Veracode, le plus grand fournisseur mondial de solutions de test de sécurité des applications (AST), dévoile aujourd’hui ses conclusions relatives au secteur du retail et de l’hôtellerie. Selon le dernier rapport de l’entreprise, le State of Software Security (SOSS) Volume 11, basé sur l’analyse de 130 000 applications, ces deux secteurs corrigent leurs failles de sécurité applicative plus rapidement que les 5 autres secteurs analysés, tels que la finance, la technologie, les soins de santé et le secteur public.
La capacité à trouver et à corriger rapidement les failles de sécurité potentielles est une nécessité, en particulier dans un secteur qui exige une réponse rapide à l’évolution des exigences des clients. Le commerce de détail et l’hôtellerie étudient également un volume important d’informations personnelles sur les consommateurs via des cartes de fidélité et comptes clients, ainsi que des données marketing de tiers, grâce à la force du logiciel. Les attaques d’applications web sont le principal vecteur de failles dans le retail, les données personnelles ou de paiement étant exploitées dans environ la moitié des failles, selon le rapport d’enquête 2020 de Verizon sur les violations de données.
Le volume 11 du rapport a révélé que 76 % des applications dans le secteur du retail et de l’hôtellerie présentent au moins une faille, ce qui est à peu près la moyenne par rapport aux secteurs économiques tels que les services financiers, la technologie, les soins de santé et autres. Cependant, 26 % des failles d’application s’avèrent graves – la deuxième plus grande proportion parmi les six secteurs – qui nécessitent une attention urgente.
Le rapport de Veracode montre également que les secteur du retail et de l’hôtellerie se place en deuxième position pour le taux de correction global : la moitié de ses vulnérabilités sont corrigées en seulement 125 jours, soit près d’un mois plus vite que d’autres secteurs. Bien que cela puisse sembler long, la moitié des vulnérabilités, tous secteurs confondus, prennent bien plus de temps à se voir être corrigées. Certaines peuvent ne pas l’être du tout.
« Les entreprises du commerce de détail et de l’hôtellerie sont confrontées à la double pression d’être des cibles de grande valeur pour les acteurs malveillants tout en ayant besoin de logiciels qui leur permettent d’être très réactifs vis-à-vis des clients et de se conformer aux réglementations industrielles telles que PCI, indique Chris Eng, directeur de la recherche chez Veracode. Les développeurs de ce secteur semblent néanmoins mieux réussir lorsqu’il s’agit de traiter les problèmes liés à la fuite d’informations et à la validation des entrées. L’utilisation de l’analyse par API et de l’analyse de la composition des logiciels pour rechercher les failles des composants open source offre aux équipes de développement du secteur les meilleures possibilités d’amélioration ».
Conclusions spécifiques au secteur du retail et de l’hôtellerie :
- L’environnement de développement est difficile pour les entreprises du commerce de détail et de l’hôtellerie car leurs applications ont tendance à être plus anciennes et plus volumineuses que celles des autres secteurs ;
- Le secteur se porte bien lorsqu’on compare la prévalence des types de failles courantes, la tendance étant à la baisse dans des catégories telles que la fuite d’informations et la validation des entrées. Le rapport a révélé que les développeurs du secteur du commerce de détail sont confrontés à des problèmes d’encapsulation, d’injection SQL et de gestion des références. Grâce aux informations issues de la Heat Map de Veracode, les développeurs peuvent prévenir les attaques par injection SQL avec des pratiques de codage sécurisées, comme l’utilisation d’une requête paramétrée. Pour les défauts d’encapsulation, le blocage de l’accès à l’application, à la base de données ou au système concerné est une étape cruciale à franchir, jusqu’à ce qu’il puisse être entièrement protégé. Il reste également essentiel de sauvegarder vos données et vos informations afin de pouvoir reprendre vos activités habituelles en cas d’attaque par un logiciel de rançon. Enfin, les développeurs peuvent réduire le risque d’une attaque de gestion des justificatifs d’identité en stockant des mots de passe cryptés dans des endroits restreints et en évitant d’utiliser des justificatifs d’identité codés en dur ;
- Le comportement des développeurs dans le commerce de détail se situe à mi-chemin par rapport à d’autres secteurs en ce qui concerne la fréquence d’analyses, l’utilisation du scan dynamique et celle du scan statique. Les développeurs peuvent appliquer les pratiques DevSecOps impliquant un scanning plus fréquent, ainsi que l’utilisation de plusieurs types de tests afin de créer des logiciels plus sûrs.
Informations complémentaires :