En effet, selon le rapport sur l'état des logiciels de sécurité établi par Veracode après évaluation de 4 835 applications sur une période de 18 mois, 58 % de toutes les applications soumises à l'éditeur ont été jugées de « qualité inacceptable sur le plan de la sécurité. » Plus étonnant encore, 72 % des logiciels de sécurité se voient aussi qualifiés de la sorte (il s'agit du deuxième plus mauvais score après les logiciels de support client qui atteignent 82%) . « De nombreux dirigeants croient qu'en dépensant 500 000 dollars pour un logiciel de sécurité vendu par un éditeur important, ils disposent d'un produit intrinsèquement sûr, » dit Gunnar Peterson, architecte en sécurité logicielle et CTO de la société de conseil en informatique Arctec Group. « C'est absolument faux, et je pense que de nombreux cadres dirigeants l'ignorent, » ajoute-t-il.

Apprécier la qualité du développement des logiciels est une affaire compliquée, et certains analystes pensent que les données faisant état de niveaux bruts de vulnérabilité ne permettent pas de prendre en compte les efforts réalisés par les éditeurs. « Il serait intéressant de mettre ces données en corrélation avec la taille et la complexité des applications évaluées, » estime Pete Lindstrom, directeur de recherche chez Spire Security. Il n'en reste pas moins que Veracode pointe du doigt la prise de conscience des développeurs pour corriger certaines vulnérabilités. Les exemples de RSA, Comodo montrent que des attaques traditionnelles comme des injections SQL peuvent avoir raison des logiciels de sécurité les plus élaborés.

Des standards et des corrections


Le rapport constate également que les secteurs de la finance et du logiciel requièrent un mode de vérification plus formel, voire inclut un contrôle de la qualité des logiciels des fournisseurs tiers. Si l'on combine ces deux critères, on voit que 75% des entreprises demandant l'évaluation de la qualité des logiciels de leurs fournisseurs sont concernées. « Nous voyons également une augmentation de la demande de la part de l'industrie aérospatiale et de celle de la défense, » explique Sam King, vice-président du marketing produit chez Veracode. « Ces industries commencent à exiger, pour leurs logiciels, un niveau de sécurité équivalent à celui qu'elles attendent de leur chaîne d'approvisionnement physique», explique-t-il.

D'autres résultats font apparaître que, pour ce qui est de la conformité avec le « Payment Card Industry Data Security Standard », les entreprises ont beaucoup à faire. Cette norme de sécurité exige que des applications personnalisées, impliquées dans le traitement, le stockage ou la transmission de données relatives aux cartes de crédit, soient testées pour repérer 10 défauts logiciels déterminés par l'Open Web Application Security Project (OWASP), également connu sous le nom de OWASP Top 10. « Nous avons constaté que 8 applications sur 10 ne passeraient pas ce palmarés et seraient recalées à un audit, » explique Chris Eng, directeur senior de la recherche sur la sécurité chez Veracode.

Heureusement, Veracode donne aussi quelques encouragements aux entreprises qui souhaitent améliorer la sécurité de leurs applications. Selon le fournisseur de service, la correction des défauts ne devrait pas prendre beaucoup de temps. D'ailleurs, parmi les entreprises qui ont soumis  à nouveau leurs applications après avoir pris des mesures pour en corriger les défauts, 80 % ont atteint, au bout d'un mois, ce que Veracode considèrerait comme un niveau de qualité acceptable.