Alors que l’AppSec a historiquement été une responsabilité annexe pour les responsables de la sécurité, ce paradigme est en train de changer à mesure que les risques associés au développement des logiciels augmentent, les implications devenant un point crucial pour les dirigeants d’entreprises. Lorsqu’il s’agit d’AppSec, ils sont pris entre le marteau et l’enclume. D’un côté, ils doivent gérer le risque opérationnel. De l’autre, les équipes de développement sont évaluées en fonction de leur vitesse et de leur agilité.

Alors que l’automatisation a été adoptée sans réserve dans les secteurs de la fabrication et l’ingénierie, le concept d’automatisation de la sécurité dans le développement et le test de logiciels gagne sans cesse du terrain. À tel point, cependant, que près d’un tiers des développeurs ayant participé à une étude de Forrester Research l’année dernière ont déclaré qu’ils prévoyaient de mettre en œuvre des tests automatisés, et que les outils de tests automatisés figurent en tête de liste des outils qu’ils prévoient de déployer cette année.

Mais quelles sont les raisons de cet engouement ?

1. Meilleure analyse des menaces et priorités mieux définies
Il n’est pas surprenant que l’automatisation de certains processus de sécurité des applications améliore la capacité d’une entreprise à analyser et à hiérarchiser les menaces et les vulnérabilités. Le dernier rapport du Ponemon Institute intitulé "Cost of a Data Breach Report" révèle que les organisations qui n’ont pas d’expérience en matière d’automatisation de la sécurité subissent des coûts de violation de 95 % supérieurs à celles qui ont déployé une automatisation complète.

Cependant, c’est un véritable défi que de savoir précisément quelles fonctions de sécurité automatiser et où les automatiser. Les tâches liées à la sécurité les plus susceptibles d’être automatisées sont la réponse aux incidents, l’analyse de la sécurité et les enquêtes sur les logiciels malveillants.

Pour commencer, les responsables de la sécurité doivent se demander si un outil nécessite une intervention humaine pour fonctionner. A-t-il besoin d’un expert pour interpréter les résultats ? Dans ce cas, il permet d’identifier les tâches répétitives de bas niveau qui peuvent fonctionner de pair avec la prise de décision humaine pour accélérer les enquêtes sur les incidents.

2. Des alertes plus fiables
Les approches standards des AppSec ont toujours donné lieu à un déluge de faux positifs et négatifs, et à un volume élevé d’alertes peu fiables générées par les contrôles de sécurité. En fait, une enquête réalisée en 2019 auprès des RSSI a révélé que plus de 41 % d’entre eux voient plus de 10 000 alertes et que certains affirment en voir plus de 500 000 par jour.

Un tel niveau dans le processus d’alerte encombre les tableaux de bord et détourne l’attention de la détection d’activités potentiellement malveillantes. Il en résulte une lutte constante contre les incendies, qui s’appuie souvent sur une panoplie d’outils pour décider simplement si une alerte doit être intensifiée. L’instrumentation peut affûter les outils et améliorer le rapport signal/bruit.

3. Efficacité et coût améliorés
L’automatisation de la sécurité permet de réduire les coûts, qu’il s’agisse de l’amélioration de la productivité ou de la réduction du nombre d’analystes de la sécurité. En l’absence de processus de détection et de prévention automatisés, les entreprises doivent affecter des analystes de la sécurité, difficiles à recruter, à l’examen manuel des alertes et à la mise en œuvre des mesures correctives nécessaires.

Le domaine dans lequel les analystes passent le plus de temps est celui des mesures correctives, qui nécessitent souvent de nombreuses heures passées en analyse, triage, rédaction de rapports et nouveaux tests par les équipes de développement. L’instrumentation automatise ces flux de travail et ces processus, en éliminant les faux positifs et en minimisant les alertes aux plus vraissemblabes. Comme l’automatisation permet aux équipes de sécurité de découvrir et de corriger les vulnérabilités plus tôt dans le cycle de vie du développement logiciel, souvent avant même que le code ne soit enregistré, le temps nécessaire pour y remédier est considérablement réduit.

4. Vitesse améliorée
Alors que les entreprises exigent toujours plus des développeurs de logiciels pour qu’ils innovent et fournissent rapidement leurs produits, l’automatisation devient un facteur clé de succès. L’automatisation peut contribuer à raccourcir les boucles de rétroaction en fournissant aux développeurs un retour d’information instantané sur la sécurité, dans leurs outils et environnements natifs, en amont du cycle de développement des applications - un objectif primordial pour une équipe DevOps.

Les vulnérabilités peuvent être découvertes de manière continue et automatique au fur et à mesure de l’avancement des travaux des développeurs, accompagnées de conseils de remédiation au niveau du code. Cela permet aux développeurs de rester concentrés sur le développement du code et sur le respect des délais de mise sur le marché. En effet, l’automatisation des processus AppSec peut réduire le temps moyen de remédiation (MTTR) jusqu’à 70 %. Les autres domaines dans lesquels les équipes AppSec peuvent réduire les délais concernent les enquêtes sur les incidents, la mise en œuvre des corrections, puis les nouveaux tests pour confirmer que les corrections ont été effectuées.

L’AppSec traditionnel ne peut tout simplement pas suivre le rythme

Si beaucoup de choses ont été faites au cours des deux dernières décennies pour remédier aux vulnérabilités des applications, la réalité est que ces efforts ont eu peu d’impact. Le nombre moyen de vulnérabilités par application n’a pas changé : il était d’environ 26,7 par application en 2000, et c’est toujours ce même chiffre vingt ans après.

Le fait est que les modèles de sécurité traditionnels basés sur l’analyse et le périmètre ne peuvent pas suivre le nombre de lignes de code en cours de développement, ce qui explique pourquoi les violations du code des applications restent la principale menace pour la sécurité. Si l’on ajoute à cela que plus de 20 millions de développeurs dans le monde produisent quotidiennement de grandes quantités de code, le problème s’est encore aggravé.

L’approche traditionnelle des AppSec ne peut tout simplement pas s’adapter à l’ampleur de cette nouvelle réalité du développement des applications. C’est là que l’instrumentation peut aider, en distinguant les comportements sains et malveillants, en permettant une détection automatisée et précise depuis les applications elles-mêmes et en fournissant un contexte pertinent avec une visibilité sur les attaques elles-mêmes.