De DevOps à DevSecOps à SecDevOps : la croissance constatée de 133 % des analyses statiques lancées par des API, plutôt que manuellement, révèle une évolution massive vers l’automatisation et l’intégration de la sécurité dès la conception.
Veracode, le fournisseur de tests de sécurité des applications (AST), a dévoilé une étude de données d’utilisation qui démontrent que la cybersécurité s’automatise de plus en plus, conformément aux architectures logicielles et aux pratiques de développement modernes. L’étude a été menée sur plus de 5,4 millions d’analyses statiques et plus de 310 000 applications sur une période de 13 mois, de septembre 2020 à octobre 2021.
Elle a révélé une croissance de 143 % du nombre de petites applications, comme les API et les microservices, et une augmentation de 133 % des analyses automatisées exécutées par le biais des API au lieu d’être effectuées manuellement. L’étude constate également que l’analyse automatisée réduit de moitié le temps moyen pendant lequel une faille de sécurité reste invisible.
L’automatisation des scans via des API
L’essor du développement API-first a en fait amélioré la sécurité des logiciels, réduisant le temps moyen de correction d’une faille d’environ 50 % lorsque l’on utilise l’analyse statique pour les API ou les microservices. L’analyse des API permet également aux organisations de trouver et de corriger les vulnérabilités des API le plus tôt et le plus efficacement possible.
La crise pandémique a exposé aux entreprises où se situaient leurs faiblesses en cas de difficultés nécessitant une réorganisation rapide des processus et des modes de travail. L’accélération de la transformation numérique au cours des dix-huit derniers mois a poussé les entreprises à se livrer une concurrence tenace pour être les premières à commercialiser des produits et services numériques.
La pression subséquente exercée sur les développeurs pour créer et déployer des logiciels plus rapidement a ainsi précipité le passage au DevSecOps. Celui-ci intègre le développement, la sécurité et les opérations pour faire de la sécurité des applications une partie intégrante du cycle de vie des logiciels. Enfin, les entreprises appliquent des contrôles AppSec afin de sécuriser l’intégrité du processus de développement, ainsi que pour étendre les modèles de pipeline DevSecOps à l’ensemble de l’entreprise.
Adoption rapide des applications à composantes
Parallèlement à l’essor de l’automatisation, Veracode a constaté une diminution de 30 % du nombre de modules d’application analysés par scan, ce qui indique que les applications sont de plus en plus décomposées en blocs distincts. Cela n’est pas surprenant compte tenu de l’adoption rapide des applications à composantes et des pratiques DevOps.
Grâce à la division des grandes applications en petits composants réutilisables, ou microservices, les développeurs peuvent travailler de manière plus agile pour itérer rapidement et livrer en continu par incréments. Il est intéressant de noter que l’essor du développement API-first a en fait amélioré la sécurité des logiciels, le temps moyen de correction d’une faille étant réduit d’environ 50 % lorsque l’on utilise l’analyse statique pour les API ou les microservices. L’analyse des API permet également aux organisations de trouver et de corriger les vulnérabilités des API le plus tôt et le plus efficacement possible.
De DevSecOps à SecDevOps
Avec l’augmentation du coût et de la complexité des pratiques modernes de développement de logiciels, « les entreprises auront de plus en plus besoin d’une plateforme de sécurité complète, entièrement intégrée, et faisant l’économie d’outils disparates », estime Vracode. Ceci pour éviter des attaques sur les vulnérabilités logicielles, comme l’a montré récemment la vulnérabilité zero-day de Log4j, découverte la semaine dernière et toujours en cours d’exploitation.
Dans ce contexte, l’adoption de SecDevOps déplace la sécurité encore plus en amont vers la phase de conception. Ceci afin que les logiciels soient construits avec des composants sécurisés, que le type de menace soit compris et que le contexte de conception des vulnérabilités détectées soit connu tout au long du cycle de développement, garantissant ainsi que les logiciels sont « sécurisés dès la conception ».
