Un nouveau rapport de la société Veracode, spécialisée dans les tests de sécurité des applications, révèle que 82 % des applications du secteur public présentent des failles de sécurité et que 60 % des failles des bibliothèques tierces du secteur public ne sont toujours pas corrigées après deux ans."Les décideurs et les dirigeants du secteur public reconnaissent que les technologies anciennes et les vastes quantités de données sensibles font des applications gouvernementales une cible de choix pour les acteurs malveillants", explique Chris Eng, directeur de la recherche chez Veracode.
"C'est pourquoi la Maison Blanche et le Congrès travaillent ensemble pour mettre à jour les réglementations régissant la conformité en matière de cybersécurité. Dans le sillage du décret de mai 2021 visant à améliorer la cybersécurité de la nation et à protéger les réseaux du gouvernement fédéral, le Bureau américain de la gestion et du budget, le ministère de la Défense et la Maison Blanche ont publié quatre mémos traitant de la nécessité d'adopter les principes de cybersécurité de la confiance zéro et de renforcer la sécurité de la chaîne d'approvisionnement des logiciels. Nos recherches confirment cette nécessité."
Sur une note plus positive, les entités gouvernementales ont fait de grands progrès pour traiter les failles de haute gravité, qui n'apparaissent que dans 16 % des applications. En fait, le nombre de failles de haute gravité a diminué de 30 % au cours de la seule année dernière, ce qui indique que le problème est pris plus au sérieux.
Eng ajoute : "Conscients que le temps est un facteur essentiel, les dirigeants du secteur public commencent à fixer des échéances. Par exemple, dans "Moving the US Government Toward Zero Trust Cybersecurity Principles", Shalanda Young a fixé au 30 septembre 2024 la date limite à laquelle toutes les agences fédérales américaines devront respecter des normes de cybersécurité spécifiques. Nous pensons que les progrès réalisés contre les failles de sécurité élevées constituent un excellent point de départ et soutenons toutes les agences du secteur public qui cherchent à mieux contrôler leurs chaînes d'approvisionnement en logiciels."
Source : Veracode
Et vous ?
Trouvez-vous ce rapport pertinent ?Voir aussi :
France : le Sénat adopte de façon définitive la proposition de mise en place d'une certification de cybersécurité des plateformes numériques grand public, le cyberscore entre en vigueur en 2023 66 000 vulnérabilités logicielles ont été signalées cette année, soit une augmentation de 20 % par rapport à 2020, mais le délai moyen de résolution a diminué de 19 %, selon un rapport de HackerOne Les cyberattaques ont augmenté de 50 % en 2021 et atteint un pic en décembre, à cause de la faille qui a impacté la bibliothèque logicielle Log4J, d'après une analyse Check Point Research