Veracode, le chef de file mondial de la gestion des risques applicatifs, publie aujourd'hui son rapport sur l'état de la sécurité logicielle dans le secteur public 2025, révélant des tendances alarmantes en matière de sécurité logicielle dans les organisations gouvernementales. S’appuyant sur une analyse approfondie de 1,3 million d’applications uniques et de 126,4 millions de résultats bruts, l'étude montre que 78% des organisations du secteur public fonctionnent avec une dette de sécurité importante, des défauts qui n’ont pas été corrigés depuis plus d’un an. En outre, 55% sont grevés d’un déficit de sécurité « critique », ce qui représente des vulnérabilités de longue date présentant un risque élevé.
Ce communiqué de presse contient des éléments multimédias. Voir le communiqué complet ici : https://www.businesswire.com/news/home/20250611122492/fr/
Fig 1: Public Sector Flaw Remediation Timeline Based on Survival Analysis
Le déficit de sécurité secteur public dépasse la moyenne de l'industrie
À une époque où la confiance du public et la sécurité des infrastructures numériques sont primordiales, le secteur public continue de lutter contre la correction des vulnérabilités en temps opportun. L’étude révèle que les entités du secteur public ont besoin en moyenne de 315 jours pour corriger la moitié de leurs vulnérabilités logicielles, ce qui est nettement supérieur à la moyenne globale de 252 jours. Ce délai de 63 jours crée des fenêtres d'opportunité substantielles pour les attaques potentielles de la couche application et les violations de données.
Les données révèlent en outre que même après deux ans, un tiers des failles de sécurité dans les applications gouvernementales restent non résolues, 15% persistant pendant plus de cinq ans. Cette réparation prolongée (représentée dans la courbe de survie de la figure 1) illustre comment les vulnérabilités non corrigées s'accumulent en déficit de sécurité généralisé.
« De nombreuses organisations gouvernementales sont confrontées à des défis croissants pour faire face à la correction des vulnérabilités, ce qui pourrait exposer les systèmes et les données critiques qui gèrent des services gouvernementaux essentiels », déclare Chris Wysopal, Chief Security Evangelist chez Veracode. « Notre étude souligne qu’il est urgent que le secteur public modernise ses pratiques en matière de sécurité, en particulier en ce qui concerne la gestion des risques dans les logiciels libres. »
Veracode collabore directement avec les agences du secteur public pour relever ces défis en matière de cybersécurité. Soutenue par les résultats de plus de 360 000 milliards de lignes de code analysées sur deux décennies, la plateforme Veracode offre une visibilité complète des risques de la conception au déploiement, permettant aux organisations de corriger les vulnérabilités avec rapidité et précision.
Le code des tiers présente un profil de risque disproportionné
Une constatation particulièrement préoccupante révèle que, bien que le code tiers et open source représente moins de 10% de la déficit globale de sécurité, ils représentent 70% du déficit de sécurité critique dans les systèmes gouvernementaux. Pire encore, ces défauts prennent environ 50% de plus de temps à corriger par rapport aux défauts des logiciels de première partie développés en interne.
Et Wysopal d'ajouter : « Ce risque disproportionné souligne l’importance de sécuriser les chaînes d’approvisionnement logicielles et de contrôler soigneusement les dépendances à l’open source. Sans étendre la visibilité et les efforts de réparation au-delà du code interne, les entités du secteur public risquent de laisser les failles les plus dangereuses sans réponse. À mesure que l’utilisation de codes générés par l’IA augmente dans l’ensemble des organisations, une analyse open source complète est plus essentielle que jamais pour éviter les failles cachées ».
Les repères de maturité de sécurité révèlent des disparités de performance
Malgré des tendances globalement préoccupantes, les études de Veracode révèlent que les principales agences gouvernementales réussissent à réduire le déficit de sécurité et à résoudre les vulnérabilités près de quatre fois plus rapidement que les autres. Ces organisations très performantes démontrent qu'une amélioration significative est réalisable, offrant une voie claire pour les pairs qui cherchent à renforcer leur niveau de sécurité logicielle.
Le rapport identifie cinq indicateurs clés qui mesurent la maturité de la sécurité d’application et la capacité de gestion du déficit d’une organisation, révélant des écarts de performance distincts entre les organisations du secteur public de premier plan et les organisations en retard :
- Prévalence des défauts : les principales agences ont des défauts dans moins de 33 % des applications, tandis que les agences en retard montrent des défauts dans 100 % de leurs applications.
- Capacité de correction : les leaders corrigent plus de 9% des défauts chaque mois, contre seulement 0,1% pour les retardataires.
- Rapidité de résolution : les plus performants résolvent la moitié de leurs défauts en 3,3 mois, tandis que les moins performants prennent plus de 11 mois pour des résultats similaires.
- Prévalence du déficit de sécurité : moins de 26% des applications dans les principales agences portent des déficits de sécurité, contre plus de 85% dans les organisations à la traîne.
- Déficit open source : même parmi les leaders, 84% des applications contiennent un déficit critique open source, atteignant 100% pour les retardataires.
« La disparité entre les organisations gouvernementales les plus performantes et les moins performantes est frappante et soulève des questions importantes sur les facteurs qui font une différence significative dans le niveau de sécurité », ajoute Wysopal. « Ces données fournissent aux équipes de sécurité du secteur public un cadre clair pour évaluer leur maturité, identifier les lacunes et améliorer leurs performances sur la base des pratiques des agences les plus performantes. »
Un appel clair à l'action
Alors que les organisations du secteur public sont confrontées à des cybermenaces et à des exigences de conformité réglementaire croissantes, Veracode recommande deux changements stratégiques :
- Mettre en œuvre la hiérarchisation fondée sur les risques : déployez des capacités de gestion du niveau de sécurité axées sur le contexte qui mettent en corrélation les résultats de plusieurs outils de sécurité et sources de données. Des solutions avancées telles que Veracode Risk Manager font apparaître les vulnérabilités les plus exploitables et les plus urgentes, offrant une résolution automatisée.
- Améliorer la visibilité globale : établissez l'analyse continue et l'activation des développeurs tout au long du cycle de vie complet du développement logiciel. L'identification proactive des défauts avant le déploiement reste l'investissement AppSec le plus rentable et le plus impactant.
Et Wysopal de conclure : « Dans l'écosystème actuel des menaces, le déficit de sécurité n’est plus un risque acceptable. Avec la bonne orientation, les mesures et l’automatisation, les agences du secteur public peuvent prendre le contrôle de leurs risques logiciels et renforcer la résilience dans chaque version. »
Avec l'accumulation des risques applicatifs dans les systèmes gouvernementaux, les agences fédérales, étatiques et locales doivent équilibrer la prestation de services essentiels à la mission avec une gestion efficace des risques de cybersécurité. La plateforme de gestion des risques applicatifs de Veracode aide les agences à gérer ces demandes concurrentes grâce à une correction accélérée des risques, à la hiérarchisation des vulnérabilités axée sur les données et à des capacités automatisées d'évaluation des risques qui renforcent la résilience de l'organisation face à l'évolution des menaces. Cette approche est particulièrement importante étant donné que les codes générés par IA et les dépendances à l'open source introduisent une nouvelle complexité dans les processus de développement logiciel.
Le rapport complet sur l'état de la sécurité logicielle du secteur public 2025 est téléchargeable sur le site web de Veracode.
À propos de Veracode
Veracode est un chef de file mondial de la gestion des risques applicatifs à l'ère de l'IA. Alimentée par des milliers de milliards de lignes de code et un moteur de correction propriétaire assisté par IA, la plateforme Veracode est approuvée par les organisations du monde entier pour construire et maintenir des logiciels sécurisés, de la création de code au déploiement dans le cloud. Des milliers d’équipes de développement et de sécurité de premier plan utilisent Veracode chaque seconde de chaque jour pour obtenir une visibilité précise et exploitable des risques exploitables, remédier aux vulnérabilités en temps réel et réduire leur déficit de sécurité à grande échelle. Veracode est une société multi-primée offrant des capacités pour sécuriser l'ensemble du cycle de vie du développement logiciel, y compris Veracode Fix, l'analyse statique, l'analyse dynamique, l'analyse de la composition logicielle, la sécurité des conteneurs, la gestion de la posture de sécurité des applications, la détection des paquets malveillants et les tests de pénétration.
Pour en savoir plus, rendez-vous sur www.veracode.com, le blog Veracode, LinkedIn et X.
Copyright © 2025 Veracode, Inc. Tous droits réservés. Veracode est une marque déposée de Veracode, Inc. aux États-Unis et peut être enregistrée dans certaines autres juridictions. Tous les autres noms de produits, marques ou logos appartiennent à leurs détenteurs respectifs. Toutes les autres marques citées ici sont la propriété de leurs propriétaires respectifs.
Le texte du communiqué issu d’une traduction ne doit d’aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d’origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.
Consultez la version source sur businesswire.com : https://www.businesswire.com/news/home/20250611122492/fr/
© Business Wire, Inc.
Avertissement :
Ce communiqué de presse n’est pas un document produit par l’AFP. L’AFP décline toute responsabilité quant à son contenu. Pour toute question le concernant, veuillez contacter les personnes/entités indiquées dans le corps du communiqué de presse.