L'étude d'Immersive Labs montre que seulement 44 % des équipes de sécurité pensent que leur environnement de développement d'applications pourrait résister à une attaque similaire à celle de SolarWinds.
L'enquête d'Immersive Labs, menée auprès de 260 équipes de développement et de sécurité dans de grandes entreprises, vise à comprendre les problèmes humains dans le cycle de vie du développement logiciel.
Principal constat : la grande majorité (81 %) des équipes de développement avaient sciemment mis en ligne du code vulnérable, 20 % des cadres supérieurs admettant même le faire « souvent ».
L'étude a révélé une faible confiance dans la sécurité des applications en général, la moitié des RSSI (50 %) estimant que des applications sécurisées peuvent être développées et 44 % seulement des équipes de sécurité pensant que leur entreprise pourrait résister à une attaque de type SolarWinds sur leur environnement de développement.
Quels sont les principaux problèmes auxquels sont confrontées ces équipes ? Cette étude note les points suivants :
- Une surcharge de travail et un manque de ressources : seuls 39 % des équipes de sécurité disposent du temps et des ressources suffisants pour prendre en charge le « virage à gauche » nécessaire au développement d'un code sécurisé.
- Une faible compréhension des menaces : seuls 54 % des répondants en matière de sécurité pensent que les développeurs comprennent les dernières menaces pour la sécurité des applications.
- Une déconnexion dangereuse entre développeurs de première ligne et leurs responsables : moins d’un tiers (27 %) des équipes de développement de première ligne considèrent que la sécurité est de leur ressort, alors que 80 % de leurs cadres supérieurs le pensent.
Cela montre une déconnexion inquiétante et un manque de culture de la sécurité dans le SDLC entre les personnes qui créent la stratégie et celles qui sont au front.
- Un faible partage des informations et un manque de formation : seule la moitié des équipes de sécurité proposent des formations aux équipes de sécurité des applications tous les trimestres ou plus régulièrement.
45 % des équipes de développement estiment que leur compréhension des dernières attaques contre les applications est insuffisante.
« La sécurisation des applications est peut-être le plus grand problème de sécurité auquel les organisations sont confrontées aujourd'hui. Pour améliorer cela, le partage des informations et la progression personnelle par le développement des compétences sont cruciaux. », a déclaré James Hadley, PDG d'Immersive Labs.