Les vulnérabilités des applications internes à l’origine de violations

La responsabilité de la sécurité des applications se partage entre les équipes sécurité, les responsables AppSec et les développeurs. « Dans un contexte où les applications cloud natives sont déployées plusieurs fois par jour, l’atténuation des risques de sécurité applicative devient une responsabilité partagée », déclare Amit Daniel, Directrice marketing, Checkmarx, notamment quand on observe que 92% des organisations ont subi une violation en 2023 liée à des vulnérabilités applicatives développées en interne.

Vulnérabilité des logiciels mis en production

91% des entreprises ont consciemment publié des applications vulnérables, en raison d’un développement logiciel trop rapide au sein d’environnements hétérogènes et moins de temps consacré à la sécurité.

Pourquoi publier des applications présentant des vulnérabilités ? La pression exercée par l’entreprise est la raison N°1.

• Les applications ont été publiées pour respecter un délai imposé par l’entreprise, les fonctionnalités ou la sécurité – 29% des responsables AppSec
• Les RSSI « espéraient » que la vulnérabilité ne serait pas exploitable – 18%
• Les développeurs pensaient que la vulnérabilité serait corrigée au cours d’une version ultérieure – 29%

En France, 35% des entreprises ayant déployé du code vulnérable pensaient le corriger ultérieurement, 39% considéraient la vulnérabilité comme non critique et 35% comme trop difficile à réparer. 

Complexité du contexte applicatif

Quelles sont les principales préoccupations des développeurs ?

• la tension entre les exigences de délai de livraison et les volumes potentiels de vulnérabilités nécessitant une correction
• la difficulté à savoir quelles vulnérabilités corriger et comment les hiérarchiser
• le manque de contexte pour les aider à corriger

Selon 61% des développeurs, la sécurité ne doit pas bloquer ou ralentir le processus de développement ou devenir pas un obstacle à la réussite de l’entreprise. L’intégration d’outils AppSec dans les flux de travail des développeurs devient alors cruciale.

Une plate-forme AppSec pour répondre aux préoccupations

La composition des applications est complexe, car intégrant notamment

• le code source
• les packages open source
• l’infrastructure as code (IaC)
• les conteneurs …

Une plateforme AppSec répond aux préoccupations pour

• construire le #DevSecTrust, la coopération et la confiance entre les équipes AppSec et les développeurs
• améliorer l’expérience des développeurs en fournissant une hiérarchisation des risques dans le cadre d’une toolbox intégrée à leurs environnements de développement préférés
• consolider l’AppSec cloud natif via une nouvelle approche holistique
• sécuriser l’ensemble de l’empreinte applicative, du code au cloud

Source Enquête Censuswide pour Checkmarx –  Rapport Future of AppSec –  1504 développeurs, RSSI et responsables AppSec dans des entreprises de 1000 à 10 000+ employés d’Amérique du Nord, d’Europe (376 entreprises dont 85 en France) et d’Asie-Pacifique. Décembre 2023.

Dossiers complémentaires sur le thème de la Sécurité et des Applications avec les experts du site iTPro.fr :

Une nouvelle approche « Sécurité » centrée sur les applications pour répondre aux attentes des consommateurs

Plateforme de protection applicative : le couteau suisse indispensable pour les développeurs et les équipes de sécurité

Digital Workplace : la sécurité, un sujet toujours sensible