Connexion
/ Inscription
Mon espace
Etudes & Enquêtes
ABONNÉS
Partager par Linked-In
Partager par Xing
Partager par Facebook
Partager par email
Suivez-nous sur feedly

[Etude] les RSSI peinent à gérer les risques en raison des inefficacités du DevSecOps

81% des RSSI déclarent qu’ils verront une augmentation des vulnérabilités s’ils ne parviennent pas à rendre le DevSecOps plus efficace.

Dynatrace, le leader de l’observabilité et de la sécurité unifiées, dévoile les résultats d’une enquête indépendante, menée auprès de 1 300 responsables de la sécurité des systèmes d’information (RSSI) de grandes organisations dans le monde entier dont la France.

Cette étude révèle que les RSSI ont de plus en plus de difficultés à maintenir la sécurité de leurs logiciels, à mesure que s’accroît la complexité des environnements hybrides et multicloud, et que les équipes continuent à s’appuyer sur des processus manuels qui facilitent l’intrusion de vulnérabilités dans les environnements de production. L’étude souligne par ailleurs que l’utilisation persistante d’outils cloisonnés pour les tâches de développement, de livraison et de sécurité, empêche le DevSecOps de mûrir au sein des organisations. Ces résultats mettent en évidence le besoin croissant de faire converger l’observabilité et la sécurité, afin de nourrir une automatisation data-driven qui permet aux équipes de développement, de sécurité et d’exploitation IT d’innover plus rapidement et de manière plus sécurisée.


Zoom sur les principaux résultats de cette étude

Dans le monde

  • Plus des deux-tiers (68%) des RSSI déclarent que la gestion des vulnérabilités est plus difficile car la complexité de leur chaîne d’approvisionnement logicielle et de leur écosystème cloud a augmenté.
  • Seuls 50% des RSSI sont pleinement convaincus que les logiciels livrés par les équipes de développement ont été complètement testés pour détecter des vulnérabilités avant d’être mis en production.
  • Pour 77% des RSSI, la priorisation des vulnérabilités est un véritable défi, car ils manquent d’informations sur les risques que ces vulnérabilités représentent pour leur environnement.
  • 58% des alertes de vulnérabilités que les scanners de sécurité signalent comme "critiques" ne sont en réalité pas importantes en production, ce qui fait perdre un temps précieux de développement à examiner de faux positifs.
  • En moyenne, chaque membre des équipes de développement et de sécurité applicative passe presque un tiers (28%) de son temps – soit 11 heures par semaine – sur des tâches de gestion des vulnérabilités qui pourraient être automatisées.

En France

  • 70% des RSSI déclarent que la gestion des vulnérabilités est plus difficile car la complexité de leur chaîne d’approvisionnement logicielle et de leur écosystème cloud a augmenté.
  • Seuls 53% des RSSI sont pleinement convaincus que les logiciels livrés par les équipes de développement ont été complètement testés pour détecter des vulnérabilités avant d’être mis en production.
  • Pour 63% des RSSI, la priorisation des vulnérabilités est un véritable défi, car ils manquent d’informations sur les risques que ces vulnérabilités représentent pour leur environnement.
  • 58% des alertes de vulnérabilités que les scanners de sécurité signalent comme "critiques" ne sont en réalité pas importantes en production, ce qui fait perdre un temps précieux de développement à examiner de faux positifs.
  • En moyenne, chaque membre des équipes de développement et de sécurité applicative passe un quart (25%) de son temps sur des tâches de gestion des vulnérabilités qui pourraient être automatisées.

« Les organisations ont du mal à trouver l’équilibre entre leur besoin d’accélérer leur innovation et la nécessité de mettre en place une gouvernance et des contrôles de sécurité pour assurer la sécurité de leurs services et de leurs données, explique Bernd Greifeneder, CTO chez Dynatrace. La complexité croissante des chaînes d’approvisionnement logicielles et les stacks de technologies cloud qui constituent la base de l’innovation digitale, rendent de plus en plus difficile l’identification, l’évaluation et la priorisation rapide des réponses apportées aux nouvelles vulnérabilités. Ces tâches ont dépassé les capacités humaines de gestion. Si bien que les équipes de développement, de sécurité et IT se rendent compte que les contrôles qu’elles ont mis en place pour gérer les vulnérabilités ne sont plus adaptés au monde digital dynamique d’aujourd’hui, ce qui expose leurs entreprises à des risques inacceptables. »

Parmi les autres résultats de l’étude

  • 75% des RSSI (71% en France) déclarent que la prévalence d’équipes en silos et de solutions ponctuelles tout au long du cycle de vie DevSecOps favorise l’intrusion de vulnérabilités en production.
  • 81% des RSSI (84% en France) déclarent qu’à défaut d’un DevSecOps plus efficace, ils verront une augmentation des exploitations de vulnérabilités.
  • Pour 86% des RSSI (94% en France), l’IA et l’automatisation sont essentiels au succès du DevSecOps et à la résolution des problèmes de ressources.
  • 76% des RSSI (72% en France) affirment que le temps qu’il faut entre la découverte d’une attaque zero-day et leur capacité à corriger chaque instance représente un défi important pour minimiser les risques.

« Bien que les nombreux avantages du DevSecOps soient aujourd’hui largement compris, la plupart des organisations sont encore aux premiers stades de l’adoption de ces pratiques, à cause de données cloisonnées qui manquent de contexte et limitent les analyses, poursuit Bernd Greifeneder. Pour y remédier, elles gagneraient à utiliser des solutions qui font converger les données d’observabilité et de sécurité alimentées par une IA fiable et une automatisation intelligente. C’est exactement ce pour quoi nous avons conçu la plateforme Dynatrace. Nos clients ont ainsi réduit le temps passé à identifier et prioriser les vulnérabilités jusqu’à 95%, ce qui leur permet d’innover plus rapidement, de manière plus sécurisée, et de se maintenir à la pointe de leurs industries. »

Le rapport "The convergence of observability and security is critical to realizing DevSecOps potential" est disponible gratuitement ICI.

Ce rapport est basé sur un sondage mondial, mené par Coleman Parkes et commandité par Dynatrace en mars 2023, auprès de 1 300 RSSI, au sein de grandes entreprises de plus de 1 000 employés. L’échantillon inclut 200 répondants aux États-Unis, 100 respectivement au Royaume-Uni, en France, en Allemagne, en Espagne, en Italie, en Scandinavie, au Moyen-Orient, en Australie et en Inde, et 50 respectivement à Singapour, en Malaisie, au Brésil et au Mexique.

Lire la suite...


Articles en relation