Checkmarx : étude sur la sécurité applicative
92% des entreprises ont consciemment publié des applications vulnérables, déplorant un développement logiciel toujours plus rapide au sein d'environnements hétérogènes et moins de temps consacré à la sécurité. C'est une des conclusions de la nouvelle étude sur la sécurité applicative de l'éditeur Checkmarx.
A la question relative au choix de publier des applications présentant des vulnérabilités, la première raison avancée est la pression exercée par l'entreprise : 29% des responsables Appsec ont déclaré avoir publié les applications « pour respecter un délai imposé par l'entreprise, les fonctionnalités ou la sécurité », 18% des RSSI « espéraient » que la vulnérabilité ne serait pas exploitable et 29% des développeurs que la vulnérabilité serait corrigée au cours d’une version ultérieure. En France, 35% des entreprises ayant déployé du code vulnérable pensaient le corriger ultérieurement, 39% considéraient la vulnérabilité comme non critique et 35% comme trop difficile à réparer.
« Dans un contexte où les applications cloud natives sont déployées plusieurs fois par jour, l'atténuation des risques de sécurité applicative devient une responsabilité partagée », déclare Amit Daniel, Directrice marketing, Checkmarx. « Les entreprises recherchent aujourd’hui de la visibilité sur la posture de sécurité de l'ensemble de leur empreinte organisationnelle. Notre objectif est de leur fournir cette visibilité pour mettre en œuvre le « DevSecTrust », c'est-à-dire réinjecter de la confiance entre les développeurs et les équipes sécurité, pour les aider à atteindre un tout autre niveau de maturité Appsec. »
Un contexte applicatif complexe
Les trois principales préoccupations des développeurs sont la tension entre les exigences de délai de livraison (time to market) et les volumes potentiels de vulnérabilités nécessitant une correction, notamment l'entrave du processus de développement par les exigences en matière de sécurité, la difficulté à savoir quelles vulnérabilités corriger et comment les hiérarchiser, et enfin le manque de contexte pour les aider à corriger. Pas moins de 61% des développeurs ont déclaré qu'il était essentiel que la sécurité ne bloque pas ou ne ralentisse pas le processus de développement ou ne devienne pas un obstacle à la réussite de l'entreprise. Pour combler les lacunes en matière de sécurité applicative, l'intégration transparente d'outils AppSec dans les flux de travail des développeurs devient essentielle.
La composition des applications est devenue plus complexe, intégrant le code source, les packages open source, l'infrastructure as code (IaC), les conteneurs, etc. Cette augmentation exponentielle de la complexité renforce la nécessité pour les entreprises d'analyser l'ensemble du cycle de vie du développement logiciel, du code au cloud.
Etude Future of AppSec menée par Censuswide pour Checkmarx.