Les RSSI peinent à gérer les risques en raison des inefficacités du DevSecOps
Les RSSI proches du burn-out ? Si ce n’est pas encore le cas, cela pourrait le devenir rapidement si l’on en croit cette étude de Dynatrace menée auprès de 1 300 responsables de la sécurité des systèmes d’information (RSSI) de grandes organisations dans le monde entier, dont la France.Selon ce spécialiste de l’observabilité et de la sécurité unifiées, ces professionnels ont de plus en plus de difficultés à maintenir la sécurité de leurs logiciels, à mesure que s’accroît la complexité des environnements hybrides et multicloud.
Bien que les nombreux avantages du DevSecOps soient aujourd’hui largement compris, la plupart des organisations sont encore aux premiers stades de l’adoption de ces pratiques, à cause de données cloisonnées qui manquent de contexte et limitent les analyses.
Complexité de la chaîne d’approvisionnement logicielle
Le rapport « The convergence of observability and security is critical to realizing DevSecOps potential » souligne aussi une autre menace : des équipes qui continuent à s’appuyer sur des processus manuels qui facilitent l’intrusion de vulnérabilités dans les environnements de production.Cinq statistiques, propres à l’hexagone, sont révélatrices :
- 70 % des RSSI déclarent que la gestion des vulnérabilités est plus difficile, car la complexité de leur chaîne d’approvisionnement logicielle et de leur écosystème cloud a augmenté.
- Seuls 53 % des RSSI sont pleinement convaincus que les logiciels livrés par les équipes de développement ont été complètement testés pour détecter des vulnérabilités avant d’être mis en production.
- Pour 63 % des RSSI, la priorisation des vulnérabilités est un véritable défi, car ils manquent d’informations sur les risques que ces vulnérabilités représentent pour leur environnement.
- 58 % des alertes de vulnérabilités que les scanners de sécurité signalent comme
« critiques » ne sont en réalité pas importantes en production, ce qui fait perdre un temps précieux de développement à examiner de faux positifs. - En moyenne, chaque membre des équipes de développement et de sécurité applicative passe un quart (25 %) de son temps sur des tâches de gestion des vulnérabilités qui pourraient être automatisées.
Des capacités humaines dépassées
Ces résultats mettent en évidence le besoin croissant de faire converger l’observabilité et la sécurité, afin de nourrir une automatisation data-driven qui permet aux équipes de développement, de sécurité et d’exploitation IT d’innover plus rapidement et de manière plus sécurisée.La complexité croissante des chaînes d’approvisionnement logicielles et les stacks de technologies cloud qui constituent la base de l’innovation digitale, rendent de plus en plus difficiles l’identification, l’évaluation et la priorisation rapide des réponses apportées aux nouvelles vulnérabilités.
Ces tâches ont dépassé les capacités humaines de gestion. Si bien que les équipes de développement, de sécurité et IT se rendent compte que les contrôles qu’elles ont mis en place pour gérer les vulnérabilités ne sont plus adaptés au monde digital dynamique d’aujourd’hui, ce qui expose leurs entreprises à des risques inacceptables.