Le problème de la sécurité des applications

Après les violations retentissantes qui ont affecté les chaînes logistiques logicielles récemment, la sécurité des applications fait l'objet d'une attention accrue. Cependant, comme les professionnels de la cybersécurité le savent, se préoccuper ne signifie pas toujours agir. Une enquête publiée par Forrester Research auprès de 480 décideurs en matière de sécurité informatique révèle qu'à peine un quart d'entre eux (28 %) ont inscrit l'amélioration de la sécurité des applications parmi leurs priorités tactiques pour les 12 prochains mois.

Ce manque flagrant d'intérêt s'explique sans doute par le flou qui entoure la responsabilité de la sécurité des applications. Les équipes de sécurité ont souvent tendance à réserver les budgets qu'elles gèrent à la sécurisation de l'infrastructure. Elles partent du principe que les développeurs feront le nécessaire pour sécuriser les applications. Ce n'est malheureusement pas souvent le cas. Une enquête menée par le Ponemon Institute auprès de 634 spécialistes en informatique et sécurité d'entreprise pour le compte de WhiteSource, un fournisseur d'outils de sécurisation des logiciels open source, révèle que près des trois quarts des entreprises (75 %) constatent que leur portefeuille d'applications est plus vulnérable qu'il y a un an.

Plus inquiétant encore, une autre enquête menée auprès de quelque 200 spécialistes DevOps, sécurité et application par Salt Security, un fournisseur d'outils de sécurisation des API, révèle que plus de la moitié des entreprises qui utilisent des API en production (54 %) disposent au mieux d'une stratégie de sécurité élémentaire, tandis que 27 % n'en ont aucune.

Enfin, pour couronner le tout, il est courant que les développeurs publient du code présentant des vulnérabilités connues dans les environnements de production. Une enquête menée auprès de 378 spécialistes en cybersécurité et développement d'applications par Enterprise Strategy Group (ESG) pour le compte de Synopsys, un fournisseur d'outils permettant de détecter les vulnérabilités dans le code des applications, révèle que près de la moitié (48 %) d'entre eux admettent avoir sciemment publié du code présentant des vulnérabilités connues dans l'environnement de production afin de respecter les délais imposés.

Si cette situation perdure aujourd'hui, cela tient essentiellement au fait que les processus sur lesquels les développeurs s'appuient pour sécuriser les applications sont en grande partie manuels. Les trois quarts des personnes interrogées (75 %) dans le cadre d'une enquête menée par Security Compass, un fournisseur d'outils d'automatisation de la cybersécurité, ont déclaré que les processus manuels de sécurité et de conformité ralentissent la publication de code, ce qui retarde la mise sur le marché des produits et nuit à la compétitivité globale. À l'approche des échéances, la sécurité des applications est l'une des premières choses qui passent à la trappe.

En principe, la généralisation des bonnes pratiques DevSecOps, qui déplacent la responsabilité de la sécurité en amont, devrait réduire, voire éliminer, les vulnérabilités qui se retrouvent régulièrement dans les applications de production. Malheureusement, le DevSecOps étant une pratique encore jeune, son impact reste limité, surtout quand on connaît le niveau de connaissances du développeur moyen en matière de sécurité.

Les professionnels de la cybersécurité savent pertinemment que les développeurs sont responsables de la plupart des problèmes qu'ils rencontrent au quotidien. Les développeurs n'ont pas nécessairement l'intention de créer et de déployer des applications vulnérables. Ils ne savent tout simplement pas comment s'y prendre. Une fois venu le moment d'analyser l'application, soit généralement quelques jours avant son déploiement, il est déjà trop tard pour faire mieux que simplement consigner les failles de sécurité à corriger. Afin de briser ce cycle, les équipes de cybersécurité n'ont d'autre choix que de sensibiliser les développeurs beaucoup plus en amont du cycle de développement des applications.

Après tout, il est peu probable que les développeurs fassent le premier pas, pour la simple et bonne raison que le sujet leur échappe totalement. Les professionnels de la cybersécurité peuvent attendre longtemps que les développeurs fassent appel à eux. Il leur appartient donc d'engager un dialogue constructif avec les développeurs afin de les sensibiliser, plutôt que de les sanctionner, comme c'est souvent le cas.

Les entreprises sont aujourd'hui plus tributaires que jamais des logiciels. En dépit des enjeux de sécurité, elles continueront à mettre au point et à déployer toujours plus d'applications pour alimenter une multitude de processus métier numériques. Il incombe désormais aux équipes de cybersécurité d'intervenir en amont des processus de développement de ces applications plutôt que d'attendre en aval qu'un problème survienne inévitablement. Tout compte fait, on peut dire que les professionnels de la cybersécurité qui ne mobilisent pas les développeurs sont tout aussi responsables que les développeurs eux-mêmes.