Site Logo

Une enquête révèle les défis culturels que représentent les DevSecOps

Thèmes:
8 déc. 2022
|
Mike Vizard

La relation souvent dysfonctionnelle entre les professionnels de la cybersécurité et les développeurs d'applications a fait l'objet d'une attention particulière ces derniers temps, mais force est de constater que la situation ne semble pas avoir réellement évolué.

Une enquête internationale menée auprès de 606 décideurs dans le domaine de l'informatique, de la sécurité, du développement d'applications et des DevOps dans des entreprises de plus de 500 employés révèle que le principal obstacle à l'adoption des meilleures pratiques DevSecOps reste largement culturel (pour 71 % des répondants) et non technique. Le problème, c'est que l'enquête révèle que seules 16 % des personnes interrogées prévoient de faire de ces questions culturelles une priorité dans les 12 à 18 prochains mois.

Seules 30 % des personnes interrogées ont indiqué avoir confiance dans le niveau actuel de collaboration entre les équipes de sécurité et de développement des applications. En revanche, 46 % d'entre elles n'étaient pas particulièrement confiantes, tandis que près d'un quart (24 %) ne l'étaient pas du tout. Un peu plus de la moitié des personnes interrogées (51 %) admettent qu'elles ne comprennent que de façon incomplète la façon dont la sécurité s'intègre dans un workflow DevSecOps.

Les questions spécifiques à aborder comprennent la définition d'un ensemble clair de politiques et de procédures (66 % des répondants), la définition des rôles et des responsabilités du personnel au sein des équipes (62 % des répondants), la création de boucles de rétroaction continues (49 % des répondants) et l'automatisation des tâches de sécurité récurrentes (41 % des répondants).

Trouver la marche à suivre

Le cœur du problème est de savoir dans quelle mesure les équipes de cybersécurité doivent prendre part au développement des applications. Il y a clairement un effort collectif visant à confier plus de responsabilités aux développeurs en matière de sécurité des applications, par exemple en intégrant des outils de sécurité dans leurs environnements de développement intégrés (IDE). Le problème est que, même lorsque ces outils sont fournis, les développeurs ne sont pas toujours capables de mesurer la gravité des vulnérabilités les unes par rapport aux autres. Dans la plupart des cas, la sécurité est tout au plus une matière facultative que certains développeurs ont pu se voir proposer à l'université, mais que peu ont réellement choisie.

Si fournir aux développeurs davantage d'outils pour assurer une meilleure sécurité n'est pas nécessairement une mauvaise idée, il est néanmoins évident qu'il faut mettre en place une forme de sécurité centralisée pour renforcer la sécurité des applications. Ce besoin souligne l'importance de réduire le fossé culturel qui existe actuellement entre les professionnels de la cybersécurité et les développeurs d'applications. Cependant, rien ne pourra se faire tant que les équipes de cybersécurité ne sauront pas véritablement comment les applications modernes sont développées. Cela ne signifie pas nécessairement que les professionnels de la cybersécurité doivent avoir accès aux flux de développement des applications, mais il leur faudrait au moins comprendre comment celles-ci sont développées pour s'assurer que les mesures de sécurité appropriées ont été mises en œuvre.

Il ne fait aucun doute que le chemin vers les DevSecOps qui nous attend sera long. Chaque professionnel de la cybersécurité devra évaluer par lui-même quelle est la meilleure façon d'impliquer les développeurs d'applications. Tout le monde devra faire des efforts. Même le plus petit des changements apportés aux processus de développement des applications pourrait avoir un impact significatif sur la sécurité. Le défi consiste à identifier rapidement ces opportunités, en cette période où les cybercriminels redoublent d'efforts pour compromettre les chaînes d'approvisionnement logicielles, qui regorgent de vulnérabilités connues. Les professionnels de la cybersécurité ont d'ailleurs tout intérêt à contribuer à la protection de ces chaînes d'approvisionnement. Après tout, toute vulnérabilité détectée avant d'atteindre l'environnement de production sera un problème en moins pour les professionnels de la cybersécurité, car ils n'auront pas à intervenir par la suite.

 

 

Mike Vizard

Mike Vizard est un spécialiste de l'informatique depuis plus de 25 ans et à ce titre, a publié et contribué à de nombreuses publications techniques, dont InfoWorld, eWeek, CRN, Baseline, ComputerWorld, TMCNet et Digital Review. Il rédige actuellement des articles de blog pour IT Business Edge, et contribue à la rédaction d'articles pour CIOinsight, The Channel Insider, Programmableweb et Slashdot. Mike blogue également sur la technologie cloud émergente pour SmarterMSP.

Connectez-vous à Mike sur LinkedIn ou Twitter.

Billets associés :
Favoris des lecteurs en 2022
Favoris des lecteurs en 2022
 Un coup de pouce présidentiel pour lutter contre les déchiffrements via des ordinateurs quantiques
Un coup de pouce présidentiel pour lutter contre les déchiffrements via des ordinateurs quantiques
 Une enquête révèle les défis culturels que représentent les DevSecOps
Une enquête révèle les défis culturels que représentent les DevSecOps
 Barracuda nommé « Meilleure cybersécurité basée sur l'IA » aux CyberSecAsia Readers' Choice Awards 2022
Barracuda nommé « Meilleure cybersécurité basée sur l'IA » aux CyberSecAsia Readers' Choice Awards 2022