Un pool de 600 développeurs s’est prêté au jeu et a répondu aux questions posées par Whitesource sur la Sécurité des applications d’entreprise. Les résultats donnent un Etat de l’Art de la sécurité des applications aujourd’hui.
L’étude porte bien sur la Sécurité des S.I., mais ce ne sont pas les spécialistes IT usuels qui se sont exprimés ici mais les personnes qui écrivent le code. En effet, selon WhiteSource, la gestion de la sécurité des applications n’est plus le domaine privilégié de l’IT mais celui des développeurs eux-mêmes. Pourquoi ? Car la gestion de la sécurité s’est déplacée et la prise en main de la sécurité apparaît désormais très tôt dans le cycle de vie des applications , à un stade où il est plus facile et rapide de résoudre les failles potentielles dans le code. Avec un « Time to Market » qui se raccourcit, les cycles DevOps sont également impactés. D’autant que la sécurité des données est devenue un sujet primordial, les législations tel le RGPD y veillent. Selon whiteSource, cette étude permet de mieux cerner la façon dont les développeurs procèdent au quotidien pour sécuriser.
A qui la responsabilité de la sécurité des Apps ?
Quel que soit la taille de l’entreprise, c’est indéniablement la partie Dev qui est la plus impactée. Dans les entreprises de petite taille cela est clair et dans celles de taille moyenne et les plus grandes, cette tendance s’affirme également avec de plus en plus d’équipes de Sécurité IT qui laissent la main.
En ce qui concerne les équipes de développement, leur façon de fonctionner est obligatoirement impactée par la prise en charge de la sécurité. Aujourd’hui, ils sont plus de 60% à en tenir compte pendant le développement et donc à modifier leur façon de programmer dès le départ.
Elles sont d’ores et déjà plus de 36% à procéder pendant le développement aux tests Sécurité sur le code. A noter que les entreprises qui utilisent de l’OpenSource semblent être plus matures sur le sujet que les autres.
Les entreprises investissent financièrement dans les outils comme dans la formation pour que leurs équipes de développement soit à même d’écrire du code plus sécurisé.
Il existe de nombreux outils baptisés AST, pour Application Security Testing, qui permettent aux développeurs de travailler sur ce point et parmi elles, SAST, DAST, SCA, IAST ou RASP. Des outils qui donnent des indications sur les problèmes de sécurité potentiels dans le code, avant et après la production. Ces outils ont un impact certain en donnant beaucoup d’indications sur les problèmes potentiels, « noyant » quelque peu les équipes dev sous ces informations (42% prennent 2 à 12h par mois sur ces tâches pour 33% qui y passent entre 12 et 36 heures).