sam. Avr 4th, 2020

La région EMEA tarde à réparer les failles, mais garde la dette liée à la sécurité sous contrôle

Etude par Veracode

Dans son dernier rapport « State of Software Security », Veracode a marqué une décennie d’informations sur l’évolution de la sécurité, et révélé que les équipes progressent vers un développement sécurisé. Mais existe-t-il des disparités entre les différentes régions ? L’Europe fait-elle figure de bon élève ?

 

Le rapport dégage quelques tendances intéressantes par région :

  • Le prévalence globale des failles a augmenté de 11% depuis le premier rapport il y a 10 ans, mais la proportion des failles considérées comme de gravité élevée a chuté de 14% au cours de la même période ! Et les entreprises de la région EMEA présentent le moins de failles de gravité élevée (32 %), contre 37% en Amérique et 40% pour la région APAC. Cela démontre que les équipes de développement sont de plus en plus à même d’identifier les failles qui doivent être corrigées en priorité.
  • Les régions US et EMEA ont corrigé le même pourcentage impressionnant de failles (respectivement 73 % et 72 %), tandis que la région APAC en a corrigé un peu plus de la moitié (55 %). Par le passé, l’écart entre les régions US et EMEA était beaucoup plus important. Le taux de correction similaire suggère que les entreprises de la région EMEA s’emploient à développer leurs programmes de sécurité des applications afin de rivaliser avec les US.
  • Cependant, les résultats sont très différents en ce qui concerne le temps médian que les entreprises prennent pour corriger leurs failles. La région APAC est largement en tête avec 42 jours, suivie par les US avec 56 jours, tandis que les entreprises de la zone EMEA mettent en moyenne 147 jours pour corriger les failles.
  • En ce qui concerne la dette de sécurité par application, les entreprises transatlantiques arrivent en tête avec 156 failles par application, tandis que les régions EMEA et APAC comptent respectivement 210 et 732 failles par application. Bien que les entreprises de la région EMEA semblent généralement mettre plus de temps à corriger les failles, elles parviennent tout de même à maîtriser leur dette, sans doute parce qu’elles partent d’un nombre de failles moins élevé. Cela souligne le fait que les entreprises doivent réfléchir à l’impact positif sur la dette de sécurité que peuvent avoir l’approche DevSecOps et les tests fréquents de sécurité des applications dans les environnements DevOps.

 

Cliquez ici pour télécharger le rapport State of Software Security Volume 10 de Veracode.

Méthodologie : 

Le rapport State of Software Security (SOSS) Volume 10 de Veracode présente une analyse complète des données de test de la sécurité des applications issues d’analyses de plus de 2 000 milliards de lignes de code effectuées par la base de plus de 2 300 entreprises de Veracode Pour cette itération, Veracode a collaboré avec des scientifiques des données du Cyentia Institute afin de mieux visualiser et comprendre le comportement en matière de correction des vulnérabilités. En 2009, le premier volume du rapport SoSS avait scanné 1 591 applications contre 85 000 en 2019 via la dixième édition/

%d blogueurs aiment cette page :