Pour faire faire face à la prolifération des vulnérabilités dans le modèles « continuous delivery » de la méthode DevOps, il faut faire converger la sécurité et l’observabilité, estime Dynatrace dans une étude.

Les nouvelles pratiques DevOps de livraison continue à travers les pipelines CI/CD portent en elles leurs propres désavantages, dont le plus anxiogène pour les responsables de la sécurité sont les vulnérabilités. Si l’on y ajoute les différentes couches du SI et la complexité croissante des systèmes d’information, la gestion des vulnérabilités est aujourd’hui rendue plus difficile par la vitesse et la complexité que génèrent l’utilisation d’environnements multicloud, de plusieurs langages de programmation, et de bibliothèques logicielles open source.

D’après une enquête mondiale (Observability and security must converge to enable effective vulnerability), menée par Dynatrace auprès de 1 300 responsables de la sécurité des systèmes d’information (RSSI) de grandes organisations dont la France, 69 % des RSSI déclarent que la gestion des vulnérabilités est devenue plus difficile avec l’accélération croissante de la transformation numérique. En effet, l’empilement des couches applicatives et l’éclatement des infrastructures privées conventionnelles a permis aux entreprises de bénéficier des avantages du cloud et de l’économie de la souscription, mais il fait peser de lourdes menaces sur la sécurité.

Faire converger observabilité et sécurité

L’étude révèle ainsi que 75% des RSSI déclarent qu’en dépit d’une approche multicouche de la sécurité, des brèches continuent de laisser passer des vulnérabilités en production. De plus, la complexité des infrastructures, applicatives et matérielles, n’est pas le seul barrage aux livraisons sécurisées, la remontée d’informations est inexistante ou lacunaire dans la plupart des entreprises. D’après les avis collectés par les enquêteurs de Dynatrace, seuls 25% des équipes en charge de la sécurité ont accès à un rapport complet, précis, mis à jour en continu et en temps réel, de chaque application et chaque bibliothèque de code qui s’exécute en production.

« Ce constat souligne l’importance croissante de faire converger observabilité et sécurité, et d’ouvrir la voie aux pratiques AISecDevOps, pour que les organisations soient en mesure de mieux gérer les vulnérabilités au runtime, et de détecter et bloquer les attaques en temps réel », conseille le rapport. Dynatrace milite aussi pour l’automatisation avec comme argument le fait qu’en moyenne, les équipes en charge de la sécurité passent 28 % de leur temps sur des tâches de gestion des vulnérabilités qui pourraient être automatisées. En effet, moins d’un tiers (32 %) des alertes de vulnérabilités applicatives que les organisations reçoivent, nécessite une action contre 42 % l’année dernière. En moyenne, les organisations reçoivent, chaque mois, 2 027 alertes de vulnérabilités potentielles dans leurs applications.