
Comment AppSec se rapproche du développeur
Si tout le monde s'accorde à dire que la responsabilité de la sécurité des applications doit être transférée aux développeurs, il n'y a pas beaucoup de consensus lorsqu'il s'agit de déterminer comment atteindre cet objectif.
En théorie, les développeurs devraient disposer de davantage d'outils pour détecter les vulnérabilités dans leur code avant que celui-ci ne soit ajouté à la version qui sera finalement déployée dans un environnement de production. Le problème est que la plupart des développeurs n'ont que peu ou pas d'expertise en matière de cybersécurité et ne sont donc pas en mesure d'évaluer de la gravité d'une vulnérabilité. Aujourd'hui, la plupart des applications comprennent des composants open-source qui présentent des vulnérabilités. Il est donc presque impossible de concevoir une application qui n'en comporte pas.
Le deuxième défi est que la plupart des applications sont conçues par plusieurs développeurs dont le degré d'expertise et de compétence en matière de cybersécurité varie. Par conséquent, il est probable qu'un code présentant une vulnérabilité sérieuse se retrouve dans la version en cours de développement. Cela signifie que le développement, ainsi que le code utilisé pour le créer, doivent être analysés afin de déceler les vulnérabilités lors de leur passage dans le pipeline de développement de logiciel.
Enfin, les outils et les plateformes utilisés pour créer ces pipelines sont également la cible d'attaques. Les entreprises de toutes tailles doivent s'assurer que des malwares n'ont pas été introduits dans les outils et les plateformes utilisés pour gérer leurs pipelines de développement de logiciels afin de garantir l'intégrité des chaînes d'approvisionnement en logiciels.
Tous ces problèmes sont censés disparaître grâce à l'adoption d'un ensemble de bonnes pratiques DevSecOps. Cependant, la probabilité que les développeurs d'applications disposent de toute l'expertise nécessaire afin de garantir la sécurité de chaque phase de leur processus de développement d'applications est faible, voire nulle.
L'espoir, bien sûr, est qu'à mesure que davantage de mesures de protection en matière de cybersécurité seront intégrés dans les outils et les plateformes utilisés pour créer et déployer des logiciels, l'ensemble du processus visant à garantir la sécurité gagnera en automatisation. Cependant, quel que soit le degré d'automatisation des mesures de protection de la cybersécurité intégrées dans ces outils, il sera certainement nécessaire de faire intervenir un expert en cybersécurité. Les entreprises répondent à cette exigence de trois façons différentes. Elles recherchent, au sein de l'équipe de développeurs, une personne ayant de véritables compétences en matière de cybersécurité pour encadrer tous les autres. Une deuxième option consiste à greffer un ingénieur spécialisé dans la sécurité à l'équipe qui gère le flux de travail DevOps. La troisième option consiste à créer un centre d'excellence en matière de cybersécurité qui regrouperait des experts en cybersécurité travaillant aux côtés des développeurs lors de la création d'applications.
Chaque entreprise qui crée des logiciels devra décider en interne de la meilleure approche à adopter. Certaines grandes entreprises adopteront sans aucun doute ces trois approches, car les consommateurs des applications continuent de se montrer soucieux du fait que le logiciel livré respecte un certain niveau de cybersécurité.
Quelle que soit l'approche adoptée, il est clair que de plus en plus d'entreprises chercheront à faire appel à des experts en cybersécurité dans le cadre de leurs activités de développement d'applications. En revanche, l'impact que cette initiative aura sur le rythme de développement des applications est moins certain. La plupart des équipes de développement privilégient la vitesse au détriment de tout le reste, à l'exception peut-être des performances. Cependant, les dirigeants d'entreprise qui financent ces projets font savoir qu'ils ont désormais une bien meilleure appréciation de la cybersécurité, même si cela implique de consacrer plus de temps au développement des applications.
Évidemment, les experts en cybersécurité n'ont jamais eu intérêt à créer et à déployer des applications criblées de vulnérabilités. La bonne nouvelle, c'est que la plupart des gens arrivent enfin à la même conclusion.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter