Si le manque de visibilité est l’un des facteurs — favorisant les attaquants-les plus cités dans les enquêtes, la silotage des équipes et les solutions disparates et ponctuelles tout au long du pipeline DevSecOps favorisent l’introduction de vulnérabilités en production. C’est ce qu’affirme Dynatrace dans une étude menée en mars 2023auprès de 1 300 responsables de la sécurité des systèmes d’information de grandes organisations dans le monde, dont la France.
Selon l’étude, l’utilisation d’outils cloisonnés pour les tâches de développement, de livraison et de sécurité entrave la maturité du DevSecOps au sein des organisations. « Les équipes peinent à converger l’observabilité et la sécurité, ce qui limite leur capacité à innover rapidement et de manière sécurisée. Une automatisation data-driven apparaît comme une solution nécessaire pour résoudre ces problèmes », estime l’étude.
En effet, l’environnement hyperconnecté des entreprises est un écosystème complexe et dynamique où la dépendance à l’égard d’outils et de données fragmentés, l’absence de contexte système et les analyses manuelles font qu’il est difficile de répondre de manière proactive aux incidents de sécurité.
La complexité de la chaîne d’approvisionnement logicielle en cause
La plupart des entreprises ont adopté de multiples solutions pour sécuriser leurs applications, mais nombre de ces outils n’ont pas été conçus pour travailler de concert afin de boucher les failles ou appréhender les complexités des logiciels natifs du cloud. Même les solutions basées sur l’IA et l’apprentissage automatique, et à qui on prête tant de vertus pour débusquer et éliminer la plupart des tentatives d’intrusion, ne peuvent être efficaces que si elles sont correctement formées et avec suffisamment de données pertinentes.Au niveau mondial, les résultats de l’enquête mettent en évidence les facteurs empêchant la mise en place d’une sécurité et de la gestion proactive des vulnérabilités, ainsi que la confiance dans l’efficacité des outils. Ainsi, 68 % des RSSI estiment que la complexité de leur chaîne d’approvisionnement logicielle et de leur écosystème cloud rend la gestion des vulnérabilités plus difficile. En France, les chiffres montrent une tendance similaire : 70 % des RSSI français déclarent que la gestion des vulnérabilités est plus difficile en raison de la complexité de leur chaîne d’approvisionnement logicielle et de leur écosystème cloud.
La confiance dans les tests est relative
De plus, et même si des tests sont conduits, la confiance dans les résultats délivrés par ces derniers n’est pas de mise pour la moitié des répondants (ils sont 53 % en France), qui« n’ont pas pleinement confiance dans les tests effectués sur les logiciels avant leur mise en production ». Au niveau mondial, seuls 53 % des RSSI sont pleinement convaincus que les logiciels développés ont été correctement testés avant leur mise en production.
Dans le cas où les vulnérabilités sont découvertes et rapportées, les RSSI estiment que c’est bien souvent le début des problèmes en raison du manque d’informations sur les risques associés. Selon l’étude, 77 % des répondants (63 % en France) sont confrontés à des défis dans la priorisation des vulnérabilités. Et pour couronner le tout, 58 % des alertes de vulnérabilités considérées comme « critiques » se révèlent être des faux positifs, entraînant une perte de temps significative. En moyenne, les membres des équipes de développement et de sécurité françaises consacrent un quart de leur temps (28 % dans le monde) à des tâches de gestion des vulnérabilités qui pourraient être automatisées.
Ces résultats montrent que l’utilisation persistante d’outils cloisonnés pour les tâches de développement, de livraison et de sécurité empêche le DevSecOps de mûrir au sein des organisations. « Pour les RSSI, la solution réside dans la convergence de l’observabilité et de la sécurité pour nourrir une automatisation data-driven qui permet aux équipes de développement, de sécurité et d’exploitation IT d’innover plus rapidement et de manière plus sécurisée », conseillent les rédacteurs du rapport.