Les événements de l'année dernière ont bouleversé l'agenda des conseils d'administration. Les chefs d'entreprise ont dû devenir plus agiles et redéfinir leurs priorités pour tenir compte du contexte et de l'évolution des besoins des entreprises et des consommateurs. Les programmes de transformation numérique et de migration vers le cloud se sont considérablement accélérés à mesure que les entreprises adaptaient leurs opérations, les délais passant de plusieurs années à quelques mois. Par conséquent, les exigences en matière de cybersécurité ont augmenté de manière exponentielle avec la nécessité de protéger les logiciels critiques contre les cybermenaces.
Il y a donc une bonne et une mauvaise nouvelle pour les responsables de la sécurité des applications. La bonne nouvelle : leur travail n'a jamais été aussi important. La mauvaise nouvelle : la pression à laquelle ils font face n'a jamais été aussi forte. A mesure que les entreprises se mondialisent et s'interconnectent, assurer une sécurité des applications efficace à l’international implique de traiter avec des régions qui présentent des risques, des menaces et des priorités de sécurité différents.
La clé pour maintenir la sécurité des applications au premier plan de l'ordre du jour des conseils d'administration en Europe : transformer les défis perçus en opportunités de croissance et de transformation.
Prendre en compte le choc des cultures
Regrouper l'Europe semble bien beau sur le papier, mais dans le monde réel, le continent présente une grande variété de cultures, tant au niveau social que professionnel. Il y a bien plus qu'une simple barrière linguistique en jeu, les différents pays ayant leurs propres façons de fonctionner, leurs priorités et leurs processus de décision.
Une approche à l'emporte-pièce n’est pas envisageable lorsque l’on travaille avec des organisations dans différents pays. Chacune exige des méthodologies, des informations et des délais différents. Alors que certains conseils d'administration voudront voir l'ensemble de l’analyse de rentabilité avant de décider d'un nouveau programme de sécurité des applications, d'autres ne s’intéresseront qu’au retour sur investissement et à la valeur pour l'entreprise.
En outre, depuis l'introduction du RGPD en 2018, la confidentialité des données est devenue une priorité pour de nombreuses entreprises. La conformité en Europe est également devenue encore plus difficile l'année dernière à la suite de la décision juridique historique Schrems II. Par conséquent, la priorité accordée à la résidence des données pour les applications est l'un des plus grands enjeux réglementaires pour quiconque produit des logiciels destinés à être utilisés en Europe.
Toujours plus de cyberattaques en Europe… qui frappent de plus en plus fort
Non seulement l'Europe possède certaines des réglementations les plus strictes, mais elle constitue également une cible privilégiée pour les cyberattaques. Si les États-Unis sont incontestablement la cible numéro un des cyberattaques dans le monde (plus de six milliards enregistrées depuis 2013), les pays européens, dont la France, figurent également en haut de la liste. En outre, ces États ont tendance à souffrir de coûts de violation élevés, plusieurs pays se situant au-dessus de la moyenne mondiale. Certains de ces coûts élevés proviennent d'amendes réglementaires, l'Allemagne étant connue pour ses lois sur les données particulièrement strictes, même en dehors du RGPD.
Avec le risque élevé que les cybercriminels considèrent les logiciels comme un moyen de gagner facilement de l'argent, les enjeux sont élevés. Cela signifie que la sécurité des applications est un impératif. La mise en place des meilleurs outils et pratiques pour garantir leur sécurité réduira le risque d'une cyberattaque dévastatrice.
Davantage de défauts dans les applications et des taux de correction plus lents
Lorsqu'il s'agit de déterminer l'exposition au risque des applications, l'activité criminelle ne représente qu'une partie de l'histoire. L'état de la sécurité des applications est également crucial. Un récent rapport sur l'état de la sécurité logicielle a révélé que les applications européennes sont parmi les plus susceptibles d'être lancées avec des failles les rendant vulnérables aux attaques des acteurs de la menace. En effet, 80 % des applications européennes analysées présentaient au moins une faille de sécurité et 28 % d'entre elles contenaient une faille de haute gravité, soit le pourcentage le plus élevé de toutes les régions.
Sur une note plus positive, on constate que les développeurs européens sont parmi les plus minutieux dans la correction des failles, avec 74 % de corrections. Malheureusement, ce résultat est éclipsé par le fait qu'ils ont de loin le temps moyen de correction le plus long - près de neuf mois. Il s’agit là d’une durée effroyablement longue lors de laquelle l'application est exposée aux attaques.
Les développeurs européens doivent être en mesure d'identifier ces failles de manière plus fiable lors du développement et de les résoudre avant le lancement du produit. Plus important encore, lorsqu'une vulnérabilité est découverte dans un produit actif, la capacité de réagir rapidement et efficacement pour appliquer un correctif avant qu'elle ne puisse être exploitée est primordiale.
La transformation numérique est la clé de voûte
L'Europe est un leader en matière de transformation numérique. Les nations européennes figurent en bonne place sur la liste des pays les plus compétitifs sur le plan numérique et sont leaders dans la transformation numérique industrielle, entre autres domaines. Cela signifie que le continent est l'un des marchés à plus forte croissance pour les applications basées sur le cloud - une évolution qui s'est accélérée l'année dernière par nécessité de déployer une main-d'œuvre mobile.
Les organisations avant-gardistes qui répondent à la demande croissante de logiciels innovants doivent être en mesure de trouver et de corriger efficacement les failles lors du développement et de réagir immédiatement lorsqu'une vulnérabilité est découverte. Les responsables de la sécurité et les développeurs vivent actuellement une époque passionnante. Aujourd'hui plus que jamais, il est crucial que les entreprises fassent preuve de transparence et d'acharnement en matière de sécurité logicielle. Les exigences en matière de sécurité des applications n'ont jamais été aussi élevées si les entreprises veulent saisir les opportunités du marché européen sans s'exposer à des risques inutiles.
Avec quelle facilité les équipes identifient-elles les failles graves avant que les applications n'entrent en production ? Avec quelle rapidité les résolvent-elles lorsqu'elles sont découvertes en cours de développement ou déjà lancées ? Toute entreprise qui souhaite se lancer sur le marché européen des logiciels doit s’assurer qu’elle peut répondre à ces questions.
Par Nabil Bousselham, Architecte de Solutions informatiques chez Veracode
