Un tiers des logiciels utilisés dans le secteur financier présentent des failles à haut risque, selon le rapport de Veracode sur l’état de la sécurité des logiciels
Dans son dernier rapport sur l’état de la sécurité des logiciels (SOSS), Veracode, expert en sécurité applicative, démontre que le secteur de la finance corrige 76 % des failles au sein de ses logiciels. Il s’agit d’un pourcentage bien supérieur à la moyenne de 56 %, tous secteurs confondus. Pourtant, le rapport indique également que la finance est le deuxième secteur le plus lent, derrière celui de la santé, à remédier aux vulnérabilités, avec une durée moyenne de plus de deux mois (67 jours).
Le rapport a étudié les niveaux de dette de sécurité, définie comme le nombre de failles non corrigées qui s’accumulent dans les logiciels au fil du temps, dans les secteurs des services financiers, de l’administration et de l’éducation, de la santé, des infrastructures, de la fabrication, de la vente au détail et de la technologie.
« Le secteur des services financiers a connu une transformation numérique rapide, laissant à de nombreuses institutions financières un mix de systèmes nouveaux et anciens. », explique Paul Farrington, CTO EMEA chez Veracode, a commenté le rapport.« Les failles de sécurité qui en ont résulté sont particulièrement problématiques dans un secteur traitant de données sensibles »
« Pour relever ces défis, les entreprises du secteur ont dû rapidement augmenter leurs compétences, et au cours des dix dernières années, nous avons constaté une nette amélioration de l’état général de la sécurité des applications au sein du secteur ».
Toutefois, bien que le secteur financier ne soit pas celui qui présente la plus importante dette de sécurité, un tiers des logiciels utilisés (36 %) présentent des vulnérabilités à haut risque. Les fuites d’informations (66%), les problèmes de cryptographie (61%) et la qualité du code (58%) sont les catégories de failles les plus courantes dans le secteur.
Le dernier SoSS, qui a analysé plus de 85 000 applications dans plus de 2 300 entreprises dans le monde, a démontré que les équipes qui scannent le plus souvent les applications ont une dette de sécurité environ cinq fois moindre que les scanners peu fréquents. Par ailleurs, le précédent rapport avait mis en avant que l’approche DevSecOps permet de corriger les failles jusqu’à 11 fois plus vite qu’une approche classique.
Cliquez ici pour télécharger le rapport State of Software Security Volume 10 de Veracode.