Discussion :

[Anthony]

Les entreprises omettent la moitié du temps d'évaluer la sécurité des principales mises à jour des applications logicielles, car cela est compliqué, coûteux et prend du temps, d'après CrowdStrike

Selon un sondage réalisé auprès de responsables techniques, les spécialistes de la cybersécurité n'examinent les principales mises à jour des applications logicielles que dans 54 % des cas.

Ce chiffre provient de CrowdStrike, qui a récemment publié son rapport 2024 State of Application Security Report. Ce rapport est basé sur des entretiens avec 400 responsables de la sécurité aux États-Unis, ce qui signifie qu'il faut le prendre avec des pincettes.

Selon l'enquête, la probabilité que les principales mises à jour de code fassent l'objet d'un examen de sécurité ressemble à une courbe en cloche. Vingt-deux pour cent des personnes interrogées ont avoué avoir procédé à un examen de sécurité moins de la moitié du temps, et le même pourcentage affirme avoir examiné le code entre 50 et 74 % du temps.

À l'extrémité inférieure du spectre, plus d'un cinquième des personnes interrogées ont répondu qu'elles n'examinaient les modifications majeures du code que dans moins d'un quart des cas. À l'autre extrémité, un tiers des personnes interrogées ont déclaré l'avoir fait dans au moins 75 % des cas.

La sécurité des applications est la pratique qui consiste à protéger et à sécuriser les applications tout au long du cycle de développement du logiciel. À mesure que les organisations se concentrent sur la création de revenus par le biais de logiciels, la sécurité des applications (AppSec) devient l'une des formes de sécurité les plus essentielles dans lesquelles les entreprises modernes doivent investir.

Au-delà de la génération de revenus, les logiciels constituent également l'épine dorsale de l'expérience client et sont essentiels à la création d'une marque respectée. En bref, les applications dirigent le monde.

Dans le même temps, la surface d'attaque se déplace vers les applications et les API, au détriment de la configuration classique de l'infrastructure et des autorisations. Huit des dix principales violations de données de 2023 étaient liées aux surfaces d'attaque des applications.

On estime qu'à elles seules, ces huit brèches ont exposé environ 1,7 milliard d'enregistrements. Le nombre stupéfiant d'enregistrements exposés prouve que le statu quo en matière de sécurité des applications n'est pas suffisant. Mais avant de pouvoir développer la prochaine génération de solutions AppSec préventives et correctives, il est nécessaire de comprendre les principaux défis auxquels sont confrontés ceux qui sont en première ligne. Tout comme pour le développement d'un vaccin ou d'un antiviral, des données sont nécessaires pour déterminer si les problèmes les plus importants sont abordés. Quels sont les problèmes que nous essayons de résoudre ? Que se passe-t-il réellement dans les équipes chargées de la sécurité des applications ? Quels sont leurs plus grands défis ? Comment font-elles leur travail aujourd'hui ?

Le rapport de CrowdStrike synthétise les données recueillies dans le cadre d'une enquête auprès des professionnels de la sécurité des applications afin de refléter l'état actuel de la sécurité des applications. En voici les principales conclusions :

1. Des déploiements plus fréquents signifient plus de langages à gérer. Les organisations qui déploient une fois par jour ou plus utilisent plus de 5 langages de programmation.
2. Les équipes utilisent des processus manuels pour inventorier et cataloguer les applications et les API. 74 % s'appuient sur la documentation et 68 % sur des feuilles de calcul.
3. Seuls 54 % des changements de code majeurs font l'objet d'un examen de sécurité complet. 22 % procèdent à un examen sur un quart ou moins.
4. Les examens de sécurité traditionnels sont longs et coûteux. 81 % déclarent que les examens de sécurité prennent plus d'un jour ouvrable, et 35 % plus de trois jours ouvrables.
5. Les équipes de sécurité utilisent plusieurs outils. 90 % utilisent plus de trois outils pour détecter et hiérarchiser les vulnérabilités et les menaces des applications.
6. L'établissement d'un ordre de priorité pour les corrections à apporter est un défi majeur. 61 % des professionnels de l'AppSec le citent comme leur principale difficulté à travailler avec les développeurs.
7. La remédiation est lente. 70 % des problèmes critiques mettent 12 heures ou plus à être résolus.
8. Les organisations de différentes tailles ont des points de vue différents sur la responsabilité et l'obligation de rendre compte en matière de sécurité des applications. Les petites organisations (100-999 employés) considèrent que le CTO (22 %) est le plus responsable ; les grandes organisations (1000 employés ou plus) considèrent que les équipes AppSec (23 %) et DevSecOps (22 %) sont les plus responsables.

Source : "2024 State of Application Security Report" (CrowdStrike)

Et vous ?

Quel est votre avis sur le sujet ?
Trouvez-vous les conclusions de cette enquête de CrowdStrike crédibles ou pertinentes ?

Voir aussi :

97 % des professionnels des essais de logiciels ont recours à l'automatisation, afin de réduire les coûts des tests et améliorer la qualité des logiciels et l'expérience des utilisateurs

Davantage de tests sont nécessaires pour garantir la sécurité des applications web, car près de 75 % des entreprises ne les testent qu'une fois par mois ou moins, laissant 40% de la surface d'attaque non testée

Les développeurs et les responsables de la sécurité des applications se tournent vers l'IA générative, malgré les risques de sécurité identifiés, selon une étude de Sonatype

[i5evangelist]

Doit on inclure les mises à jour des logiciels censés nous protéger ... Champions CrowdStrike ...

[bitbis]

Une preuve par l'exemple ?

[marsupial]

Bientôt les bugs de la responsabilité des clients et non du fournisseur. Même pas responsable et encore moins coupable. Message se heurtant à l'actualité du jour du plus gros blocage de l"ère de l"informatique.

[Pierre Louis Chevalier]

Cette étude semble tout à fait pertinente, si on prends l'exemple de CrowdStrike et de Microsoft on peu constater clairement que les logiciels ne sont pas du tout testés avant la mise en prod, exemple qui vient de tomber :

Une panne chez Microsoft provoquée par une mise à jour logiciel de CrowdStrike a eu des répercussions mondiales, touchant divers secteurs tels que les compagnies aériennes, les banques, les organismes de santé

[lino8288]

drôle de posture , c'est pas moi c'est l'autre