Dans près d’une entreprise sur deux, la responsabilité du suivi de la sécurité n’est plus désormais du ressort de la RSSI. De plus, la sécurité des applications (AppSec) est un facteur de différenciation commerciale pris en compte dans les décisions d’achat des clients pour 49 % des entreprises interrogées. Telles sont les principales conclusions de l’étude A CISO’s Guide to Steering AppSec in the Age of DevSecOps » de Checkmarx, menée auprès de 200 RSSI.
À mesure que les applications gagnent en complexité et en évolutivité, sous l’effet combiné de l’intelligence artificielle, des micro-services et des architectures hybrides, les équipes d’ingénierie assument une responsabilité croissante dans la livraison de solutions à la fois sécurisées et évolutives. Dans un contexte de cycles de développement toujours plus courts et de lignes de code en constante expansion, les décisions stratégiques en matière d’AppSec, tout comme les budgets qui les accompagnent, sont de plus en plus transférés aux développeurs. Objectif : intégrer la sécurité dès les premières étapes du cycle de développement de manière plus efficace.
« Nous assistons aujourd’hui à un tournant décisif : la sécurité applicative n’est plus seulement une exigence technique, elle devient un véritable levier concurrentiel, un poste budgétaire stratégique et une préoccupation de conseil d’administration », résume Jonathan Rende, Chief Product Officer de Checkmarx. « Alors que les équipes de développement prennent de plus en plus la main sur sa mise en œuvre, les RSSI doivent recentrer leur rôle sur la gouvernance, la vision stratégique et la collaboration inter équipes pour garantir des résultats de sécurité durables. »
La sécurité des applications : un critère clé dans les décisions d’achat
Les RSSI s’accordent à dire qu’un programme AppSec solide constitue aujourd’hui un avantage concurrentiel déterminant influençant de plus en plus les décisions d’achat des clients.
Mais 49 % des RSSI interrogés déclarent que les acheteurs prennent régulièrement en compte la sécurité des applications dans leurs décisions d’achat. De même, 24 % indiquent que la sécurité applicative est toujours un critère déterminant dans ces choix.
Cette tendance est particulièrement marquée en Europe, où 58 % des répondants affirment que la sécurité est systématiquement prise en compte, contre 33 % en Asie-Pacifique et seulement 8 % en Amérique du Nord.
L’étude de Checkmarx met également en lumière une décentralisation croissante des décisions en matière de sécurité, avec un rôle renforcé des équipes de développement, tant sur le plan opérationnel que budgétaire :
Dans les entreprises développant des logiciels, la responsabilité de la sécurité est désormais partagée : 50 % continuent de l’attribuer aux RSSI, 43 % la transfèrent aux équipes de développement et 56 % des organisations indiquent que la majorité de leurs équipes de développement sont pleinement intégrées aux programmes AppSec
Un rôle encore flou de la sécurité au sein des Comex
L’étude révèle une faille persistante dans la manière dont la sécurité est portée au plus haut niveau décisionnel. Si 62 % des RSSI déclarent présenter des indicateurs AppSec à leur conseil d’administration, la majorité d’entre eux se contentent de rapporter le volume de vulnérabilités, sans les relier à des enjeux métier concrets. Seuls 25 % parviennent à établir un lien clair entre ces risques techniques et leurs conséquences sur la réputation de la marque, la conformité réglementaire ou la performance économique.