Etude mondiale de sécurité Checkmarx : 86% des organisations auraient consciemment déployé du code applicatif vulnérable
mai 2023 par Checkmarx
Checkmarx publie es résultats de son étude Global Pulse of Application Security conduite en collaboration avec Censuswide et présentée à la conférence RSA 2023 de San Francisco. Le rapport révèle les enjeux de sécurité mondiaux auxquels sont confrontés les RSSI, les responsables de la sécurité applicative (AppSec) et les développeurs, dans un contexte accéléré de migration vers le cloud et de transformation numérique.
Une violation de données coûterait en moyenne 9,44 millions de dollars aux États-Unis et 4,35 millions de dollars dans le monde selon IBM. L’étude Checkmarx conduite auprès de plus de 1 500 RSSI, responsables AppSec et développeurs au niveau mondial a révélé que 88% des responsables AppSec auraient subi au moins une violation de sécurité au cours de l’année 2022 en conséquence directe de vulnérabilités dans le code applicatif. L’évolution vers des pratiques de développement modernes s’appuyant sur des micro-services et des technologies Serverless, la sécurité des conteneurs et l’infrastructure as code (IaC) multiplient la surface d’attaque, mettant ainsi en exergue de nouvelles priorités critiques pour la sécurité des applications.
Principaux enseignements du rapport :
• 86% des responsables AppSec et des développeurs ont déployé ou connaissent quelqu’un qui a déployé en pleine conscience du code vulnérable
• 60% en moyenne des vulnérabilités sont détectées durant les phases de développement, de build ou de test selon les responsables AppSec sondés
• Les RSSI considèrent que les risques de sécurité prioritaires au sein de leurs organisations sont :
o Le développement de l’utilisation et de l’exposition des API (37%)
o Les risques liés à la chaîne d’approvisionnement (Supply Chain) logicielle open source (c.-à-d. du code malveillant) (37%)
o La conteneurisation des applications (37%)
o L’utilisation de librairies « open source » (36%)
o L’infrastructure as code (36%)
• Les trois principales causes de violations pour les responsables AppSec :
o Les attaques ciblant la chaîne d’approvisionnement (Supply Chain) logicielle open source
o Le vol d’identifiants, les secrets ou les authentifications/autorisations faibles
o Les vulnérabilités connues et/ou inconnues dans le code mis en production
• Seuls 34% des développeurs déclarent que leurs scans AppSec sont totalement intégrés et automatisés au sein de leurs systèmes de gestion de code source (SCM), leurs environnements de développement (IDE) et leurs outils d’intégration CI/CD.
• Seuls 22% des RSSI estiment que leurs développeurs maîtrisent parfaitement les meilleures pratiques AppSec.
« Notre étude souligne la façon dont la complexité des applications cloud natives engendre le développement d’une multitude de nouveaux risques, au moment où la transformation numérique est la plus critique pour les entreprises », déclare Sandeep Johri, CEO de Checkmarx. « Une approche complète d’AppSec « shift everywhere » garantit le traitement des vulnérabilités à tout moment du cycle de vie du développement logiciel. Un catalyseur de transformation et un différenciateur fort pour l’entreprise qui sera en position de prouver une posture AppSec avancée. »