La cybersécurité ne fait pas (suffisamment) partie intégrante de l’ADN des entreprises françaises

0

Une récente étude baptisée « Intégrer la sécurité dans l’ADN du cycle de vie des logiciels » met en lumière l’influence de la culture d’entreprise sur la capacité des organisations à placer la sécurité au cœur de leurs cycles de développement. Menée par le cabinet d’analystes Freeform Dynamics à la demande de CA Technologies, cette étude a été réalisée auprès de 1 200 responsables informatiques et métiers dans le monde entier (dont 466 en Europe, y compris la France) sur le thème du développement sécurisé de logiciels, une pratique essentielle à leur réussite dans l’économie numérique.

Comme l’indiquent les résultats de l’enquête, en France :

  • 88 % des sondés considèrent que leurs processus de développement applicatif favorisent la croissance et l’expansion de leur entreprise
  • 86 % des sondés estiment que ces processus sont l’impulsion de leur transformation numérique
  • 79 % des français interrogées voient les menaces liées à des problèmes de développement de logiciels comme étant de plus en plus sérieuses, contre 71 % pour la moyenne européenne.

La culture d’entreprise comme principal frein

Cependant, pour la majorité des organisations françaises (58 %), la « culture existante » de leur entreprise est considérée comme un des principaux freins à l’intégration de la sécurité dans leurs processus de développement de logiciels. Moins d’un tiers (30 %) s’accordent sur le fait que la culture et les pratiques en place dans leur organisation favorisent la collaboration entre les équipes de développement, de production et de sécurité (soit le taux le plus bas d’Europe). Ce constat est problématique à l’heure où, selon le rapport de CA Veracode sur la sécurité des logiciels en 2017, les vulnérabilités continuent de proliférer dans les logiciels qui n’ont pas encore été testés. Ainsi, 77 % des applications des organisations du monde entier présenteraient au moins une faille à la première analyse du code applicatif.

« La sécurité est l’un des principes de base de toute Modern Software Factory (usine logicielle moderne). Bien que notre étude indique une compréhension globale liée à l’importance de créer et de maintenir des applications de façon sécurisée, la culture des organisations françaises doit évoluer afin d’optimiser la collaboration, d’obtenir plus vite des retours concrets sur les vulnérabilités et de découvrir comment les résoudre rapidement », déclare Marie-Benoite Chesnais, experte cybersécurité chez CA Technologies. « Grâce à l’approche DevSecOps et à des technologies avancées telles que l’analyse comportementale et le Machine Learning , il est possible pour les entreprises de placer la sécurité au cœur de chaque étape d’un processus continu de livraison d’applications ; d’obtenir des résultats considérablement meilleurs, et de transformer leurs modes de fonctionnement. »

La sécurité doit être intégrée au processus de développement

L’enquête démontre qu’une majorité d’organisations françaises sont conscientes que l’évolution rapide des exigences métiers et réglementaires nécessite de revoir la façon dont elles gèrent la sécurité dans le cadre de leurs processus de développement de logiciels. Surtout, l’approche traditionnelle consistant à tester la sécurité à la fin du processus de développement apparaît désormais comme insuffisante : 92 % des sondés estiment essentiel ou important de prendre en compte ce paramètre sur toute la durée des projets, plutôt que de s’en occuper précipitamment à la fin.

En outre, 88 % des personnes interrogées en France considèrent comme indispensable d’intégrer la sécurité plus tôt dans le cycle de développement via l’approche DevSecOps. Ce taux est bien plus important que dans le reste de l’Europe (74 %). Et en effet, 44 % des organisations françaises auraient déjà adopté cette approche, le pourcentage le plus élevé d’Europe (28 % de moyenne). Elles sont également 29 % à avoir déjà mis en œuvre des pratiques de tests précoces et en continu des failles de sécurité, contre 38 % en Italie.

L’automatisation pour faire face aux manques de qualifications et de temps

Outre leur culture existante, 45 % des organisations de l’Hexagone estiment que le manque de personnel qualifié nuit également à la gestion de la sécurité tout au long du processus de développement (de l’évaluation des exigences des applications à leur livraison en passant par leur conception), tandis que 62 % d’entre elles citent également l’impact du manque de temps. Les problématiques importantes associées à ces processus rendent l’utilisation d’outils d’automatisation essentielle. En effet, peu, voire aucune organisation ne dispose du personnel qualifié ou du temps nécessaire pour faire face à des défis aussi complexes et urgents.

La solution résiderait dans deux technologies émergentes : l’analyse comportementale et le Machine Learning. Pour 84 % des entreprises françaises, elles seront essentielles pour proposer une meilleure expérience aux utilisateurs, tout en protégeant leurs données, contre un taux de 94 % en Espagne et de 92 % en Italie. Ces technologies avancées revêtent une importance capitale pour agir de façon proactive et éviter ainsi les fuites de données et/ou d’en limiter l’impact.

Elles apparaissent également comme essentielles aux systèmes d’authentification basées sur le comportement et le profil des utilisateurs. Ainsi, 77 % des organisations s’appuient désormais sur le Big Data et l’intelligence artificielle pour enrichir leurs connaissances sur les besoins et les comportements de leurs clients (soit 6 % de plus que la moyenne européenne). En outre, 74 % d’entre elles augmentent leur utilisation de l’automatisation sur leur cycle de développement.

Les « Champions de la Sécurité Logicielle » montrent à la voie au reste de l’Europe

Le rapport met en évidence les caractéristiques des « Champions de la Sécurité Logicielle » (ou Software Security Masters qui représentent 32 % des sondés en EMEA), ou autrement dit les organisations parvenues à intégrer pleinement la sécurité tout au long de leurs cycles de développement de logiciels. Ces entreprises ont mis en place des tests précoces et en continu de leurs applications à la recherche de failles, et ont adopté l’approche DevSecOps.

Au niveau européen, ces Champions de la Sécurité Logicielle sont 1,7 fois plus nombreux que la moyenne à considérer la sécurité comme utile pour saisir de nouvelles opportunités, au-delà de la simple protection des données et systèmes. Ces entreprises enregistrent ainsi les avantages suivants :

  • croissance de leurs bénéfices 50 % plus élevée ;
  • croissance de leurs revenus 40 % plus élevée ;
  • meilleure capacité à tenir le rythme imposé par des mises à jour fréquentes tout en continuant à procéder à leurs tests de sécurité (probabilité 2,4 fois plus élevée) ;
  • meilleure capacité à devancer la concurrence (probabilité 1,9 fois plus élevée).

« Les caractéristiques des Champions de la Sécurité Logicielle indiquent une forte corrélation entre le fait de mettre la sécurité au cœur du processus de développement et les performances des entreprises en matière de chiffres d’affaires et de bénéfices. Elles montrent également quels sont les états d’esprit et compétences nécessaires pour réussir dans l’économie numérique. Enfin, elles mettent en évidence les facteurs de changement façonnant la culture des organisations, paramètre essentiel à la création de l’environnement professionnel du futur », conclut Marie-Benoîte Chesnais. « Les entreprises ne sont pas toutes au stade de ces Champions de la Sécurité Logicielle ; cependant, l’adoption d’une stratégie visant à assurer la sécurité en continu peut les aider à accélérer leur transformation, à réduire leurs délais de lancement, à se montrer plus compétitives et à se développer. »

About Author

Globb Security France

Leave A Reply