Selon une récente étude Cisco AppDynamics, mondiale (12 pays dont la France) menée autour de la sécurité des applications, 75% des responsables IT français déclarent craindre que leur entreprise soit vulnérable à une cyberattaque en plusieurs étapes qui toucherait l’ensemble des applications au cours des 12 prochains mois.

Alors que les départements informatiques ont accéléré leurs initiatives de transformation numérique en utilisant des plateformes low-code ou no-code permettant de publier plus vite et de créer des applications plus dynamiques, la sécurité n’a pas réussi à suivre le même rythme. Pas moins de 90% des responsables IT français ont admis que ces deux dernières années, l’innovation a été privilégiée pour répondre aux besoins des utilisateurs, au détriment de la sécurité des applications durant leur phase de développement.

Les conséquences potentielles des vulnérabilités en matière de sécurité sont bien connues : lenteur de fonctionnement, pannes nuisant à l’expérience numérique et effritant la confiance des clients, freins aux initiatives de transformation numérique et, en fin de compte, perte de revenus.

Fait encourageant, les responsables IT cherchent désormais en priorité à faire évoluer la sécurité de leurs applications afin de prendre en compte un paysage des risques toujours plus complexe. Ils cherchent à mettre en œuvre une nouvelle approche de sécurité pour l’ensemble de leurs stacks applicatifs, en passant à un modèle DevSecOps, dans lequel la sécurité des applications est intégrée tout au long du cycle de vie du développement logiciel. Et à adopter l’intelligence artificielle (IA) et l’automatisation pour faire face à la montée en flèche des menaces de sécurité.

Pour intégrer ce type d’approche plus robuste de la sécurité des applications au cours des 12 prochains mois, ils identifient six défis à surmonter :

1. Un manque de visibilité sur les surfaces d’attaques et les vulnérabilités

Plus d’un responsable IT sur deux, déclarent que leurs solutions de sécurité actuelles fonctionnent bien en silos, mais qu’elles ne fonctionnent pas ensemble, ce qui les empêche d’avoir une vue globale de la sécurité de leur entreprise.

C’est pourquoi les équipes informatiques doivent intégrer la surveillance des performances et de la sécurité applicative pour comprendre comment les vulnérabilités et les incidents peuvent avoir un impact sur les utilisateurs finaux. Cela leur permettra de comprendre comment les vulnérabilités risquent d’impacter les utilisateurs finaux et l’entreprise. Les responsables IT doivent être en mesure de comprendre le code, et tout ce qui l’entoure, avec une détection et une hiérarchisation continues, afin de pouvoir détecter et bloquer automatiquement les failles, en maximisant la vitesse et le temps de fonctionnement tout en minimisant les risques.

2. Des difficultés à hiérarchiser les menaces en fonction de leur gravité, de leur impact et du contexte business

Les équipes informatiques sont bombardées d’alertes de sécurité provenant de l’ensemble de leur stack applicatifs et n’ont aucun moyen pour identifier quelles alertes causeraient le plus de dommages. En conséquence, plus de la moitié des départements informatiques se perdent dans les limbes de la sécurité parce qu’ils ne sont pas en mesure de prioriser les évènements.

La surveillance des transactions business est essentielle pour aider les équipes informatiques à mesurer l’importance des menaces et les prioriser en fonction de leur degré de gravité. Les informations issues de cette surveillance tiennent compte du contexte de la menace, permettant aux responsables informatiques de voir quels problèmes sont susceptibles d’affecter une zone critique de l’environnement ou de l’application.

3. L’identification et la protection des données sensibles

En utilisant des composants applicatifs fonctionnant dans des environnements multi-cloud et des bases de données sur site, de nombreux responsables IT perdent le contrôle de la localisation des données dans leurs portefeuilles applicatifs. Cela crée des failles de visibilité et augmente le risque d’une faille de sécurité majeure, étant donné les volumes de données qui existent dans beaucoup de ces applications.

Les responsables IT doivent donc mettre en œuvre un “runtime application self-protection” (RASP) qui offre une visibilité depuis le cœur des applications afin de les sécuriser où qu’elles se trouvent et quelle que soit la manière dont elles sont déployées. En d’autres termes, il s’agit d’être capable de détecter les vulnérabilités en production, en temps réel, et au niveau du runtime de l’application.
Valider les requêtes de données directement depuis l’application permet d’éviter que les vulnérabilités soient exploitées. De plus, cela permet de documenter les attaques, jusqu’au niveau du code.
Étant alors au cœur du problème, les développeurs peuvent ainsi avoir une visibilité ciblée de leurs environnements applicatifs, ce qui leur permet de répondre rapidement aux menaces avec le bon niveau de réponse, que ce soit dans des conteneurs, sur les composants on-premise ou dans le cloud.

4. Des difficultés d’adaptation face à une évolution rapide du paysage de la sécurité applicative

Globalement, 75% des responsables IT déclarent qu’il est désormais difficile de suivre les menaces émergentes. Les champs d’attaque augmentent considérablement en raison du rapide déploiement de l’Internet des objets (IoT) et des appareils connectés, ainsi que de l’adoption d’architectures applicatives basées sur les microservices. Le travail hybride expose également à de nouvelles vulnérabilités dans tous les secteurs.

En réponse, les responsables IT doivent s’appuyer sur des partenaires pour obtenir des données et des informations sur les nouvelles menaces impactant la sécurité et pour aligner leur posture de sécurité face à ces menaces. Par exemple, en ayant accès à un référentiel de librairies mis à jour quotidiennement, il sera possible d’anticiper les plans de remédiation en cas de menace.

5. Des difficultés à concilier vitesse, performances des applications et sécurité

La sécurité est encore considérée comme un frein à l’innovation dans de nombreuses entreprises. La vitesse de mise sur le marché étant la priorité absolue, les équipes sécurité sont souvent écartées du processus de développement des applications et n’interviennent qu’à la toute fin.
Traditionnellement, les équipes développement et sécurité ont travaillé en silos, souvent sans connaître le rôle de l’autre. En effet, seuls 24% des départements informatiques témoignent d’une collaboration régulière et continue entre les développeurs et les experts de la sécurité.

Avec une approche DevSecOps, la sécurité des applications et les tests de conformité sont intégrés tout au long du développement, au lieu d’intervenir après coup, à la fin. Elle fait de la sécurité une responsabilité partagée entre les équipes et encourage les développeurs à donner la priorité aux questions de sécurité à chaque étape du cycle de vie des applications.

Le DevSecOps implique donc un changement culturel important. Les responsables IT doivent adopter une méthode de travail plus collaborative, tout en développant de nouvelles compétences et connaissances en dehors de leur propre discipline.

Cependant, le jeu en vaut la chandelle. Une approche DevSecOps rend la vie beaucoup plus facile et moins stressante pour tous les membres du département informatique, et permet d’anticiper et d’éviter très en amont un grand nombre de problèmes.

6. Volume des menaces et des alertes de sécurité

De nombreux responsables IT se sentent dépassés par le volume des menaces et des failles de sécurité de leur entreprise. Les départements informatiques n’ont tout simplement pas assez de temps pour identifier et analyser toutes les menaces auxquelles ils sont confrontés.

L’Intelligence Artificielle (IA) et le machine learning sont devenus essentiels pour identifier les failles, prédire les vulnérabilités et automatiser les actions de remédiation. Alors que les pirates informatiques intensifient leur utilisation de l’IA et du machine learning, il est devenu vital pour les équipes sécurité des entreprises de ne pas prendre de retard. Ainsi, 73% des responsables IT pensent que l’IA jouera un rôle de plus en plus important pour relever les défis de rapidité, de mise à l’échelle et de compétences en matière de sécurité applicative.

Les entreprises ne peuvent tout simplement plus se permettre de négliger la sécurité de leurs applications. Elle doit être traitée comme un élément essentiel du cycle de vie des applications et comme la base permettant aux entreprises d’assurer un développement plus agile et une innovation plus rapide.

Les responsables IT doivent donc faire tout leur possible pour surmonter les défis auxquels ils sont confrontés et s’assurer qu’ils disposent des outils, des connaissances et des structures nécessaires pour adopter une approche de la sécurité pour l’ensemble du stack applicatif, et ce, jusqu’au cœur applicatif.