La culture des entreprises constitue l’un des principaux obstacles à l’intégration de la sécurité tout au long du cycle de développement.

C’est ce qu’indique l’enquête publiée par CA Technologies intitulée « Intégrer la sécurité dans l’ADN du cycle de vie des logiciels » qui fait écho à celle publié par IBM (« The Third Annual Study on the Cyber ​​Resilient Organisation ») réalisée par le Ponemon Institute pour IBM et qui sonne comme un véritable signal d’alarme (Cybersécurité : Les entreprises manquent de plan de réponse). C’est la démarche DevSecOps. On connaissait le DevOps qui tente de faire la synthèse des contraintes des développeurs et des responsables des opérations. Le DevSecOps vise à faire la synthèse dans les différentes étapes du cycle de développement, de la conception au développement, aux tests, à la production et aux opérations. DevSecOps est plus utilisé dans le contexte des déploiements cloud où les entreprises disposent déjà d’équipes et d’outils DevOps pour intégrer, automatiser et surveiller chaque aspect du cycle de vie du développement, du développement à la production.

Mais apparemment, selon l’enquête de CA Technologies, la réalité du terrain est encore loin de cette situation décrite par ce nouveau paradigme du DevSecOps alors que de 9 des responsables interrogées en France sur 10 considèrent comme indispensable d’intégrer la sécurité plus en amont dans le cycle de développement des applications et que 77 % des organisations s’appuient désormais sur l’analytique, l’auto-apprentissage et l’intelligence artificielle pour enrichir leurs connaissances sur les besoins et les comportements de leurs clients.

Pour la majorité des organisations françaises (58 %), la « culture existante » de leur entreprise est considérée comme un des principaux freins à l’intégration de la sécurité dans leurs processus de développement de logiciels. Moins d’un tiers (30 %) s’accordent sur le fait que la culture et les pratiques en place dans leur organisation favorisent la collaboration entre les équipes de développement, de production et de sécurité (soit le taux le plus bas d’Europe).

Ce constat est problématique à l’heure où, selon le rapport de CA Veracode sur la sécurité des logiciels en 2017, les vulnérabilités continuent de proliférer dans les logiciels qui n’ont pas encore été testés. Ainsi, 77 % des applications des organisations du monde entier présenteraient au moins une faille à la première analyse du code applicatif.

« Grâce à l’approche DevSecOps et à des technologies avancées telles que l’analyse comportementale et le Machine Learning, il est possible pour les entreprises de placer la sécurité au cœur de chaque étape d’un processus continu de livraison d’applications ; d’obtenir des résultats considérablement meilleurs, et de transformer leurs modes de fonctionnement, considère Marie-Benoite Chesnais, experte cybersécurité chez Technologies»

La sécurité doit être intégrée au processus de développement

L’enquête montre qu’une majorité d’organisations françaises sont conscientes que l’évolution rapide des exigences métiers et réglementaires nécessite de revoir la façon dont elles gèrent la sécurité dans le cadre de leurs processus de développement de logiciels. Surtout, l’approche traditionnelle consistant à tester la sécurité à la fin du processus de développement apparaît désormais comme insuffisante et une écrasante majorité des responsables interrogés (92 %) estiment essentiel ou important de prendre en compte ce paramètre sur toute la durée des projets, plutôt que de s’en occuper en fin de cycle.

L’automatisation pour faire face aux manques de qualifications et de temps

Outre leur culture existante, 45 % des organisations de l’Hexagone estiment que le manque de personnel qualifié nuit également à la gestion de la sécurité tout au long du processus de développement (de l’évaluation des exigences des applications à leur livraison en passant par leur conception), tandis que 62 % d’entre elles citent également l’impact du manque de temps.

La solution résiderait dans deux technologies émergentes : l’analyse comportementale et le Machine Learning. Pour 84 % des entreprises françaises, elles seront essentielles pour proposer une meilleure expérience aux utilisateurs, tout en protégeant leurs données. Elles apparaissent également comme essentielles aux systèmes d’authentification basées sur le comportement et le profil des utilisateurs.