State of Software Security (SoSS) Volume 11 – La finance donne l’exemple dans la remédiation des failles de sécurité logicielle

Veracode, le plus grand fournisseur mondial de solutions de test de sécurité applicative, dévoile aujourd’hui ses conclusions relatives au secteur financier, disponibles au sein du  dernier rapport phare de l’entreprise, le State of Software Security (SOSS) Volume 11. Cette étude a en effet  analysé 130 000 applications issues de 2 500 entreprises.

Selon le rapport, le secteur financier présente le meilleur taux de correction de vulnérabilités parmi les six secteurs analysés, et s’impose dans la découverte de failles de sécurité présentes dans les composants open source. Rappelons que la correction de ces vulnérabilités est essentielle car la surface d’attaque des applications est beaucoup plus grande dans les bibliothèques de logiciels open source que dans le code conçu en interne.

Le rapport a révélé que les entreprises de services financiers détiennent la plus faible proportion d’applications présentant des failles de sécurité et la deuxième plus faible prévalence de vulnérabilités graves, derrière le secteur manufacturier. La finance présente également le taux de correction le plus élevé tous secteurs confondus, avec 75 % des vulnérabilités corrigées. Néanmoins, le rapport a révélé que les entreprises de services financiers ont besoin d’environ six mois et demi pour résoudre la moitié des failles qu’elles découvrent, ce qui indique qu’elles sont plus lentes que d’autres secteurs à les corriger.

« Le secteur de la finance met en moyenne plus de six mois à corriger ses failles, malgré un taux de remédiation élevé par rapport aux autres secteurs, a déclaré Chris Wysopal, CTO de Veracode. Cependant, les développeurs dans ce secteur particulier sont souvent limités par la nature des environnements dans lesquels ils travaillent. Les applications ont en effet tendance à être plus anciennes, ont une densité moyenne de failles plus élevée et ne suivent pas systématiquement les pratiques DevSecOps observées dans les autres secteurs. Avec de la formation supplémentaire et en s’en tenant aux meilleures pratiques, ils peuvent rapidement remédier aux problèmes et commencer à réduire leur dette de sécurité ».

Conclusions spécifiques aux services financiers

  • La finance est un secteur de pointe au niveau de la correction des failles de sécurité de leurs logiciels open source et dans la mise en place de fortes cadences de scan.
  • Les services financiers ont encore du chemin à parcourir en ce qui concerne la fréquence de scans et l’intégration de tests de sécurité, et ne sont pas enclins à utiliser la technologie de scan par analyse dynamique (DAST) afin de découvrir des vulnérabilités.
  • Ce secteur surpasse les moyennes de tous les secteurs pour ce qui est des problèmes liés à la cryptographie, à la validation des entrées, au Cross-Site Scripting et à la gestion des identifiants – tous ces aspects étant liés à la protection des utilisateurs d’applications financières.

Informations complémentaires :

  • Le Volume 11 du rapport SOSS est disponible ici et la fiche sur le secteur finance ici.
  • Plus d’infos sur le DevSecOps ici
Morgane Palomo
Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

More from author

Restez connectez !

Nous diffusons une Newsletter mensuelle incluant des dossiers thématiques, interviewes et investigations réalisées par nos journalistes indépendants.
Vous souhaitez recevoir notre lettre d’informations?