DSI NumériqueInnovations DigitalesActusLes vulnérabilités applicatives internes à l'origine de 92% des violations

Les vulnérabilités applicatives internes à l’origine de 92% des violations

Checkmarx, leader de la sécurité des applications cloud-natives, publie aujourd’hui les résultats de son rapport annuel Future of AppSec, qui donne un aperçu approfondi de l’état de la sécurité des applications, des futurs investissements et des préoccupations des entreprises mondiales. Selon, les résultats de cette étude, 92% des organisations interrogées ont subi une violation au cours de l’année 2023 liée à des vulnérabilités applicatives développées en interne.

Censuswide a conduit une enquête pour le compte de Checkmarx auprès de 1504 développeurs, RSSI et responsables AppSec dans des entreprises de 1000 à 10 000+ employés d’Amérique du Nord, d’Europe (376 entreprises dont 85 en France) et d’Asie-Pacifique. L’enquête s’est déroulée en décembre 2023.

Depuis quelques années, la responsabilité exclusive de la sécurité des applications s’est éloignée des équipes de sécurité qui se partagent désormais la tâche avec les responsables AppSec et les développeurs. Les dév sont par ailleurs intégrés dans les processus d’achat de solutions AppSec clés pour près de la moitié des entreprises interrogées (49%) tandis que pour 41% ce sont toujours les responsables AppSec et 40% les RSSI qui gardent cette responsabilité.

Des logiciels vulnérables mis en production

91% des entreprises ont consciemment publié des applications vulnérables, déplorant un développement logiciel toujours plus rapide au sein d’environnements hétérogènes et moins de temps consacré à la sécurité.

A la question relative au choix de publier des applications présentant des vulnérabilités, la première raison avancée est la pression exercée par l’entreprise : 29% des responsables Appsec ont déclaré avoir publié les applications « pour respecter un délai imposé par l’entreprise, les fonctionnalités ou la sécurité », 18% des RSSI « espéraient » que la vulnérabilité ne serait pas exploitable et 29% des développeurs que la vulnérabilité serait corrigée au cours d’une version ultérieure. En France, 35% des entreprises ayant déployé du code vulnérable pensaient le corriger ultérieurement, 39% considéraient la vulnérabilité comme non critique et 35% comme trop difficile à réparer.

« Dans un contexte où les applications cloud natives sont déployées plusieurs fois par jour, l’atténuation des risques de sécurité applicative devient une responsabilité partagée », déclare Amit Daniel, Directrice marketing, Checkmarx. « Les entreprises recherchent aujourd’hui de la visibilité sur la posture de sécurité de l’ensemble de leur empreinte organisationnelle. Notre objectif est de leur fournir cette visibilité pour mettre en œuvre le « DevSecTrust », c’est-à-dire réinjecter de la confiance entre les développeurs et les équipes sécurité, pour les aider à atteindre un tout autre niveau de maturité Appsec. »

Un contexte applicatif complexe

Les trois principales préoccupations des développeurs sont la tension entre les exigences de délai de livraison (time to market) et les volumes potentiels de vulnérabilités nécessitant une correction, notamment l’entrave du processus de développement par les exigences en matière de sécurité, la difficulté à savoir quelles vulnérabilités corriger et comment les hiérarchiser, et enfin le manque de contexte pour les aider à corriger. Pas moins de 61% des développeurs ont déclaré qu’il était essentiel que la sécurité ne bloque pas ou ne ralentisse pas le processus de développement ou ne devienne pas un obstacle à la réussite de l’entreprise. Pour combler les lacunes en matière de sécurité applicative, l’intégration transparente d’outils AppSec dans les flux de travail des développeurs devient essentielle.

La composition des applications est devenue plus complexe, intégrant le code source, les packages open source, l’infrastructure as code (IaC), les conteneurs, etc. Cette augmentation exponentielle de la complexité renforce la nécessité pour les entreprises d’analyser l’ensemble du cycle de vie du développement logiciel, du code au cloud.

Une plateforme AppSec complète va permettre de réponde à ces préoccupations pour :

  • Construire le #DevSecTrust, la coopération et la confiance entre les équipes AppSec et les développeurs
  • Améliorer l’expérience des développeurs en fournissant une hiérarchisation des risques dans le cadre d’une toolbox intégrée à leurs environnements de développement préférés.
  • Consolider l’AppSec cloud natif via une nouvelle approche holistique
  • Sécuriser l’ensemble de l’empreinte applicative, du code au cloud

Pour télécharger le rapport

Articles récents

Cela pourrait aussi vous interesser
Innovations

Build et Run : les deux faces de la transformation digitale

S’appuyer à tout moment sur des plateformes reposant sur...

SCC présente son tour de France en amont des Jeux Olympiques et Paralympiques de Paris 2024

SCC France, leader auprès de partenaires technologiques majeurs, va à...

Pourquoi la conformité réglementaire doit inclure les outils de chats et messageries instantanées

Aligner ses processus de gestion et d’échange avec les...

Provectio renforce sa stratégie de croissance avec une levée de fonds

Provectio, un fournisseur de services informatiques de référence, annonce...

Nouvelle solution de communication : découvrez ÉHO.CONNECT par Eho.Link

Eho.Link, concepteur de solutions de cybersécurité souveraines, dévoile sa...

Livre Blanc : Fin de la maintenance standard pour SAP ECC et SAP S/4HANA

"Chez delaware, nous tenons à informer pleinement nos clients...

Le DSI au Codir : stratégie d’entreprise ou ambition personnelle ?

La présence au Codir est-elle le Graal à conquérir...

La plateforme d’évaluation du risque cyber de Trustable disponible sur le marché : une réponse aux besoins des entreprises

Trustable, éditeur d’une plateforme dédiée à l'évaluation du risque...

Label Cybersecurity made in Europe : Altospam confirme son engagement en faveur de la souveraineté numérique

L’éditeur souverain Altospam, pionnier et acteur historique de la cybersécurité...

Enjeux de sécurité numérique : Les constats et recommandations du baromètre 2023

Docaposte, filiale du groupe La Poste et leader français...

Infrastructures IT : clés de la souveraineté numérique

De nos jours, les acteurs de l’IT sont invités...

Unitel Technologies innove au salon Global Industrie avec un réseau 5G mobile et sécurisé

Unitel Technologies, fournisseur de services Telecom et Cloud de...