Les RSSI, responsables Appsec (Sécurité Applicative) et développeurs révèlent que la pression exercées par l’entreprise est l’une des principales raisons de la publication de vulnérabilités dans leurs applications, selon une étude mondiale Checkmarx.
Selon, les résultats de cette étude, 92% des organisations interrogées ont subi une violation au cours de l’année 2023 liée à des vulnérabilités applicatives développées en interne.
« Depuis quelques années, la responsabilité exclusive de la sécurité des applications s’est éloignée des équipes de sécurité qui se partagent désormais la tâche avec les responsables AppSec et les développeurs », soulignent les auteurs de l’étude.
Des logiciels vulnérables mis en production
91% des entreprises ont consciemment publié des applications vulnérables, déplorant un développement logiciel toujours plus rapide au sein d’environnements hétérogènes et moins de temps consacré à la sécurité.
A la question relative au choix de publier des applications présentant des vulnérabilités, la première raison avancée est la pression exercée par l’entreprise : 29% des responsables Appsec ont déclaré avoir publié les applications « pour respecter un délai imposé par l’entreprise, les fonctionnalités ou la sécurité », 18% des RSSI « espéraient » que la vulnérabilité ne serait pas exploitable et 29% des développeurs que la vulnérabilité serait corrigée au cours d’une version ultérieure. En France, 35% des entreprises ayant déployé du code vulnérable pensaient le corriger ultérieurement, 39% considéraient la vulnérabilité comme non critique et 35% comme trop difficile à réparer.
« Dans un contexte où les applications cloud natives sont déployées plusieurs fois par jour, l’atténuation des risques de sécurité applicative devient une responsabilité partagée », affirme Amit Daniel, directrice marketing de Checkmarx.
Un contexte applicatif complexe
Les trois principales préoccupations des développeurs sont la tension entre les exigences de délai de livraison (time to market) et les volumes potentiels de vulnérabilités nécessitant une correction, notamment l’entrave du processus de développement par les exigences en matière de sécurité, la difficulté à savoir quelles vulnérabilités corriger et comment les hiérarchiser, et enfin le manque de contexte pour les aider à corriger.
Ainsi, pas moins de 61% des développeurs ont déclaré qu’il était essentiel que la sécurité ne bloque pas ou ne ralentisse pas le processus de développement ou ne devienne pas un obstacle à la réussite de l’entreprise. Pour combler les lacunes en matière de sécurité applicative, l’intégration transparente d’outils AppSec dans les flux de travail des développeurs devient essentielle.
La composition des applications est devenue plus complexe, intégrant le code source, les packages open source, l’infrastructure as code (IaC), les conteneurs, etc. Cette augmentation exponentielle de la complexité renforce la nécessité pour les entreprises d’analyser l’ensemble du cycle de vie du développement logiciel, du code au cloud.