Dans un rapport intitule « Imperfect People, Vulnerable Applications » publié par Immersive Labs, une société de services informatique, l’entreprise révèle que les développeurs publient sciemment un nombre important d'applications vulnérables. « La grande majorité des développeurs des grandes entreprises, en particulier les cadres supérieurs, choisissent de mettre en ligne des applications qu'ils savent non sécurisées », déclare Immersive Labs dans le rapport. « Les équipes de sécurité ont peu confiance dans le cycle de vie du développement logiciel (SDLC). Seule une minorité d'équipes de sécurité pense que leur environnement de développement d'applications pourrait résister à une attaque similaire à celle de SolarWinds », indique le rapport.Pour parvenir à leur conclusion, Immersive Labs a interrogé des développeurs d'applications et des professionnels de la sécurité les résultats ont révélé des problèmes importants. Selon Immersive Labs, l’enquête a permis de déterminer qu’une majorité inquiétante des équipes de développement des grandes entreprises interrogées publient sciemment des applications vulnérables dont le code n'est pas sécurisé (81 %). Pour les développeurs interrogés en tant que groupe unique, plus de la moitié d'entre eux publient "parfois" ou "souvent" du code non sécurisé.
Les ingénieurs de développement seniors avec les rôles de chef de DevOps et responsable du développement qui ont la responsabilité globale du SDLC sont deux fois plus susceptibles que les équipes de développement de première ligne de publier "souvent" du code non sécurisé. Les vulnérabilités constituant l'une des principales voies d'entrée pour les cybercriminels, cela souligne un problème à grande échelle pour les équipes de sécurité.
Pourcentage des personnes interrogées (uniquement les promoteurs)
Selon une autre étude publiée par Dynatrace, les RSSI sont de plus en plus préoccupés par le fait que l'adoption croissante des architectures natives du cloud et des pratiques DevSecOps pourrait avoir brisé les approches traditionnelles de la sécurité des applications. L'étude révèle que 89 % des RSSI pensent que les microservices, les conteneurs et Kubernetes ont créé des angles morts en matière de sécurité des applications. En outre, 71 % d'entre eux admettent qu'ils ne sont pas totalement convaincus que le code est exempt de vulnérabilités avant sa mise en production.
En outre, l'enquête mondiale menée auprès de 700 RSSI montre que 97 % des organisations ne disposent pas d'une visibilité en temps réel des vulnérabilités d'exécution dans les environnements de production conteneurisés. Près des deux tiers (63 %) des responsables de la sécurité informatique affirment que les méthodes DevOps et le développement agile ont rendu plus difficiles la détection et la gestion des vulnérabilités logicielles, et 74 % déclarent que les contrôles de sécurité traditionnels, tels que les scanners de vulnérabilités, ne sont plus adaptés à l'univers natif du cloud.
Environnements de construction non sécurisés
Moins de la moitié soit 44 % des professionnels de la sécurité interrogés dans le cadre de cette étude pensent que leurs applications sont suffisamment sécurisées pour résister à un cybercriminel spécialisé. En fonction de leur rôle, les équipes de sécurité de première ligne sont beaucoup moins susceptibles de considérer l'environnement de développement comme fiable que les responsables de la sécurité.
Pourcentage des personnes interrogées (uniquement les spécialistes en sécurité)
Le nombre de professionnels du développement qui pensent que leur environnement est suffisamment sécurisé est plus élevé que celui des professionnels de la sécurité, bien que la même variation existe entre les ingénieurs de développement seniors et le personnel de développement de première ligne. Pour les deux groupes, les faibles chiffres indiquent un état d'impréparation et une cible majeure pour les cybercriminels.
Pourcentage des personnes interrogées (uniquement les développeurs)
Faible capacité à développer des applications sécurisées
En général, seuls 56 % des professionnels de la sécurité interrogés dans le cadre de cette étude se sont dits confiants que les équipes de développement et d'ingénierie de leur organisation pouvaient développer des applications sécurisées. Par rôle, les RSSI ont le niveau de confiance le plus faible par rapport aux deux autres groupes de professionnels de la sécurité. Des exemples de ce faible niveau de confiance ont été exprimés à travers de multiples questions d'évaluation, portant sur :
[LIST][*]la résistance aux attaques ciblées : seuls 54 % des RSSI pensent que les applications développées par leur organisation résisteraient à une attaque ciblée ; les équipes de sécurité de première ligne expriment encore moins de confiance, avec seulement 44 % des réponses favorables ;[*]les équipes de sécurité face aux attaques de bas niveau : seuls 63 % des RSSI pensent que les applications développées par leur organisation pourraient résister à une attaque de bas niveau. La confiance des équipes de sécurité de première ligne est plus faible, avec 50 % des répondants ;[*]les équipes DevOps ont exprimé un niveau de confiance plus élevé dans leurs capacités de sécurité par rapport aux spécialistes en sécurité. Par exemple :[*]les développeurs sur la résistance aux attaques ciblées 66 % des personnes interrogées se sentent confiantes dans le fait que les applications développées par leur organisation pouvaient résister à une attaque ciblée. Ce taux de confiance est presque 30 % plus élevé que celui des personnes interrogées sur la sécurité ;[*]les développeurs face aux attaques de bas niveau : 69 % des personnes interrogées sont convaincues que leurs applications peuvent résister à une attaque de bas niveau, soit un taux de confiance supérieur de 13 % à celui des...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
