Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sécurité des applications : pourquoi les approches traditionnelles ne fonctionnent plus avec les architectures cloud natives

juin 2021 par Dynatrace

Dynatrace dévoile les résultats d’une enquête mondiale indépendante, menée auprès de 700 responsables de la sécurité des SI (RSSI), selon lesquels l’adoption croissante des architectures cloud natives, du DevOps et des méthodologies agiles, remet en question l’efficacité des approches traditionnelles en matière de sécurité des applications.

Alors que les organisations confient plus de responsabilités à leurs développeurs pour accélérer l’innovation, ceux-ci doivent composer avec des écosystèmes IT de plus en plus complexes et des outils de sécurité devenant obsolètes, qui tendent, au contraire, à ralentir le rythme des releases. A défaut de visibilité, les équipes sont en effet obligées de trier manuellement un nombre incalculable d’alertes, dont beaucoup sont en réalité des faux-positifs, reflétant des vulnérabilités dans des librairies qui ne sont pas utilisées en production. Les organisations sont donc demandeuses d’une nouvelle approche, optimisée pour les environnements multicloud, Kubernetes et les approches DevSecOps.

Cette enquête révèle notamment que :

• Pour 89% des RSSI, les microservices, les conteneurs et Kubernetes ont créé des angles morts dans la sécurité des applications. • 97% des organisations n’ont pas de visibilité en temps réel sur les vulnérabilités de leurs runtimes dans des environnements de production conteneurisés. • Près des deux tiers (63%) des RSSI pensent que les approches DevOps et Agile ont rendu encore plus difficile la détection et la gestion des vulnérabilités logicielles. • 74% des RSSI considèrent que les contrôles de sécurité traditionnels, comme les scanners de vulnérabilités, ne sont plus adaptés au monde cloud d’aujourd’hui. • 71% des RSSI admettent qu’ils ne sont pas totalement sûrs que le code soit exempt de vulnérabilités avant qu’ils soient poussés en production.

« L’utilisation croissante des architectures cloud natives a profondément remis en cause les approches traditionnelles en matière de sécurité des applications, explique Bernd Greifeneder, Fondateur et Chief Technology Officer de Dynatrace. Cette étude confirme ce que nous avions anticipé depuis longtemps : les scans de vulnérabilités manuels et les évaluations d’impacts ne sont plus en phase avec la vitesse d’évolution des environnements cloud dynamiques et l’accélération des cycles d’innovation. Il est devenu quasiment impossible de faire des évaluations de risques, compte tenu du nombre croissant de dépendances de services internes et externes, des dynamiques de runtime, du continuous delivery et du développement de logiciels polyglottes, qui utilisent de plus en plus de technologies tierces. Les équipes, déjà sur-sollicitées, doivent alors choisir entre vitesse et sécurité, ce qui expose les organisations à des risques inutiles. »

L’étude révèle également que :

• Les organisations doivent agir sur 2 169 nouvelles alertes de sécurité applicative par mois en moyenne.
• 77% des RSSI déclarent que la plupart des alertes de sécurité et des vulnérabilités sont de faux-positifs qui ne demandent aucune action, puisque ce ne sont pas de réelles failles.
• 68% des RSSI déclarent que le volume d’alertes rend extrêmement difficile la priorisation des vulnérabilités en fonction de leur niveau de risque et de leur impact.
• D’après 64% des RSSI, les développeurs n’ont pas toujours le temps de résoudre les vulnérabilités avant que le code soit mis en production.
• Pour 77% des RSSI, la seule façon de maintenir la sécurité dans les environnements applicatifs cloud est de remplacer les déploiements, les configurations et la gestion manuels par des approches automatisées.
• 28% des RSSI pensent que les équipes en charge des applications contournent les scans de vulnérabilités pour accélérer la livraison des logiciels.

« A mesure que les organisations adoptent le DevSecOps, elles ont besoin d’équiper leurs équipes de solutions fournissant des analyses de risques et d’impacts automatiques, continues et en temps réel, pour chaque vulnérabilité, sur les environnements à la fois de pré-production et de production – et non simplement des instantanés d’un moment donné, ajoute Bernd Greifeneder. Avec le module Application Security de la plateforme Dynatrace, les organisations peuvent tirer parti de l’automatisation, de l’IA, de la scalabilité et de la robustesse de Dynatrace à l’échelle de l’entreprise, et s’en servir pour sécuriser les cycles de release, en ayant la certitude que leurs applications cloud sont exemptes de failles. »

Ce rapport est basé sur une enquête mondiale, menée par Coleman Parkes et commanditée par Dynatrace en 2021, auprès de 700 RSSI de grandes entreprises de plus de 1000 employés.
L’échantillon inclut respectivement 200 répondants aux États-Unis, 100 au Royaume-Uni, en France, en Allemagne et en Espagne, et 50 au Brésil et au Mexique.




Voir les articles précédents

    

Voir les articles suivants