Au-delà des risques pour les utilisateurs et la conformité règlementaire, la sûreté des applications est menacée par les vulnérabilités, l’injection de code, la mauvaise gestion des identifiants et des accès, le manque de chiffrement ou les failles dans les bibliothèques tierces. La solution passe, notamment, par une automatisation DevSecOps.

Trop souvent limitée aux enjeux de conformité réglementaire et aux risques centrés sur l'utilisateur, la sécurité des logiciels comporte des menaces plus techniques. Par exemple, les failles de sécurité permettent aux pirates d’accéder à des données sensibles ou d’exécuter du code malveillant et sont issues d’erreurs de développement ou de configuration.

L’Injection SQL sur les sites web permet l’accès à la base de données du site pour prendre le contrôle du système. Une mauvaise gestion des identifiants et des accès peut entraîner des fuites de données ou des accès non autorisés. Les mots de passe manquent souvent de robustesse et les privilèges d’accès sont souvent trop élevés. De plus, l’absence de mises à jour de sécurité expose les applications à des attaques.

Dynatrace a publié un rapport basé sur un sondage international mené auprès de 1 300 RSSI et sur 10 entretiens de CEO et de CFO dans les organisations de plus de 1 000 employés. Sans surprises, Dynatrace prône l’usage d’outils d’observabilité unifiée qu’elle commercialise pour faciliter la collaboration entre les équipes. Ce rapport montre le manque d’alignement entre les dirigeants et les équipes de cybersécurité. Noter que 87 % des RSSI déclarent que la sécurité des applications est négligée par le PDG et les membres du conseil d’administration.

Autre point saillant, les équipes de sécurité communiquent de manière trop technique. Pour 7 cadres supérieurs sur 10, l’utilisation de termes trop techniques nuit à la compréhension des problèmes. L’IA est désormais capable de créer des cybermenaces plus sophistiquées mais aucune information sérieuse ne confirme, à ce jour, l’existence de malwares entièrement autonomes, générés par une IA.

En France, un fossé entre la position des RSSI et les cadres de haut rang

Bien que la taille de l’échantillon du sondage soit faible avec 100 répondants, il est possible cependant de dégager quelques tendances. Indicateur explicite, près de trois-quarts des RRSI déplorent la faible capacité des outils de sécurité à produire des informations utiles et claires pour les dirigeants. Plus de 7 entreprises sur 10 ont été confrontées à un incident de sécurité applicative au cours des deux dernières années.

Côté DevSecOps (Développement, Sécurité et Opérations) qui consiste à intégrer la sécurité en continu tout au long du cycle de vie du développement d’une application, 71 % des RSSI déclarent que l'automatisation de DevSecOps est essentielle pour s'assurer que des mesures raisonnables ont été prises pour minimiser les risques liés à la sécurité des applications.

Sans surprises, 68 % des RSSI déclarent qu'il est régulièrement nécessaire de rendre compte au PDG et au conseil d'administration et 77 % d’entre eux affirment que l’automatisation DevSecOps est de plus en plus importante pour gérer le risque de vulnérabilités introduit par l’IA.

L’automatisation des pratiques DevSecOps est peu utilisée

Une proportion écrasante de responsables sécurité, soit 89 %, affirment que l’automatisation DevSecOps sera essentielle pour leur permettre de rester à jour des réglementations comme les règles de cybersécurité de l’ANSSI, et les règlements européens NIS2 et DORA. Chiffre explicite et préoccupant, seuls 11 % des RSSI considèrent que leur organisation applique des pratiques matures d’automatisation DevSecOps.

Dans l’ordre des priorités des RSSI figurent la gestion des vulnérabilités suivie par les réponses aux crises (violation de données et problèmes liés à l’image) et enfin, la gestion du risque interne avec, notamment, l’utilisation des appareils mobiles.