Veracode a publié une étude révélant que les applications développées par les organisations du secteur public présentent généralement un nombre plus élevé de failles de sécurité que celles créées par le secteur privé. Ces résultats sont significatifs car l’accroissement des failles et des vulnérabilités dans les applications est directement lié à une augmentation du niveau de risque. Cette étude s’inscrit dans lecadre d’un ensemble d’initiatives récemment prises par le gouvernement fédéral américain pour renforcer la cybersécurité, notamment en réduisant les vulnérabilités des applications qui remplissent des fonctions essentielles au sein de l’appareil gouvernemental.

Selon les chercheurs, près de 82 % des applications développées par des organisations du secteur public ont été identifiées avec au moins une faille de sécurité lors de leur dernière analyse au cours des 12 derniers mois, contre 74 % pour les organisations du secteur privé. Selon le type de faille identifiée, les applications du secteur public avaient une probabilité de présenter une faille au cours des 12 derniers mois supérieure de 7 à 12 % par rapport à celles du secteur privé.

"La disparité entre le nombre de failles détectées dans les organisations du secteur public et celles du secteur privé est considérable. Les initiatives engagées par le gouvernement pour réduire cet écart sont essentielles et doivent être maintenues", a déclaré Chris Eng, directeur de la recherche chez Veracode. "En tant que garants de la sécurité publique, les institutions ont la responsabilité de combler cette lacune et de renforcer la sécurité afin de protéger la nation et ses citoyens."

L’analyse des données provenant de plus de 27 millions d’analyses portant sur 750 000 applications a permis de produire le dernier rapport annuel de Veracode sur l’état de la sécurité des logiciels. Ce dernier présente les résultats spécifiques aux applications du secteur public, y compris les autorités fédérales américaines, étatiques et locales

Les chiffres ne suffisent pas à décrire pleinement les conséquences des cyberattaques exploitant les failles des logiciels. Un exemple concret s’est produit récemment en mai de cette année, lorsque la ville de Dallas a été victime d’une attaque de ransomware. Cette attaque a paralysé les services publics essentiels, notamment les systèmes informatiques utilisés par les organismes de sécurité publique. Même après plus de trois semaines, les institutions de la ville n’ont pas encore totalement récupéré de cette attaque.

Les failles à forte gravité : une victoire pour le secteur public

L’étude de Veracode a également apporté des raisons d’optimisme concernant la sécurité des applications au sein des organisations du secteur public. Il a été constaté que la découverte de failles à "forte gravité" dans les applications du secteur public (16,5 %) au cours d’une période de 12 mois, était inférieure à celle observée dans les applications du secteur privé (19 %). Il est important de noter que les failles à forte gravité, lorsqu’elles sont exploitées, présentent un potentiel d’impact négatif plus important.

Les tests d’application modernes recommandent l’utilisation de divers outils d’analyse de sécurité, tels que les tests statiques de sécurité des applications (SAST) et l’analyse des composants Open Source utilisés par ces logiciels (SCA). Chaque type d’analyse permet de découvrir différents types de failles. Les résultats obtenus grâce aux SAST et aux SCA ont révélé un pourcentage moins élevé de failles dans les organisations du secteur public par rapport au secteur privé.

La découverte d’un nombre moindre de défauts lors de l’utilisation d’outils SCA peut être attribuée à l’impact initial du décret de mai 2021 (EO 14028) qui demande aux agences fédérales américaines de renforcer la protection de la supply chain logicielle. Ce décret encourage également l’utilisation de nomenclatures logicielles (SBOM) pour favoriser la transparence et la visibilité. De plus, les programmes FedRAMP et StateRAMP normalisent respectivement l’évaluation de sécurité des services cloud au niveau fédéral et local.

"Au fur et à mesure que les systèmes informatiques modernes ont évolué et sont devenus plus complexes, la classification des vulnérabilités applicatives est devenue plus variée", a déclaré M. Eng. "C’est pourquoi l’utilisation de plusieurs types d’analyse pour trouver et corriger les failles est devenue une pratique recommandée.

Prévenir plutôt que guérir : les avantages de l’anticipation en matière de sécurité

Une différence frappante entre les applications du secteur public et celles du secteur privé réside dans la vitesse à laquelle les scanners découvrent de nouvelles failles dans les logiciels vieillissants. Après cinq ans de mise en production, les deux secteurs connaissent une évolution divergente : les applications du secteur privé voient leurs taux de nouvelles failles introduites augmenter, tandis que pour les agences du secteur public, ces taux diminuent.

Cette tendance suggère que les organismes du secteur public sont plus vigilants quant au maintien de la sécurité des applications au fil du temps, et pas seulement au cours des premières années du cycle de vie. Les applications non gouvernementales, en revanche, connaissent une augmentation progressive et constante de l’introduction de nouvelles failles au fur et à mesure qu’elles vieillissent.

Le rapport State of Software Security Public Sector 2023 recommande quatre mesures que les agences peuvent prendre pour améliorer leur position en matière de cybersécurité.

– Rattraper le retard : corriger les défauts connus présents dans la dette sécurité
– Analyse régulière : une analyse erratique rend la correction des défauts plus difficile, ce qui entraîne une augmentation des retards.
– Automatiser : l’automatisation des tests via les API réduit les risques de failles dans les applications.
– Ajouter DAST : utiliser l’analyse dynamique pour découvrir des failles que les autres types d’analyse ne détectent pas.

"Le secteur public a beaucoup progressé dans le renforcement de la sécurité des applications au service de notre gouvernement, mais il reste encore du travail à faire pour que les agences améliorent leur position en matière de cybersécurité et repoussent les menaces qui se profilent. En concentrant leurs efforts en matière de sécurité sur la cause première de la plupart des cyberattaques, à savoir la couche applicative, les administrations peuvent réaliser les améliorations nécessaires. En procédant à des analyses régulières à l’aide de différents types de tests et en s’attaquant à la dette de sécurité - les vulnérabilités logicielles accumulées qui menacent la sécurité d’un système -, les agences gouvernementales ouvriront la voie à un avenir plus sûr", a conclu M. Eng.

L’étude complète sur le secteur public du rapport Veracode State of Software Security est disponible et fournit des mesures comparatives essentielles entre les agences gouvernementales.