La sécurité est un travail de longue haleine. C’est l’enseignement tiré de l’étude menée par MongoDB auprès de 1 500 développeurs et responsables IT. L’enquête porte sur la responsabilité de la sécurité dans le développement des applications. Premier chiffre qui interpelle, 29% des développeurs s’estiment totalement responsables de la sécurité dans l’écriture d’une application.
Dans ce cas-là qui serait responsable ? Pour les développeurs et les responsables IT, la première personne sur le front est le RSSI (21% pour les premiers et 28% pour les seconds). Suivent les dirigeants de l’entreprise (18%/21%) et les équipes Ops (15%/17%). Plus interrogatifs, d'autres répondants (14% chez les développeurs et 10% chez les responsables IT) citent un spécialiste inconnu comme garant de la sécurité des applications.
Créer une « Security as Code »
Nonobstant, les répondants revendiquent une forte prise en compte de la sécurité au sein des applications : 92% chez les développeurs et 88% chez les responsables IT. Mais selon l’étude, ils se concentrent aussi sur d’autres sujets comme la compatibilité logicielle (38%) et l’ergonomie (36%).
A travers cette étude, MongoDB essaye d’orienter la culture DevOps vers une approche DevSecOps en prenant en compte les questions de sécurité comme incontournables dans le développement des applications. Il reste encore du chemin à parcourir pour que les développeurs s’approprient pleinement les considérations de sécurité. Pour la RSSI de MongoDB, « le contrôle et le confort s'affrontent depuis longtemps. Les développeurs sont soumis à une pression forte pour livrer - dans les délais, conformément aux spécifications, en toute sécurité et à l'échelle. C'est un défi qui ne peut que continuer ». Elle propose de créer une culture de « security as code » facilitant la collaboration entre les développeurs et les équipes de sécurité.