Les RSSI face aux réalités pratiques du DevSecOps

Secu

Les RSSI à la peine face au DevSecOps…

Par Laurent Delattre, publié le 01 mai 2023

Selon une étude Dynatrace, les RSSI sont inquiets. Lutter contre les vulnérabilités des logiciels serait devenu mission impossible tant les développements sont nombreux et les assemblages de plus en plus complexes en partie à cause du multicloud. Quant à la mise en œuvre du DevSecOps censée apporter des solutions, elle se révèle trop lente et trop fastidieuse pour apporter les réponses attendues.

Il faut toujours garder un regard critique sur les études fournisseurs. Surtout quand elle s’aligne complètement avec le business voire la raison d’être de l’éditeur. C’est clairement le cas ici avec cette nouvelle étude de Dynatrace auprès de 1300 RSSI (d’entreprises de plus de 1000 employés) alors que l’éditeur a fait du DevSecOps et de l’observabilité son fonds de commerce. Cela dit, l’étude n’est cependant pas dénuée d’intérêt et met en lumière bien des préoccupations phares des RSSI et des DSI. Ces derniers – partout dans le monde – se révèlent très inquiets face à la complexité croissante des environnements hybrides et multiclouds ainsi que l’utilisation de bien trop de processus manuels favorisant les vulnérabilités dans les environnements de production.

Bien évidemment, dans un monde où tout est devenu « logiciel », lutter contre les failles des applications représente un challenge croissant. D’un côté le nombre de logiciels, applications et outils logiciels ne cesse de se multiplier. De l’autre, ces applications font de plus en plus appel à des librairies open-source, à des API externes, à des services répartis dans différents clouds toujours plus nombreux. Et forcément, les surfaces d’attaques s’accroissent avec ces multiplications et les risques de vulnérabilités en font autant. Cette réalité est connue de tous. La nouvelle étude DynaTrace a le mérite de chiffrer certains aspects de cette réalité.

Selon l’étude, pour 70% des RSSI français, la gestion des vulnérabilités est rendue plus difficile par la complexité des chaînes d’approvisionnement logicielles et de leur écosystème multicloud.

Dès lors, seulement 53% des RSSI français sont pleinement convaincus que les logiciels livrés par les équipes de développement de leur entreprise ont été complètement testés avant leur mise en production pour y détecter des vulnérabilités connues.

Une mise en œuvre laborieuse du DevSecOps

« Les organisations ont du mal à trouver l’équilibre entre leur besoin d’accélérer leur innovation et la nécessité de mettre en place une gouvernance et des contrôles de sécurité pour assurer la sécurité de leurs services et de leurs données », constate Bernd Greifeneder, CTO chez Dynatrace. « Les équipes de développement, de sécurité et IT se rendent compte que les contrôles qu’elles ont mis en place pour gérer les vulnérabilités ne sont plus adaptés au monde digital dynamique d’aujourd’hui, ce qui expose leurs entreprises à des risques inacceptables. »


À LIRE AUSSI :


Sur le papier, les approches DevSecOps sont censées apporter des réponses en cassant les silos et en automatisant au maximum la chaîne de livraison des logiciels avec notamment ses multiples contrôles de présence de vulnérabilités à tous les niveaux.

Sauf qu’entre la théorie et la pratique, il y a encore un fossé. Parce que ces approches sont longues et pas simples à concrétiser. Ainsi, 71% des RSSI en France constatent que la prévalence d’équipes en silos et de solutions ponctuelles tout au long du cycle de vie DevSecOps favorise l’intrusion de vulnérabilités en production.

Et 84% s’attendent logiquement à un accroissement des vulnérabilités dans les logiciels produits si leur entreprise n’arrive pas à rendre plus efficace la chaîne DevSecOps en place.

Une gestion des vulnérabilités encore trop artisanale

L’étude se focalise sur les problématiques de gestion des vulnérabilités au sein des chaînes DevSecOps. Et elle montre deux phénomènes : d’une part, il existe un vrai souci autour de la priorisation des vulnérabilités à corriger et d’autre part, il existe un manque d’automatisation qui impose encore trop d’opérations manuelles chronophages et à même d’engendrer des risques.

Les difficultés de priorisation s’expliquent par un manque d’information et un manque de capacité de gestion. Pour 63% des RSSI français, la priorisation des vulnérabilités demeure « un véritable défi » notamment parce qu’ils manquent d’informations sur les risques que ces vulnérabilités représentent pour leur environnement. L’étude montre aussi que cette priorisation est un impératif : 58% des alertes de vulnérabilités remontées comme “critiques” par les scanners ne le sont pas en production, ce qui fait perdre un temps précieux de développement à examiner de faux positifs ou à corriger des failles non urgentes au détriment de failles plus urgentes à remédier.

Si les problèmes sont déjà difficiles à résoudre pour les vulnérabilités connues, ils le sont encore plus lorsqu’une attaque Zero Day vient d’être repérée : 72% des RSSI français reconnaissent que corriger chaque instance potentiellement vulnérable représente pour eux un défi important.

Surfant sur son métier et ses solutions, Dynatrace note que pour faire face à ces défis, 94% des RSSI en France considèrent l’IA et l’automatisation comme essentiels au succès du DevSecOps et à la résolution de leurs problèmes de ressources.

« Bien que les nombreux avantages du DevSecOps soient aujourd’hui largement compris, la plupart des organisations sont encore aux premiers stades de l’adoption de ces pratiques, à cause de données cloisonnées qui manquent de contexte et limitent les analyses » évangélise Bernd Greifeneder. Pour y remédier, elles gagneraient à utiliser des solutions qui font converger les données d’observabilité et de sécurité alimentées par une IA fiable et une automatisation intelligente. C’est exactement ce pour quoi nous avons conçu la plateforme Dynatrace. Nos clients ont ainsi réduit le temps passé à identifier et prioriser les vulnérabilités jusqu’à 95%, ce qui leur permet d’innover plus rapidement, de manière plus sécurisée, et de se maintenir à la pointe de leurs industries. »


À LIRE AUSSI :

Dans l'actualité