Selon une nouvelle étude d'Invicti Security, 70 % des équipes de développement brûlent toujours, ou fréquemment, des étapes de sécurité en raison de la pression pour accélérer la réalisation des projets.
Pour son rapport "Application Security and the Innovation Imperative", Invicti Security a interrogé 600 cadres et spécialistes de la cybersécurité, du développement et de DevOps.
Et son enquête confirme que la précipitation est toujours mauvaise conseillère… Dans une organisation moyenne, un tiers des problèmes de sécurité en cours de résolution à un moment donné proviennent du code de production.
Pour Invicti Security, une entreprise texane spécialisée dans la sécurité des applications web, les équipes de sécurité et de développement sont confrontées chaque jour à un dilemme : une demande incessante d'innovation numérique continue et des menaces de sécurité croissantes sur une surface d'attaque tentaculaire.
Il n’est donc pas étonnant que ces professionnels soient stressés, commettent des erreurs et des choix qui ne sont pas pertinents. Mais ce rapport "Application Security and the Innovation Imperative" constate que 86 % des entreprises ont renforcé leur attention sur la sécurité des applications Web au cours des 12 derniers mois et responsabilisent leurs équipes à cet égard.
Dans 57 % des entreprises, les développeurs et les responsables de la sécurité sont tenus de respecter les mêmes indicateurs clés de performance en matière de sécurité. Rarement évoqué dans des études, ce rapport aborde la problématique des relations entre des profils différents.
Des objectifs contradictoires
Or, les relations semblent au beau fixe et elles donnent des résultats significatifs : 41 % des professionnels de la cybersécurité et du développement décrivent leurs relations comme étant familiales (avec une passion commune pour la sécurité et le travail en équipe), et 36 % disent qu'ils sont comme de "meilleurs amis", collaborant souvent pour résoudre les problèmes de sécurité.
Cependant, les priorités en matière d'innovation l'emportent encore sur la cybersécurité des applications web (même constat d’ailleurs pour les API…) pour la plupart des entreprises.
Seules 20 % d’entre elles ont pleinement intégré la sécurité dans le développement. Un constat qui ne date pas d’aujourd’hui et qui s’applique aussi aux entreprises européennes. Résultat, chaque équipe travaille de son coté avec souvent des objectifs contradictoires.
« Alors que les entreprises reconnaissent l'urgence de la sécurité des applications Web, et que les équipes chargées de la protection des données et les développeurs souhaitent collaborer étroitement, les dirigeants doivent continuer à favoriser un changement de culture pour faire de l'innovation sécurisée une réalité », insistent les auteurs de cette étude.