Une récente étude mondiale réalisée par Coleman Parkes pour l'éditeur Dynatrace auprès de 1300 responsables de la sécurité des systèmes d'information (RSSI) met en évidence la persistance de certains défis pour ces derniers autour de la gestion des vulnérabilités applicatives. Ainsi, 75% des répondants estiment que des brèches continuent de passer en production malgré la mise en place de modèles de sécurité à plusieurs couches, et pour près de sept RSSI sur dix (69%), la gestion des vulnérabilités est devenue plus difficile avec l'accélération croissante de la transformation numérique. La vitesse de développement en particulier entraîne parfois le retour en production de vulnérabilités déjà identifiées, un défi auquel se heurtent 59% des répondants, d'autant plus que 34% seulement estiment avoir une culture DevSecOps mature.
Selon l'enquête, plus de six organisations sur dix disposent d'au moins cinq types de solutions de sécurité différentes. Les plus répandues sont les antivirus (64%), les outils de chiffrement et de sécurité des messageries (59%), les pare-feu applicatifs (57%), le chiffrement de données (50%) et les outils de détection et blocage d'attaques en temps réel (48%). Toutefois, seules 37% des organisations interrogées disposent d'outils de détection des vulnérabilités en production et 4% seulement estiment avoir une visibilité sur les vulnérabilités dans les environnements de production conteneurisés.
Simplifier et automatiser la gestion des vulnérabilités
Parmi les zones d'ombre figure notamment l'utilisation de bibliothèques de code venant de tierces parties, un tiers des équipes de sécurité confiant ne pas toujours savoir quelles bibliothèques sont utilisées en production. À l'opposé, un quart seulement des équipes de sécurité disposent de rapports complets, précis, mis à jour en continu et en temps réel, sur chaque application et chaque bibliothèque de code qui s'exécute en production.
En moyenne, les répondants reçoivent chaque mois 2 027 alertes de vulnérabilités potentielles dans leurs applications, dont près d'un tiers (32%) nécessitent une action. Par ailleurs, les équipes de sécurité passent en moyenne 28% de leur temps sur des tâches de gestion des vulnérabilités qui pourraient être automatisées. Dans ce contexte, près de huit RSSI sur dix (79%) considèrent le fait de pouvoir gérer en continu les vulnérabilités en production comme une capacité essentielle, en particulier dans des environnements multicloud de plus en plus complexes - beaucoup ayant été échaudés par la faille Log4j.