déploiement de la sécurité des applications

La sécurité des applications change d'orientation

Version imprimable, PDF et e-mail

Les professionnels de la cybersécurité risquent d'avoir une réaction mitigée en apprenant qu'un sondage mené auprès de plus de 5 500 professionnels DevOps (dont environ 700 professionnels de la sécurité des applications) révèle que pour 57 % des professionnels de la sécurité interrogés, la responsabilité de la sécurité est déjà ou sera bientôt transférée en amont (principe du « Shift Left ») aux développeurs.

Réalisé par GitLab, fournisseur de plateforme d'intégration continue/de livraison continue (CI/CD), le sondage indique que plus les entreprises adoptent les meilleures pratiques DevSecOps, plus grande est la volonté parmi les développeurs de prendre à leur compte la responsabilité de la cybersécurité ainsi que d'autres aspects de la gestion des applications de bout en bout.

D'un point de vue général, c'est une bonne chose, car personne ne peut nier qu'il existe une pénurie chronique de professionnels de la cybersécurité. Plus nombreuses sont les tâches gérées par les équipes de développement d'applications, moins forte devrait être la pression sur les équipes de cybersécurité, surtout si davantage de problèmes sont résolus avant le déploiement d'une application. En réalité, la National Security Agency (NSA), la Cybersecurity and Infrastructure Security Agency (CISA) et l'Office of the Director of National Intelligence (ODNI) ont publié un ensemble de bonnes pratiques, Securing the Software Supply Chain for Developers, visant à sécuriser les chaînes d'approvisionnement logicielles basées sur le Enduring Security Framework (ESF) créé par un groupe de travail public-privé dirigé par la NSA et la CISA.

Cependant, le niveau actuel d'expertise en cybersécurité des développeurs d'applications est, dans le meilleur des cas, limité. La plupart des programmes de formation et d'éducation auxquels les développeurs ont participé ne proposant la cybersécurité qu'en option, il n'est pas surprenant que si peu d'entre eux aient jamais assisté à un cours de cybersécurité. De ce fait, l'espoir de voir les développeurs devenir rapidement capables d'améliorer l'état général de la sécurité des applications doit être tempéré par les réalités actuelles.

Davantage de capacités de sécurité sont lentement mais sûrement intégrées dans les outils et les plateformes utilisés par les développeurs pour faciliter la détection automatique des vulnérabilités connues. Ce qui fait perdre leurs nerfs aux professionnels de la cybersécurité, entre autres, est que les mêmes vulnérabilités se retrouvent dans de multiples applications. En pratique, c'est comme si aucun développeur n'était capable de se souvenir des problèmes de cybersécurité survenus dans un projet lorsqu'il développe l'application suivante.

La bonne nouvelle, c'est que la situation s'améliore, mais il faudra peut-être revoir le mode de financement de la cybersécurité dans la plupart des organisations. Les équipes de cybersécurité auront tendance à allouer des fonds aux plateformes qu'elles contrôlent directement. Si la responsabilité de la sécurité des applications est réellement transférée en amont (principe du « Shift Left »), il faudra alors financer tout ce qui va des outils permettant de sécuriser les environnements d'exécution aux plateformes permettant de sécuriser les interfaces de programmation d'applications (API).

En attendant, qu'on le veuille ou non, il incombe clairement aux professionnels de la cybersécurité de trouver un moyen d'enseigner aux équipes de développement quelles failles doivent être corrigées, car ce sont toujours les mêmes vulnérabilités qui apparaissent dans de nombreuses applications. Les développeurs ne partent généralement pas avec l'idée de créer une application non sécurisée. Simplement, en l'absence d'outils, de processus et de formation, les mêmes erreurs auront tendance à se répéter.

Les professionnels de la cybersécurité peuvent bien sûr avoir des doutes quant au niveau d'engagement des développeurs en faveur de la cybersécurité, mais ignorer le problème ne peut conduire qu'à la catastrophe.

Remonter en haut de page
Tweeter
Partager
Partager