Nous sommes en 2024. Savez-vous où se trouvent vos vulnérabilités Java ?

Vendeurs Scottco-fondateur et PDG de Bleu

La recherche et la correction des vulnérabilités Java peuvent donner aux équipes de développement et de sécurité l’impression de jouer au plus grand jeu de « Whac-a-Mole » au monde, avec des cibles mobiles et des alertes constantes. Franchement, cela peut être épuisant, et le temps et les efforts dépensés peuvent transformer une activité normale en un problème profondément enraciné.

La bataille ne devient certainement pas plus facile pour les organisations. Il y a d’abord le grand nombre de failles signalées : sur les 23 000 vulnérabilités révélées en 2023, environ 10 % d’entre elles concernaient des applications Java.

Ce qui ajoute à la complexité est que même si le vaste écosystème de bibliothèques, de frameworks et d’outils basés sur Java est souvent open source, ce qui constitue une force évidente de la plate-forme Java, ils ont également un « rayon d’explosion » plus large lorsqu’ils sont attaqués.

C’est ce qui s’est produit en 2021 avec Log4j, largement considéré comme l’une des vulnérabilités zero-day les plus critiques jamais vues. Presque 80% des entreprises ont déclaré avoir été touchés, dont environ la moitié indirectement par le temps supplémentaire requis par leurs équipes de développement. Mais même si les équipes de développement et de sécurité ont passé des centaines (voire des milliers) d’heures à rechercher les versions vulnérables de Log4j, un rapport récent a révélé que plus d’un tiers des applications Java utilisez toujours des versions vulnérables.

D’une part, identifier les failles dangereuses et y répondre dans les plus brefs délais devrait être une priorité absolue pour les DSI. D’un autre côté, comment est-ce possible, étant donné la bande passante limitée de l’équipe DevOps et le problème gênant que les outils d’analyse de sécurité sont encore si bruyants que de nombreux groupes les désactivent ? La bonne nouvelle est qu’il existe certaines mesures concrètes que les DSI peuvent prendre pour renforcer plus efficacement la sécurité des applications dans l’ensemble de leur parc Java :

1. Surveiller les piles de production. Surveillez constamment vos logiciels en production pour vous assurer que vous n’exécutez pas de code vulnérable. L’exécution d’analyseurs de vulnérabilités et d’analyses de composition logicielle (SCA) pendant les phases de développement et de construction ne suffit pas à garantir la sécurité de tout le code propriétaire et tiers. La correction des vulnérabilités découvertes en production et la mise à niveau vers les dernières versions sécurisées des composants tiers devraient être une priorité permanente. Mettez en œuvre des processus pour vérifier et mettre à jour l’authenticité tout en activant les alertes des responsables sanctionnés.
2. Vaincre la fatigue d’alerte. La majorité des répondants dans le Rapport de fatigue des alertes de sécurité du cloud Orca Security ont déclaré utiliser au moins cinq outils de sécurité du cloud public. Plusieurs outils cloisonnés ont tendance à signaler les mêmes problèmes, ce qui augmente considérablement le nombre de faux positifs. Les ingénieurs Java se demandent : « Si les outils disent toujours que tout est vulnérable, pourquoi devrions-nous nous en soucier ? » Souvent, les développeurs et le personnel de sécurité passent des heures en appels avec des fournisseurs de sécurité et des éditeurs de logiciels indépendants pour discuter d’une vulnérabilité, pour ensuite apprendre que la vulnérabilité signalée n’est jamais réellement exécutée, ce qui représente une terrible perte de productivité. L’étude Orca Security a également révélé que le nombre écrasant d’alertes est très perturbateur pour les équipes, les carrières et les résultats commerciaux : 62 % ont déclaré que la lassitude face aux alertes a contribué au chiffre d’affaires, et 60 % ont déclaré que la lassitude due aux alertes a créé des frictions internes.
3. Considérez une amélioration de Java comme une amélioration des opérations. Les entreprises d’aujourd’hui sont contraintes d’innover, d’accélérer la mise sur le marché et d’assurer la sécurité des applications, tout en étant invitées à faire plus avec moins. L’amélioration de la vitesse et de la sécurité des applications Java a un impact direct sur les opérations. Les entreprises du quartile supérieur Indice de vitesse des développeurs (DVI) de McKinsey a généré un rendement total pour les actionnaires 60 % plus élevé et a maintenu des marges opérationnelles 20 % plus élevées que les entreprises du quartile inférieur. Ils ont également connu une croissance 4 à 5 fois plus rapide et ont obtenu des résultats 55 % plus élevés en matière d’innovation.

L’écosystème Java reste l’une des plates-formes les plus dynamiques et les plus utilisées pour créer des applications d’entreprise. Garder une longueur d’avance sur les vulnérabilités Java nécessite une stratégie globale combinant une surveillance proactive, une hiérarchisation intelligente des alertes et une compréhension du fait que des applications Java sécurisées et performantes sont essentielles à l’excellence opérationnelle. Les DSI qui en font une priorité seront bien placés pour devancer leurs concurrents tout en fournissant les applications modernes et sécurisées qui alimentent leurs initiatives commerciales numériques.

Découvrez comment Azul peut aider votre organisation à exécuter Java en toute sécurité.