C'est pas mon idée !

samedi 25 septembre 2010

La sécurité du logicel reste médiocre

Veracode
Veracode, qui propose des services en "cloud" de tests de sécurité, publie la deuxième édition de son rapport de la sécurité des logiciels, issue de son analyse de 2900 applications. Et les résultats ne sont pas très rassurants...

Ainsi, 43% seulement de l'ensemble des applications bénéficient d'un diagnostic de sécurité "acceptable" lors de leur première soumission et en prenant en compte leur criticité. Les applications web (y compris en "cloud"), qui sont heureusement les plus souvent testées, sont aussi les plus sensibles puisque 80% d'entre elles ne sont pas considérés comme suffisamment sécurisées pour passer un audit PCI (Payment Card Industry). Un autre axe d'analyse démontre par ailleurs que le "code tiers" (les composants externes, libres ou non, intégrés dans des solutions globales) est une source importante de failles de sécurité, avec 81% d'échec aux tests.

Et alors qu'on aurait pu espérer que les banques, compagnies d'assurance et autres institutions financières, plus sensibles à la sécurité, soient mieux placées, il n'en est rien : leurs résultats se situent au niveau de la moyenne générale.

La seule note positive du rapport de Veracode est que la correction des failles est de plus en plus rapide, ce qui montre que la maîtrise des exigences de sécurité progresse parmi les développeurs, aidés en cela par des outils plus perfectionnés. Mais la sensibilisation et la formation des professionnels, ainsi que la prise en compte de la sécurité tout au long des processus de développement (de la conception aux tests), méritent encore de gros efforts pour éviter des attaques qui peuvent devenir catastrophiques pour les entreprises.

Aucun commentaire:

Publier un commentaire

Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)