La sécurité des applications arrive enfin à son dû
L'un des secrets les plus inavouables de l'informatique, c'est le nombre de vulnérabilités non corrigées réellement présentes dans les logiciels exécutés en environnements de production. Les développeurs sont connus pour télécharger des composants logiciels à partir de divers référentiels d'anciennes versions présentant des vulnérabilités connues. Même en cas de signalement de la présence de ces vulnérabilités, il n'est pas rare que le code de l'application soit distribué, avec ces problèmes non résolus, au nom de la rapidité.
Bien entendu, les professionnels de la cybersécurité passent beaucoup de temps à rechercher ces vulnérabilités, sans toutefois parvenir à les corriger la plupart du temps. De longues listes de vulnérabilités sont partagées avec les développeurs, souvent trop occupés à écrire du code non sécurisé pour leur laisser le temps de corriger les logiciels déjà en cours d'exécution. Résultat : une quantité massive de retards techniques en matière de sécurité que les cybercriminels peuvent facilement exploiter.
En fait, même après la correction d'un module en environnement de production, il n'est pas rare que la vulnérabilité réapparaisse dans une autre application suite au téléchargement par un autre développeur du même composant défectueux dans un référentiel. Les professionnels de la cybersécurité ressentent à juste titre beaucoup de frustration quant à la manière dont les logiciels sont conçus et déployés.
Heureusement, suite à une série de violations de sécurité très médiatisées, la protection des chaînes logistiques logicielles a été renforcée. Publié par l'administration Biden, un décret obligeant les agences fédérales à revoir leurs chaînes logistiques logicielles a mis la machine en route. Une législation en cours d'élaboration irait même jusqu'à empêcher tout bonnement les agences de défense de déployer des logiciels présentant des vulnérabilités connues.
Il n'est donc pas surprenant que les services informatiques des entreprises se saisissent de cette affaire. Une enquête menée auprès de 500 professionnels DevSecOps par Wakefield Research pour le compte d’Invicti, un fournisseur d'outils de tests dynamiques pour la sécurité des applications (DAST), révèle que près des trois quarts des organisations (73 %) prévoient d'augmenter leurs investissements dans la sécurité des applications en 2023.
La question, bien entendu, est de savoir comment le budget sera alloué. Le problème, c'est qu'en règle générale, les équipes chargées de la cybersécurité considèrent que la maintenance de la sécurité des applications devrait être la responsabilité des développeurs d'applications. Mais ces derniers, à l'inverse, ont toujours supposé que les équipes de cybersécurité se chargeaient de cet aspect pour eux. Il existe désormais un consensus général selon lequel les équipes de développement en seront chargées, dans le cadre d'un « shift left » qui promeut l'adoption des meilleures pratiques DevSecOps. L'objectif de cet effort est d'intégrer des outils dans tous les domaines, des environnements de développement intégrés aux plateformes d'intégration/livraison continues (CI/CD), afin d'empêcher l'introduction de vulnérabilités dans les applications en premier lieu.
Tant que le code sera écrit par des humains, des erreurs seront commises. Il sera donc toujours nécessaire de déployer des plateformes protégeant à la fois les applications et les API utilisées pour y accéder. Toutefois, le nombre de vulnérabilités découvertes dans les applications exécutées en production devrait diminuer régulièrement dans les années à venir. Il s'agit maintenant de déterminer s'il convient de corriger les applications existantes plus rapidement pour les rendre plus sécurisées, ou de les remplacer par des itérations d'applications plus modernes qui, espérons-le, ne nécessiteront pas autant d'efforts de protection continus.
