Press release

Le secteur des soins de santé enregistre le plus haut taux de correction des failles de sécurité des logiciels

0
Sponsorisé par Businesswire

Veracode, un fournisseur mondial de premier plan de solutions en matière de tests de sécurité des applications, annonce aujourd’hui que le secteur de la santé occupe la première place en matière de failles de sécurité logicielle corrigées, soit 27 %. Le secteur dépasse le marché de la finance en tant qu’industrie la plus performante, illustrant les progrès accomplis par les fournisseurs de soins de santé pour sécuriser leurs logiciels au cours de l’année écoulée.

Les résultats ont été publiés dans le rapport annuel de l’entreprise, State of Software Security (SoSS) report v12, qui a étudié 20 millions de scans à travers un demi-million d’applications dans les secteurs de la santé, de la finance, de la technologie, de la fabrication, du commerce de détail et des administrations publiques.

Chris Eng, directeur de la recherche chez Veracode, a déclaré : Les soins de santé sont l’un des secteurs les plus réglementés et constituent une infrastructure critique aux yeux des autorités. Il est encourageant de constater que ce secteur enregistre de bonnes performances en termes de correction des failles. Nous espérons que les développeurs et le personnel informatique de ce secteur apprécieront ce résultat qui constitue un rayon de soleil dans le domaine trop souvent sombre de la sécurité logicielle. Il reste certes du travail à faire, mais nous espérons que d’autres améliorations seront apportées dans les années à venir. »

Même si le secteur de la santé occupe la première place en termes de taux de correction, 77 % de ses applications recèlent des vulnérabilités, dont 21 % sont particulièrement graves. Le secteur affiche également une grande marge d’amélioration en termes de temps consacré à la correction des failles après leur détection, le délai atteignant 447 jours pour arriver à mi-chemin de la correction.

Les coûts des failles dans le secteur de la santé sont les plus élevés

Les entreprises du secteur de la santé sont celles qui supportent les coûts moyens les plus élevés en matière de violation de données, atteignant un nouveau record de 10,1 millions de dollars*. Il est donc essentiel de réagir de manière proactive afin de minimiser le risque de cyberattaque. Dans la mesure où les violations de données dans les secteurs hautement réglementés ont tendance à être associées à des coûts à long terme plus élevés, et à s’accumuler au cours des années suivantes, le secteur tirerait profit du déploiement d’efforts plus importants pour garantir la sécurité plus tôt dans le cycle de vie du développement logiciel.

Sur les six secteurs analysés, les prestataires de soins de santé se classent en queue de peloton pour la proportion d’applications comportant des failles, et à l’avant-dernière place pour la proportion de failles de haute gravité, c’est-à-dire celles qui représentent un risque sérieux pour l’application et l’organisation si elles devaient être exploitées. En ce qui concerne les types de failles révélées par l’analyse dynamique des applications du secteur, les fournisseurs de soins de santé enregistrent de bons résultats par rapport à d’autres industries pour les problèmes d’authentification et les dépendances non sécurisées, mais ils affichent néanmoins une incidence plus élevée de problèmes de cryptographie et de configuration du déploiement.

M. Eng a également déclaré : « Nous sommes conscients qu’aucune application ne sera jamais totalement sûre, et il est donc important que les entreprises prennent toutes les mesures requises afin de minimiser les risques tant que possible. Ces mesures comprennent l’analyse régulière et rapide au moyen de plusieurs types de tests, l’intégration d’outils de test dans les environnements des développeurs et la formation pratique des développeurs pour les aider à comprendre l’origine des failles et la façon de les corriger ou de les éviter complètement. Le secteur de la santé devrait également accorder une attention particulière aux failles critiques, c’est-à-dire aux vulnérabilités susceptibles de devenir catastrophiques si elles ne sont pas corrigées suffisamment tôt. »

Andrew McCall, vice-président de la division ingénierie d’Azalea Health Innovations, a déclaré : « Le principal obstacle à l’intégration de la sécurité dans nos flux de travail réside dans le fait que les développeurs considèrent la sécurité comme une simple case à cocher. Or, la sécurité est un processus continu qui doit être considéré comme une priorité tout au long du cycle de vie du développement logiciel. Nous avons choisi Veracode pour sa facilité d’intégration dans nos processus existants. »

Sécurité des ressources tierces

Étant donné la multiplication des réglementations visant à sécuriser la chaîne d’approvisionnement des logiciels au cours de l’année écoulée, le rapport a examiné les ressources tierces pour identifier la nature des vulnérabilités mises en évidence par l’analyse de la composition des logiciels (SCA). Globalement, près de 30 % des ressources vulnérables restent irrésolues après deux ans. Cette statistique est cependant réduite à 25 % dans le secteur de la santé. En réalité, alors que le taux global de ressources vulnérables découvertes par l’analyse de la composition logicielle a tendance à diminuer régulièrement au fil du temps, et le secteur des soins de santé a connu un bref pic à la hausse avant de réduire considérablement les taux au cours de la dernière année.

Vous pouvez télécharger un aperçu du rapport Veracode State of Software Security v12 sur la santé ici et consulter le rapport complet ici.

* IBM Security et The Ponemon Institute, « Cost of a Data Breach Report 2022 » : https://www.ibm.com/downloads/cas/3R8N1DZJ, juillet 2022.

À propos du rapport State of Software Security

Le rapport Veracode State of Software Security (SoSS) v12 a analysé les données historiques complètes issues des services et des clients de Veracode. Cet ensemble représente un total de plus d’un demi-million d’applications (592 720) utilisant tous types d’analyses, plus d’un million d’analyses dynamiques (1 034 855), plus de cinq millions d’analyses statiques (5 137 882) et plus de 18 millions d’analyses de composition logicielle (18 473 203). Toutes ces analyses ont produit 42 millions de résultats statiques bruts, 3,5 millions de résultats dynamiques bruts et six millions de résultats SCA bruts.

Ces données représentent de grandes comme de petites entreprises, des fournisseurs de logiciels commerciaux, des sous-traitants de logiciels et des projets de logiciels libres. Dans la plupart des analyses, une même application n’a été comptée qu’une seule fois, même si elle a été soumise plusieurs fois au fur et à mesure que les vulnérabilités étaient corrigées et que de nouvelles versions étaient mises en ligne.

À propos de Veracode

Veracode est un partenaire AppSec de référence pour la conception de logiciels sécurisés, la réduction des risques de violation de la sécurité et l’augmentation de la productivité des équipes de sécurité et de développement. Ainsi, les entreprises qui ont recours à Veracode sont en mesure de faire progresser leur activité et le monde. En combinant l’automatisation des processus, les intégrations, la vitesse et la réactivité, Veracode offre aux entreprises des résultats précis et fiables qui leur permettent de concentrer leurs efforts sur la correction, et pas seulement sur la recherche, des éventuelles vulnérabilités. En savoir plus à l’adresse www.veracode.com, sur le Veracode blog et sur Twitter.

Copyright © 2022 Veracode, Inc. Tous droits réservés. Veracode est une marque déposée de Veracode, Inc. aux États-Unis et peut être enregistré dans d’autres juridictions. Tous les autres noms de produits, marques et logos appartiennent à leurs propriétaires respectifs. Toutes les autres marques commerciales citées dans ce communiqué sont la propriété de leurs détenteurs respectifs.

Le texte du communiqué issu d’une traduction ne doit d’aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d’origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.