Ce qu’il faut retenir du rapport 2023 sur la sécurité des applications
(2023/05/04)
- Reference: 2023-05-04T04_00_00Z
- News link: https://www.toolinux.com/?ce-qu-il-faut-retenir-du-rapport-2023-sur-la-securite-des-applications
- Source link:
Ce qu’il faut retenir du rapport 2023 sur la sécurité des applications
jeudi 4 mai 2023
Il serait possible de déprioriser 97 % des vulnérabilités qualifiées de « critiques », selon le rapport 2023 de Datadog sur l’état de la sécurité des applications. Voici ses principales conclusions.
La croissance exponentielle de la complexité des applications web et API a eu pour conséquence l’explosion du nombre de vulnérabilités, apprend-on à la lettre du dernier rapport de l’éditeur Datadog sur l’AppSec (sécurité des applications).
La tâche des équipes DevOps n’est pas rendue facile : elles doivent garder une longueur d’avance sur les attaquants et sécuriser leur code sans sacrifier leur vitesse de déploiement. Le tout en garantissant une utilisation efficace des budgets de sécurité.
Toutes les vulnérabilités jugées critiques par le système CVSS (Common Vulnerability Scoring System) sont corrigées en priorité par les équipes chargées des applications et de la sécurité. Cependant, selon le rapport 2023 de Datadog sur l’état de la sécurité des applications, seulement 3% des vulnérabilités classées comme critiques par le CVSS valent réellement la peine d’être priorisées .
Le rapport compare le score de gravité CVSS standard à un score de gravité modifié qui tient compte du contexte d’exécution. Cette approche prend en compte des données d’exposition à des attaques, ainsi que des données sur la sensibilité de l’environnement où se trouvent les vulnérabilités. Il en résulte que 97 % des vulnérabilités qualifiées de critiques par le CVSS pourraient être déclassées et se voir attribuer un score de gravité inférieur.
Attaques : quelques chiffres-clés
Parmi les autres résultats clés du rapport :
1 attaque sur 10 cible des environnements hors-production
7 attaques sur 10 échouent parce qu’elles ciblent les mauvais langage de programmation, systèmes d’exploitation ou vulnérabilités.
Les services Java présentent les vulnérabilités les plus critiques, tandis que les services Python en présentent le moins.
Trois quarts des attaques sont mal ciblées
« Dans l’environnement macroéconomique actuel, il est plus important que jamais d’optimiser les coûts. Pour les équipes de sécurité, cela signifie une pression accrue pour trouver et corriger les vulnérabilités qui auront le plus d’impact sur la réduction du risque pour l’entreprise », déclare Emilio Escobar, Chief Information Security Officer chez Datadog. « L es conclusions du rapport sur l’état de la sécurité des applications montrent qu’il est possible d’optimiser les budgets de sécurité cette année en donnant la priorité aux 3% de vulnérabilités réellement critiques et qui auront le plus grand impact sur la posture de sécurité de l’organisation . »
Rapport complet
Le rapport complet peut être consulté gratuitement, en anglais, [1]sur le site de Datadog .
[2]
[1] https://www.datadoghq.com/state-of-application-security/
[2] https://www.toolinux.com/?ce-qu-il-faut-retenir-du-rapport-2023-sur-la-securite-des-applications#forum
jeudi 4 mai 2023
Il serait possible de déprioriser 97 % des vulnérabilités qualifiées de « critiques », selon le rapport 2023 de Datadog sur l’état de la sécurité des applications. Voici ses principales conclusions.
La croissance exponentielle de la complexité des applications web et API a eu pour conséquence l’explosion du nombre de vulnérabilités, apprend-on à la lettre du dernier rapport de l’éditeur Datadog sur l’AppSec (sécurité des applications).
La tâche des équipes DevOps n’est pas rendue facile : elles doivent garder une longueur d’avance sur les attaquants et sécuriser leur code sans sacrifier leur vitesse de déploiement. Le tout en garantissant une utilisation efficace des budgets de sécurité.
Toutes les vulnérabilités jugées critiques par le système CVSS (Common Vulnerability Scoring System) sont corrigées en priorité par les équipes chargées des applications et de la sécurité. Cependant, selon le rapport 2023 de Datadog sur l’état de la sécurité des applications, seulement 3% des vulnérabilités classées comme critiques par le CVSS valent réellement la peine d’être priorisées .
Le rapport compare le score de gravité CVSS standard à un score de gravité modifié qui tient compte du contexte d’exécution. Cette approche prend en compte des données d’exposition à des attaques, ainsi que des données sur la sensibilité de l’environnement où se trouvent les vulnérabilités. Il en résulte que 97 % des vulnérabilités qualifiées de critiques par le CVSS pourraient être déclassées et se voir attribuer un score de gravité inférieur.
Attaques : quelques chiffres-clés
Parmi les autres résultats clés du rapport :
1 attaque sur 10 cible des environnements hors-production
7 attaques sur 10 échouent parce qu’elles ciblent les mauvais langage de programmation, systèmes d’exploitation ou vulnérabilités.
Les services Java présentent les vulnérabilités les plus critiques, tandis que les services Python en présentent le moins.
Trois quarts des attaques sont mal ciblées
« Dans l’environnement macroéconomique actuel, il est plus important que jamais d’optimiser les coûts. Pour les équipes de sécurité, cela signifie une pression accrue pour trouver et corriger les vulnérabilités qui auront le plus d’impact sur la réduction du risque pour l’entreprise », déclare Emilio Escobar, Chief Information Security Officer chez Datadog. « L es conclusions du rapport sur l’état de la sécurité des applications montrent qu’il est possible d’optimiser les budgets de sécurité cette année en donnant la priorité aux 3% de vulnérabilités réellement critiques et qui auront le plus grand impact sur la posture de sécurité de l’organisation . »
Rapport complet
Le rapport complet peut être consulté gratuitement, en anglais, [1]sur le site de Datadog .
[2]
[1] https://www.datadoghq.com/state-of-application-security/
[2] https://www.toolinux.com/?ce-qu-il-faut-retenir-du-rapport-2023-sur-la-securite-des-applications#forum