95 % des applications présentent une certaine forme de vulnérabilité, 20 % comportent des vulnérabilités à haut risque, et 4,5 % des vulnérabilités critiques, selon Synopsys

Cette année, le rapport Software Vulnerability Snapshot examine la prévalence des vulnérabilités identifiées par les services de test de sécurité des applications de Synopsys et le centre de recherche en cybersécurité de Synopsys.

Synopsys a publié son rapport "Software Vulnerability Snapshot : The 10 Most Common Web Application Vulnerabilities". Le rapport examine les résultats de 4 300 tests de sécurité effectués sur 2 700 cibles logicielles, notamment des applications Web, des applications mobiles, des fichiers de code source et des systèmes de réseaux (c'est-à-dire des logiciels ou des systèmes).

La majorité des tests de sécurité étaient des tests intrusifs de type "boîte noire" ou "boîte grise", y compris des tests de pénétration, des tests dynamiques de sécurité des applications (DAST) et des tests de sécurité des applications mobiles (MAST), conçus pour sonder les applications en cours d'exécution comme le ferait un attaquant du monde réel.

82 % des cibles des tests étaient des applications ou des systèmes Web, 13 % étaient des applications mobiles et le reste était constitué de codes sources ou de systèmes/applications réseau. Les industries représentées dans les tests comprenaient les logiciels et Internet, les services financiers, les services aux entreprises, la fabrication, les services aux consommateurs et les soins de santé.

Sur les 4 300 tests effectués, 95 % des cibles présentaient une certaine forme de vulnérabilité (soit une baisse de 2 % par rapport aux résultats de l'année dernière). 20 % des cibles présentaient des vulnérabilités à haut risque (une diminution de 10 % par rapport à l'année dernière), et 4,5 % présentaient des vulnérabilités critiques (une diminution de 1,5 % par rapport à l'année dernière).

Les résultats démontrent que la meilleure approche des tests de sécurité consiste à utiliser le large éventail d'outils disponibles, notamment l'analyse statique, l'analyse dynamique et l'analyse de la composition logicielle, pour s'assurer qu'une application ou un système est exempt de vulnérabilités. Par exemple, 22 % de l'ensemble des cibles testées étaient exposées à une vulnérabilité de type XSS (cross-site scripting), l'une des vulnérabilités les plus répandues et les plus destructrices à haut risque/critique affectant les applications web.

De nombreuses vulnérabilités XSS se produisent lorsque l'application est en cours d'exécution. La bonne nouvelle est que l'exposition identifiée dans les résultats de cette année était inférieure de 6 % à celle de l'année dernière, ce qui signifie que les entreprises prennent des mesures proactives pour atténuer les vulnérabilités XSS dans leurs applications de production.

"Cette étude souligne que les techniques de test intrusives de type boîte noire, comme le DAST et le pen testing, sont particulièrement efficaces pour mettre en évidence les vulnérabilités exploitables dans le cycle de vie du développement logiciel et devraient faire partie de tout régime de test de sécurité des applications bien équilibré", a déclaré Girish Janardhanudu, vice-président du conseil en sécurité chez Synopsys Software Integrity Group.

Nom : logo_synopsys-1024x512.png
Affichages : 541
Taille : 37,9 Ko

Autres faits marquants du rapport

  • Les vulnérabilités du Top 10 de l'OWASP ont été découvertes dans 77 % des cibles. Les mauvaises configurations des applications et des serveurs représentaient 18 % de l'ensemble des vulnérabilités découvertes dans les tests (une diminution de 3 % par rapport aux résultats de l'année dernière), représentées par la catégorie OWASP A05:2021 - Security Misconfiguration. Et 18 % du total des vulnérabilités trouvées étaient liées à la catégorie OWASP A01:2021 - Broken Access Control (contrôle d'accès défaillant) (une diminution de 1 % par rapport à l'année dernière).

  • Le besoin urgent d'une nomenclature des logiciels. Des bibliothèques tierces vulnérables ont été découvertes dans 21 % des tests de pénétration réalisés (soit une augmentation de 3 % par rapport aux résultats de l'année dernière). Cela correspond à la catégorie A06:2021 du Top 10 de l'OWASP - Utilisation de composants vulnérables et obsolètes. La plupart des organisations utilisent un mélange de code personnalisé, de code commercial et de composants open source pour créer les logiciels qu'elles vendent ou utilisent en interne. Souvent, ces entreprises disposent d'inventaires informels, voire inexistants, détaillant exactement les composants utilisés par leurs logiciels, ainsi que les licences, les versions et l'état des correctifs de ces composants. Dans la mesure où de nombreuses entreprises utilisent des centaines d'applications ou de systèmes logiciels, chacun d'entre eux comportant probablement des centaines, voire des milliers de composants tiers et open source différents, il est urgent de disposer d'une nomenclature logicielle précise et à jour pour assurer un suivi efficace de ces composants.

  • Les vulnérabilités à faible risque peuvent également être exploitées pour faciliter les attaques. Soixante-douze pour cent des vulnérabilités découvertes lors des tests sont considérées comme présentant un risque faible ou moyen. Cela signifie que les problèmes découverts ne sont pas directement exploitables par les attaquants pour accéder aux systèmes ou aux données sensibles. Néanmoins, faire resurgir ces vulnérabilités n'est pas un exercice vain, car même les vulnérabilités à faible risque peuvent être exploitées pour faciliter les attaques. Par exemple, les bannières de serveur verbeux - trouvées dans 49 % des tests DAST et 42 % des pen tests - fournissent des informations telles que le nom, le type et le numéro de version du serveur, qui pourraient permettre aux attaquants de mener des attaques ciblées sur des piles technologiques spécifiques.


À propos de Synopsys Software Integrity Group

Synopsys Software Integrity Group fournit des solutions intégrées qui transforment la façon dont les équipes de développement créent et livrent les logiciels, accélérant ainsi l'innovation tout en traitant les risques commerciaux.

Source : Synopsys

et vous ?

Qu'en pensez-vous ?

Voir aussi :

73% des organisations ont considérablement augmenté leurs efforts en matière de sécurité de la chaîne logistique logicielle, suite aux évènements Log4Shell, SolarWinds et Kaseya, selon Synopsys

Synopsys présente Code Sight Standard Edition pour permettre le développement sécurisé de logiciels, en détectant les vulnérabilités de sécurité dans le code source et les dépendances open source

L'adoption des DevSecOps se poursuit dans le monde entier malgré les problèmes de sécurité, d'après une étude menée conjointement par Synospys, centre de recherche sur la cybersécurité, et Censuswide

Alors que 80 % des entreprises utilisent des logiciels open source (OSS), chiffre qui devrait atteindre 99 % l'année prochaine, seulement 1 % d'entre elles déclare ne pas s'inquiéter de la sécurité