Selon de nouvelles recherches, un nombre inquiétant d'applications couramment utilisées présentent de très graves failles de sécurité, en particulier celles utilisées par les entreprises du secteur technologique.
Un rapport Veracode qui a analysé 20 millions d'analyses sur un demi-million d'applications dans les domaines de la technologie, de la fabrication, de la vente au détail, des services financiers, de la santé et du gouvernement a révélé que 24 % des applications du secteur technologique présentaient des défauts très graves.
Comparativement, il s'agit de la deuxième proportion la plus élevée d'applications présentant des vulnérabilités de sécurité (79 %), seul le secteur public ayant la pire situation (82 %).
corriger les défauts
Parmi les types de vulnérabilités les plus courants figurent les configurations de serveur, les dépendances non sécurisées et les fuites d'informations, indique le rapport, affirmant que ces résultats "suivent globalement" un schéma similaire à celui d'autres secteurs. Cependant, l'industrie présente la plus grande disparité par rapport à la moyenne de l'industrie en ce qui concerne les problèmes de cryptographie et les fuites d'informations, ce qui amène les chercheurs à spéculer sur la façon dont les développeurs de technologies de l'industrie sont mieux informés sur les défis de la protection des données.
En ce qui concerne le nombre de problèmes résolus, le secteur de la technologie se situe quelque part au milieu. Cependant, les entreprises sont relativement rapides pour résoudre les problèmes. Il leur faut jusqu'à 363 jours pour réparer 50 % des défauts. Bien que ce soit mieux que la moyenne, il reste encore un long chemin à parcourir, a ajouté Veracode.
Pour Chris Eng, directeur de recherche chez Veracode, il ne s'agit pas seulement de trouver des bogues, mais aussi de réduire le nombre de bogues introduits dans le code en premier lieu. De plus, il pense que les entreprises devraient se concentrer davantage sur l'automatisation des tests de sécurité.
"Log4j a déclenché un signal d'alarme pour de nombreuses organisations en décembre dernier. Cela a été suivi par une action gouvernementale sous la forme d'orientations de l'Office of Management and Budget (OMB) et de la loi européenne sur la cyber-résilience, qui se concentrent toutes deux sur la chaîne d'approvisionnement. ", a déclaré Eng. "Pour améliorer les performances au cours de l'année à venir, les entreprises technologiques devraient non seulement envisager des stratégies qui aident les développeurs à réduire le taux de vulnérabilités introduites dans le code, mais également mettre davantage l'accent sur l'automatisation des tests de sécurité dans l'intégration continue/livraison continue ( CI/CD) pipeline pour gagner en efficacité »
Les cybercriminels analysent souvent les applications accessibles sur Internet utilisées par les entreprises à la recherche de vulnérabilités et de failles de code. Lorsqu'ils en trouvent un, ils l'utilisent souvent pour déployer des shells Web, qui leur donnent ensuite accès au réseau et aux points de terminaison de l'entreprise (ouvre dans un nouvel onglet). Après avoir cartographié le réseau et identifié tous les appareils et données, ils peuvent lancer la deuxième étape de l'attaque, qui est généralement un rançongiciel, un logiciel malveillant ou un effaceur de données.