L'AppSec, à savoir la chaine de traitement des failles de sécurité lors du développement d’une application, est fortement prise en compte dans les décisions d'achat des clients. C’est l’élément le plus saillant de l’étude Global Ciso Survey 2023 de Checkmarx. Mais quel est le degré d’implication des RSSI (Responsables de la Sécurité du Système d’Information) au sein de leur entreprise ? Leurs réponses sont explicites et montrent que 84 % des RSSI interrogés déclarent être invités à participer à la clôture des ventes des produits et services au sein de leur organisation. Constat évident, le poids de l’AppSec est de plus en plus fort sur les performances des organisations.
« Les RSSI doivent de plus en plus démontrer la sécurité des produits et services de leur entreprise lors de la signature de nouveaux contrats et les discussions au sein des conseils d'administration leur offrent davantage d'opportunités pour réajuster les processus organisationnels. » déclare Sandeep Johri, CEO de Checkmarx.
Examinées plus en détail dans le graphique ci-dessous, les réponses des RSSI montrent leur implication dans le processus de vente des applications. Ainsi 45,5 % d’entre eux affirment qu’ils sont très souvent sollicités lors de cette phase commerciale. Ils sont 38 % à déclarer qu’ils le sont souvent.
De plus, 77 % du panel de l’étude estiment gérer au minimum la moitié des activités de leur entreprise avec des applications clés dont les équipes internes doivent assurer la sécurité. Les RSSI qui subissent de fortes pressions et contraintes se voient attribuer de nouvelles responsabilités mais d’autre part, il s’agit d’une opportunité pour sensibiliser leur direction et le service commercial au rôle crucial de la cybersécurité. En tête des secteurs d’activité qui sollicitent l’avis des RSSI, figurent sans surprises le domaine de la Banque et des Finances selon la moitié des répondants. Dans le secteur de l’industrie, cette préoccupation ne concerne que 25 % des répondants
L’importance des indicateurs du niveau de sécurité des applications
Si toutes les parties s’accordent sur le fait que la sécurité est un paramètre essentiel, reste pour les RSSI à expliquer comment ils la démontrent. A la question « Comment démontrez-vous que la sécurité des applis atteint ou dépasse les attentes des clients dansce domaine ? » 42 % des RSSI affirment qu’ils mesurent le niveau de sécurité et l’affichent publiquement tandis que 44 % d’entre eux effectuent ces mesures et les fournissent, à la demande des clients.
Noter cependant que le coût d’une application sécurisée est le premier critère de choix pour 30 % des acheteurs devant le fait le logiciel répond aux exigences de sécurité.
Côté développement, 55 % des RSSI of CISOs recherchent activement des solutions pour intégrer et automatiser les pré-requis AppSec dans leur processus DevOps en cours. Plus précisément, la sécurité des API mobilise très majoritairement les RSSI, soit 71 % des interrogés.
Pour pondérer les résultats de l’étude, il faut préciser que 71 % répondants sont américains largement devant les pays de l’UE, l’Inde et l’Australie.