2024-02-26 19:51:18
“Nous créons des solutions pour sécuriser les logiciels que les organisations développent». Il décrit ainsi l’activité de Véracode son Responsable pays pour l’Italie Massimo Tripodi. “Des grandes banques aux éditeurs de logiciels, toute personne développant des logiciels pour exercer ses activités peut utiliser nos solutions.».
Test d’application en tant que service
Fondée en 2006, Veracode a toujours eu le test d’applications comme marché de référence et s’est concentrée dès le début sur un modèle de prestation de services basé sur le logiciel en tant que service. “Cela nous a donné certains avantages – Tripodi souligne –. Dans un premier temps, nous avons construit un base de connaissances sur les cas que nos clients rencontrent». En ce moment je suis environ 3.000 du monde, dont une trentaine en Italie : «Cependant, nous ne sommes présents que depuis août 2022 et acquérons au moins un nouveau client chaque mois.», précise Tripodi. La distribution est assez transversale par rapport aux verticales.
Tout d’abord, la sensibilisation
Le deuxième avantage cité par Tripodi est le fait de «être très efficace». Au fil du temps, Veracode a construit une plateforme basée sur une série de des services qui numérisent l’ensemble du processus de gestion de la sécurité des applications. Le point de départ est le conscience: pour identifier d’éventuelles failles présentes dans les systèmes d’information ou les logiciels, un scan doit être réalisé. “Nous avons différents types de balayage – dit Tripodi –. Cela va deanalyse statique tous’analyse dynamique, depuisanalyse par un tiersprincipalement open source, tout’analyse des conteneurs, donc docker et les scripts utilisés pour faire fonctionner Kubernetes. Tous ces outils sont complètement intégré».
Assainissement numérisé
La deuxième phase du processus est celle de réponse. “Une fois que vous réalisez que vous vous trouvez dans une situation délicate du côté logiciel, vous devriez remédier ou au moins prioriser les problèmes et corrigez les plus risqués. Veracode est le seul fournisseur dont il dispose le processus de remédiation a été numérisé». Il s’agit d’un projet qui a débuté il y a deux ans et demi, avec un pilote impliquant certains clients sélectionnés, et qui a ensuite vu une disponibilité générale en juillet 2023. »Et sa basse un algorithme open source GPT version 2.5 que nous avons formés sur notre base de connaissances avec nos experts en sécurité – souligne Tripodi –. C’est un système capable de reconnaître la vulnérabilité, comprend le contexte dans lequel se situe le client et, par conséquent, produit automatiquement le correctif approprié».
Le facteur humain
La technologie est essentielle pour assurer à la fois la protection et la réparation, mais le facteur humain. “Si vous souhaitez un processus de développement logiciel sécurisé et résilient, oui ils doivent former les gens. Notre système est entièrement intégré à la plateforme de développement et est les données de cette plateforme Que guider les parcours d’apprentissage des utilisateurs”.
Un rapport annuel sur l’état de la sécurité
L’approche logiciel en tant que service permet à Veracode de disposer de suffisamment de données pour pouvoir analyser l’état de la sécurité des logiciels. “Chaque année, en janvier, nous rédigeons un rapport qui présente un aperçu de notre clientèle, met en évidence les tendances des principaux problèmes, quels domaines se sont améliorés par rapport à l’année précédente et ce qui n’a pas changé, quels domaines se détériorent, etc. Chaque année, à l’automne, nous créons une version du rapport ciblée sur certains secteurs verticaux, tels que la finance, l’industrie manufacturière et l’administration publique.».
70% des entreprises ont des dettes de sécurité
Parmi les principales tendances mises en évidence par Veracode pour 2024, il convient de souligner que 70 % des organisations ont une dette de sécurité, ou au moins une vulnérabilité. Et l’accumulation de vulnérabilités, quel que soit leur état, non résolu depuis plus de 12 mois.
“Cette dette est endémique dans l’organisation des entreprises – déclare Tripodi –, mais le plus grave c’est que 46 % de nos clients ont des dettes de sécurité critiquesc’est-à-dire une vulnérabilité à haut risque».
Il y a deux éléments qui, selon Veracode, ont un impact direct sur ce résultat. Tout d’abord le progrès technologique. Au fil du temps, en effet, créer une application est devenu de plus en plus simple : il existe des frameworks qui facilitent l’activité du développeur, comme technologie low code – pas de codequi permettent de créer une application extrêmement rapidement, ou encore le outils d’IA générative qui vous permettent de produire du code à une vitesse jamais connue auparavant. Depuis le l’entreprise se numérisede plus en plus vous devez créer des applications et vous en accédez à une vitesse exponentielle. Toutefois, ressources employédestinés aux développeurs, pour remédier aux vulnérabilités ils sont toujours les mêmes. Ils doivent donc passer une partie de leur temps non pas à écrire de nouvelles fonctionnalités, mais à corriger du code présentant des vulnérabilités.
Les risques du code tiers
Concernant la dette de sécurité, en 90% des cas sont constitués de code développé par l’organisation, mais si l’on considère le dette de sécurité critique, pour 65% c’est composé de code produit par des tiers. Il s’agit d’un élément important car, malgré l’adoption de meilleures pratiques et de processus de qualité, une fois que vous achetez un logiciel de l’extérieur, vous introduisez un véhicule d’attaque au sein de l’entreprise.
“Vericode peut activer le logiciel analyse de la composition – conclut Tripodi – c’est-à-dire qu’il propose des outils capables d’analyser le code tiers pour identifier les vulnérabilités et proposer des correctifs associés».
#Veracode #automatise #sécurité #développement #logiciel
1709000297