Un nouveau rapport de CyCognito examine les défis auxquels sont confrontés les professionnels de la cybersécurité pour protéger les applications web, qui sont devenues des cibles privilégiées pour les cyberattaques.Les entreprises gèrent des dizaines, voire des centaines, d'applications web personnalisées, développées en interne ou par des partenaires tiers. En outre, plus de 60 % d'entre elles mettent à jour les applications web toutes les semaines ou plus souvent.
Plus d'un tiers des personnes interrogées (35 %) déclarent être confrontées à un événement de sécurité important impliquant une application web au moins une fois par semaine, tandis que plus d'un quart (26 %) subissent un incident majeur aussi souvent.
Pourtant, les tests sont négligés - près de 75 % des entreprises ne testent leurs applications web qu'une fois par mois ou moins souvent, ce qui laisse plus de 40 % de la surface d'attaque non testée. 70 % déclarent que le nombre d'applications web dans leur environnement est trop important pour permettre des tests adéquats. Parmi les autres obstacles aux tests adéquats des applications web figurent le volume des API dans les environnements de production (cité comme un obstacle important ou très important par 67 % des personnes interrogées) et le temps nécessaire pour tester et surveiller les changements (66 %).
En outre, 53 % des personnes interrogées déclarent rencontrer des difficultés pour remédier aux vulnérabilités mises au jour par les tests d'applications web. 65 % prévoient d'automatiser davantage dans leurs flux de travail de test de sécurité des applications web. Il existe également un intérêt pour le développement de capacités de tests continus.
« Dans l'écosystème informatique moderne, chaque instance SaaS, service DevOps et appareil matériel possède une interface web. L'IA générative crée également aujourd'hui beaucoup plus de ces interfaces, ce qui se traduit par des milliers d'applications web exposées pour les grandes entreprises. Malgré ce fait, la plupart des équipes de sécurité ne testent qu'une fois par mois dans le meilleur des cas », déclare Rob Gurzeev, PDG et cofondateur de CyCognito. « Et lorsqu'elles procèdent à des tests, la couverture est sévèrement limitée, allant de 5 % à 13 %, en raison de méthodes de test obsolètes. Il en résulte que de nombreuses applications restent vulnérables. Notre étude souligne clairement que l'automatisation des processus de test est absolument essentielle pour garantir une protection solide contre les cybermenaces en constante évolution. »
À propos de CyCognito
CyCognito résout l'un des problèmes commerciaux les plus fondamentaux en matière de cybersécurité : voir comment les attaquants perçoivent votre organisation, où ils sont le plus susceptibles de s'introduire, quels systèmes et actifs sont à risque et comment vous pouvez éliminer l'exposition. Fondée par des vétérans des agences nationales de renseignement, CyCognito comprend parfaitement comment les attaquants exploitent les angles morts et le chemin de moindre résistance. Basée à Palo Alto, CyCognito est au service d'un certain nombre de grandes entreprises et d'organisations figurant au classement Fortune 500, dont Colgate-Palmolive, Tesco et bien d'autres.
Source : "2024 State of Web Application Security Testing" (rapport de CyCognito)
Et vous ?
Quel est votre avis sur le sujet ? Trouvez-vous les conclusions de cette étude de CyCognito crédibles ou pertinentes ?Voir aussi :
97 % des professionnels des essais de logiciels ont recours à l'automatisation, afin de réduire les coûts des tests et améliorer la qualité des logiciels et l'expérience des utilisateurs D'ici à 2028, les outils basés sur la GenAI seront capables de rédiger 70 % des tests logiciels, réduisant ainsi le besoin de tests manuels, d'après IDC 
