Prioriser les vulnérabilités pour sécuriser les applications

Seules 3% des vulnérabilités critiques des applications présentent un risque élevé et méritent d'être priorisées. Quelle stratégie de sécurité adopter pour maîtriser les menaces grandissantes ?

La sécurité des applications web est une préoccupation sérieuse pour les entreprises. Historiquement, les attaques se produisaient au niveau de l'infrastructure et du réseau, mais aujourd'hui, elles ciblent de plus en plus la logique métier exposée par les services qui traitent les données les plus critiques et les plus sensibles. Avec plus de 25 000 vulnérabilités identifiées rien qu'en 2022, les détecter et les corriger dans un ensemble complexe de bibliothèques open source est un défi permanent. 

La surface d’attaque des applications ne cesse de croître

Selon Forrester, 70% du code provient de bibliothèques open source. Alors que ces dernières accélèrent le développement logiciel, elles augmentent les risques de sécurité si les vulnérabilités qu’elles peuvent introduire ne sont pas identifiées correctement. Cette dépendance inévitable crée une situation délicate : dès qu'une bibliothèque est compromise, c'est toute l'application qui est menacée. L'émergence d'attaques généralisées met en évidence l'importance d’être en mesure de découvrir et de comprendre rapidement les vulnérabilités des applications, afin de les hiérarchiser et d'y remédier. Simultanément, des prévisions de plus de 2 000 nouvelles vulnérabilités identifiées par mois nécessitent de combler au plus vite le fossé entre les équipes d'ingénierie et de sécurité. 

L'importance des priorités

La croissance exponentielle de la complexité des applications web et des API a eu pour conséquence l’explosion du nombre de vulnérabilités, compliquant ainsi la tâche des équipes DevOps. Elles doivent garder en effet une longueur d’avance sur les attaquants, sécuriser leur code sans sacrifier leur vitesse de déploiement, et garantir une utilisation efficace des budgets de sécurité. Toutes les vulnérabilités jugées critiques par le système CVSS (Common Vulnerability Scoring System) sont corrigées en priorité par les équipes chargées des applications et de la sécurité. Cependant, selon le rapport 2023 de Datadog sur l’état de la sécurité des applications, seulement 3% des vulnérabilités classées comme critiques par le système CVSS (Common Vulnerability Scoring System) valent réellement la peine d'être priorisées. 

Pour faire face au nombre toujours croissant de failles de sécurité dans les applications, il est donc essentiel de les prioriser. Le système CVSS vise à aider les équipes à évaluer les vulnérabilités en fonction de leur gravité, mais il ne donne qu'une image incomplète, car il manque de contexte. Le score devrait être abaissé pour les vulnérabilités qui remplissent au moins l'un des deux critères de contexte d'exécution : si elles sont détectées soit dans un environnement hors production, soit dans un service qui n'a pas été attaqué au cours des 30 derniers jours.

Le risque augmente avec le nombre de dépendances tierces

Les équipes d'ingénieurs utilisent un grand nombre de bibliothèques tierces pour créer des applications dynamiques et accélérer la mise sur le marché. Cependant, du point de vue de la sécurité, cela pose un problème car chaque bibliothèque peut contenir des vulnérabilités qui mettent en danger l'ensemble de l'application.

Les services développés à base de langages de programmation populaires tels que Java et Python se caractérisent par une tendance bien marquée : plus le nombre de dépendances augmente, plus s’accroît le risque du service (calculé sur la base du score CVSS maximal des vulnérabilités de ses dépendances). Selon le rapport 2023 de Datadog, tous les services en Java ayant plus de 300 dépendances présentent au moins une vulnérabilité à risque élevé ou critique selon le score de gravité CVSS.

Les trois quarts des attaques sont mal ciblées

En plus de détecter des attaquants qui cherchent à compromettre les systèmes, un grand nombre d'entreprises de sécurité analysent régulièrement l'internet en quête d'éventuelles mauvaises configurations et vulnérabilités. En effet, selon le rapport 2023 de Datadog, 74 % des attaques n'aboutissent pas en fonction du contexte d'exécution. Ces attaques ciblent des points de terminaison qui ne sont pas présents dans les services (66 % des cas), tentent d'exploiter des vulnérabilités liées à des bases de données qui ne sont pas utilisées par ces systèmes (31 % des cas) ou ciblent des langages qui ne sont pas utilisés dans l'application (3 % des cas). Par exemple, une attaque mal ciblée peut tenter d'exploiter une injection SQL (attaque discrète par insertion de code dans un site web afin de contourner la sécurité et d’accéder aux données protégées) dans un système sans base de données SQL. Cela montre à quel point la qualification est importante pour faire le tri des attaques et se concentrer sur celles qui requièrent l’attention des équipes de sécurité.

Dans le contexte macroéconomique actuel, il est plus important que jamais d’optimiser les coûts. Cela signifie une pression accrue sur les équipes de sécurité devant trouver et corriger les vulnérabilités qui auront le plus d'impact sur la réduction du risque pour l'entreprise. Donner la priorité aux 3 % de vulnérabilités réellement critiques et qui auront le plus d’incidence sur la posture de sécurité de l'organisation s’avère un moyen immédiat d’optimiser les budgets de sécurité.