« L'externalisation du développement logiciel se généralise. Pourtant, étant donné le peu de visibilité dans les méthodes de développement, cette pratique est fondamentalement non sécurisée », précise le dernier rapport du cabinet d'analyse Quocirca. En effet, d'après un sondage effectué auprès de 250 DSI travaillant pour des compagnies de plus de 1 000 salariés en Europe (Allemagne et Royaume-Uni) et aux Etats-Unis, 90% des sociétés qui ont été victimes d'un piratage externalisent plus de 40% de leur code. Dans le même temps, 78% des sociétés qui considèrent le développement logiciel comme critique pour leur activité en externalisent une bonne partie. Et 60% d'entre elles oublient de spécifier les conditions de sécurité dans le contrat d'externalisation. Pire, 20 % d'entre elles ne s'occupent pas du tout de cet aspect dans leur développement logiciel, qu'il soit externalisé ou non.Or, selon le NIST (National Institute of Standard and Technology), 92% des failles contenues dans les réseaux informatiques se nichent justement dans la couche applicative. Pour l'analyste Fran Howarth, auteur de ce rapport, « ces résultats montrent que les sociétés ne font pas assez d'efforts pour sécuriser les applications dont dépend leur activité. Non seulement cela, mais elles confient une large part de leurs besoins en développement à des tiers. Ce qui leur impose une responsabilité encore plus grande pour tester l'ensemble du code généré. » L'étude de Quocirca a été sponsorisée par Fortify Software, spécialisé dans la sécurité applicative.