DSI NumériqueInnovations DigitalesActusLes vulnérabilités applicatives internes à l'origine de 92% des violations

Les vulnérabilités applicatives internes à l’origine de 92% des violations

Checkmarx, leader de la sécurité des applications cloud-natives, publie aujourd’hui les résultats de son rapport annuel Future of AppSec, qui donne un aperçu approfondi de l’état de la sécurité des applications, des futurs investissements et des préoccupations des entreprises mondiales. Selon, les résultats de cette étude, 92% des organisations interrogées ont subi une violation au cours de l’année 2023 liée à des vulnérabilités applicatives développées en interne.

Censuswide a conduit une enquête pour le compte de Checkmarx auprès de 1504 développeurs, RSSI et responsables AppSec dans des entreprises de 1000 à 10 000+ employés d’Amérique du Nord, d’Europe (376 entreprises dont 85 en France) et d’Asie-Pacifique. L’enquête s’est déroulée en décembre 2023.

Depuis quelques années, la responsabilité exclusive de la sécurité des applications s’est éloignée des équipes de sécurité qui se partagent désormais la tâche avec les responsables AppSec et les développeurs. Les dév sont par ailleurs intégrés dans les processus d’achat de solutions AppSec clés pour près de la moitié des entreprises interrogées (49%) tandis que pour 41% ce sont toujours les responsables AppSec et 40% les RSSI qui gardent cette responsabilité.

Des logiciels vulnérables mis en production

91% des entreprises ont consciemment publié des applications vulnérables, déplorant un développement logiciel toujours plus rapide au sein d’environnements hétérogènes et moins de temps consacré à la sécurité.

A la question relative au choix de publier des applications présentant des vulnérabilités, la première raison avancée est la pression exercée par l’entreprise : 29% des responsables Appsec ont déclaré avoir publié les applications « pour respecter un délai imposé par l’entreprise, les fonctionnalités ou la sécurité », 18% des RSSI « espéraient » que la vulnérabilité ne serait pas exploitable et 29% des développeurs que la vulnérabilité serait corrigée au cours d’une version ultérieure. En France, 35% des entreprises ayant déployé du code vulnérable pensaient le corriger ultérieurement, 39% considéraient la vulnérabilité comme non critique et 35% comme trop difficile à réparer.

« Dans un contexte où les applications cloud natives sont déployées plusieurs fois par jour, l’atténuation des risques de sécurité applicative devient une responsabilité partagée », déclare Amit Daniel, Directrice marketing, Checkmarx. « Les entreprises recherchent aujourd’hui de la visibilité sur la posture de sécurité de l’ensemble de leur empreinte organisationnelle. Notre objectif est de leur fournir cette visibilité pour mettre en œuvre le « DevSecTrust », c’est-à-dire réinjecter de la confiance entre les développeurs et les équipes sécurité, pour les aider à atteindre un tout autre niveau de maturité Appsec. »

Un contexte applicatif complexe

Les trois principales préoccupations des développeurs sont la tension entre les exigences de délai de livraison (time to market) et les volumes potentiels de vulnérabilités nécessitant une correction, notamment l’entrave du processus de développement par les exigences en matière de sécurité, la difficulté à savoir quelles vulnérabilités corriger et comment les hiérarchiser, et enfin le manque de contexte pour les aider à corriger. Pas moins de 61% des développeurs ont déclaré qu’il était essentiel que la sécurité ne bloque pas ou ne ralentisse pas le processus de développement ou ne devienne pas un obstacle à la réussite de l’entreprise. Pour combler les lacunes en matière de sécurité applicative, l’intégration transparente d’outils AppSec dans les flux de travail des développeurs devient essentielle.

La composition des applications est devenue plus complexe, intégrant le code source, les packages open source, l’infrastructure as code (IaC), les conteneurs, etc. Cette augmentation exponentielle de la complexité renforce la nécessité pour les entreprises d’analyser l’ensemble du cycle de vie du développement logiciel, du code au cloud.

Une plateforme AppSec complète va permettre de réponde à ces préoccupations pour :

  • Construire le #DevSecTrust, la coopération et la confiance entre les équipes AppSec et les développeurs
  • Améliorer l’expérience des développeurs en fournissant une hiérarchisation des risques dans le cadre d’une toolbox intégrée à leurs environnements de développement préférés.
  • Consolider l’AppSec cloud natif via une nouvelle approche holistique
  • Sécuriser l’ensemble de l’empreinte applicative, du code au cloud

Pour télécharger le rapport

Articles récents

Cela pourrait aussi vous interesser
Innovations

Maximiser le potentiel de la CMDB pour une gouvernance efficace du SI

Bien qu’existante depuis de nombreuses années et déployée dans...

Réseau de partenaires : pilier de la téléphonie d’entreprise performante

Une chose est désormais évidente, les télécoms se positionne...

Nirio choisit Almavia CX pour optimiser sa relation client avec Salesforce

Almavia CX, une ESN qui accompagne la transformation digitale...

Les Filles et les Garçons de la Tech décrochent 12 nouveaux projets en 2024

L’ESN Les Filles et les Garçons de la Tech...

La MACIF accélère sa transformation IT Data grâce à l’expertise d’Infortive Transition

La MACIF, société de groupe d'assurance mutuelle française, a...

CHWAPI ASBL optimise ses flux métiers avec l’EAI Jeebop de Wraptor

Wraptor, éditeur de solutions à destination des professionnels du...

Paris 2024 confie à SCC le projet d’affichage dynamique pour l’information voyageur

L'un des principaux objectifs des Jeux Olympiques et Paralympiques...

Souveraineté des données de santé : pourquoi et comment la garantir

Dans le secteur de la santé, la souveraineté des données est un enjeu...

nLighten révolutionne la durabilité avec le Score CFE Intégré

nLighten une amélioration de la mesure Carbon Free Energy...

ITS Group lance une campagne de recrutement pour 350 postes IT

ITS Group lance une nouvelle campagne de recrutements avec...