Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Rapport Veracode : SecDevOps, et si la sécurité logicielle arrivait plus tôt dans le cycle de vie ?

décembre 2021 par Veracode

Veracode, a dévoilé des données d’utilisation qui démontrent que la cybersécurité s’automatise de plus en plus, conformément aux architectures logicielles et aux pratiques de développement modernes. L’étude de 5 446 170 analyses statiques et de plus de 310 000 applications sur une période de 13 mois, de septembre 2020 à octobre 2021, a révélé une croissance étonnante de 143 % du nombre de petites applications, comme les API et les microservices, et une augmentation de 133% des analyses automatisées exécutées par le biais des API au lieu d’être effectuées manuellement.

Le Covid-19 a accéléré la transformation numérique au cours des 18 derniers mois, et les entreprises se livrent une concurrence acharnée pour être les premières à commercialiser des produits et services numériques. La pression exercée sur les développeurs pour créer et déployer des logiciels plus rapidement que jamais a précipité le passage au DevSecOps. Celui-ci intègre le développement, la sécurité et les opérations pour faire de la sécurité des applications une partie intégrante du cycle de vie des logiciels. Enfin, les entreprises appliquent des contrôles AppSec afin de sécuriser l’intégrité du processus de développement, ainsi que pour étendre les modèles de pipeline DevSecOps à l’ensemble de l’entreprise.

« L’essor de l’automatisation et de la componentisation dans le développement de logiciels a entraîné une forte augmentation de la vitesse et de l’automatisation de la sécurité applicative, les entreprises se tournant vers l’IA et le machine learning pour l’identification des vulnérabilités, la modélisation des menaces et la remédiation », indique Chris Wysopal, cofondateur et CTO chez Veracode. « Nous avons déjà vu le DevSecOps croître rapidement en maturité et il y a maintenant une opportunité de déplacer la sécurité encore plus à gauche dans la phase de conception pour devenir SecDevOps ».

La componentisation favorise la rapidité et l’efficacité

Parallèlement à la trajectoire ascendante de l’automatisation, Veracode a constaté une diminution de 30% du nombre de modules d’application analysés par scan, ce qui indique que les applications sont de plus en plus décomposées en blocs distincts. Cela n’est pas surprenant compte tenu de l’adoption rapide des applications à composantes et des pratiques DevOps.

Grâce à la décomposition des grandes applications en petits composants réutilisables - ou microservices - les développeurs peuvent travailler de manière plus agile pour itérer rapidement et livrer en continu par incréments. Il est intéressant de noter que l’essor du développement API-first a en fait amélioré la sécurité des logiciels, le temps moyen de correction d’une faille étant réduit d’environ 50 % lorsque l’on utilise l’analyse statique pour les API ou les microservices. L’analyse des API permet également aux organisations de trouver et de corriger les vulnérabilités des API le plus tôt et le plus efficacement possible.

La sécurité logicielle doit être omniprésente, et non envahissante. Avec l’augmentation du coût et de la complexité des pratiques modernes de développement de logiciels, les entreprises auront de plus en plus besoin d’une plateforme de sécurité complète, entièrement intégrée, et faisant l’économie d’outils disparates. Une véritable plateforme de sécurité logicielle continue comprend donc :

• Une intégration complète, mais également ouverte aux nouveaux plugins technologiques, tout en offrant une couverture cohérente. Cette approche dite « à guichet unique » permet aux professionnels de la sécurité et aux développeurs de comprendre les risques, de hiérarchiser les mesures correctives, ainsi que de définir et de suivre les objectifs de progression dans plusieurs domaines.

• Une expérience sans faille pour les développeurs, qui permet à l’analyse de la sécurité d’aller à la rencontre des développeurs là où ils travaillent, c’est-à-dire dans l’environnement de développement intégré (IDE), les pipelines CI/CD (intégration continue et développement continu), les dépôts de code et de conteneurs et les systèmes de suivi des défauts.

• Le « SecDevOps », qui déplace la sécurité encore plus loin, vers la phase de conception, afin que les logiciels soient construits avec des composants sécurisés, que le modèle de menace soit compris et que le contexte de conception des vulnérabilités détectées soit connu tout au long du cycle de développement, garantissant ainsi que les logiciels sont « sécurisés dès la conception ».

« Les récentes attaques très médiatisées, telles que le piratage de Solar Winds, ont mis la vulnérabilité de la chaîne d’approvisionnement des logiciels sous les feux de la rampe », ajoute Chris Wysopal. « Les entreprises recherchent donc la prochaine évolution de la sécurité applicative pour avoir l’esprit tranquille. Il s’agit d’offrir l’assurance d’une orchestration continue, telle que la définition et la gestion des politiques, la remédiation en ligne avec une capacité d’« auto-guérison », et l’intelligence d’exécution qui met en évidence toute faille introduite lorsque les composants sous-jacents changent. » Compte tenu de la rapidité avec laquelle les vulnérabilités logicielles peuvent se développer, comme l’a montré récemment la vulnérabilité "zero-day" de Log4j 2.x, découverte la semaine dernière et toujours en cours d’exploitation, il ne faut pas sous-estimer l’importance de la sécurité continue et du déplacement en amont du cycle de vie des logiciels.




Voir les articles précédents

    

Voir les articles suivants