Même si chacun s'accorde sur l'insuffisance de la sécurité périmétrique, se contenter d'une sécurité réseau est également insuffisant. Une récente étude du Ponemon Institute commandée par IBM montre ainsi un pan de la sécurité du système d'information tout à fait négligé : les applications. Or, les fameuses failles que l'on relève régulièrement dans les logiciels les plus courants relèvent de cette catégorie. Observons cependant que l'étude a été réalisée aux Etats-Unis uniquement.
Avant de songer à corriger des problèmes, encore faut-il les connaître. Or, pour les deux-tiers des répondants, l'entreprise n'a aucune visibilité réelle sur l'état de la sécurité des applications dont elle dispose et près de 7 sur 10 ignorent même la liste complète des applications utilisées. De plus, un tiers des répondants affirme que leur entreprise ne réalise aucun des tests de vulnérabilité et la moitié qu'aucune mesure réelle n'est prise contre réduire les risques liés aux vulnérabilités applicatives.
La sécurité applicative négligée
La sécurité applicative n'est dans les priorités de la politique sécurité que dans moins d'un quart des entreprises. Le focus est en effet plutôt mis sur d'une part la baisse des coûts, la réactivité et l'agilité, d'autre part sur la nécessité de répondre aux menaces de disruptions business. Pourtant, de nombreuses menaces sont considérées comme importantes, au premier chef desquels les injections SQL et les attaques par scripts cross-sites.
Il conviendrait donc d'accroître la visibilité des risques encourus. Cela passe par l'allocation de ressources à la recherche et au comblement des failles. Et, bien entendu, les applications les plus sensibles sur le plan business doivent être prioritaires.
Sauf que quand on est au cœur du sujet, c'est complètement vrai. Les contrôles de code source sont la dernière roue du 42 tonnes de la SSI, budgets et ressources obligent, malheureusement ...
Signaler un abusun RSSI
Qui paie les violons donne le ton.
Signaler un abusUne étude sur la sécurité applicative commandé par un éditeur de produits de sécurité applicative : le résultat n'est guère surprenant