Constat d’impuissance. Les CISO réclament une culture DevSecOps, basée sur l’observabilité, tout en reconnaissant qu’ils sont loin d’avoir une culture DevSecOps -à peine 12%.

Seuls 50 % des CISO sont pleinement convaincus que les logiciels fournis par les équipes de développement ont été entièrement testés pour détecter les vulnérabilités avant d’être mis en production dans des environnements de production. L’écart entre observabilité et sécurité est donc bien réel. CISO et DevSecOps ne sont toujours pas sur la même longueur d’onde.

La convergence de l’observabilité et de la sécurité est pourtant essentielle pour réaliser le potentiel du DevSecOps, estime Dynatrace. Aujourd’hui, nous sommes sur un constat d’échec, estime le spécialiste de l’observabilité automatisée. « Les CISO ont de plus en plus de mal à sécuriser leurs logiciels à mesure que leurs environnements hybrides et multicloud deviennent plus complexes, et que les équipes continuent de s’appuyer sur des processus manuels qui facilitent la pénétration des vulnérabilités dans les environnements de production », relève Bernd Greifeneder, CTO, Dynatrace.

Et de constater que l’utilisation continue d’outils cloisonnés pour les tâches de développement, de livraison et de sécurité entrave la maturité de l’adoption du DevSecOps. « Plus des deux tiers des CISO affirment que la gestion des vulnérabilités est plus difficile car la complexité de leur chaîne d’approvisionnement logicielle et de leur écosystème cloud a augmenté. C’est énorme ! »

Par-delà la capacité humaine

Deux ordres de grandeur caractérisent cette difficulté. Un : 77 % des CISO déclarent qu’il est difficile de hiérarchiser les vulnérabilités ; ils manquent d’informations sur le risque que ces vulnérabilités font peser sur leur environnement. Deux : 58 % des alertes de vulnérabilité que les scanners de sécurité signalent à eux seuls comme « critiques » ne sont pas importantes en production, ce qui fait perdre un temps de développement précieux à la recherche de faux positifs…

En moyenne, chaque membre des équipes de développement et de sécurité des applications consacre près d’un tiers de son temps à des tâches de gestion des vulnérabilités qui pourraient être automatisées.

« Les organisations ont du mal à trouver un équilibre entre le besoin d’innovation plus rapide et les contrôles de gouvernance et de sécurité qu’elles ont mis en place pour assurer la sécurité de leurs services et de leurs données, poursuit Bernd Greifeneder. La complexité croissante des chaînes d’approvisionnement logicielles et les piles de technologies natives du cloud qui constituent la base de l’innovation numérique rendent de plus en plus difficile l’identification, l’évaluation et la hiérarchisation rapides des efforts de réponse lorsque de nouvelles vulnérabilités apparaissent. Ces tâches ont dépassé la capacité humaine à gérer. »  

Par conséquent, les équipes de développement, de sécurité et informatiques constatent que les contrôles de gestion des vulnérabilités qu’ils ont mis en place ne sont plus adéquats dans le monde numérique dynamique d’aujourd’hui, ce qui expose leurs entreprises à des risques inacceptables.

Données cloisonnées, manque de contexte

On est à la croisée des chemins. Les CISO réclament une culture DevSecOps, tout en reconnaissant qu’ils sont loin d’avoir une culture DevSecOps -à peine 12%. De même, 86 % des CISO affirment que l’IA et l’automatisation sont essentielles au succès du DevSecOps et à la résolution des problèmes de ressources.

Malgré une compréhension généralisée des nombreux avantages du DevSecOps, la plupart des organisations en sont encore aux premiers stades de l’adoption de ces pratiques en raison de données cloisonnées qui manquent de contexte et limitent l’analyse, défend Bernd Greifeneder.