Press release

73 % des applications du commerce de détail présentent des failles de sécurité, et seul un quart est résolu

0
Sponsorisé par Businesswire

Veracode, l’un des principaux fournisseurs mondiaux de solutions de test de sécurité des applications, a publié ce jour que près des trois quarts des applications du commerce de détail et du secteur hôtelier contiennent des failles de sécurité, mais que seuls 25 % de ces failles sont corrigées. En outre, 17 % de ces failles sont catégorisées « de haute gravité », ce qui signifie qu’elles posent un risque élevé pour l’entreprise en cas de violation. Étant donné que 76 % des Américains ont l’intention de profiter des offres promotionnelles du Black Friday ce 25 novembre, et que 56 % envisagent de faire leurs achats exclusivement en ligne**, les commerces de détail devraient redoubler d’efforts pour renforcer la sécurité de leurs systèmes d’e-commerce, de leurs plateformes de paiement digital et de leurs chaînes logistiques.

Ces données ont été publiées dans le rapport annuel de Veracode State of Software Security (SoSS) v12, qui a analysé 20 millions de scans parmi un demi-million d’applications dans les secteurs manufacturier, de la vente au détail, de la santé, des services financiers, des technologies et des organismes publics.

Selon Chris Eng, directeur de la recherche chez Veracode, « maintenir le niveau de fidélité et de confiance des clients est la grande priorité des détaillants, et ce besoin est accru pendant des périodes comme le Black Friday. Le coût moyen entraîné par une violation de données dans le secteur du commerce de détail est estimé à 3,28 millions de dollars***. C’est pourquoi il est impératif de mettre en place des outils solides et des pratiques efficaces pour sécuriser les applications utilisées par les clients pour naviguer et acheter. »

Malgré le nombre relativement faible de failles corrigées, le secteur du commerce de détail se classe second pour le taux de résolution global, mettant en avant le besoin d’améliorations de la sécurité logicielle des entreprises de tous les secteurs. D’après Eng, « par rapport aux autres secteurs, le commerce de détail s’attache davantage à corriger les failles qui sont découvertes. Bien que cela soit encourageant, il est clair que ces efforts sont insuffisants pour intégrer l’identification et la correction des failles dans le processus de développement logiciel afin que les vulnérabilités puissent être traitées plus efficacement. »

La configuration serveur, les dépendances non sécurisées et les problèmes d’authentification sont les types de failles les plus courants dans les applications au sein de la plupart des secteurs. Le commerce de détail et le secteur hôtelier n’échappent pas à ce schéma ; cependant, ils présentent des pourcentages plus élevés dans presque toutes les catégories de failles, peut-être en raison de la complexité fonctionnelle plus grande des applications d’interface client et de back-office.

Dans le commerce de détail, le délai de correction fluctue

Veracode a analysé trois types de scans différents afin de générer des comparaisons intersectorielles de délai de correction : des tests dynamiques de la sécurité des applications (dynamic analysis security testing, DAST), des tests statiques de la sécurité des applications (static analysis security testing, SAST), et des analyses de composition de logiciels (software composition analysis, SCA). D’après les résultats, les détaillants sont les plus rapides pour corriger les failles découvertes par DAST, à 70 jours d’atteindre le délai de correction médian, ce qui est de 46 jours plus rapide que l’industrie des services financiers, qui arrive à la deuxième place. En matière de SAST et de SCA, cependant, le secteur du commerce de détail se situe en milieu de peloton, prenant respectivement 346 et 470 jours pour atteindre le délai de correction médian.

Tous secteurs confondus, les failles présentes dans les bibliothèques de tiers découvertes par SCA persistent plus longtemps que celles découvertes par SAST et DAST, avec 30 % de bibliothèques vulnérables non corrigées au bout de deux ans. Dans le secteur du commerce de détail, cette statistique s’élève à 35 % et présente un retard de plus de six mois par rapport à la moyenne intersectorielle. Néanmoins, rien de trop préoccupant pour les détaillants car l’écart peut toujours être comblé. En effet, selon le rapport Veracode State of Software Security de 2021, 92 % des failles d’open source peuvent être facilement corrigées par une simple mise à jour, ce qui est une bonne nouvelle pour les détaillants cherchant à sécuriser leurs chaînes logistiques logicielles.

Dans la perspective du Black Friday, et près d’un an après la découverte de la tristement célèbre faille Log4j, les détaillants seront en état d’alerte pour maintenir la vitesse, l’efficacité et la sécurité de leurs applications. Les entreprises doivent avant tout veiller à découvrir les éventuelles vulnérabilités de logiciels tiers à l’aide d’une association d’outils SCA et de développement. Grâce à cette approche employée par Veracode, Darius Radford, architecte en sécurité des applications chez le détaillant spécialisé Floor & Decor, a été en mesure d’avoir une vue globale du risque posé par des bibliothèques vulnérables dans le logiciel de l’entreprise : « nous avons été en mesure de déterminer rapidement tous les emplacements utilisant Log4j et de remédier à la situation. » Selon Trey Tunnel, directeur de la sécurité des informations chez Floor and Decor, « nos clients sont notre priorité absolue. Avec Veracode, nous sommes certains que notre logiciel est sûr et, plus important encore, nos clients en sont convaincus aussi. »

L’extrait du rapport Veracode State of Software Security v12 concernant le commerce de détail et le secteur hôtelier est disponible au téléchargement ici, et le rapport complet est disponible ici.

* Future Publishing, « Exploring the impact of rising inflation », juin 2022, https://go.future-advertising.com/Rising-Inflation-Research-Insights.html

** Dot Digital, « Black Friday Stats: Everything You Need to Know (updated 2022) », Jenna Paton, 20 septembre 2022, https://dotdigital.com/blog/black-friday-cyber-monday-stats/

*** IBM Security et le Ponemon Institute, « Cost of a Data Breach Report 2022 », juillet 2022, https://www.ibm.com/downloads/cas/3R8N1DZJ

À propos du rapport State of Software Security

Le rapport Veracode State of Software Security (SoSS) v12 analyse les données historiques complètes relatives aux services et aux clients de Veracode, ce qui représente un total de plus d’un demi-million d’applications (592 720) pour lesquelles tous les types d’analyse ont été utilisés : plus d’un million d’analyses dynamiques (1 034 855), plus de cinq millions d’analyses statiques (5 137 882) et plus de 18 millions d’analyses de composition de logiciels (18 473 203). Toutes ces analyses ont produit 42 millions de résultats statiques bruts, 3,5 millions de résultats dynamiques bruts et six millions de résultats SCA bruts.

Ces données représentent de grandes comme de petites entreprises, des fournisseurs de logiciels commerciaux, des sous-traitants de logiciels et des projets de logiciels libres. Dans la plupart des analyses, une même application n’a été comptée qu’une seule fois, même si elle a été soumise plusieurs fois au fur et à mesure que les vulnérabilités étaient corrigées et que de nouvelles versions étaient mises en ligne.

À propos de Veracode

Veracode, le partenaire de référence en matière de sécurité des applications, est une entreprise axée sur la conception de logiciels sécurisés, la réduction des risques de violation de la sécurité et l’augmentation de la productivité des équipes de sécurité et de développement. Ainsi, les entreprises qui font appel à Veracode sont en mesure de faire progresser leurs activités et le monde. En combinant l’automatisation des processus, les intégrations, la vitesse et la réactivité, Veracode aide les entreprises à obtenir des résultats précis et fiables qui leur permettent de concentrer leurs efforts non seulement sur la recherche d’éventuelles vulnérabilités, mais aussi sur leur correction. Pour plus d’informations, rendez-vous sur www.veracode.com, sur le blog de Veracode et sur Twitter.

Copyright © 2022 Veracode, Inc. Tous droits réservés. Veracode est une marque déposée de Veracode, Inc. aux États-Unis et peut être enregistré dans d’autres juridictions. Tous les autres noms de produits, marques et logos appartiennent à leurs propriétaires respectifs. Toutes les autres marques commerciales citées dans ce communiqué sont la propriété de leurs détenteurs respectifs.

Le texte du communiqué issu d’une traduction ne doit d’aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d’origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.