samedi 30 mai 2020    || Inscription
BanniereNews
 
 

Selon un rapport de Veracode après analyse de plus de 200 000 applications durant 18 mois, les services publics et gouvernementaux américains sont ceux qui protègent le moins bien leurs applications. Dans ces conditions, on comprend mieux la récente vague d’attaques contre OPM ou les impôts.

Dans une étude récente, le Gartner Group relevait que si les entreprises avaient dépensé 12 milliards de dollars en 2014 pour sécuriser leurs périmètres réseaux, elles n’avaient consacré que 5% de cette somme (600 millions) pour la sécurisation des applications. Pourtant, c’est désormais par ce biais que surviennent les attaques les plus importantes et les plus destructrices. « Les données contenues dans ce rapport montrent clairement qu’en adressant ce problème de façon systématique… les entreprises peuvent réduire le risque applicatif de façon significative – non pas en installant des firewalls de nouvelle génération, mais en remédiant aux failles se trouvant au niveau applicatif », précise Chris Wysopal, CTO et CISO de Veracode.

Seulement 27% de failles corrigées

Depuis sa création en 2006, cette entreprise a identifié 23,3 millions de failles potentielles et en a corrigé 13,7 millions. Le nombre de correctifs est en augmentation puisqu’elle a identifié 6,9 millions de vulnérabilités en 2014 et corrigé 4,7 millions soit un ratio de 70% Le rapport met cependant en évidence une grande disparité selon les secteurs verticaux dans la prise en compte de ces failles applicatives. Si les services financiers ou les industries financières ont une prise en compte globale de ces risques (respectivement 65 et 81% des failles corrigées), ce n’est assurément pas le cas des services publics ou gouvernementaux pour lesquels le taux de correction plafonne à un petit 27%, soit le plus faible de tous les secteurs. Les applications gouvernementales ont également le plus fort taux de risque aux injections SQL et 3 applications sur 4 échouent aux tests OWASP Top 10, un panel sur les risques applicatifs créé par l’Open Web Application Security Project (OWASP) et qui compte 42 000 membres.

Du vieux code

Veracode explique cependant cette situation par le fait que les applications gouvernementales sont plus anciennes et s’appuient sur des langages de script également plus anciens comme ColdFusion.
Un autre secteur gravement touché est celui de la santé, ceci étant d’autant plus embêtant qu’il contient des données particulièrement sensibles. Veracode estime que 80% des applications sont bien trop faibles en matière de chiffrement de données. Si l’on ajoute que plus de 43% des failles détectées ne sont pas corrigées, le bilan est sévère.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI