in

Sécurité applicative en 2020 : que doivent retenir les développeurs pour 2021 ?

Dévoilé en fin d’année dernière, le volume 11 du rapport annuel sur l’état de la sécurité des logiciels (SOSS), analyse la sécurité des applications scannées par Veracode sur une période d’un an. Les données issues de l’analyse donnent un aperçu du cycle de vie des applications, indiquent les vulnérabilités à surveiller, et comment des facteurs tels que la fréquence de scan peuvent avoir un impact sur le temps de remédiation des failles.

Quels sont les principaux enseignements pour les acteurs au cœur de la conception des logiciels et de leur code, à savoir les développeurs ?

  1. Le recours à une analyse statique via l’API accélère le temps de remédiation

Sans surprise, l’utilisation des bonnes plateformes de scan et un balayage fréquent tendent à corriger les failles de manière plus efficace. Les données du volume 11 du SOSS confirment ce fait, puisque en exécutant des analyses statiques (SAST) par l’API, les entreprises peuvent remédier aux vulnérabilités identifiées plus de 17 jours plus rapidement en moyenne.

Des analyses plus fréquentes, l’association de l’analyse dynamique (DAST) et de l’analyse statique (SAST), la mise en œuvre d’une cadence de balayage régulière, ainsi que le recours à l’analyse de la composition des logiciels (SCA) avec le SAST peuvent donc permettre de remédier plus rapidement à un plus grand nombre de vulnérabilités et garder la sécurité applicative sous contrôle. En revanche, une densité de failles plus élevée ralentit considérablement le processus de remédiation de plus de 50 jours, en particulier pour les applications plus importantes.

  1. La fuite d’informations est la faille la plus courante…

… suivie de près les vulnérabilités CRLF, les problèmes cryptographiques et la qualité du code.

Ces quatre failles les plus courantes sont restées les mêmes par rapport à 2019, ce qui signifie qu’ils ne vont probablement pas disparaître de sitôt et qu’il est important de les surveiller.

  1. Les vulnérabilités communes doivent être identifiées et connues

Pour les développeurs, il est essentiel de connaître les failles les plus courantes afin de comprendre comment elles sont introduites, comment les prévenir et comment les corriger rapidement. Ceci est particulièrement crucial s’agissant des vulnérabilités les plus risquées, telles que les failles CRLF et SQL qui règnent en maître sur la liste des 10 principaux risques de sécurité des applications web recensés  par l’OWASP.

  1. L’open source crée un terreau fertile de vulnérabilités

Travailler dur et vite rend parfois difficile la conception d’un code à partir d’une feuille blanche, et c’est pourquoi tant de développeurs s’appuient sur des bibliothèques open source et du code tiers pour accélérer leur production. Mais le problème est le suivant : le code open source, bien qu’utilisé pratiquement partout, crée un plus grand terrain de jeu pour les cybercriminels. Et plus délicat encore, certains langages utilisent davantage les bibliothèques d’open source que d’autres, ce qui signifie que les applications écrites dans ces langages comportent intrinsèquement plus de risques. C’est le cas par exemple de Java.

  1. C++ et PHP présentent un grand nombre de failles graves

Après avoir analysé la fréquence des vulnérabilités par langage, on constate que le C++ et le PHP présentent le plus grand nombre de failles de haute (et très haute) gravité. Le C++ arrive en tête, avec 59 % des applications C++ présentant des défauts de haute et très haute gravité, tandis que 53 % des applications PHP présentent également des défauts de gravité, ce qui est tout aussi inquiétant. Sur une note plus positive, seulement 9 % des applications JavaScript présentent des défauts de haute ou très haute gravité, Python se situant juste derrière avec 10 %.

  1. Moins de scans signifie un temps de correction plus long

À première vue, il suffiraitt de scanner ses applications au minimum une fois par mois pour s’assurer une sécurité applicative de qualité, mais les chiffres disent le contraire. En réalité, des analyses plus fréquentes peuvent réduire considérablement le temps nécessaire pour remédier aux vulnérabilités identifiées.

  1. La fréquence des scans est essentielle

Un balayage de 1 à 12 fois par an seulement donne un temps de remédiation de 217 jours – ce qui signifie que davantage de failles peuvent s’accumuler, augmentant ainsi la dette de sécurité. En revanche, si on effectue un balayage hebdomadaire, le délai de remédiation tombe à environ 70 jours.

Si vous souhaitez en savoir davantage sur les vulnérabilités auxquelles sont exposés tous ces types de codes, n’hésitez pas à jeter un œil à cette infographie !

Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.