Ces données ont été publiées dans le rapport annuel de Veracode State of Software Security (SoSS) v12, qui a analysé 20 millions de scans parmi un demi-million d’applications dans les secteurs manufacturier, de la vente au détail, de la santé, des services financiers, des technologies et des organismes publics.
Selon Chris Eng, directeur de la recherche chez Veracode, « maintenir le niveau de fidélité et de confiance des clients est la grande priorité des détaillants, et ce besoin est accru pendant des périodes comme le Black Friday. Le coût moyen entraîné par une violation de données dans le secteur du commerce de détail est estimé à 3,28 millions de dollars***. C’est pourquoi il est impératif de mettre en place des outils solides et des pratiques efficaces pour sécuriser les applications utilisées par les clients pour naviguer et acheter. »
Malgré le nombre relativement faible de failles corrigées, le secteur du commerce de détail se classe second pour le taux de résolution global, mettant en avant le besoin d’améliorations de la sécurité logicielle des entreprises de tous les secteurs. D’après Eng, « par rapport aux autres secteurs, le commerce de détail s’attache davantage à corriger les failles qui sont découvertes. Bien que cela soit encourageant, il est clair que ces efforts sont insuffisants pour intégrer l’identification et la correction des failles dans le processus de développement logiciel afin que les vulnérabilités puissent être traitées plus efficacement. »
La configuration serveur, les dépendances non sécurisées et les problèmes d’authentification sont les types de failles les plus courants dans les applications au sein de la plupart des secteurs. Le commerce de détail et le secteur hôtelier n’échappent pas à ce schéma ; cependant, ils présentent des pourcentages plus élevés dans presque toutes les catégories de failles, peut-être en raison de la complexité fonctionnelle plus grande des applications d’interface client et de back-office.
Dans le commerce de détail, le délai de correction fluctue
Veracode a analysé trois types de scans différents afin de générer des comparaisons intersectorielles de délai de correction : des tests dynamiques de la sécurité des applications (dynamic analysis security testing, DAST), des tests statiques de la sécurité des applications (static analysis security testing, SAST), et des analyses de composition de logiciels (software composition analysis, SCA). D’après les résultats, les détaillants sont les plus rapides pour corriger les failles découvertes par DAST, à 70 jours d’atteindre le délai de correction médian, ce qui est de 46 jours plus rapide que l’industrie des services financiers, qui arrive à la deuxième place. En matière de SAST et de SCA, cependant, le secteur du commerce de détail se situe en milieu de peloton, prenant respectivement 346 et 470 jours pour atteindre le délai de correction médian.
Tous secteurs confondus, les failles présentes dans les bibliothèques de tiers découvertes par SCA persistent plus longtemps que celles découvertes par SAST et DAST, avec 30 % de bibliothèques vulnérables non corrigées au bout de deux ans. Dans le secteur du commerce de détail, cette statistique s’élève à 35 % et présente un retard de plus de six mois par rapport à la moyenne intersectorielle. Néanmoins, rien de trop préoccupant pour les détaillants car l’écart peut toujours être comblé. En effet, selon le rapport Veracode State of Software Security de 2021, 92 % des failles d’open source peuvent être facilement corrigées par une simple mise à jour, ce qui est une bonne nouvelle pour les détaillants cherchant à sécuriser leurs chaînes logistiques logicielles.
Dans la perspective du Black Friday, et près d’un an après la découverte de la tristement célèbre faille Log4j, les détaillants seront en état d’alerte pour maintenir la vitesse, l’efficacité et la sécurité de leurs applications. Les entreprises doivent avant tout veiller à découvrir les éventuelles vulnérabilités de logiciels tiers à l’aide d’une association d’outils SCA et de développement. Grâce à cette approche employée par Veracode, Darius Radford, architecte en sécurité des applications chez le détaillant spécialisé Floor & Decor, a été en mesure d’avoir une vue globale du risque posé par des bibliothèques vulnérables dans le logiciel de l’entreprise : « nous avons été en mesure de déterminer rapidement tous les emplacements utilisant Log4j et de remédier à la situation. » Selon Trey Tunnel, directeur de la sécurité des informations chez Floor and Decor, « nos clients sont notre priorité absolue. Avec Veracode, nous sommes certains que notre logiciel est sûr et, plus important encore, nos clients en sont convaincus aussi. »
* Future Publishing, « Exploring the impact of rising inflation », juin 2022
** Dot Digital, « Black Friday Stats: Everything You Need to Know (updated 2022) », Jenna Paton, 20 septembre 2022
*** IBM Security et le Ponemon Institute, « Cost of a Data Breach Report 2022 », juillet 2022
À propos du rapport State of Software Security
Le rapport Veracode State of Software Security (SoSS) v12 analyse les données historiques complètes relatives aux services et aux clients de Veracode, ce qui représente un total de plus d’un demi-million d’applications (592 720) pour lesquelles tous les types d’analyse ont été utilisés : plus d’un million d’analyses dynamiques (1 034 855), plus de cinq millions d’analyses statiques (5 137 882) et plus de 18 millions d’analyses de composition de logiciels (18 473 203). Toutes ces analyses ont produit 42 millions de résultats statiques bruts, 3,5 millions de résultats dynamiques bruts et six millions de résultats SCA bruts.
Ces données représentent de grandes comme de petites entreprises, des fournisseurs de logiciels commerciaux, des sous-traitants de logiciels et des projets de logiciels libres. Dans la plupart des analyses, une même application n’a été comptée qu’une seule fois, même si elle a été soumise plusieurs fois au fur et à mesure que les vulnérabilités étaient corrigées et que de nouvelles versions étaient mises en ligne.
À propos de Veracode
Veracode, le partenaire de référence en matière de sécurité des applications, est une entreprise axée sur la conception de logiciels sécurisés, la réduction des risques de violation de la sécurité et l’augmentation de la productivité des équipes de sécurité et de développement. Ainsi, les entreprises qui font appel à Veracode sont en mesure de faire progresser leurs activités et le monde. En combinant l’automatisation des processus, les intégrations, la vitesse et la réactivité, Veracode aide les entreprises à obtenir des résultats précis et fiables qui leur permettent de concentrer leurs efforts non seulement sur la recherche d’éventuelles vulnérabilités, mais aussi sur leur correction.
