Publiées en septembre, les données du BSIMM12 indiquent une augmentation de 61 % de l'identification et de la gestion de l’open source par les équipes de développement au cours des deux dernières années.
La croissance des activités liées au cloud et aux conteneurs montre l'impact considérable que ces technologies ont eu sur la façon dont les organisations utilisent et sécurisent les logiciels.
La dernière version du Building Security In Maturity Model montre que les entreprises apprennent à traduire le risque en chiffres. À titre d’information, le BSIMM aide les organisations à planifier, mettre en œuvre et mesurer leurs initiatives en matière de sécurité logicielle.
Une évaluation BSIMM fournit une évaluation objective, basée sur des données, que les dirigeants qui cherchent à améliorer leur sécurité peuvent utiliser pour prendre des décisions concernant les ressources, le temps, le budget et les priorités.
Aujourd’hui, elle compte 128 entreprises participantes (services financiers, FinTech, fournisseurs indépendants de logiciels, IoT, santé, organisations technologiques) contre 9 en 2008.
Grâce à l'analyse de ces organisations, le BSIMM12 révèle notamment :
- Les cinq principales activités de sécurité logicielle utilisées aujourd'hui
- Une croissance notable des efforts de sécurité dans les domaines de l'open source, du cloud et des conteneurs
- La supply chain, les ransomwares et d'autres tendances émergentes
- Les actions clés que les organisations devraient adopter pour faire évoluer leurs programmes de sécurité des applications.
Dans le détail, on apprend que ces organisations redoublent d'efforts pour collecter et publier les données relatives à leurs initiatives en matière de sécurité logicielle, comme en témoigne l'augmentation de 30 % de l'activité « publier des données sur la sécurité logicielle en interne » au cours des 24 derniers mois.
Les données BSIMM12 montrent également une augmentation des capacités axées sur l'inventaire des logiciels, la création d'une nomenclature des logiciels, la compréhension de la façon dont les logiciels ont été construits, configurés et déployés, et la capacité de l'organisation à redéployer en fonction de la télémétrie de sécurité. En un mot, un développement pragmatique.
Démontrant que de nombreuses organisations ont pris à cœur la nécessité d'une nomenclature logicielle complète et à jour, l'activité du BSIMM liée à ces capacités - « améliorer l'inventaire des applications avec une nomenclature opérationnelle » - est passée de 3 à 14 observations au cours des deux dernières années, soit une augmentation de 367 %.
Le passage du maintien d'inventaires opérationnels traditionnels à la découverte automatisée des actifs et à la création de nomenclatures comprend l'ajout d'activités de « shift everywhere » telles que l'utilisation de conteneurs (dont la sécurité laisse encore à désirer…) pour appliquer les contrôles de sécurité, l'orchestration et la numérisation de l'infrastructure en tant que code.
