Ainsi, selon une enquête récente menée auprès de professionnels de la cybersécurité par InfoSecurity Europe, 34 % des entreprises ont contourné d’importantes étapes de sécurité afin de commercialiser leurs produits plus rapidement. Par conséquent, 64 % d’entre elles pensent que leurs clients pourraient être victimes de compromissions du fait de vulnérabilités non corrigées dans leur offre.

Pour Jérôme Colleu, Sales Engineer chez CyberArk, la numérisation a engendré une forte demande en application SaaS, mais leur sécurité n’est pas une priorité dans leur conception et utilisation :

« Selon l’enquête, 49 % des organisations exécutent actuellement plus de la moitié de leurs applications dans le cloud. Pourtant, beaucoup ne donnent pas la priorité à la protection de ces environnements, même si ces derniers sont vitaux pour le bon fonctionnement de leur activité. Nos recherches montrent en outre que près de 70 % des entreprises accordent le même niveau de sécurité aux applications, quelle que soit leur degré de criticité. Les applications sensibles sont par exemple les ERP ou applications CRM.

Ce manque de considération pour la cybersécurité au sein des entreprises utilisant les applications SaaS se retrouve chez les éditeurs qui les développent : si la grande majorité des répondants (92 %) ont convenu qu’il est important de tester les applications avant leur mise sur le marché, 39 % ont admis que la cyberprotection n’est pas prise en compte au cours du cycle de développement produit dans leurs procédures internes.

Traditionnellement, les équipes de sécurité sont impliquées à la fin du développement d’un produit ou d’une application, afin de mettre en place des barrières pour s’assurer que les applications sont testées et respectent diverses exigences de sécurité avant d’être publiées. Cependant, ces barrières ont disparu avec la livraison continue des applications. Aujourd’hui, les équipes de sécurité doivent prendre les devants et travailler de concert avec les équipes DevOps et opérationnelles pour intégrer la sécurité dès le début du processus. L’objectif est alors de s’aligner et d’établir des règles de cyberprotection à respecter. De plus, les processus chronophages de test et d’analyse des applications sont à automatiser autant que possible, et il est important d’inciter les entreprises utilisatrices à effectuer des tests manuels par le biais d’initiatives créatives, comme des programmes de bug bounty, pour assurer une protection sur le long terme. Il est également conseillé d’organiser des exercices réguliers avec une Red Team, qui simulera une attaque pour identifier des vulnérabilités inconnues des équipes internes ou des éditeurs.

Chez ces derniers comme chez leurs clients, il est possible de faire face aux attaques sophistiquées en sécurisant les accès à privilèges ; voie royale des criminels pour se déplacer dans le réseau et mettre la main sur les données sensibles. En verrouillant les identifiants humains et machines à hauts pouvoirs, le risque d’attaque sera en effet réduit.

Plus globalement, la stratégie Zéro Trust est aussi idéale pour optimiser la cybersécurité : les organisations n’accordent aucune confiance et vérifient tout, que cela vienne de l’intérieur ou de l’extérieur du périmètre du réseau, avant d’accorder le moindre accès. En pratiquant cette défense, alliée à des contrôles de sécurité des accès à privilèges, les entreprises peuvent garantir un environnement réduisant les risques tout en maintenant une mise en production plus rapide. Finalement, quelle que soit la stratégie de transformation numérique, la sécurité ne doit jamais être ignorée en faveur de la rapidité de mise sur le marché. Car les cybercriminels sont constamment à la recherche de failles potentielles dont ils pourraient tirer profit. »