Produits

Solutions

Formation

CA Services & Support

Partenaires

Société

{{search ? 'Fermer':'Rechercher'}}

Cybersécurité : une étude menée par CA Veracode tire la sonnette d’alarme !

Chaque jour, des millions d’utilisateurs ont recours aux applications Java sans être conscients que 88% d’entre elles sont vulnérables aux cyberattaques !

Moins de 28% des entreprises ont mis en place une stratégie de supervision des failles de sécurité efficace pour faire face à des attaques de grande ampleur !

Paris, le 4 décembre 2017CA Technologies présente les résultats du Rapport sur la Sécurité des Logiciels en 2017 (State Of Software Security Report) réalisé par Veracode, sa filiale spécialisée dans la sécurisation des logiciels. Il s’agit d’une analyse complète de données collectées auprès de plus de 1 400 entreprises en matière de sécurité des applications. Les conclusions de l’étude sont inquiétantes en ce qui concerne les délais de correction des vulnérabilités, les pourcentages d’applications présentant des failles et les risques omniprésents liés à l’utilisation de composants open source vulnérables.

Les principes de sécurité basiques ne sont pas respectés

A une époque où les cyberattaques sont devenues monnaie courante (vol de données sensibles, piratage industriel, ransomware, … etc.), l’analyse fournie par Veracode démontre que, sur le terrain, les principes basiques de sécurité ne sont pas respectés. Il est donc urgent que les entreprises aient consciences des mesures nécessaires pour hausser leur niveau de sécurité, face à des hackers dont la force de frappe n’est plus à démontrer.

Chris Wysopal, Directeur Technique de CA Veracode, explique : « En raison de l’utilisation généralisée de composants exogènes par les développeurs pour coder, une seule vulnérabilité peut suffire pour mettre en danger des milliers d’applications différentes. » 88% des applications Java contiendraient au moins un composant les exposant à des attaques de grande ampleur. Tout ceci est en partie dû au fait que moins de 28% des entreprises mènent régulièrement des analyses pour analyser la fiabilité des composants d’une application.

Outre des informations concernant la menace posée par l’utilisation de composants à risque, ce rapport met également en lumière d’autres enseignements :

  • 77% des applications présentent au moins une faille dès la première analyse. Ce nombre progresse à un rythme alarmant pour les applications qui échappent à un test avant leur mise en production
  • Les institutions gouvernementales continuent à se montrer les moins performantes. Seules 24,7% d’entre elles réussissent tous les scans de sécurité applicative. Par ailleurs, elles présentent le plus de failles exploitables, par exemple par cross-site scripting (49%) ou encore par injection SQL (32%).
  • Deux secteurs enregistrent de légères progressions entre la première et la dernière analyse des vulnérabilités de leurs applications : la santé affiche un taux de réussite au scan de sécurité de 27,6%, puis de 30,2 % ; et la grande distribution : 26,2 % puis 28,5 %. 

Les raisons de ces failles majeures

Au cours des 12 derniers mois, plusieurs failles majeures au sein des applications Java ont été provoquées par des vulnérabilités de composants logiciels, qu’ils soient d’origine open source ou de suites commerciales. « Struts-Shock », une faille révélée en mars 2017, en est une illustration. Selon les résultats des analyses, plusieurs semaines après l’attaque initiale, 68% des applications Java s’appuyant sur la bibliothèque Apache Struts 2 utilisaient toujours une version à risque du composant.

Cette vulnérabilité permettait d’exécuter du code à distance grâce à l’injection de commandes, et quelque 35 millions de sites étaient concernés. En exploitant cette faille, les cybercriminels ont pu pirater les applications de nombreuses victimes, dont l’Agence du Revenu du Canada et l’Université du Delaware.

Le rapport révèle également qu’environ 53,3 % des applications Java s’appuient sur une version vulnérable de la bibliothèque Commons Collections ; un chiffre identique aux résultats trouvés en 2016. L’utilisation de composants tiers pour le développement d’applications est courant, car il permet aux développeurs de réutiliser du code fonctionnel et d’accélérer la conception de logiciels. Des études ont montré que les composants open source pouvaient même constituer jusqu’à 75% du code d’un logiciel.

Industrialisation des cyberattaques : une réalité méconnue

Pour Chris Wysopal : « les équipes de développement ne cesseront pas d’utiliser de tels composants, et il n’y a pas de raison qu’elles le fassent. Cependant, en cas de vulnérabilités, le temps presse. Les composants tiers et open source ne sont pas forcément moins sécurisés que du code développé en interne. Il est donc important de conserver un inventaire de leurs versions à jour. » En effet, un grand nombre de failles sont le résultat de composants vulnérables. Et à moins que les entreprises ne prennent cette menace plus sérieusement et s’appuient sur des outils adaptés pour superviser leur utilisation, le problème ne peut qu’empirer.

L’utilisation de composants à risque fait partie des tendances les plus marquantes de ce rapport. L’ambiguïté réside dans le fait que bon nombre d’entreprises donnent la priorité à la gestion des vulnérabilités les plus dangereuses sans pour autant résoudre les problèmes au niveau du développement de leurs applications de façon efficace. Même les failles les plus graves nécessitent un temps considérable pour être corrigées. Seules 22 % des failles les plus sévères sont corrigées sous 30 jours et la plupart des criminels en profitent dès leur identification. Les pirates ont donc largement assez de temps pour infiltrer un réseau donné et occasionner des dégâts parfois irréversibles.

5 conseils à suivre :

1) Tester le plus tôt possible dans le cycle de développement et le plus souvent possible

2) Donner aux développeurs les informations et les ressources dont ils ont besoin, notamment pour leur formation continue

3) Respecter les procédures de remédiations scrupuleusement et immédiatement après avoir découvert les vulnérabilités

4) Identifier et documenter les versions de vos composants logiciels, en limitant l’utilisation de composants à risques

5) Cibler en priorité les applications critiques et les vulnérabilités les plus virulentes lors des mesures de remédiation. Dans ces phases de crises, c’est souvent la seule possibilité en fonction de vos ressources.

En conclusion, il est urgent de réagir rapidement, faute de quoi les entreprises, tout comme les organismes publics, verront leur notoriété mise à mal et perdront la confiance de leurs clients et utilisateurs. En laissant la porte ouverte à la cybercriminalité, elles ne feront qu’encourager des pratiques aussi nuisibles que dangereuses puisqu’aujourd’hui le danger ne vient plus de hackers isolés mais de réseaux organisés à l’échelle mondiale, à l’affût de la moindre faille de sécurité.

  • Télécharger le Rapport sur la Sécurité des Logiciels en 2017, cliquez ici
  • Visualiser l’infographie, cliquez ici

Méthodologie

Pour la 8ème édition de son rapport State of Software Security 2017, CA Veracode a scanné les lignes de codes de 1 400 clients. L’équipe de recherche a analysé près de 250 milliards de lignes de code et effectué 400 000 évaluations entre le 1er avril 2016 et le 31 mars 2017. Les résultats obtenus constituent l’analyse la plus complète en matière de données de tests applicatifs.

À propos de Veracode

Veracode, la division de sécurisation des applications de CA Technologies, aide les entreprises à sécuriser leurs applications du développement à la livraison. La plate-forme SaaS et les solutions intégrées de Veracode aident les équipes de sécurité et les développeurs à trouver et à réparer les défauts de sécurité à tous les stades du cycle de développement et avant qu'ils ne puissent être exploités par des pirates informatiques. Son offre aide les clients à accroître le niveau de sécurité des applications : en réduisant le risque de vols de données, en accélérant les délais de livraison de logiciels sécurisés, en respectant les exigences de conformité, qu'il s'agisse de logiciels créés, achetés ou vendus. Veracode compte plus de 1000 clients dans de très nombreux secteurs d’activité, dont près d'un tiers des sociétés Fortune 100.

Connectez-vous à Veracode : www.veracode.com | Blog | Twitter.

Press Contacts


Patrice Taurel | Communication

CA Technologies
Téléphone: +33 1 49 02 52 60

Tûba Kocaefe | Joachim Martin

RUMEUR PUBLIQUE
Téléphone: 01 55 74 52 27 / 01 55 74 52 04

À propos de CA Technologies

CA Technologies fournit les logiciels qui aident les entreprises à opérer leur transformation numérique. Dans tous les secteurs, les modèles économiques des entreprises sont redéfinis par les applications. Partout, une application sert d’interface entre une entreprise et un utilisateur. CA Technologies aide ces entreprises à saisir les opportunités créées par cette révolution numérique et à naviguer dans l’« Economie des Applications ». Grâce à ses logiciels pour planifier, développer, gérer la performance et la sécurité des applications, CA Technologies aide ainsi ces entreprises à devenir plus productives, à offrir une meilleure qualité d’expérience à leurs utilisateurs et leur ouvre de nouveaux relais de croissance et de compétitivité sur tous les environnements : Mobile, Cloud, Distribué ou Mainframe. Pour plus d'informations : www.ca.com/fr.  

MENTION LÉGALE

Copyright © 2017 CA, Inc. Tous droits réservés. Tous les autres noms de marques, marques déposées, marques de service et logos cités dans le présent document appartiennent à leurs sociétés respectives.

Connectez-vous à CA Technologies :

Highlight – CA Technologies Blog

The world of enterprise IT is changing, fast. Keep up.

Modern Software Factory Hub

Your source for the tips, tools and insights to power your digital transformation.