Une étude du Ponemon Institute commandée par IBM se focalise sur les manquements en sécurisation des applications.
Même si chacun s’accorde sur l’insuffisance de la sécurité périmétrique, se contenter d’une sécurité réseau est également insuffisant. Une récente étude du Ponemon Institute commandée par IBM montre ainsi un pan de la sécurité du système d’information tout à fait négligé : les applications. Or, les fameuses failles que l’on relève régulièrement dans les logiciels les plus courants relèvent de cette catégorie. Observons cependant que l’étude a été réalisée aux Etats-Unis uniquement.
Avant de songer à corriger des problèmes, encore faut-il les connaître. Or, pour les deux-tiers des répondants, l’entreprise n’a aucune visibilité réelle sur l’état de la sécurité des applications dont elle dispose et près de 7 sur 10 ignorent même la liste complète des applications utilisées. De plus, un tiers des répondants affirme que leur entreprise ne réalise aucun des tests de vulnérabilité et la moitié qu’aucune mesure réelle n’est prise contre réduire les risques liés aux vulnérabilités applicatives.
La sécurité applicative négligée
La sécurité applicative n’est dans les priorités de la politique sécurité que dans moins d’un quart des entreprises. Le focus est en effet plutôt mis sur d’une part la baisse des coûts, la réactivité et l’agilité, d’autre part sur la nécessité de répondre aux menaces de disruptions business. Pourtant, de nombreuses menaces sont considérées comme importantes, au premier chef desquels les injections SQL et les attaques par scripts cross-sites.
Il conviendrait donc d’accroître la visibilité des risques encourus. Cela passe par l’allocation de ressources à la recherche et au comblement des failles. Et, bien entendu, les applications les plus sensibles sur le plan business doivent être prioritaires.
A propos de l’étude
L’étude How to Make Application Security a Strategically Managed Discipline a été réalisée par le Ponemon Institute et publiée en mars 2016. Elle est basée sur une enquête auto-administrée menée sur une population de 16373 responsables de la sécurité applicative dans leurs organisations situées aux Etats-Unis, 630 réponses ayant été reçues et prises en compte, base des pourcentages (composition de l’échantillon : voir pages 20 et 21 du rapport). Télécharger l’étude complète (PDF gratuit contre qualification, document en anglais)
Article de Laurent Mavallet