Selon Veracode, les applications développées par des entreprises en Europe, au Moyen-Orient et en Afrique ont tendance à comporter davantage de failles de sécurité que celles créées par leurs équivalents américains.
Dans tous les domaines analysés, la région EMEA présente également la proportion la plus élevée de failles de « haute gravité », ce qui signifie qu’elles susciteraient une préoccupation critique pour les entreprises si elles étaient exploitées. Une grande variété de défauts et de vulnérabilités dans les applications est corrélée à des niveaux de menace accrus, ce qui est particulièrement important alors que les cyberattaques de la chaîne d’approvisionnement logicielle font la une des journaux en 2023.
Des vulnérabilités déconcertantes des applications à travers le monde
Chercheurs a découvert qu’un peu plus de 80 % des applications développées par les organisations de la région EMEA présentaient au moins une faille de sécurité détectée lors de leur dernière analyse au cours des 12 derniers mois, contre un peu moins de 73 % des organisations américaines. En outre, la proportion d’applications comportant des défauts de « haute gravité » était la plus importante de tous les domaines, soit près de 20 %.
« Nos informations révèlent que les entreprises du monde entier continuent de déployer une variété inquiétante d’applications avec une grande variété de défauts dans le Top 25 CWE », a déclaré Chris Eng, directeur des études de recherche chez Veracode. « Nous avons cependant reconnu des distinctions régionales intéressantes, notamment en termes d’utilisation de codes tiers ou open source et de méthodes par lesquelles les vulnérabilités sont introduites tout au long du cycle de vie des applications », a-t-il poursuivi.
Les chiffres seuls le font. ne transmet pas les répercussions des pirates informatiques exploitant les vulnérabilités des applications logicielles. Alors que les organisations de la zone EMEA utilisent un mélange toujours plus complexe d’applications logicielles tierces pour fournir leurs services, l’exploitation d’une vulnérabilité grave peut avoir un impact simultané sur d’innombrables victimes.
Plus tôt cette année, une vulnérabilité affectant les outils logiciels d’impression PaperCut MF et PaperCut NG a été activement exploitée par des acteurs malveillants. Jusqu’à 70 000 entreprises dans 200 pays ont fini par être des victimes potentielles, et des rapports de police ont révélé que les étoiles à risque mettaient effectivement en péril les entités sensibles du secteur de l’éducation.
L’IA générative augmente le risque de vulnérabilité
La recherche L’étude a déterminé des distinctions locales significatives dans l’utilisation privilégiée du langage, Java étant exposé comme étant le langage privilégié des développeurs dans la région EMEA. Il a été découvert que les équipes utilisant Java corrigeaient les défauts à un rythme plus lent que celles utilisant .NET ou JavaScript, ce qui faisait que bon nombre de ces failles persistaient ou restaient inaperçues pendant beaucoup plus longtemps.
Étant donné que plus de 95 % des applications Java sont composées de code tiers ou open source, l’utilisation de Java est un élément essentiel dans la plus grande partie des vulnérabilités présentées dans les applications de la région. Cela met en évidence l’importance de l’analyse de la structure logicielle (SCA), qui détecte les failles dans le code open source, et l’étude de recherche a révélé un pourcentage plus élevé de failles signalées par SCA dans la région EMEA que dans d’autres régions.
Comme génératif L’IA continue de gagner du terrain dans le développement d’applications logicielles, le risque de vulnérabilités provenant de sources externes augmente. Une étude de recherche, réalisée à Black Hat en 2022, a révélé des vulnérabilités dans 40 % du code qui avait en fait été composé par de grands modèles de langage formés sur de grandes quantités d’informations non raffinées, y compris d’innombrables référentiels publics GitHub.
Il est donc essentiel que les organisations utilisent les outils SCA pour rechercher et corriger les failles, permettant ainsi aux concepteurs de tirer parti de l’IA sans compromettre la sécurité des applications.
Les applications EMEA révèlent des taux de défauts plus élevés
Les applications EMEA révèlent des taux de défauts plus élevés
h3>
L’étude de recherche a également révélé que de nouvelles failles continuent d’être introduites dans les applications EMEA à un rythme bien plus élevé tout au long du cycle de vie des applications que dans d’autres domaines. Alors que les entreprises de la zone EMEA continuent de mettre à jour leurs applications, elles se concentrent moins sur la qualité.
Après une période de cinq ans, 50 % des applications dans la région EMEA continuent de présenter de nouveaux défauts, contre un peu plus de 30 % pour le reste du monde. En général, la probabilité de base qu’une faille soit présentée au cours d’un mois donné était de 27 %.
En tant que telles, les organisations de la zone EMEA gagneraient à accorder plus d’attention à la dernière partie du cycle de vie des applications et à analyser les applications. plus systématiquement. Ils doivent également donner la priorité à la formation en sécurité des développeurs, l’étude de recherche révélant que la réalisation de 10 laboratoires de sécurité interactifs réduit la probabilité d’introduction de défauts de 27 % à environ 25 % au cours d’un mois donné.
« Le rapport de cette année brille un éclairage sur la valeur de la sécurité tout au long du cycle de vie des applications logicielles, ainsi que sur le besoin urgent de faire face aux dangers posés par le code tiers et généré par l’IA », a ajouté Eng. « Alors que nous constatons toujours un volume inquiétant de vulnérabilités à l’échelle internationale, ces chiffres sont plus élevés dans la région EMEA dans presque toutes les mesures. Les équipes de développement de cette région doivent saisir l’opportunité d’automatiser la sécurité des applications logicielles pour une analyse régulière et réfléchir attentivement à leur utilisation des outils d’IA, à la fois pour accroître la sécurité et responsabiliser les développeurs. »
.
Toute l’actualité en temps réel, est sur L’Entrepreneur