Étude SANS : les applications ne sont pas assez testées

61% des participants à l'étude State of Application Security 2017 du Instituts SANS ont déclaré que les violations de sécurité impliquaient ou étaient causées par des applications web publiques. Le problème de la sécurité des applications vient du fait que les tests de sécurité ne font pas encore partie intégrante des cycles de développement et de mise à jour rapides - le temps manque souvent pour les tests. Cependant, de bons tests de sécurité nécessitent justement suffisamment de temps pour obtenir des résultats fiables. "La vitesse de développement des logiciels augmente et les technologies utilisées par les entreprises pour soutenir leurs activités sont de plus en plus variées", explique Jim Bird, analyste SANS et auteur du rapport d'étude. "Ensemble, ces variables modifient la façon de penser et de travailler des équipes de développement et de leurs équipes de sécurité et d'assistance. Gestion des risques-équipes de manière radicale".

Les tests de sécurité continus sont rares

La sécurité des applications utilisées dans les entreprises est trop souvent négligée. Seuls 12 % des personnes interrogées déclarent que leur entreprise effectue des tests de sécurité en continu. En revanche, plus d'un tiers des personnes interrogées indiquent que leur entreprise teste ses applications tout au plus une fois par an (24 %) ou n'effectue pas de tests réguliers (10 %). Les entreprises qui testent régulièrement leurs applications à la recherche de failles utilisent souvent pour cela des contrôles de code automatisés ou des tests de sécurité statiques (54 %), qui peuvent être facilement intégrés dans les cycles de développement rapides. Les tests d'intrusion internes sont toutefois les plus populaires, puisqu'ils sont effectués dans 71 pour cent des entreprises interrogées. 58 pour cent font également appel à des prestataires externes pour les tests d'intrusion.

Les tests de sécurité nécessitent plus d'échanges et de nouvelles connaissances

Le manque de temps et d'intégration des tests de sécurité est un problème majeur pour la sécurité des applications. Certains obstacles s'opposent à une solution. Un bon tiers des personnes interrogées (34 %) ont indiqué qu'il serait nécessaire de créer un pont entre le développement de logiciels, la sécurité et les applications. Conformité de s'établir.
31 % considèrent que la forte séparation entre les départements est un défi. Les personnes interrogées affirment que les services de sécurité et de développement n'échangent pas assez et que le contact avec les autres services fait défaut. Près d'un quart des participants (24 pour cent) ont indiqué que la sécurité des applications n'était pas suffisamment financée et que la direction ne s'engageait pas assez. La même proportion parmi les répondants a indiqué qu'il manquait les compétences, les méthodes et les outils appropriés pour les tests de sécurité.

Le management doit reconnaître le besoin de rattrapage

Comme le montre l'étude SANS, il y a des problèmes systématiques de Sécurité de l'applicationLes tests planifiés font défaut dans les cycles de développement. Pour les mettre en place, il faut toutefois que les services de développement, de sécurité et les autres services commerciaux collaborent davantage. Il est inquiétant de constater qu'un quart des personnes interrogées affirment que les bases telles que les compétences, les méthodes et les outils actuels font défaut. La direction doit veiller à ce que les méthodes et outils appropriés soient mis à disposition et que les compétences du personnel de sécurité informatique soient à jour.

Vous trouverez l'étude complète ici