Selon un nouveau rapport, la majeure partie des entreprises auraient encore du mal à mettre en œuvre la sécurité dans leurs processus DevOps, un terme qui fait référence à un mouvement en ingénierie IT et à une pratique technique visant à l’unification du développement logiciel (Dev) et de l’administration des infrastructures informatiques (Ops), notamment l’administration système.
Ce rapport intitulé « ;Managing software exposure: time to fully embed security into your application lifecycle ;» (gérer l’exposition des logiciels : il est temps d’intégrer pleinement la sécurité dans votre cycle de vie applicatif) provient d’une étude menée par Checkmarx, un spécialiste de la sécurité des applications. Il examine les principaux obstacles à la sécurisation des logiciels aujourd’hui dans le cycle DevOps et regroupe les commentaires de 183 personnes originaires des quatre coins du monde, la majeure partie d’entre elles évoluant dans les domaines du développement logiciel, de la sécurité IT et de l’informatique en général.
Cette étude met en lumière le fait qu’il existe un grand fossé entre ce qui est nécessaire et ce qui est réellement en place, relevant que 96 % des personnes interrogées estiment qu’il est « ;souhaitable ;» ou « ;hautement souhaitable ;» que les développeurs soient correctement initiés à la production de code sécurisé. En effet, les organisations sont de plus en plus nombreuses à adopter une démarche DevOps, il est donc impératif que les développeurs travaillant pour elles prennent la responsabilité de sécuriser eux-mêmes les nouveaux logiciels qu’ils conçoivent.
Malheureusement, seulement 11 % des personnes interrogées ont déclaré avoir répondu de manière adéquate au besoin de formation des développeurs évoluant dans leurs organisations pour atteindre cet objectif. En outre, 41 % des sondées reconnaissent que la définition de la responsabilité et de la propriété en matière de sécurité des logiciels reste un défi majeur.
Habituellement, des équipes opérationnelles spécifiques sont responsables au sein des organisations de la sécurité logicielle. Mais il existerait entre les développeurs et les équipes opérationnelles une relation conflictuelle qui génèrerait de problèmes au niveau de la communication et serait à l’origine d’une culture d’inefficacité. Même si la démarche DevOps est censée éliminer un grand nombre de barrières entre ces deux départements, 72 % des personnes interrogées estiment que les différentes équipes et disciplines au sein du département informatique hésitent encore trop souvent à se faire confiance.
Ce rapport insiste également sur le fait qu’il est important d’éduquer et de motiver la haute direction à penser à la sécurité des logiciels en tant que risque commercial, indiquant que 44 % des répondants ont déclaré que les dirigeants ne se soucient pas des moyens mis en œuvre par les développeurs pour fournir rapidement, régulièrement et en toute sécurité des logiciels. Tout ce qui les intéresserait la plupart du temps, c’est que le travail soit fait.
Le rapport de Checkmarx précise à ce propos que 57 % des sondées sont d’accord avec l’affirmation selon laquelle la sécurité des logiciels est désormais « ;un problème de salle de réunion ;» et 45 % des répondants trouvent qu’il est difficile de faire approuver le financement de la formation en sécurité des développeurs par la haute direction.
La première étape pour renforcer la manière dont la sécurité est intégrée au cycle de livraison des logiciels consisterait donc à impliquer davantage la partie dirigeante des organisations concernées. La seconde étape serait probablement de mettre en place un cadre qui permettrait aux développeurs, aux testeurs, aux spécialistes de la sécurité et au personnel des opérations de travailler ensemble en harmonie.
Source : CheckMarx
Et vous ?
Qu’en pensez-vous ?
Les principaux obstacles à la sécurisation des logiciels aujourd'hui dans le cycle DevOps
D'après une étude de Checkmarx
Les principaux obstacles à la sécurisation des logiciels aujourd'hui dans le cycle DevOps
D'après une étude de Checkmarx
Le , par Christian Olivier
Une erreur dans cette actualité ? Signalez-nous-la !