L’importance d’intégrer la sécurité lors du développement logiciel – Help Net Security
Checkmarx a publié les conclusions britanniques de son rapport qui a révélé que 45% des organisations ont subi au moins deux failles de sécurité en conséquence directe d’une application vulnérable. Parallèlement, le rapport a révélé que 34 % des organisations britanniques qui avaient subi une faille de sécurité liée à une candidature au cours de l’année précédant l’enquête avaient licencié des employés considérés comme responsables.
Les répondants à l’enquête, qui a été commandée pour mettre en lumière les plus grands défis de sécurité auxquels les responsables de la sécurité des applications (AppSec) et les développeurs de logiciels sont confrontés dans le paysage des menaces d’aujourd’hui, ont également noté ceux qui sont souvent les plus responsables de la sécurité des applications en tant que développeurs de logiciels (39 %) et les responsables de la sécurité des applications (32 %). Seuls 10 % ont déclaré que les RSSI ou les OSC étaient ceux qui avaient le plus de responsabilités au sein de leur organisation.
Étant donné que 45 % des personnes interrogées, composées de responsables AppSec et de développeurs de logiciels dans des organisations britanniques de plus de 1 000 employés, ont déclaré avoir été violées deux fois au cours des 12 derniers mois. Avec 22 % d’entre eux ayant été violés trois fois, l’enquête a clairement indiqué que les équipes de sécurité peuvent être à risque, les organisations n’étant pas opposées à pénaliser les personnes jugées responsables de ces violations de sécurité.
Qu’est-ce qui rend une application vulnérable et conduit à des violations ?
L’enquête a également examiné ce qui a conduit à ces violations, 43 % des personnes interrogées déclarant avoir subi une attaque de la chaîne d’approvisionnement logicielle, un vecteur d’attaque connu pour être l’un des favoris des acteurs malveillants. Parmi les autres facteurs qui ont contribué aux violations, citons les mauvaises configurations des applications cloud (40 %), les packages ou composants tiers malveillants (39 %) et les vulnérabilités connues, mais non corrigées (38 %).
Ces données nous indiquent que les organisations peuvent influencer directement la probabilité de violations en prenant soin de ce qui est sous leur contrôle. Ceux qui ne subiront pas d’impacts commerciaux négatifs, les répondants signalant qu’il s’agit du vol ou de la perte de données clients (40 %), de la perte de clients (39 %), de la baisse de la confiance des clients (34 %), du vol ou de la perte de propriété intellectuelle (33 %). %) et la perte de revenus (32 %).
Positivement cependant, il y a beaucoup à apprendre des violations qui se sont produites au cours de l’année dernière et les répondants pensent qu’une plus grande sécurité des applications et, par conséquent, une sécurité globale peut être atteinte en 2022. Les solutions pour y parvenir, selon les répondants, incluent des rôles clairs et responsabilités pour les gestionnaires et les développeurs AppSec, un alignement plus étroit entre les gestionnaires et les développeurs AppSec, une meilleure intégration des solutions de test de sécurité des applications et un engagement conséquent à améliorer l’approche globale de l’intégration de la sécurité lors du développement logiciel.