Veracode, fournisseur de solutions de test de sécurité des applications, publie régulièrement des mises à jour de son rapport sur l’état de sécurité des logiciels, The State of Software Security. Son volume 11, basé sur l’analyse de 130 000 applications actives, sur la base de 2500 clients, a montré que 76% des applications présentaient au moins une faille de sécurité, dont 24% étaient graves, et que la moitié des failles repérées n’étaient toujours pas corrigées 6 mois plus tard. Le fournisseur vient de compléter cette analyse en identifiant que les secteurs de la distribution de détail (retail) et de l’hôtellerie s’avèrent les plus rapides à corriger leurs failles de sécurité applicative comparés aux autres secteurs représentés dans l’étude : services financiers, santé, manufacturing, secteur public et même la technologie. Veracode l’explique par la nécessité du retail et du secteur hôtelier de devoir réagir rapidement à l’évolution des exigences des clients.

Il est vrai que ces domaines d’activité ont été parmi les premiers à subir des attaques et des intrusions au cours de la dernière décennies, avec vol de coordonnées bancaires des clients, notamment via leurs terminaux points de vente. Ils gèrent un volume important d’informations personnelles, à travers réservations, cartes de crédit et cartes de fidélité. Selon un autre rapport, celui de Verizon sur les compromissions de données en 2020, les attaques d’applications web représentent actuellement 43% de toutes les compromissions, soit le double de l’année précédente, et 58% des compromissions concernent des données personnelles (adresses e-mail, noms, numéros de téléphone, adresses postales ou autres données contenues dans les e-mails), presque deux fois plus qu’en 2019.

Un taux de failles sévères pourtant plus élevé

Dans un graphique, Veracode compare la découverte des failles et leur correction entre les différents secteurs étudiés. La distribution de détail et l’hôtellerie sont dans la moyenne sur la proportion de failles trouvées dans leurs applications (76%) mais le taux de failles sévères est plus élevé que pour d’autres industries (26%), juste derrière le secteur technologique. De prime abord, cela semble plutôt mauvais. Mais la distinction se fait lorsqu’il s’agit de corriger puisque retail et secteur hôtelier arrive au 2ème rang sur le taux de failles corrigées, derrière le secteur financier, et au 1er rang sur le temps de réaction : 125 jours (half-life time) contre 149 jours dans le domaine des applications de santé qui n’en corrige que 70%.

Comparé aux autres secteurs, les vulnérabilités sont souvent plus sévères dans le retail et l'hôtellerie, mais elles sont davantage corrigées. (Crédit : Veracode)

Le rapport se penche par ailleurs sur le type de failles par secteurs. Dans un graphique, Veracode montre que, dans le retail et l’hôtellerie, la fréquence de certains types de vulnérabilité est plus basse, typiquement celles qui se rapportent aux fuites de données. Dans le premier cas (fuite de données), la prévalence atteint en moyenne 58% et seulement 51% dans les deux secteurs en question. L’écart est plus notable encore pour les failles qui touchent à la qualité du code dont la prévalence est en moyenne de 53% sur l’ensemble des secteurs, alors qu’elle n’est que de 44% seulement dans les deux secteurs étudiés. Un autre type de failles porte sur l’insuffisance de validation des données saisies. La fréquence des failles s’y rapportant est de 36% en moyenne et elle descend à 31% dans le retail et l’hospitality. A l’inverse, il apparaît que les développeurs de ces deux secteurs rencontrent davantage de difficultés avec les vulnérabilités liées à l’encapsulation, aux injections SQL et aux problèmes de gestion des certificats.

Du bienfait des pratiques DevSecOps

Sur l’année, le State of Software Security a par ailleurs mis en évidence les bienfaits de certains comportements des développeurs associés aux pratiques DevSecOps. Dans le volume 10 du rapport, Veracode avait notamment établi que les équipes qui scannaient les applications plus fréquemment avaient une dette de sécurité 5 fois moins importante. Dans le volume 11, le fournisseur a établi le rôle vertueux de l’application des bonnes pratiques que les développeurs pouvaient influencer. Veracode distingue les failles liées à la nature des opérations de celles liées au comportement des utilisateurs et, là aussi, ils constate des différences entre les secteurs.

Sur ces points, les comportements du retail et de l’hôtellerie sont très intermédiaires par rapport aux autres. Par exemple, l’analyse tirée par les API se passe moins bien que pour la moyenne des secteurs, alors que l’analyse de la composition logicielle (SCA° est légèrement meilleure. Selon Veracode, cela suggère que les développeurs font face à un environnement difficile. L’adoption de pratiques DevSecOps supplémentaires devrait apporter le plus d’opportunités d’amélioration.