Les approches agiles de type DevSecOps visent à multiplier les évolutions régulières, facilitées par des technologies telles que les containers et le recours au cloud. Or la sécurité, complexe à gérer pour les développeurs dans ce nouveau cadre, est un frein pour le rythme des évolutions. Selon une étude réalisée par Dynatrace, le tri des alertes (souvent des faux positifs) est particulièrement néfaste. En moyenne, selon cette étude, une organisation doit traiter 2 169 nouvelles alertes de sécurité applicative par mois dont, selon 77% des RSSI, la plupart sont de faux-positifs. De ce fait, 68% des RSSI déclarent que le volume d'alertes rend extrêmement difficile la priorisation des vulnérabilités en fonction de leur niveau de risque et de leur impact. D'ailleurs, 63% des RSSI pensent que DevOps et les méthodes agiles ont rendu encore plus difficiles détection et gestion des vulnérabilités logicielles.
Au niveau du développement, la multiplication des alertes est un véritable problème. Ainsi, selon 64% des RSSI, les développeurs n'ont pas toujours le temps de résoudre les vulnérabilités avant que le code ne soit mis en production. Pire : 28% des RSSI redoutent que les développeurs contournent les outils de détection de vulnérabilités pour accélérer la livraison des logiciels. Logiquement, 74% des RSSI considèrent que les contrôles de sécurité traditionnels, comme les scanners de vulnérabilités, ne sont plus adaptés au monde cloud d'aujourd'hui.
Des angles morts dans la sécurité des applications
Pour 89% des RSSI, les microservices, les conteneurs et Kubernetes ont créé des angles morts dans la sécurité des applications. 97% des organisations n'ont pas de visibilité en temps réel sur les vulnérabilités de leurs runtimes dans des environnements de production conteneurisés. De ce fait, 71% des RSSI admettent qu'ils ne sont pas totalement sûrs que le code soit exempt de vulnérabilités avant qu'ils soient poussés en production. Il existe pourtant une solution dans le cadre de l'approche DevSecOps : l'automatisation des déploiements, des configurations et de la gestion du code, en particulier dans les environnements de type cloud, selon 77 % des RSSI.
Commentaire