Les organisations estiment qu’elles sont vulnérables aux cyberattaques à plusieurs niveaux qui peuvent avoir un impact sur l’ensemble de la pile logicielle, car elles sont confrontées à de plus en plus de défis avec une surface d’attaque qui s’élargit. Dans l’état actuel des choses, 92 % reconnaissent avoir fait des compromis dans la sécurité des applications en raison de l’urgence d’innover et de répondre à l’évolution des besoins des clients pendant la pandémie mondiale.
En fait, tous les répondants de Singapour admis que la ruée vers l’innovation était venue au moment frais de sécurité lors du développement de logiciels, selon une étudier publié par Cisco Systems AppDynamics. L’enquête mondiale a interrogé 1 150 organisations informatiques sur 13 marchés, dont l’Australie, l’Inde, le Japon, l’Allemagne, le Royaume-Uni et les États-Unis, qui avaient tous un chiffre d’affaires de plus de 500 millions de dollars, à l’exception de la Colombie, qui comprenait des entreprises de plus de 100 millions de dollars de revenus.
Dans l’ensemble, 78 % pensaient que leur entreprise était vulnérable à des attaques de sécurité en plusieurs étapes au cours des 12 prochains mois qui pourraient affecter l’ensemble de leur pile logicielle. Quelque 89 % ont déclaré qu’ils disposaient désormais d’une surface d’attaque plus large qu’il y a deux ans, 46 % notant que cela posait déjà plus de problèmes.
Quelque 59 % ont indiqué que l’utilisation accrue de l’Internet des objets (IoT) et des appareils connectés était la principale raison pour laquelle ils disposaient désormais d’une surface d’attaque plus large, tandis que 56 % ont cité une adoption accélérée du cloud et 51 % ont déclaré que la transformation numérique rapide avait élargi leur surface d’attaque.
La majorité, à 88 %, a reconnu que davantage pourrait être fait pour sécuriser leurs applications modernes tout au long du cycle de vie du logiciel. Cependant, 81 % ont déclaré que l’insuffisance des compétences et des ressources en matière de sécurité logicielle constituait un défi pour leur organisation, 78 % notant que l’absence d’une vision partagée entre leurs équipes de développement d’applications et de sécurité poserait un défi à la sécurité logicielle au cours des 12 prochains mois.
Les répondants ont souligné divers défis de sécurité logicielle auxquels ils seraient confrontés cette année, notamment un manque de visibilité des surfaces d’attaque et des vulnérabilités, la protection des données sensibles et des difficultés à hiérarchiser les menaces en fonction de la gravité et du contexte commercial.
« L’adoption généralisée d’environnements multi-cloud et la disponibilité de plates-formes low-code et no-code permettent aux développeurs d’accélérer la vitesse de publication et de créer des applications plus dynamiques sur davantage de plates-formes », a déclaré Eric Schou, vice-président et CMO de Cisco AppDynamics, dans un Publier. “Mais avec des composants d’application fonctionnant de plus en plus sur une combinaison de plates-formes et de bases de données sur site, cela expose des lacunes de visibilité et augmente considérablement le risque d’un événement de sécurité.”
Il a noté que 68 % des personnes interrogées ont déclaré que leurs outils de sécurité fonctionnaient bien en silos, mais pas de manière cohérente, ce qui entraînait une incapacité à obtenir une vue complète de la posture de sécurité de leur organisation.
Schou a ajouté : “Les nouvelles menaces de cybersécurité exposent les failles des approches traditionnelles de la sécurité des applications et, en particulier, le manque d’apport de la sécurité dans le processus de développement des applications. Dans de nombreuses organisations, il y a eu peu, voire aucune, collaboration continue entre développeurs et équipes de sécurité. Ils ne se sont engagés que lorsqu’un problème de sécurité est survenu, essentiellement lorsqu’il est déjà trop tard.”
Il a noté que de plus en plus de départements informatiques adoptaient désormais un DevSecOps approcherqui a permis d’assurer l’intégration de la sécurité des applications et des tests de conformité tout au long du cycle de vie du développement logiciel. “Les développeurs peuvent intégrer une sécurité robuste dans chaque ligne de code, ce qui se traduit par des applications plus sécurisées et une gestion de la sécurité plus facile avant, pendant et après la publication”, a-t-il déclaré.
Quelque 93 % des personnes interrogées pensent également qu’il est important de contextualiser la sécurité, afin de pouvoir corréler les risques par rapport à d’autres domaines clés tels que les performances logicielles, l’expérience utilisateur et les mesures commerciales. Cela permettrait alors de mieux hiérarchiser les correctifs de vulnérabilité en fonction de l’impact potentiel sur l’entreprise, selon l’étude.
À Singapour, 96 % ont déclaré que la capacité de contextualiser la sécurité était essentielle. 88 % supplémentaires ont indiqué que l’adoption d’un cadre de sécurité qui englobe l’ensemble de la pile logicielle était une priorité pour leur entreprise. Quelque 81 % ont indiqué que le manque de compétences et de ressources en matière de sécurité logicielle constituait un défi pour leur organisation, 96 % déclarant que leur surface d’attaque s’était élargie au cours des deux dernières années. 81 % supplémentaires pensaient qu’ils étaient vulnérables à une attaque de sécurité en plusieurs étapes au cours des 12 prochains mois.
Quelque 37 % du marché asiatique ont déclaré avoir fait leurs premiers pas dans l’adoption d’un modèle DevSecOps, tandis que 58 % envisageaient de faire de même.
Dans le monde entier, 76 % pensent qu’une approche DevSecOps est importante pour permettre aux entreprises de se protéger efficacement contre les cyberattaques en plusieurs étapes ciblant la pile logicielle. Quelque 43 % avaient commencé à adopter ce modèle de développement d’applications, tandis que 46 % envisageaient de faire de même.