Les responsables de la sécurité informatique élargissent leur champ d'action

Signe de ce qui pourrait être une tendance plus marquée, une enquête menée auprès de 126 responsables de la cybersécurité dans le secteur du commerce de détail et de l'hôtellerie révèle qu'ils assument davantage de responsabilités pour un éventail plus large de fonctions, notamment la gestion des données et la prévention des pertes (71 %) ainsi que la pérennité des activités et la reprise après sinistre (50 %).

L'enquête, menée par le Retail & Hospitality Information Sharing and Analysis Center (RH-ISAC) à but non lucratif, révèle également que 81 % des personnes interrogées sont également responsables de la sécurité des applications, et que 60 % d'entre elles encouragent l'adoption des meilleures pratiques DevSecOps afin de renforcer la sécurité des chaînes d'approvisionnement logicielles.

Il est probable que des évolutions similaires surviennent dans d'autres secteurs verticaux. En fait, il a déjà été établi que les dépenses relatives à la cybersécurité augmentent ou, tout du moins, se maintiennent en 2023. Il est plus difficile de savoir si la hausse des budgets est due au fait que les équipes de cybersécurité assument des responsabilités supplémentaires ou si elle est due à l'achat d'outils et de plateformes de cybersécurité supplémentaires. Il est probable que ce soit un mix des deux.

Ces deux évolutions ont mis du temps à se manifester. Les équipes opérationnelles informatiques étaient autrefois majoritairement responsables de tout ce qui concernait les système de backup et de récupération. Toutefois, compte tenu de la recrudescence des ransomwares, la responsabilité de la protection des données est devenue une priorité bien plus pressante. De fait, l'enquête RH-ISAC identifie les ransomwares et la prévention des pertes de données comme les deux principaux risques auxquels les entreprises sont confrontées.

Parallèlement, la sécurité des applications (50 %) arrive désormais en cinquième position des initiatives principales pour 2023, après la gestion des vulnérabilités (64 %), la sécurité des environnements informatiques dans le cloud et sur site (56 %), la planification des ransomwares (54 %) et l'architecture Zero Trust (52 %), selon l'enquête.

Auparavant, la sécurité des applications ne recevait pas l'attention qu'elle méritait, notamment car les équipes de cybersécurité et les développeurs d'applications pensaient chacun que l'autre en était le principal responsable. Par conséquent, nul n'a eu tendance à s'y intéresser de trop près. Ce n'est qu'après une série de violations, à commencer par la tristement célèbre violation de SolarWinds en 2020, que les mentalités ont commencé à évoluer. Même dans ce cas, il aura fallu une vulnérabilité de type « zero-day » Log4jShell et un décret publié en septembre dernier par l'administration Biden demandant aux agences fédérales de sécuriser leurs chaînes d'approvisionnement logicielles pour que les choses commencent à bouger. D'après les résultats de l'enquête RH-ISAC, il semble que les responsables informatiques des entreprises y accordent le même intérêt.

La sécurité des applications englobe généralement deux missions distinctes. La première consiste en un effort relativement simple impliquant la sécurisation de l'environnement d'exécution. Les cybercriminels ne manquent pas de techniques qu'ils utilisent régulièrement pour cibler ces environnements. Le plus difficile est de neutraliser les vulnérabilités des applications avant qu'elles ne soient déployées. Les entreprises, grandes et petites, revoient les processus de développement d'applications qui, du point de vue de la cybersécurité, ont toujours été profondément défectueux. Depuis de nombreuses années, les développeurs ayant peu ou pas d'expertise en matière de cybersécurité réutilisent des composants logiciels qu'ils téléchargent depuis divers référentiels, sans se soucier de la vulnérabilité de ces logiciels. Il n'est pas surprenant qu'il ne se passe presque pas un jour sans qu'une nouvelle vulnérabilité dans une application ne soit découverte.

Les équipes de cybersécurité comblent désormais ce vide en collaborant étroitement avec les équipes de développement d'applications afin de mettre en œuvre les meilleures pratiques DevSecOps, des outils d'analyse du code à la recherche de vulnérabilités connues aux outils d'authentification qui compliquent considérablement la tâche des cybercriminels qui souhaitent introduire des malwares au sein des environnements de développement d'applications. La vulnérabilité la plus simple à corriger est celle qui n'a jamais existé.

Ces transitions sont, collectivement, porteuses d'espoir pour l'avenir de la cybersécurité. Le seul véritable problème maintenant est de s'assurer que cela se concrétise le plus tôt possible.