Dynatrace, spcialiste de lobservabilit et de la scurit unifies, dvoile les rsultats dune enqute indpendante, mene auprs de 1 300 responsables de la scurit des systmes dinformation (RSSI) de grandes organisations dans le monde entier dont la France. Cette tude rvle que les RSSI ont de plus en plus de difficults maintenir la scurit de leurs logiciels, mesure que saccrot la complexit des environnements hybrides et multicloud, et que les quipes continuent sappuyer sur des processus manuels qui facilitent lintrusion de vulnrabilits dans les environnements de production.
Ltude souligne par ailleurs que lutilisation persistante doutils cloisonns pour les tches de dveloppement, de livraison et de scurit, empche le DevSecOps de mrir au sein des organisations. Ces rsultats mettent en vidence le besoin croissant de faire converger lobservabilit et la scurit, afin de nourrir une automatisation data-driven qui permet aux quipes de dveloppement, de scurit et dexploitation IT dinnover plus rapidement et de manire plus scurise.
Zoom sur les principaux rsultats de cette tude :
Dans le monde :
- Plus des deux-tiers (68%) des RSSI dclarent que la gestion des vulnrabilits est plus difficile car la complexit de leur chane dapprovisionnement logicielle et de leur cosystme cloud a augment.
- Seuls 50% des RSSI sont pleinement convaincus que les logiciels livrs par les quipes de dveloppement ont t compltement tests pour dtecter des vulnrabilits avant dtre mis en production.
- Pour 77% des RSSI, la priorisation des vulnrabilits est un vritable dfi, car ils manquent dinformations sur les risques que ces vulnrabilits reprsentent pour leur environnement.
- 58% des alertes de vulnrabilits que les scanners de scurit signalent comme « critiques » ne sont en ralit pas importantes en production, ce qui fait perdre un temps prcieux de dveloppement examiner de faux positifs.
- En moyenne, chaque membre des quipes de dveloppement et de scurit applicative passe presque un tiers (28%) de son temps soit 11 heures par semaine sur des tches de gestion des vulnrabilits qui pourraient tre automatises.
En France :
- 70% des RSSI dclarent que la gestion des vulnrabilits est plus difficile car la complexit de leur chane dapprovisionnement logicielle et de leur cosystme cloud a augment.
- Seuls 53% des RSSI sont pleinement convaincus que les logiciels livrs par les quipes de dveloppement ont t compltement tests pour dtecter des vulnrabilits avant dtre mis en production.
- Pour 63% des RSSI, la priorisation des vulnrabilits est un vritable dfi, car ils manquent dinformations sur les risques que ces vulnrabilits reprsentent pour leur environnement.
- 58% des alertes de vulnrabilits que les scanners de scurit signalent comme « critiques » ne sont en ralit pas importantes en production, ce qui fait perdre un temps prcieux de dveloppement examiner de faux positifs.
- En moyenne, chaque membre des quipes de dveloppement et de scurit applicative passe un quart (25%) de son temps sur des tches de gestion des vulnrabilits qui pourraient tre automatises.
« Les organisations ont du mal trouver lquilibre entre leur besoin dacclrer leur innovation et la ncessit de mettre en place une gouvernance et des contrles de scurit pour assurer la scurit de leurs services et de leurs donnes, explique Bernd Greifeneder, CTO chez Dynatrace. La complexit croissante des chanes dapprovisionnement logicielles et les stacks de technologies cloud qui constituent la base de linnovation digitale, rendent de plus en plus difficile lidentification, lvaluation et la priorisation rapide des rponses apportes aux nouvelles vulnrabilits. Ces tches ont dpass les capacits humaines de gestion. Si bien que les quipes de dveloppement, de scurit et IT se rendent compte que les contrles quelles ont mis en place pour grer les vulnrabilits ne sont plus adapts au monde digital dynamique daujourdhui, ce qui expose leurs entreprises des risques inacceptables. »
Parmi les autres rsultats de ltude :
- 75% des RSSI (71% en France) dclarent que la prvalence dquipes en silos et de solutions ponctuelles tout au long du cycle de vie DevSecOps favorise lintrusion de vulnrabilits en production.
- 81% des RSSI (84% en France) dclarent qu dfaut dun DevSecOps plus efficace, ils verront une augmentation des exploitations de vulnrabilits.
- Pour 86% des RSSI (94% en France), lIA et lautomatisation sont essentiels au succs du DevSecOps et la rsolution des problmes de ressources.
- 76% des RSSI (72% en France) affirment que le temps quil faut entre la dcouverte dune attaque zero-day et leur capacit corriger chaque instance reprsente un dfi important pour minimiser les risques.
« Bien que les nombreux avantages du DevSecOps soient aujourdhui largement compris, la plupart des organisations sont encore aux premiers stades de ladoption de ces pratiques, cause de donnes cloisonnes qui manquent de contexte et limitent les analyses, poursuit Bernd Greifeneder. Pour y remdier, elles gagneraient utiliser des solutions qui font converger les donnes dobservabilit et de scurit alimentes par une IA fiable et une automatisation intelligente. Cest exactement ce pour quoi nous avons conu la plateforme Dynatrace. Nos clients ont ainsi rduit le temps pass identifier et prioriser les vulnrabilits jusqu 95%, ce qui leur permet dinnover plus rapidement, de manire plus scurise, et de se maintenir la pointe de leurs industries.«
Le rapport est bas sur un sondage mondial, men par Coleman Parkes et commandit par Dynatrace en mars 2023, auprs de 1 300 RSSI, au sein de grandes entreprises de plus de 1 000 employs. Lchantillon inclut 200 rpondants aux tats-Unis, 100 respectivement au Royaume-Uni, en France, en Allemagne, en Espagne, en Italie, en Scandinavie, au Moyen-Orient, en Australie et en Inde, et 50 respectivement Singapour, en Malaisie, au Brsil et au Mexique.
A propos de Dynatrace :
La Software Intelligence Platform combine observabilit dynamique et scurit continue des environnements applicatifs. Sa solution automatise dAIOps apporte des rponses concrtes et exploitables trs grande chelle.
Source : Dynatrace
Et vous ?
Trouvez-vous ce rapport pertinent ?
Qu’en est-il au sein de votre entreprise ?
Voir aussi :