Les organisations prévoient d’investir dans DevSecOps en 2023, et le niveau d’urgence pour elles de le faire a augmenté. Dans une étude récente réalisée par le Neustar International Security Council (NISC), 93 % des professionnels de l’infotech et de la sécurité participants ont indiqué que DevSecOps serait une priorité budgétaire importante au cours de l’année à venir, 55 % soulignant que ce serait une préoccupation extrêmement considérable avec leur entreprise.
En outre, 86 % des participants conviennent que l’urgence de se concentrer sur DevSecOps a en fait augmenté au sein de leur organisation au cours des 12 derniers mois. Les 3 principaux facteurs à l’origine de cette gravité étaient la menace croissante entraînée par l’accélération de la numérisation de leur organisation (60%), la prolifération d’attaques de chaîne d’approvisionnement de premier plan dans l’industrie (53%), et un paysage réglementaire et de conformité de plus en plus compliqué et étendu marqué par une croissance la responsabilité de leur organisation devrait être compromise envers les clients ou les partenaires.
« DevSecOps est devenu une préoccupation majeure pour les entreprises car elles cherchent à mieux établir la sécurité comme principe principal à chaque étape de l’application logicielle cycle de vie d’avancement et assurez-vous que chaque version intègre la sécurité dans le code », a déclaré Carlos Morales, vice-président principal des solutions chez Neustar Security Solutions.
« En faisant de la sécurité une tâche partagée entre les équipes d’avancement, d’exploitation et de sécurité, DevSecOps doit aider les organisations à mieux se positionner pour déterminer les vulnérabilités potentielles en même temps, idéalement avant la mise en production, et épargnez-leur des maux de tête beaucoup plus importants sur toute la ligne. »
Gérer les effets des applications logicielles non sécurisées
Les vulnérabilités des applications peuvent être coûteuses, à la fois en ressources allouées pour réparer les espaces de sécurité et en revenus doivent une violation conduit à la perte de compagnie et de confiance. Parmi les participants à l’enquête du NISC, 92 % étaient d’accord – 40 % tout à fait d’accord – pour dire que les entreprises doivent faire face aux effets si leur application logicielle s’avère défectueuse ou non sécurisée.
Beaucoup préfèrent les interventions du gouvernement fédéral, 51 % d’entre eux affirmant que les organismes du gouvernement fédéral doivent exiger de l’auteur qu’il mette en œuvre des mesures de sécurité plus étendues et adopte DevSecOps, tandis que 38 % estiment que les organismes du gouvernement fédéral doivent pénaliser l’entreprise fautive avec de grandes amendes. Une forte proportion de participants était également favorable à l’option pour les entreprises impactées.
50 % ont estimé que la célébration responsable devrait assumer les frais de toutes les dépenses d’atténuation et de suppression par les organisations en aval concernées, tandis que 44 % ont déclaré que les entreprises en aval ou les consommateurs qui comptent sur l’application logicielle sensible devraient être en mesure de déposer une plainte pour dommages . En outre, 93 % des organisations conviennent que les mandats fédéraux pour les contrôles de sécurité de la chaîne d’approvisionnement des applications logicielles sont un bon concept et doivent être appliqués à grande échelle, et plus d’un tiers (36 %) sont convaincus de cette possibilité.
Stratégies pour acheter DevSecOps en 2023
Alors que plus de 9 organisations sur 10 résident quelque part entre la construction et l’exécution totale d’une méthode DevSecOps officielle, seulement 13 % des personnes interrogées ont vérifié que leur entreprise avait réellement totalement mis en œuvre leur méthode. 29 % sont en cours de mise en œuvre d’une stratégie, tandis que 15 % sont sur le point de l’exécuter et 35 % sont encore en train d’élaborer une stratégie formelle.
Différents moteurs contribuent à l’adoption par les organisations de DevSecOps. 72 % des participants ont reconnu l’amélioration de leur capacité à découvrir, profiler et suivre un inventaire croissant d’applications et d’API via des processus automatisés comme l’un des trois moteurs essentiels de leur adoption de DevSecOps. D’autres moteurs cruciaux de l’adoption consistent en la nécessité d’un suivi plus approfondi du code pour mieux repérer les vulnérabilités tout au long de l’avancement, des tests et des opérations (64 %), la conduite d’une culture centrée sur la sécurité plus robuste pour l’entreprise (63 %), et bien mieux surveillance de la conformité (62 %).
Indépendamment de l’importance croissante de l’adoption de DevSecOps, divers éléments empêchent les organisations de le faire efficacement. Le principal d’entre eux est le manque de compétences en sécurité requises pour mettre en œuvre le programme, comme l’ont mentionné 42 % des participants. D’autres éléments interférant avec les efforts comprennent la culture organisationnelle (37 %), l’incompatibilité des outils (36 %), la difficulté à trouver un champion de la tâche ou la responsabilité partagée de l’initiative (33 %) et un manque d’adhésion de la haute direction ( 29 %).
Principaux problèmes de cybersécurité
Sur les autres problèmes de sécurité, les experts tout au long de la période de référence de juillet et août 2022 sont restés concentrés sur la capacité des attaques DDoS, qui ont été identifiées par 21 % comme leur plus grand danger perçu. Comme pour les périodes d’enquête précédentes, la compromission du système et les rançongiciels ont suivi les principaux problèmes chez 20 % et 17 % des répondants, respectivement.
Également similaire à la dernière durée, les rançongiciels ont été perçus comme un danger croissant parmi 75 % des participants à l’enquête, tandis que le phishing généralisé a fait un bond en avant et était sur le radar pour 74 % des individus. Les attaques DDoS, le piratage ciblé et l’ingénierie sociale par e-mail suivent de près, signalés comme augmentant respectivement de 72 %, 71 % et 70 % des experts interrogés.
Les attaques DDoS continuent d’être répandues et 86 % des entreprises interrogés ont indiqué qu’ils avaient en fait été la cible d’une attaque DDoS à un moment donné, une augmentation d’un point de pourcentage par rapport à la durée de l’enquête précédente. 56 % externalisent leur atténuation des attaques DDoS, et 62 % ont montré que l’atténuation des attaques se produisait généralement entre 60 secondes et 5 minutes, ce qui est constant avec les résultats de l’enquête précédente.
L’étude du NISC a été réalisée en septembre 2022 et montre que les répondants activité et préoccupations en juillet et août 2022. L’enquête a utilisé les commentaires de professionnels expérimentés des technologies de l’information et de la sécurité de six marchés EMEA et américains.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
