aident les développeurs à réduire le taux de failles introduites dans le code, mais également mettre davantage l’accent sur l’automatisation des tests de sécurité dans le pipeline d’intégration continue/livraison continue (CI/CD). pour gagner en efficacité. »
Les cybercriminels analysent souvent les applications accessibles sur Internet utilisées par les entreprises, à la recherche de vulnérabilités et de failles dans le code. Lorsqu’ils en trouvent un, ils l’utilisent souvent pour déployer des shells Web, qui leur donnent ensuite accès au réseau de l’entreprise et aux terminaux. (s’ouvre dans un nouvel onglet). Après avoir cartographié le réseau et identifié tous les appareils et données, ils peuvent lancer la deuxième étape de l’attaque, qui est souvent soit un ransomware, un malware ou un effaceur de données.