BURLINGTON, Massachusetts--(BUSINESS WIRE)--Veracode, leader mondial de la gestion des risques applicatifs, a publié aujourd’hui une nouvelle étude mettant en évidence l’état de la dette de sécurité logicielle dans le secteur des services financiers. La dette de sécurité, définie dans ce rapport comme les failles non corrigées depuis plus d’un an, existe dans 76 % des organisations du secteur des services financiers, 50 % d’entre elles ayant une dette de sécurité critique.
Le coût moyen d’une violation de données dans le secteur financier étant estimé à 6,08 millions de dollars1, cette étude arrive à un moment critique pour l’un des secteurs les plus ciblés par les acteurs malveillants sophistiqués. Selon un rapport du département du Trésor des États-Unis datant de mars 2024, les acteurs malveillants utilisent des outils basés sur l’IA pour trouver et exploiter les vulnérabilités des logiciels à un rythme sans précédent. Dans le même temps, l’intensification de la concurrence dans le secteur et les attentes des clients en matière de commodité obligent les organisations à accélérer l’innovation.
« Le taux élevé de dettes de sécurité dans le secteur financier pose des risques importants pour les organisations et leurs clients s’il n’est pas traité rapidement. Tandis que les cyberattaques basées sur l’IA continuent de croître en force et en nombre, et que les organisations peinent à suivre l’évolution des réglementations en raison de la dette de sécurité existante, le paysage actuel permet aux acteurs malveillants d’exploiter les vulnérabilités à un rythme alarmant et sans précédent », déclare Chris Wysopal, ambassadeur principal de la sécurité chez Veracode. « Notre dernière étude sur l’état des logiciels met en évidence la nécessité pour les institutions financières de remédier dès maintenant aux vulnérabilités des codes de première et de tierces parties. Les organisations qui ne corrigent pas les failles pendant plus d’un an s’exposent à des menaces prolongées et dangereuses. »
Le retard dans la correction des failles menace la sécurité du secteur financier
Les chercheurs de Veracode ont constaté que 40 % de toutes les applications du secteur financier ont une dette de sécurité, ce qui est légèrement mieux que la moyenne intersectorielle de 42 %. Seulement 5,5 % des applications du secteur financier sont en outre exemptes de failles, contre 5,9 % dans les autres secteurs d’activité. Si les applications du secteur financier sont un peu moins nombreuses à présenter une dette de sécurité, elles en accumulent davantage.
Le rapport souligne également la nécessité pour les organisations de services financiers de s’attaquer à la dette de sécurité à la fois dans les codes de première et de tierces parties. Quatre-vingt-quatre pour cent de la dette de sécurité concerne le code de première partie, mais la majorité (78,6 %) de la dette de sécurité critique provient des dépendances de tierces parties. Cela renforce l’importance des efforts de l’Agence pour la cybersécurité et la sécurité des infrastructures pour aider à sécuriser l’écosystème des logiciels libres avec sa feuille de route pour la sécurité des logiciels libres et son engagement pour la sécurité dès la conception.
L’analyse porte également sur les délais de correction dans le secteur des services financiers. Les chercheurs ont constaté que les organisations financières corrigent la moitié des failles de première partie dans les neuf premiers mois, contre 13 mois pour les failles de tierces parties. Parmi ces dernières, 52 % des failles de tierces parties se transforment en dettes de sécurité, contre 44 % pour les failles de première partie.
L’importance de l’établissement de priorités dans la correction des risques
La prolifération des attaques de la chaîne d’approvisionnement ciblant le secteur des services financiers a donné lieu à un nombre croissant de réglementations en matière de cybersécurité qui mettent davantage l’accent sur la sécurité des logiciels. Par exemple, des cadres réglementaires tels que la norme ISO 20022, la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS), la norme NIS2 et le Digital Operational Resilience Act (DORA) exigent des organisations qu’elles empêchent les vulnérabilités d’être déployées dans les applications.
Les entreprises risquent donc de ne pas se conformer à la loi en raison de la dette de sécurité existante et des stratégies de remédiation obsolètes. L’étude de Veracode révèle que les organisations peuvent faire face à ce risque en donnant la priorité aux 3,3 % de failles qui constituent une dette de sécurité critique. En remédiant d’abord aux failles les plus dangereuses, les entités financières peuvent ensuite s’attaquer à d’autres failles critiques ou à des dettes non critiques en fonction de leur tolérance au risque et de leurs capacités.
Le rôle de la gestion de la sécurité des applications
Le besoin accru de hiérarchisation des risques crée une demande importante de gestion de la sécurité des applications (ASPM) pour suivre en permanence les risques grâce à la collecte, à la visibilité et à l’analyse des problèmes de sécurité tout au long du cycle de développement du logiciel. La plateforme de gestion des risques applicatifs de Veracode fournit une vue complète et unifiée des risques à travers le code et les applications, permettant aux développeurs et aux équipes de sécurité de remédier rapidement aux problèmes. Avec la solution basée sur l’IA Veracode Fix, les équipes peuvent prévenir de manière proactive les nouvelles vulnérabilités et réduire efficacement les arriérés de sécurité existants. L’analyse contextuelle de la plateforme permet de découvrir les causes profondes, guidant les développeurs vers les étapes suivantes optimales qui maximisent la réduction des risques avec un minimum d’efforts.
Chris Wysopal conclut : « Il n’a jamais été aussi important pour le secteur des services financiers de garder une longueur d’avance sur les menaces de cybersécurité en constante évolution, en particulier avec les attaques de plus en plus sophistiquées basées sur l’IA qui menacent la sécurité de leurs actifs. J’exhorte les institutions financières à donner la priorité à la réduction rapide de la dette de sécurité en adoptant des outils de remédiation et d’ASPM basés sur l’IA qui peuvent détecter, hiérarchiser et corriger les vulnérabilités en quelques secondes. »
Le rapport Veracode State of Software Security Financial Services 2024 est disponible à la lecture sur le site Web de Veracode.
1 IBM, « Cost of a Data Breach Report 2024 », IBM et Ponemon Institute, 30 juillet 2024
À propos du rapport State of Software Security
Le rapport Veracode State of Software Security 2024 a analysé des données provenant de grandes et petites entreprises, de fournisseurs de logiciels commerciaux, d’outsourceurs de logiciels et de projets open source. L’étude s’appuie sur plus d’un million (1 007 133) d’applications pour tous les types d’analyse, 1 553 022 analyses dynamiques et 11 429 365 analyses statiques. Toutes ces analyses ont produit 96 millions de résultats statiques bruts, 4 millions de résultats dynamiques bruts et 12,2 millions de résultats d’analyse de la composition des logiciels bruts.
À propos de Veracode
Veracode est un leader mondial de la gestion des risques applicatifs à l’ère de l’IA. Alimentée par des billions de lignes de scans de code et un moteur de remédiation propriétaire assisté par IA, la plateforme Veracode bénéficie de la confiance d’organisations du monde entier pour construire et maintenir des logiciels sécurisés, de la création du code au déploiement dans le cloud. Des milliers d’équipes de développement et de sécurité parmi les plus importantes au monde utilisent Veracode chaque seconde de chaque jour pour obtenir une visibilité précise et exploitable des risques d’exploitation, remédier en temps réel aux vulnérabilités et réduire leur dette de sécurité à grande échelle. Veracode est une société plusieurs fois primée qui offre des capacités pour sécuriser l’ensemble du cycle de vie du développement logiciel, y compris Veracode Fix, l’analyse statique, l’analyse dynamique, l’analyse de la composition de logiciels, la sécurité des conteneurs, la gestion de la posture de sécurité des applications et les tests de pénétration.
Pour en savoir plus, rendez-vous sur www.veracode.com, le blog Veracode, LinkedIn et X.
Copyright © 2024 Veracode, Inc. Tous droits réservés. Veracode est une marque déposée de Veracode, Inc. aux États-Unis et peut être enregistrée dans d’autres juridictions. Tous les autres noms de produits, marques ou logos appartiennent à leurs titulaires respectifs. Toutes les autres marques citées ici sont la propriété de leurs propriétaires respectifs.
Le texte du communiqué issu d’une traduction ne doit d’aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d’origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.