Quel est l'état de la sécurité des applications, des investissements et des préoccupations des entreprises ? Retour sur le sujet de la sécurité applicative ou AppSec.
Les vulnérabilités des applications internes à l’origine de violations
La responsabilité de la sécurité des applications se partage entre les équipes sécurité, les responsables AppSec et les développeurs. « Dans un contexte où les applications cloud natives sont déployées plusieurs fois par jour, l’atténuation des risques de sécurité applicative devient une responsabilité partagée », déclare Amit Daniel, Directrice marketing, Checkmarx, notamment quand on observe que 92% des organisations ont subi une violation en 2023 liée à des vulnérabilités applicatives développées en interne.
Vulnérabilité des logiciels mis en production
91% des entreprises ont consciemment publié des applications vulnérables, en raison d’un développement logiciel trop rapide au sein d’environnements hétérogènes et moins de temps consacré à la sécurité.
Pourquoi publier des applications présentant des vulnérabilités ? La pression exercée par l’entreprise est la raison N°1.
- Les applications ont été publiées pour respecter un délai imposé par l’entreprise, les fonctionnalités ou la sécurité – 29% des responsables AppSec
- Les RSSI « espéraient » que la vulnérabilité ne serait pas exploitable – 18%
- Les développeurs pensaient que la vulnérabilité serait corrigée au cours d’une version ultérieure – 29%
En France, 35% des entreprises ayant déployé du code vulnérable pensaient le corriger ultérieurement, 39% considéraient la vulnérabilité comme non critique et 35% comme trop difficile à réparer.
Complexité du contexte applicatif
Quelles sont les principales préoccupations des développeurs ?
- la tension entre les exigences de délai de livraison et les volumes potentiels de vulnérabilités nécessitant une correction
- la difficulté à savoir quelles vulnérabilités corriger et comment les hiérarchiser
- le manque de contexte pour les aider à corriger
Selon 61% des développeurs, la sécurité ne doit pas bloquer ou ralentir le processus de développement ou devenir pas un obstacle à la réussite de l’entreprise. L’intégration d’outils AppSec dans les flux de travail des développeurs devient alors cruciale.
Une plate-forme AppSec pour répondre aux préoccupations
La composition des applications est complexe, car intégrant notamment
- le code source
- les packages open source
- l’infrastructure as code (IaC)
- les conteneurs …
Une plateforme AppSec répond aux préoccupations pour
- construire le #DevSecTrust, la coopération et la confiance entre les équipes AppSec et les développeurs
- améliorer l’expérience des développeurs en fournissant une hiérarchisation des risques dans le cadre d’une toolbox intégrée à leurs environnements de développement préférés
- consolider l’AppSec cloud natif via une nouvelle approche holistique
- sécuriser l’ensemble de l’empreinte applicative, du code au cloud
Source Enquête Censuswide pour Checkmarx – Rapport Future of AppSec – 1504 développeurs, RSSI et responsables AppSec dans des entreprises de 1000 à 10 000+ employés d’Amérique du Nord, d’Europe (376 entreprises dont 85 en France) et d’Asie-Pacifique. Décembre 2023.
Dossiers complémentaires sur le thème de la Sécurité et des Applications avec les experts du site iTPro.fr :
Téléchargez cette ressource
Guide de Sécurité IA et IoT
Compte tenu de l'ampleur des changements que l'IA est susceptible d'entraîner, les organisations doivent élaborer une stratégie pour se préparer à adopter et à sécuriser l'IA. Découvrez dans ce Livre blanc Kaspersky quatre stratégies efficaces pour sécuriser l'IA et l'IoT.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
