Etude Veracode, State of Software Security (SoSS) Volume 11
Pour répondre aux enjeux d’une année marquée par une transformation numérique importante, les développeurs et les professionnels de la sécurité du secteur doivent donc scanner davantage de code et continuer à remédier rapidement aux vulnérabilités.
Entre les piratages informatiques des hôpitaux de Narbonne, Villefranche-sur-Saône et Dax et le détournement des données médicales de 350 000 patients bretons, le secteur médical français est confronté à des cyberattaques d’ampleur en ce début d’année. Et pour cause.
Veracode, le plus grand fournisseur mondial de solutions de test de sécurité applicative, révèle en effet que 25% des applications du secteur de la santé contiennent une faille de haute gravité, mais que le secteur remédie aux vulnérabilités plus rapidement que la plupart des autres secteurs.
Cette efficacité s’explique par un traitement d’applications plus petites, plus récentes et présentant une plus faible densité de failles que les applications des secteurs tels que la technologie, les services financiers, l’industrie et le gouvernement. Cela contribue à la capacité du secteur à corriger les failles plus rapidement que tous les autres secteurs, à l’exception du commerce de détail. Dans le même temps, le secteur de la santé reste à la traîne en ce qui concerne la fréquence d’analyse des applications et est le moins susceptible d’analyser les vulnérabilités des composants open source. Ces deux facteurs contribuent à la persistance de failles non corrigés, connus sous le nom de dette de sécurité, qui pourraient être exploités lors de cyberattaques.
« Les hôpitaux et les systèmes de santé sont considérés comme des cibles faciles par les cybercriminels car ils n’ont souvent ni le budget ni le personnel nécessaires pour se protéger des attaques, a déclaré Chris Wysopal, cofondateur et CTO de Veracode. La menace est évidemment plus grande en raison du caractère critique du travail effectué dans ce secteur. Les entreprises du secteur de la santé doivent redoubler d’efforts pour sécuriser leur code ».
En 2020, le coût moyen d’une violation de données dans le secteur de la santé s’élevait à 7,1 millions de dollars de dommages et intérêts, soit environ le double du coût moyen dans tous les secteurs, exposant des millions de dossiers sensibles contenant des informations personnelles identifiables. Le phishing, les attaques par récolte de données d’identification et les attaques d’ingénierie sociale ont été les incidents de sécurité les plus importants de l’année dernière, selon l’enquête 2020 sur la cybersécurité du HIMSS. Ces menaces sont aggravées par les faibles investissements dans la cybersécurité, le manque de formation des employés en matière de sécurité et l’interruption des opérations informatiques en raison du travail à distance.
Les recherches de Veracode montrent que :
- 75% des applications de santé contiennent au moins une faille,
- 26% d’entre elles sont des failles de haute gravité.
- Le secteur corrige 70 % des failles qu’il trouve, ce qui le place derrière plusieurs autres secteurs pour ce qui est du nombre de failles corrigées.
- Les développeurs des organismes de santé gèrent mieux les problèmes liés à l’injection de CRLF et à la cryptographie, qui sont tous deux importants pour protéger les DPI. Les types de vulnérabilité par langage sont accessibles sur la Heat Map interactive.
Informations complémentaires :