Plus de la moitié des programmeurs ont reconnu mettre en ligne des applications vulnérables
La société de fourniture de services informatiques du monde immersive Labs a publié récemment et rapport portant le titre de : « Imperfect People, Vulnerable Applications ».
Dans son enquête qui a permis de produire le résultat contenues dans le rapport, la société avait découvert que le développeur avait tendance à publier de manière volontaire et certains nombres d’applications affectées déjà de vulnérabilité. « La grande majorité des développeurs des grandes entreprises, en particulier les cadres supérieurs, choisissent de mettre en ligne des applications qu’ils savent non sécurisées », a signifié Immersive Labs dans son rapport. « Les équipes de sécurité ont peu confiance dans le cycle de vie du développement logiciel (SDLC). Seule une minorité d’équipes de sécurité pense que leur environnement de développement d’applications pourrait résister à une attaque similaire à celle de SolarWinds », précise ledit rapport.
Cet article va aussi vous intéresser : Vous êtes vulnérables aux cyberattaques peu importe l’endroit où vous êtes
Pour arriver à cette conclusion la société a dû interrogé plusieurs développeurs d’application ainsi que plusieurs professionnels du secteur de la sécurité informatique. Au final la société a retenu que la très grande majorité avait cette manie de publier des applications vulnérables. C’est près de 81 % de développeurs qui ont admis mettre en circulation des applications qui sont facilement piratable. Et cela de manière récurrente
« Pour les développeurs interrogés en tant que groupe unique, plus de la moitié d’entre eux publient « parfois » ou « souvent » du code non sécurisé. », note le rapport.
Toujours selon les résultats de l’enquête, les professionnels qui ont plus tendance à publier des codes non sécurisés sont notamment les ingénieurs de développement senior ainsi que les chefs de DevOps sans oublier les responsables du développement. Ces failles de sécurité constituent les principales voies d’entrée des pirates informatiques et la source principale des cyberattaques à grande échelle.
D’un autre côté, selon un rapport publié par Dynatrace, la raison de cette situation pourrait s’expliquer par le fait que les responsables de sécurité de système d’information ont généralement pour inquiétude l’adaptation croissante et beaucoup plus rapide de certains outils informatiques en particulier les architectures natives du Cloud. L’étude a aussi mis en évidence les inconvénients émanant des pratiques habituelles du DevSecOps, qui a influencé directement l’approche traditionnelle de la cybersécurité des applications. Elle a observé que 89 % le responsable de sécurité de système d’information estime que les conteneurs, les micro services et les Kubernetes ont créé des angles morts qui permettent aux pirates informatiques de facilement s’engouffrer. Par ailleurs 71 % de ces personnes ont admis qu’ils n’ont pas confiance généralement qu’un code soit à 100 % invulnérables avant sa mise en production.
Par ailleurs, une enquête réalisée partout dans le monde impliquant près de 700 responsables de sécurité de système d’information a montré que 97 % des organisations ne disposent pas encore de suffisamment de visibilité sur la failles de sécurité et cela en temps réel. Ce problème de visibilité s’observe beaucoup plus dans des environnements où la production et généralement conteneurisé. De plus, 63 % des responsables des sécurités de système d’informations ont avoué que les méthodes DevOps ainsi que le développement de type agile ont rendu beaucoup plus compliqué les détections ainsi que la gestion des failles de sécurité logicielles. 74 % de ses responsables de sécurité de système des formations ont aussi signifié que les méthodes de détection des failles de sécurité habituelles à savoir les scanner de vulnérabilités, ont du mal à être adapté et s à l’univers natif du Cloud
« Les développeurs en général étaient plus susceptibles que leurs homologues de la sécurité de dire qu’ils disposent de suffisamment de temps et de ressources pour accomplir leurs tâches. Cela semble indiquer que les équipes de sécurité sont plus sollicitées par les ressources. Il y a un écart notable entre les évaluations fournies par les personnes interrogées dans des rôles supérieurs et celles des équipes de première ligne. Ceci est vrai pour les groupes de sécurité et de développeurs. Il faut s’y attendre, car les responsabilités diffèrent, mais les écarts indiquent que les personnes qui créent les applications elles-mêmes ont le niveau le plus bas d’appropriation personnelle de la sécurité, un niveau de responsabilité plus faible sécurité, ainsi qu’une mauvaise compréhension des dernières menaces pour la sécurité des applications. », précise le rapport de Immersive Labs.
Accédez maintenant à un nombre illimité de mot de passe :