Les développeurs sont de plus en plus confiants en matière de cybersécurité, mais y consacrent trop de temps

72 % d'entre eux déclarant passer plus de 17 heures par semaine à des tâches liées à la sécurité

Les développeurs sont de plus en plus confiants en matière de sécurité, mais y consacrent encore trop de temps, 72 % d'entre eux déclarant passer plus de 17 heures par semaine à des tâches liées à la sécurité

Les développeurs sont de plus en plus confiants en matière de sécurité, mais y consacrent encore trop de temps, selon un rapport d'étude de Checkmarx. L'étude révèle que 21 % des développeurs interrogés déclarent que la sécurité est leur principale priorité lorsqu'ils codent. La sécurité prend cependant beaucoup de temps : 72 % des développeurs déclarent consacrer plus de 17 heures par semaine à des tâches liées à la sécurité, et un sur quatre plus de 25 heures.

La sécurité des logiciels est considérée comme une priorité absolue au sein de nombreuses entreprises. Un rapport de Chainguard en 2023 a notamment confirmé cela. Le rapport avait révélé que 70 % des développeurs et 52 % des RSSI répondants à l'enquête considèrent la sécurité de la chaîne logistique logicielle comme une priorité absolue dans leur rôle.

Un récent rapport d'étude de Checkmarx a confirmé cette situation. L'étude s'est penchée sur les pratiques actuelles des équipes de développement dans les grandes entreprises, alors qu'elles s'efforcent d'atteindre un niveau de maturité plus élevé en matière de développement, de sécurité et d'opérations (DevSecOps). Le rapport montre que les développeurs des grandes entreprises sont de plus en plus confiants en ce qui concerne les connaissances acquises lors des formations à la sécurité, mais qu'ils consacrent encore beaucoup de temps à des tâches liées à la sécurité.

L'étude révèle que 21 % des développeurs interrogés déclarent que la sécurité est leur principale priorité lorsqu'ils codent. 99,6 % des développeurs ont accès à une formation en matière de sécurité et 90 % d'entre eux estiment que l'efficacité de cette formation est moyenne ou élevée. En outre, 41,53 % des développeurs interrogés déclarent comprendre les fiches de vulnérabilité qu'ils reçoivent, ainsi que la manière dont la vulnérabilité se manifeste pendant l'exécution, dans 41 à 60 % des cas.

La sécurité prend cependant beaucoup de temps : 72 % des développeurs déclarent consacrer plus de 17 heures par semaine à des tâches liées à la sécurité, et un sur quatre plus de 25 heures. Pour mieux comprendre cela, un rapport d'Invicti Security en 2021 révelait qu'il faudrait en moyenne deux semaines par membre de l'équipe pour traiter l'arriéré actuel de problèmes de sécurité de leur organisation et ce, s'ils ne travaillent pas sur autre chose. En outre, le rapport d'Invicty montrait que 70 % des développeurs achèvent "fréquemment" ou "toujours" des projets sans effectuer toutes les étapes de sécurité en raison des délais serrés et de la pression d'innovation.


Du point de vue de l'entreprise, le rapport de Checkmarx révèle que la plupart des grandes organisations travaillent et s'engagent à atteindre un DevSecOps mature. 30 % d'entre elles ont dépassé le stade de l'expérience du développeur pour mettre en place des processus plus sophistiqués, tandis que 28,3 % suivent le temps moyen de remédiation en tant qu'indicateur. 45 % mesurent la sécurité du code et 46,27 % évaluent la capacité à respecter les délais.

Martin Lindsay, vice-président du marketing régional chez Checkmarx, commente le rapport : "L'augmentation massive du nombre d'équipes de développement et de pipelines DevOps au sein des grandes organisations montre à quel point il est essentiel pour les équipes DevOps et de sécurité de construire une culture commune pour une collaboration réussie Avec l'objectif ultime de fournir un code performant - qui, par définition, est un code sécurisé - ces deux équipes constatent que l'amélioration de l'expérience du développeur avec la sécurité des applications n'est que la première étape et que la sécurité doit trouver un moyen de s'aligner sur le rythme du développement agile."

Ce nouveau rapport de Checkmarx marque une évolution chez les développeurs. En effet, en 2021, un rapport d'Immersive Labs affirmait que "la grande majorité des développeurs des grandes entreprises, en particulier les cadres supérieurs, choisissent de mettre en ligne des applications qu'ils savent non sécurisées". Selon le rapport d'Immersive Labs, 81 % des équipes de développeurs avaient admis avoir publié sciemment des applications vulnérables.

À propos de Checkmarx

Checkmarx aide les plus grandes entreprises du monde à prendre de l'avance sur les risques liés aux applications sans ralentir le développement. Plus d'applications, des pipelines plus rapides et des menaces croissantes contribuent à la montée en flèche des risques. Checkmarx aide à mettre fin aux conjectures dans l'identification des problèmes les plus critiques à résoudre. En donnant aux AppSec les outils dont ils ont besoin tout en laissant les développeurs travailler comme ils le souhaitent, des pipelines DevOps à l'expérience des développeurs, Checkmarx aide les équipes de sécurité et de développement à mieux travailler ensemble - le tout sur une plateforme de sécurité des applications unifiée.

Source : Checkmarx : DevSecOps Evolution 2025

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

Les principaux obstacles à la sécurisation des logiciels aujourd'hui dans le cycle DevOps, d'après une étude de Checkmarx

Le nombre de travailleurs dans la cybersécurité stagne malgré la pénurie de compétences. Cette pénurie de compétences expose les organisations à un risque important en matière de cybersécurité

Les entreprises omettent la moitié du temps d'évaluer la sécurité des principales mises à jour des applications logicielles, car cela est compliqué, coûteux et prend du temps, d'après CrowdStrike