86% des organisations auraient consciemment déployé du code applicatif vulnérable, et subi pour 88% d’entre-elles au moins une violation de sécurité en conséquence, au cours de l'année passée

Checkmarx, le spécialiste de la sécurité applicative (AST), a publié les résultats de son étude Global Pulse of Application Security conduite en collaboration avec Censuswide et présentée à la conférence RSA 2023 de San Francisco. Le rapport révèle les enjeux de sécurité mondiaux auxquels sont confrontés les RSSI, les responsables de la sécurité applicative (AppSec) et les développeurs, dans un contexte accéléré de migration vers le cloud et de transformation numérique.

Une violation de données coûterait en moyenne 9,44 millions de dollars aux États-Unis et 4,35 millions de dollars dans le monde selon IBM. L’étude Checkmarx conduite auprès de plus de 1 500 RSSI, responsables AppSec et développeurs au niveau mondial a révélé que 88% des responsables AppSec auraient subi au moins une violation de sécurité au cours de l’année 2022 en conséquence directe de vulnérabilités dans le code applicatif. L’évolution vers des pratiques de développement modernes s’appuyant sur des micro-services et des technologies Serverless, la sécurité des conteneurs et l’infrastructure as code (IaC) multiplient la surface d’attaque, mettant ainsi en exergue de nouvelles priorités critiques pour la sécurité des applications.

Principaux enseignements du rapport :

  • 86% des responsables AppSec et des développeurs ont déployé ou connaissent quelqu’un qui a déployé en pleine conscience du code vulnérable

  • 60% en moyenne des vulnérabilités sont détectées durant les phases de développement, de build ou de test selon les responsables AppSec sondés

  • Les RSSI considèrent que les risques de sécurité prioritaires au sein de leurs organisations sont :
    - Le développement de l’utilisation et de l’exposition des API (37%)
    - Les risques liés à la chaîne d’approvisionnement (Supply Chain) logicielle open source (c.-à-d. du code malveillant) (37%)
    - La conteneurisation des applications (37%)
    - L’utilisation de librairies « open source » (36%)
    - L’infrastructure as code (36%)

  • Les trois principales causes de violations pour les responsables AppSec :
    - Les attaques ciblant la chaîne d’approvisionnement (Supply Chain) logicielle open source
    - Le vol d’identifiants, les secrets ou les authentifications/autorisations faibles
    - Les vulnérabilités connues et/ou inconnues dans le code mis en production

  • Seuls 34% des développeurs déclarent que leurs scans AppSec sont totalement intégrés et automatisés au sein de leurs systèmes de gestion de code source (SCM), leurs environnements de développement (IDE) et leurs outils d’intégration CI/CD.

  • Seuls 22% des RSSI estiment que leurs développeurs maîtrisent parfaitement les meilleures pratiques AppSec.


« Notre étude souligne la façon dont la complexité des applications cloud natives engendre le développement d’une multitude de nouveaux risques, au moment où la transformation numérique est la plus critique pour les entreprises », déclare Sandeep Johri, CEO de Checkmarx. « Une approche complète d’AppSec « shift everywhere » garantit le traitement des vulnérabilités à tout moment du cycle de vie du développement logiciel. Un catalyseur de transformation et un différenciateur fort pour l’entreprise qui sera en position de prouver une posture AppSec avancée. »

Nom : checkmarx-logo.png Affichages : 349 Taille : 14,1 Ko

Au cours de la conférence RSA, Checkmarx présentera les toutes nouvelles fonctionnalités de sa plate-forme de sécurité applicative Checkmarx One™ :

  • Support de Flutter et Dart : la première intégration du langage de programmation Open Source Dart et du framework Flutter de l’industrie, prenant en charge l’une des technologies mobiles les plus populaires du marché.

  • Scan de paquets privés : permet l’analyse de code tiers dans n’importe quel projet avec l’analyse de composition logicielle (SCA) et fournit des informations sur les risques potentiels.

  • Le moteur 2MS pour protéger la Supply Chain : un nouveau moteur de détection de secrets, 2MS, un projet open source qui protège les informations sensibles telles que les mots de passe, les informations d’identification et les clés API contre leur exposition sur des plateformes publiques.

  • DAST : tests dynamiques de la sécurité des applications, y compris les tests des applications internes (au-delà du pare-feu)

  • Un chemin d’exploitabilité pour C# : alimenté par Checkmarx Fusion et disponible dans SCA

  • Plugin VS Code : aide les développeurs à comprendre facilement les risques liés à leurs dépendances open source


À propos de Checkmarx

Spécialiste de la sécurité applicative, Checkmarx offre une plate-forme cloud native complète et innovante, Checkmarx One™. Alimentés par les informations issues de l’équipe de recherche en sécurité applicative leader du secteur, les produits et services de Checkmarx permettent aux entreprises de sécuriser chacune de leurs phases de développement pour chaque application en couvrant l’ensemble du cycle de vie applicatif en amont et en aval (Shift Everywhere) tout en répondant aux besoins dynamiques à la fois des RSSI, des équipes de sécurité et des développeurs.

Source : Checkmarx

Et vous ?

Trouvez-vous ce rapport pertinent ?
Qu'en est-il au sein de votre entreprise ?

Voir aussi :

Le secteur technologique est le plus touché par le manque d'hygiène cybernétique, les employés se connectent aux ressources de l'entreprise avec un appareil infecté par un malware, selon SpyCloud

Un nouveau rapport de tests anti-malware désigne Defender de Microsoft, Kaspersky, Bitdefender et Total Defense comme les meilleurs contre les menaces Web

Cinq des risques de sécurité cloud les plus courants, mais aussi les plus graves, que l'on retrouve dans de nombreux environnements cloud, d'après une nouvelle analyse de Orca Security