70 % des applications présentent au moins une faille de sécurité après 5 ans de production, selon un rapport de la société de tests de sécurité Veracode

De même que les machines deviennent moins fiables avec l'âge et que les gens développent plus de problèmes de santé avec le temps, il semble que les logiciels soient plus susceptibles d'avoir des failles de sécurité à un stade avancé de leur durée de vie.

Un nouveau rapport de la société de tests de sécurité Veracode montre que si 32 % des applications présentent des failles lors de la première analyse, près de 70 % d'entre elles contiennent au moins une faille de sécurité après cinq ans de production.

Le rapport suggère aux équipes de donner la priorité à la correction des failles au début du cycle de vie du développement logiciel afin de minimiser les risques causés par l'accumulation des failles.

Chris Eng, directeur de la recherche chez Veracode, déclare : "Comme pour toutes nos études, nous nous efforçons de fournir des informations que les développeurs peuvent mettre en œuvre immédiatement. Les résultats de cette année font ressortir deux considérations importantes : comment réduire le risque d'introduction de failles en premier lieu, et comment réduire le nombre de ces failles qui sont introduites. Outre les contrôles d'accès techniques, les pratiques de codage sécurisé sont d'autant plus cruciales pour la cybersécurité en 2023 et au-delà."

Après l'analyse initiale, les applications entrent rapidement dans une "période de lune de miel" de stabilité, et près de 80 % ne présentent aucune nouvelle faille pendant les 1,5 premières années. Après cette période, cependant, le nombre de nouvelles failles introduites commence à augmenter à nouveau, pour atteindre environ 35 % au bout de cinq ans. Lorsqu'un logiciel atteint le cap des 10 ans, il y a 90 % de chances qu'il présente au moins une faille.

Nom : Computer-bug-600x410.jpg
Affichages : 456
Taille : 73,0 Ko

L'équipe de recherche de Veracode a également examiné 30 000 dépôts de logiciels libres hébergés publiquement sur GitHub. Il est intéressant de noter que 10 % des dépôts n'avaient pas fait l'objet d'un commit - une modification du code source - depuis près de six ans.

"L'utilisation d'une solution d'analyse de la composition des logiciels (SCA) qui exploite plusieurs sources de failles, au-delà de la base de données nationale sur les vulnérabilités, avertira les équipes dès qu'une vulnérabilité sera divulguée et leur permettra de mettre en place des mesures de protection plus rapidement, en espérant qu'elles ne soient pas exploitées", ajoute M. Eng. "La définition de politiques organisationnelles autour de la détection et de la gestion des vulnérabilités est également recommandée, de même que l'examen des moyens de réduire les dépendances vis-à-vis des tiers."

Le rapport recommande aux équipes de sécurité et aux développeurs de s'attaquer aux dettes techniques ou de sécurité aussi tôt et rapidement que possible. Ils devraient également donner la priorité à l'automatisation et à la formation des développeurs à la sécurité afin de leur permettre de comprendre quelles sont les vulnérabilités les plus susceptibles d'être introduites, ainsi que les techniques permettant d'éviter complètement l'introduction de failles.

Source : Veracode

Et vous ?

Quel est votre avis sur le sujet ?
Qu'en est-il au sein de votre entreprise ?

Voir aussi :

Annonce d'une faille de sécurité dans Git pour Windows
Microsoft trouve une faille critique dans un système d'exploitation qui, pour une fois, n'est pas Windows
Un nouveau groupe de travail sur la cybersécurité affirme que la faille du logiciel Log4j est "endémique"