Les organisations n’adoptent pas pleinement l’automatisation pour sécuriser leurs déploiements dans le cloud !
Etat des pratiques DevSecOps
Que retenir du dernier rapport Datadog ? « Ces résultats de l’étude State of DevSecOps montrent qu’il y a encore des progrès à faire lorsqu’il s’agit d’adopter l’automatisation pour améliorer la sécurité » déclare Andrew Krug, Head of Security Advocacy chez Datadog
Des opérations de clics manuelles
Sur une période de 14 jours, au moins 38 % des entreprises utilisant AWS ont déployé des workloads ou effectué des actions sensibles manuellement via la console AWS dans un environnement de production, ce qui signifie qu’elles s’appuient sur des opérations de clics manuelles plutôt que sur l’automatisation.
Infrastructure en tant que code
L’adoption de l’infrastructure en tant que code (IaC) varie chez les fournisseurs de cloud. L’IaC est une pratique essentielle pour sécuriser les environnements de production dans le cloud, car elle permet de s’assurer que les opérations humaines ont des autorisations limitées sur les environnements de production, que tous les changements sont examinés par des pairs et que les problèmes sont identifiés en amont dans le processus.
Sur AWS, plus de 71 % des organisations utilisent l’IaC en s’appuyant sur au moins une technologie d’IaC populaire, telle que Terraform, CloudFormation ou Pulumi. Ce chiffre est inférieur à 55% sur Google Cloud.

« Les pratiques DevOps modernes vont de pair avec des mesures de sécurité solides, la sécurité aidant en définitive à développer l’excellence opérationnelle dans toute l’organisation. Si la sécurité commence par la visibilité, la sécurisation des applications n’est réaliste que lorsque ceux qui en sont responsables bénéficient d’un contexte et d’une hiérarchisation suffisants pour comprendre quels signaux de sécurité sont importants et lesquels ne le sont pas. »
Attaques détectées par scanners de sécurité automatisés
Alors que les attaques détectées par des scanners de sécurité automatisés représentent le plus grand nombre de tentatives, la grande majorité de ces attaques sont inoffensives et ne génèrent que du bruit pour les défenseurs.
Sur les dizaines de millions de requêtes malveillantes identifiées par ces scanners, seules 0,0065 % ont réussi à déclencher une vulnérabilité.
Des identifiants à longue durée de vie
Beaucoup d’organisations s’appuient dans leurs pipelines CI/CD sur des identifiants à longue durée de vie, l’une des causes les plus courantes de violation de données.
Même dans les cas où des identifiants à courte durée de vie auraient été à la fois plus pratiques et plus sûrs, 63 % ont utilisé au moins une fois une forme d’identifiant à longue durée de vie pour authentifier les pipelines d’actions GitHub.

Applications Java impactées
Les applications Java sont les plus impactées par les vulnérabilités tierces : 90 % des services Java sont susceptibles de présenter une ou plusieurs vulnérabilités critiques introduites par une bibliothèque tierce, contre une moyenne de 47 % pour les autres langages de programmation.

Source rapport State of DevSecOps 2024 Datadog – Datadog a analysé des dizaines de milliers d’applications et d’images de conteneurs, des milliers d’environnements cloud, pour évaluer l’actuelle posture de sécurité des applications et l’adoption des bonnes pratiques au cœur de DevSecOps.
Dossiers complémentaires sur le thème du DevSecOps avec les experts du site iTPro.fr
Le DevSecOps, un passage obligé pour la sécurité des identités
Téléchargez cette ressource
Guide de Threat Intelligence contextuelle
Ce guide facilitera l’adoption d’une Threat Intelligence - renseignement sur les cybermenaces, cyberintelligence - adaptée au "contexte", il fournit des indicateurs de performance clés (KPI) pour progresser d' une posture défensive vers une approche centrée sur l’anticipation stratégique
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
- Deepfakes et IA : 64% des Français pensent savoir les détecter, mais la confiance reste fragile
- Cryptographie post-quantique : le Campus Cyber publie deux guides clés pour accélérer la transition des entreprises
Articles les + lus
Cybersécurité : pourquoi 95% des violations de données sont liées à l’humain, surtout en été
Communication d’entreprise : la voix s’impose à nouveau comme canal critique à l’ère de l’IA
Asys accélère sur la planification intelligente avec l’acquisition de m-work
Communication d’entreprise à l’ère de l’IA : fragmentation, Shadow AI et perte de contrôle
Le bruit au travail et ses effets sur la concentration dans les bureaux modernes
À la une de la chaîne Mobilité
- Cybersécurité : pourquoi 95% des violations de données sont liées à l’humain, surtout en été
- Communication d’entreprise : la voix s’impose à nouveau comme canal critique à l’ère de l’IA
- Asys accélère sur la planification intelligente avec l’acquisition de m-work
- Communication d’entreprise à l’ère de l’IA : fragmentation, Shadow AI et perte de contrôle
- Le bruit au travail et ses effets sur la concentration dans les bureaux modernes
