Les entreprises omettent la moiti du temps d’valuer la scurit des principales mises jour des applications logicielles Car cela est compliqu, coteux et prend du temps, d’aprs CrowdStrike

LinkedIn est la marque la plus usurpe par les cybercriminels et reprsente 52 % de toutes les attaques de phishing mondiales Il s'agit d'une hausse de 44 % par rapport au trimestre prcdent



Selon un sondage ralis auprs de responsables techniques, les spcialistes de la cyberscurit n’examinent les principales mises jour des applications logicielles que dans 54 % des cas.

Ce chiffre provient de CrowdStrike, qui a rcemment publi son rapport 2024 State of Application Security Report. Ce rapport est bas sur des entretiens avec 400 responsables de la scurit aux tats-Unis, ce qui signifie qu’il faut le prendre avec des pincettes.

Selon l’enqute, la probabilit que les principales mises jour de code fassent l’objet d’un examen de scurit ressemble une courbe en cloche. Vingt-deux pour cent des personnes interroges ont avou avoir procd un examen de scurit moins de la moiti du temps, et le mme pourcentage affirme avoir examin le code entre 50 et 74 % du temps.

l’extrmit infrieure du spectre, plus d’un cinquime des personnes interroges ont rpondu qu’elles n’examinaient les modifications majeures du code que dans moins d’un quart des cas. l’autre extrmit, un tiers des personnes interroges ont dclar l’avoir fait dans au moins 75 % des cas.

La scurit des applications est la pratique qui consiste protger et scuriser les applications tout au long du cycle de dveloppement du logiciel. mesure que les organisations se concentrent sur la cration de revenus par le biais de logiciels, la scurit des applications (AppSec) devient l’une des formes de scurit les plus essentielles dans lesquelles les entreprises modernes doivent investir.

Au-del de la gnration de revenus, les logiciels constituent galement l’pine dorsale de l’exprience client et sont essentiels la cration d’une marque respecte. En bref, les applications dirigent le monde.

Dans le mme temps, la surface d’attaque se dplace vers les applications et les API, au dtriment de la configuration classique de l’infrastructure et des autorisations. Huit des dix principales violations de donnes de 2023 taient lies aux surfaces d’attaque des applications.

On estime qu’ elles seules, ces huit brches ont expos environ 1,7 milliard d’enregistrements. Le nombre stupfiant d’enregistrements exposs prouve que le statu quo en matire de scurit des applications n’est pas suffisant. Mais avant de pouvoir dvelopper la prochaine gnration de solutions AppSec prventives et correctives, il est ncessaire de comprendre les principaux dfis auxquels sont confronts ceux qui sont en premire ligne. Tout comme pour le dveloppement d’un vaccin ou d’un antiviral, des donnes sont ncessaires pour dterminer si les problmes les plus importants sont abords. Quels sont les problmes que nous essayons de rsoudre ? Que se passe-t-il rellement dans les quipes charges de la scurit des applications ? Quels sont leurs plus grands dfis ? Comment font-elles leur travail aujourd’hui ?

Le rapport de CrowdStrike synthtise les donnes recueillies dans le cadre d’une enqute auprs des professionnels de la scurit des applications afin de reflter l’tat actuel de la scurit des applications. En voici les principales conclusions :

  1. Des dploiements plus frquents signifient plus de langages grer. Les organisations qui dploient une fois par jour ou plus utilisent plus de 5 langages de programmation.
  2. Les quipes utilisent des processus manuels pour inventorier et cataloguer les applications et les API. 74 % s’appuient sur la documentation et 68 % sur des feuilles de calcul.
  3. Seuls 54 % des changements de code majeurs font l’objet d’un examen de scurit complet. 22 % procdent un examen sur un quart ou moins.
  4. Les examens de scurit traditionnels sont longs et coteux. 81 % dclarent que les examens de scurit prennent plus d’un jour ouvrable, et 35 % plus de trois jours ouvrables.
  5. Les quipes de scurit utilisent plusieurs outils. 90 % utilisent plus de trois outils pour dtecter et hirarchiser les vulnrabilits et les menaces des applications.
  6. L’tablissement d’un ordre de priorit pour les corrections apporter est un dfi majeur. 61 % des professionnels de l’AppSec le citent comme leur principale difficult travailler avec les dveloppeurs.
  7. La remdiation est lente. 70 % des problmes critiques mettent 12 heures ou plus tre rsolus.
  8. Les organisations de diffrentes tailles ont des points de vue diffrents sur la responsabilit et l’obligation de rendre compte en matire de scurit des applications. Les petites organisations (100-999 employs) considrent que le CTO (22 %) est le plus responsable ; les grandes organisations (1000 employs ou plus) considrent que les quipes AppSec (23 %) et DevSecOps (22 %) sont les plus responsables.

Source : « 2024 State of Application Security Report » (CrowdStrike)

Et vous ?

Quel est votre avis sur le sujet ?

Trouvez-vous les conclusions de cette enqute de CrowdStrike crdibles ou pertinentes ?

Voir aussi :

97 % des professionnels des essais de logiciels ont recours l’automatisation, afin de rduire les cots des tests et amliorer la qualit des logiciels et l’exprience des utilisateurs

Davantage de tests sont ncessaires pour garantir la scurit des applications web, car prs de 75 % des entreprises ne les testent qu’une fois par mois ou moins, laissant 40% de la surface d’attaque non teste

Les dveloppeurs et les responsables de la scurit des applications se tournent vers l’IA gnrative, malgr les risques de scurit identifis, selon une tude de Sonatype



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.