L’étude souligne par ailleurs que l’utilisation persistante d’outils cloisonnés pour les tâches de développement, de livraison et de sécurité, empêche le DevSecOps de mûrir au sein des organisations. Ces résultats mettent en évidence le besoin croissant de faire converger l’observabilité et la sécurité, afin de nourrir une automatisation data-driven qui permet aux équipes de développement, de sécurité et d’exploitation IT d’innover plus rapidement et de manière plus sécurisée.
Zoom sur les principaux résultats de cette étude :
Dans le monde :
- Plus des deux-tiers (68%) des RSSI déclarent que la gestion des vulnérabilités est plus difficile car la complexité de leur chaîne d’approvisionnement logicielle et de leur écosystème cloud a augmenté.
- Seuls 50% des RSSI sont pleinement convaincus que les logiciels livrés par les équipes de développement ont été complètement testés pour détecter des vulnérabilités avant d’être mis en production.
- Pour 77% des RSSI, la priorisation des vulnérabilités est un véritable défi, car ils manquent d’informations sur les risques que ces vulnérabilités représentent pour leur environnement.
- 58% des alertes de vulnérabilités que les scanners de sécurité signalent comme "critiques" ne sont en réalité pas importantes en production, ce qui fait perdre un temps précieux de développement à examiner de faux positifs.
- En moyenne, chaque membre des équipes de développement et de sécurité applicative passe presque un tiers (28%) de son temps – soit 11 heures par semaine – sur des tâches de gestion des vulnérabilités qui pourraient être automatisées.
En France :
- 70% des RSSI déclarent que la gestion des vulnérabilités est plus difficile car la complexité de leur chaîne d’approvisionnement logicielle et de leur écosystème cloud a augmenté.
- Seuls 53% des RSSI sont pleinement convaincus que les logiciels livrés par les équipes de développement ont été complètement testés pour détecter des vulnérabilités avant d’être mis en production.
- Pour 63% des RSSI, la priorisation des vulnérabilités est un véritable défi, car ils manquent d’informations sur les risques que ces vulnérabilités représentent pour leur environnement.
- 58% des alertes de vulnérabilités que les scanners de sécurité signalent comme "critiques" ne sont en réalité pas importantes en production, ce qui fait perdre un temps précieux de développement à examiner de faux positifs.
- En moyenne, chaque membre des équipes de développement et de sécurité applicative passe un quart (25%) de son temps sur des tâches de gestion des vulnérabilités qui pourraient être automatisées.
"Les organisations ont du mal à trouver l’équilibre entre leur besoin d’accélérer leur innovation et la nécessité de mettre en place une gouvernance et des contrôles de sécurité pour assurer la sécurité de leurs services et de leurs données, explique Bernd Greifeneder, CTO chez Dynatrace. La complexité croissante des chaînes d’approvisionnement logicielles et les stacks de technologies cloud qui constituent la base de l’innovation digitale, rendent de plus en plus difficile l’identification, l’évaluation et la priorisation rapide des réponses apportées aux nouvelles vulnérabilités. Ces tâches ont dépassé les capacités humaines de gestion. Si bien que les équipes de développement, de sécurité et IT se rendent compte que les contrôles qu’elles ont mis en place pour gérer les vulnérabilités ne sont plus adaptés au monde digital dynamique d’aujourd’hui, ce qui expose leurs entreprises à des risques inacceptables."
Parmi les autres résultats de l’étude :
- 75% des RSSI (71% en France) déclarent que la prévalence d’équipes en silos et de solutions ponctuelles tout au long du cycle de vie DevSecOps favorise l’intrusion de vulnérabilités en production.
- 81% des RSSI (84% en France) déclarent qu’à défaut d’un DevSecOps plus efficace, ils verront une augmentation des exploitations de vulnérabilités.
- Pour 86% des RSSI (94% en France), l’IA et l’automatisation sont essentiels au succès du DevSecOps et à la résolution des problèmes de ressources.
- 76% des RSSI (72% en France) affirment que le temps qu’il faut entre la découverte d’une attaque zero-day et leur capacité à corriger chaque instance représente un défi important pour minimiser les risques.
"Bien que les nombreux avantages du DevSecOps soient aujourd’hui largement compris, la plupart des organisations sont encore aux premiers stades de l’adoption de ces pratiques, à cause de données cloisonnées qui manquent de contexte et limitent les analyses, poursuit Bernd Greifeneder. Pour y remédier, elles gagneraient à utiliser des solutions qui font converger les données d’observabilité et de sécurité alimentées par une IA fiable et une automatisation intelligente. C’est exactement ce pour quoi nous avons conçu la plateforme Dynatrace. Nos clients ont ainsi réduit le temps passé à identifier et prioriser les vulnérabilités jusqu’à 95%, ce qui leur permet d’innover plus rapidement, de manière plus sécurisée, et de se maintenir à la pointe de leurs industries."
Le rapport est basé sur un sondage mondial, mené par Coleman Parkes et commandité par Dynatrace en mars 2023, auprès de 1 300 RSSI, au sein de grandes entreprises de plus de 1 000 employés. L’échantillon inclut 200 répondants aux États-Unis, 100 respectivement au Royaume-Uni, en France, en Allemagne, en Espagne, en Italie, en Scandinavie, au Moyen-Orient, en Australie et en Inde, et 50 respectivement à Singapour, en Malaisie, au Brésil et au Mexique.
A propos de Dynatrace :
La “Software Intelligence Platform” combine observabilité dynamique et sécurité continue des environnements applicatifs. Sa solution automatisée d’AIOps apporte des réponses concrètes et exploitables à très grande échelle.
Source : Dynatrace
Et vous ?
Trouvez-vous ce rapport pertinent ?
Qu'en est-il au sein de votre entreprise ?
Voir aussi :
La transformation numérique des entreprises est ralentie par la pénurie de développeurs, 72 % des équipes techniques étant confrontées à une pénurie de compétences, selon Dynatrace
Les RSSI cherchent à concilier transformation et cybersécurité, 47 % d'entre eux se concentrent désormais de manière proactive sur la transformation numérique et la migration vers le cloud
36 % des organisations dans le monde utilisent désormais le multicloud comme modèle principal, soit une augmentation de 10 % par rapport à l'année dernière, selon Nutanix