Technology
October 19, 2022

BURLINGTON, Massasuchetts–(BUSINESS WIRE)–Selon Veracode, l’un des principaux fournisseurs mondiaux de solutions de test de s?curit? des applications, le secteur manufacturier pr?sente le nombre le plus faible de failles de s?curit? logicielle, d?tr?nant ainsi les services financiers qui figuraient ? la premi?re place l’an dernier. Ces donn?es sont publi?es dans le rapport annuel de Veracode, <>, qui a analys? 20 millions de scans parmi un demi-million d’applications dans les secteurs manufacturier, de la sant?, des services financiers, des technologies, de la vente au d?tail et des organismes publics.

En 2021, ann?e o? l’industrie ?tait confront?e ? la pression et ? la demande accrues qui pesaient sur les cha?nes d’approvisionnement, la fabrication s’est av?r?e ?tre le secteur le plus cibl? par les cybercriminels, l’exploitation des vuln?rabilit?s ?tant le principal vecteur d’attaque initiale*. D?s lors, depuis que des r?glements tels que la directive pr?sidentielle am?ricaine sur la cyber-s?curit? et l’acte l?gislatif europ?en sur la cyber-r?silience ont mis la question sous les projecteurs, la priorit? donn?e ? la s?curisation de la cha?ne d’approvisionnement logicielle n’a jamais ?t? aussi haute.

Chris Eng, directeur R&D chez Veracode, a d?clar?: <>

Les failles de s?curit? open source persistent plus longtemps

Malgr? des r?sultats positifs en termes de pr?valence des failles, les recherches de Veracode montrent que le secteur manufacturier, ainsi que les secteurs de la sant? et des technologies, pr?sentent la plus faible proportion de failles qui sont corrig?es une fois qu’elles sont rep?r?es. Plus inqui?tant encore, le temps n?cessaire pour corriger les vuln?rabilit?s: les entreprises manufacturi?res affichent les d?lais les plus lents de correction des vuln?rabilit?s rep?r?es par analyse statique (SAST), analyse dynamique (DAST) et analyse de la composition logicielle (SCA). Par exemple, environ 55% des faiblesses d?couvertes par analyse statique ne sont toujours pas corrig?es au bout d’un an, et le secteur manufacturier est constamment en retard de quatre mois sur la moyenne g?n?rale.

Les failles d?couvertes par analyse statique dans les biblioth?ques tierces persistent longtemps. Ainsi, dans tous les secteurs, 30% des biblioth?ques vuln?rables restent dans cet ?tant pendant deux ans en moyenne. Dans le secteur manufacturier, ce chiffre s’?l?ve ? plus de 40%, soit un retard de plus de six mois par rapport ? la moyenne intersectorielle.

Selon Chris Eng, <>

Certaines faiblesses sont plus courantes que d’autres

La recherche s’est ?galement int?ress?e aux diff?rentes failles affectant les langages de programmation utilis?s dans les applications du secteur manufacturier, notamment Java, .NET et JavaScript. Veracode a examin? les types de failles affectant les applications et constat? que les faiblesses les plus courantes rep?r?es dans le secteur de la fabrication concernent la configuration du serveur, les d?pendances non s?curis?es et les fuites d’informations.

En conclusion, Chris Eng a d?clar?: <>

Le r?sum? du rapport <> de Veracode peut ?tre t?l?charg? ici et la version int?grale du rapport est disponible ici.

* IBM Security, <>, f?vrier 2022.

? propos du rapport State of Software Security

Le Veracode State of Software Security (SoSS) v12 analyse les donn?es historiques compl?tes relatives aux services et aux clients de Veracode, ce qui repr?sente un total de plus d’un demi-million d’applications (592 720) pour lesquelles tous les types d’analyse ont ?t? utilis?s: plus d’un million d’analyses dynamiques (1 034 855), plus de cinq millions d’analyses statiques (5 137 882) et plus de 18 millions d’analyses de composition de logiciels (18 473 203). Toutes ces analyses ont produit 42 millions de r?sultats statiques bruts, 3,5 millions de r?sultats dynamiques bruts et six millions de r?sultats SCA bruts.

Ces donn?es repr?sentent de grandes comme de petites entreprises, des fournisseurs de logiciels commerciaux, des sous-traitants de logiciels et des projets de logiciels libres. Dans la plupart des analyses, une m?me application n’a ?t? compt?e qu’une seule fois, m?me si elle a ?t? soumise plusieurs fois au fur et ? mesure que les vuln?rabilit?s ?taient corrig?es et que de nouvelles versions ?taient mises en ligne.

? propos de Veracode

Veracode, le partenaire de r?f?rence en mati?re de s?curit? des applications, est une entreprise ax?e sur la conception de logiciels s?curis?s, la r?duction des risques de violation de la s?curit? et l’augmentation de la productivit? des ?quipes de s?curit? et de d?veloppement. Ainsi, les entreprises qui font appel ? Veracode sont en mesure de faire progresser leurs activit?s et le monde. En combinant l’automatisation des processus, les int?grations, la vitesse et la r?activit?, Veracode aide les entreprises ? obtenir des r?sultats pr?cis et fiables qui leur permettent de concentrer leurs efforts, pas seulement sur la recherche des ?ventuelles vuln?rabilit?s, mais aussi sur leur correction. Pour plus d’informations, rendez-vous sur www.veracode.com, sur le blog de Veracode et sur Twitter.

Copyright (C) 2022 Veracode, Inc. Tous droits r?serv?s. Veracode est une marque d?pos?e de Veracode, Inc. aux ?tats-Unis et peut ?tre enregistr? dans d’autres juridictions. Tous les autres noms de produits, marques et logos appartiennent ? leurs propri?taires respectifs. Toutes les autres marques commerciales cit?es dans ce communiqu? sont la propri?t? de leurs d?tenteurs respectifs.

Le texte du communiqu? issu d’une traduction ne doit d’aucune mani?re ?tre consid?r? comme officiel. La seule version du communiqu? qui fasse foi est celle du communiqu? dans sa langue d’origine. La traduction devra toujours ?tre confront?e au texte source, qui fera jurisprudence.