Selon un récent rapport sur la sécurité de l’industrie du logiciel, il y a une augmentation notable des tensions entre les travailleurs de la sécurité des applications (AppSec) et les développeurs d’applications autour d’un consensus sur les besoins natifs du cloud. De plus, il y a une préoccupation croissante quant à la rétention des talents des développeurs dans ce contexte.
Le problème fondamental réside dans l’inadéquation des outils AppSec traditionnels pour les environnements cloud. En conséquence, les équipes AppSec sont quotidiennement confrontées aux répercussions du manque d’outils cloud natifs appropriés. Cette situation continue provoque des frictions d’équipe, des problèmes de rétention des talents, des problèmes de revenus, des querelles de réputation et une perte de plus de la moitié de leur temps à rechercher des vulnérabilités.
La bonne nouvelle? Les équipes AppSec savent ce dont elles ont besoin, et les professionnels AppSec sont largement alignés sur ce à quoi devrait ressembler un paradigme AppSec moderne et natif du cloud. Cependant, malgré cette compréhension, seul un nombre limité d’équipes ont les capacités nécessaires pour répondre efficacement à ces exigences.
Une étude révèle l’effet d’outils cloud natifs inadéquats
En mai, le fournisseur de solutions Cloud AppSec Backslash Security a publié une étude intitulée « Breaking the Catch-up Cycle: The New Cloud-Native AppSec Paradigm Survey Report ». Il explore l’évolution de la sécurité des applications depuis l’essor du développement d’applications cloud natives.
L’étude examine les pratiques, les outils et les besoins des CISO, des responsables AppSec et des ingénieurs AppSec dans les entreprises de 1 000 employés ou plus avec des environnements de développement d’applications matures dans le cloud. Les résultats montrent que 85 % des professionnels d’AppSec ont déclaré que la capacité à différencier les risques réels du bruit est essentielle. Seuls 38% peuvent le faire aujourd’hui.
Selon les chercheurs, les organisations DevOps matures citent un impact généralisé en raison du manque d’outils natifs du cloud. Les équipes AppSec sont coincées dans un cycle de rattrapage, incapables de suivre le rythme de développement de plus en plus rapide et agile et de jouer la défense de la sécurité via une chasse aux vulnérabilités sans fin et improductive.
« Des outils cloud natifs inadéquats sont une cause fondamentale de friction entre les équipes AppSec et les développeurs. Les outils AppSec de la génération actuelle n’ont pas la capacité de signaler le niveau de preuve requis pour que les équipes de développement agissent sur les alertes », a déclaré Shahar Man, PDG et co-fondateur de Backslash Security, à TechNewsWorld.
AppSec jouant à la défense
Notamment, alors que 58 % des personnes interrogées déclarent passer plus de 50 % de leur temps à rechercher des vulnérabilités, un pourcentage choquant de 89 % passent au moins 25 % de leur temps dans ce mode défensif, selon le rapport. Partout, les entreprises sont victimes de cette taxe défensive coûteuse.
La soi-disant taxe, estimée à plus de 1,2 million de dollars par an, est le coût de l’emploi d’ingénieurs AppSec qui chassent les vulnérabilités plutôt que de piloter un programme AppSec complet natif du cloud. Les équipes de sécurité des applications ont du mal à suivre le rythme des équipes de développement de plus en plus rapides qui déploient rapidement du code dans le cloud, s’est plaint Man.
Un problème important est que leurs outils sont obsolètes, a-t-il proposé. Il leur manque le contexte cloud essentiel pour permettre aux équipes AppSec de faire leur travail avec succès. De plus, les outils de sécurité des applications actuels exacerbent le problème en générant un nombre excessif d’alertes de faible valeur.
Man a insisté sur le fait que les équipes AppSec devaient être équipées d’outils modernisés et natifs du cloud. Les plaintes les plus courantes concernant les outils actuels dont disposent les professionnels d’AppSec ne sont pas une surprise. Les travailleurs d’AppSec affirment que leurs outils traditionnels sont bruyants et rendent la hiérarchisation des résultats trop longue.
« Cela dit, nous avons constaté que les professionnels d’AppSec sont très alignés sur les capacités natives du cloud qui sont les plus importantes pour leur quotidien. Les aspects fondamentaux de l’AppSec moderne sont la corrélation automatique du risque AppSec avec l’exposition de l’application au monde extérieur », a expliqué Man.
Une grande majorité des répondants (91 %) ont dit que c’était important. Il y a des frictions croissantes entre AppSec et les développeurs en raison de l’absence de consensus sur les faiblesses générales du code et les vulnérabilités critiques. En outre, 82 % des personnes interrogées ont souligné l’importance de la visualisation de bout en bout des modèles de menaces d’applications cloud natives.
Le manque d’action alimente la faille
Combiné avec le volume considérable de faux positifs signalés, les équipes AppSec finissent par perdre leur crédibilité aux yeux des développeurs. Interrogés sur l’impact du manque d’outils cloud natifs pour ce rapport, les répondants ont cité la friction croissante AppSec/dev comme le problème numéro un, suivi par la rétention des talents dev et AppSec.
« De toute évidence, les équipes AppSec savent ce dont elles ont besoin, mais la plus grande question est de savoir si l’industrie est prête à le leur donner », a défié Man.
Par exemple, une écrasante majorité (85 %) des professionnels d’AppSec souhaitent pouvoir différencier les risques réels liés au code des problèmes à faible risque, ce qui en fait la capacité native du cloud la plus cruciale. Mais seuls 38 % sont pleinement en mesure de le faire en utilisant leur ensemble d’outils actuel.
« Ces énormes lacunes en matière d’activation s’étendent aux principales capacités natives du cloud », a-t-il noté.
Languir pour apaiser les tensions
Man a ajouté que l’une des choses que les équipes AppSec souhaitent le plus est de bien travailler avec leurs homologues de développement – une préoccupation centrale qui est apparue tout au long de l’enquête. Chaque rôle AppSec a sa propre perspective sur la façon dont le manque d’outils natifs du cloud affecte la friction croissante entre les relations AppSec/devs.
Par exemple, les ingénieurs AppSec passent beaucoup leurs journées dans les tranchées. Ils s’inquiètent surtout de la rétention des talents de développement. Mais leurs responsables se préoccupent surtout de retenir les talents AppSec. Pendant ce temps, les RSSI, avec leur vision de haut niveau des deux côtés de l’équation, s’inquiètent des frictions entre les deux équipes.
Il convient également de noter, selon Man, les capacités cloud natives manquantes qui permettent à AppSec et au développement de bien travailler ensemble. Ils font notamment défaut, révèle l’enquête.
Par exemple, 78 % des personnes interrogées ont déclaré qu’il était essentiel de corréler les résultats de sécurité avec l’équipe de développement responsable du correctif. Mais seuls 43 % sont pleinement en mesure de le faire maintenant.
L’étude a montré que le triage efficace entre Dev et AppSec est similaire à 73 % contre 42 %.
Conséquences coûteuses
Man a confié que l’une des plus grandes surprises dans les résultats était le volume considérable de temps AppSec perdu attribué à des outils inadéquats. Cette inefficacité coûte énormément aux entreprises.
«Le coût de la défense, alias la taxe défensive, est majeur. Selon des estimations prudentes, le coût moyen pour l’entreprise du temps AppSec perdu s’élève à plus d’un million de dollars par an », a-t-il proposé.
Cette estimation est basée sur les salaires moyens des employés AppSec et la taille de l’équipe AppSec. Ce calcul ne prend pas en compte le coût d’une sécurisation inadéquate des applications de l’entreprise en question, a ajouté Man.
Les principaux plats à emporter montrent la nouvelle direction du marché
Un peu moins de la moitié des personnes interrogées ont déclaré que leur organisation poussait le code au moins une fois par jour. Le rythme des développeurs augmente régulièrement.
« Les équipes perdent confiance dans les outils AppSec traditionnels, car elles ne peuvent pas suivre et sont coincées dans un jeu perpétuel de rattrapage. L’impact est considérable, la grande majorité des organisations voyant l’impact généralisé d’outils AppSec natifs du cloud inadéquats », a déclaré Man.
L’impact « humain » est particulièrement important, a-t-il ajouté. L’essentiel à retenir est que l’industrie AppSec est prête pour un changement substantiel et mérite des outils explicitement conçus pour comprendre le cloud.
Man pense que la gestion de la posture de sécurité des applications (ASPM) – une nouvelle approche de sécurité – donne aux équipes AppSec plus de contrôle et améliore la posture de sécurité de leurs applications.
« Enfin, il existe un nouvel état d’esprit, celui qui fournit une vue holistique de la posture de sécurité des applications, permettant à AppSec de trouver un équilibre entre une mentalité de » décalage vers la gauche « et d’être habilité à identifier et à atténuer les vulnérabilités avant qu’elles ne puissent être exploitées », a conclu Homme.