Le nombre de vulnérabilités découvertes atteint de nouveaux sommets

Version imprimable, PDF et e-mail

Compte tenu de la particularité de cette année, les tendances sont plus difficiles à évaluer avec précision, mais dans son rapport, Bugcrowd, qui est à l'origine d'une plateforme de sécurité de premier plan en crowdsourcing, suggère qu'avec l'augmentation des professionnels de la cybersécurité en télétravail, le nombre de vulnérabilités présentant un risque élevé a fortement progressé.

Le rapport constate une augmentation de 50 % des soumissions sur sa plateforme au cours des 12 derniers mois, y compris une augmentation de 65 % des soumissions urgentes. Il faut reconnaître qu'il n'y a jamais eu autant de logiciels utilisés dans des environnements de production, de même qu'il y a beaucoup plus de testeurs qui appliquent les consignes de distanciation physique. En conséquence, le temps consacré à la recherche de bugs a également considérablement augmenté.

Malheureusement, le rapport indique également que les vulnérabilités découvertes cette année sont sensiblement identiques à celles de l'année dernière et probablement de l'année précédente. Les vulnérabilités les plus fréquentes signalées en 2020 concernaient des contrôles d'accès défaillants, suivies par les vulnérabilités liées au Cross-site scripting (XSS).

Dans l'ensemble, le rapport souligne que les dépenses totales consacrées à la recherche de vulnérabilités connaissent une progression constante d'environ 15 à 20 % par trimestre.

Corriger des vulnérabilités

Malheureusement, ce n'est pas parce que de nouvelles vulnérabilités sont détectées qu'elles sont pour autant corrigées. La création et le déploiement de logiciels est un processus complexe. Les entreprises doivent sans cesse choisir entre la correction des vulnérabilités et l'ajout de nouvelles fonctionnalités. Il n'est pas rare que les équipes de cybersécurité fournissent aux développeurs une liste de vulnérabilités qui seront totalement ignorées. Ce comportement s'explique en partie par la mauvaise qualité du travail de ces équipes car elles ne parviennent pas à déterminer l'importance d'une vulnérabilité par rapport à une autre. Le reste résulte directement des retards accumulés par la plupart des développeurs d'applications dans le déploiement de la fonctionnalité dernier cri tant attendue par toute l'entreprise.

Évidemment, l'adoption des bonnes pratiques DevSecOps est censée résoudre ces problèmes. Les équipes informatiques devraient donc s'efforcer de faire converger développement applicatif et workflows afin de concevoir un code plus sécurisé avant de le déployer dans un environnement de production. Après tout, corriger le code avant son déploiement revient bien moins cher que de le faire a posteriori. Concrètement, le DevSecOps, comme beaucoup d'autres choses, alimente plus les discussions qu'il n'est mis en pratique.

A ce titre, il sera intéressant de suivre l'évolution des tests de vulnérabilité en 2021. Étant donné que les entreprises optent pour des conteneurs tels que Docker pour créer des applications, la correction des vulnérabilités par extraction et remplacement du code devrait être beaucoup plus simple. Plutôt que de corriger une application dans son intégralité, le développeur n'a plus qu'à supprimer et remplacer le conteneur dans lequel le code en question a été encapsulé.

En revanche, ces conteneurs sont exploités pour créer des applications reposant sur des microservices parfois difficiles à sécuriser. Chaque microservice possède sa propre interface de programmation (API) devant être sécurisée par les développeurs qui en créent et en déploient davantage chaque jour. Il se peut que les entreprises passent tout simplement d'un problème de sécurité d'application à un autre.

En attendant, les professionnels de la cybersécurité se réjouissent à l'idée que ces problèmes finissent par apparaître tôt ou tard.

 

Remonter en haut de page
Tweeter
Partager
Partager