Accueil Développement logiciel Sécurité et développement : l’union ne fait pas (encore) la force

Sécurité et développement : l’union ne fait pas (encore) la force

Dans une enquête conduite à l’international, le développeur Cloudbees a voulu faire un état des lieux quant à la considération de la sécurité au sein des processus de développement logiciel. Menée auprès de 600 dirigeants, les résultats sont sans appel : même si le sujet ne perd pas de son importance, pour les trois-quart d’entre eux, il s’agit d’un véritable frein à l’innovation.

Au-delà d’une simple protection périmétrique, les responsables sécurité doivent aujourd’hui assurer la sécurité et la conformité dans la façon dont les organisations conçoivent, construisent et déploient les applications en répondant aux exigences et politiques réglementaires. “Les équipes de développement d’applications et les ingénieurs deviennent d’importants clients de première ligne du RSSI, rapporte Prakash Sethuraman RSSI de CloudBees. Mais il y a des frictions. Nous, les RSSI, jouons un rôle très important dans la protection de l’organisation, mais nos exigences amènent les équipes d’ingénieurs à nous considérer souvent comme le “département de la lenteur“.  Dirigée par le cabinet Regina Corso Consulting auprès de 600 dirigeants australien, français, allemands, espagnols, anglais et américains, la deuxième étude annuelle mandatée par l’éditeur franco-américain Cloudbees, a donc tenté de comprendre pourquoi la sécurité, appréhendée ainsi, peine à intégrer les processus de développement. Le Shift-Left, méthode qui consiste à positionner la phase d’audit en amont du code, a notamment été questionnée et serait devenu un anti-modèle DevOps. Au lieu de simplifier les choses, d’augmenter le flux et de faciliter l’amélioration, les équipes consacrent plus de temps à des tâches sans valeur ajoutée, comme le déchiffrage des milliers d’alertes de sécurité critiques qu’elles ont reçues, plutôt qu’à l’innovation. 

Pour plus d’un dirigeant sur deux, le Shift Left est un fardeau pour leurs développeurs

Dans l’ensemble, les cadres dirigeants sont majoritairement favorables à une approche de la conformité et de la sécurité axée sur le Shift Left, 83 %. d’entre eux déclarent, en effet, que cette approche est importante pour eux en tant qu’organisation. Reste qu’en réalité, seuls 33 % d’entre eux affirment la mettre en œuvre et 44 % pensent qu’ils le font. L’une des raisons  à ce manque d’adhésion est que plus de la moitié des cadres supérieurs déclarent que le passage au Shift Left est un fardeau pour leurs développeurs.

  • La conformité et la sécurité tuent l’innovation.
    Les trois quarts des cadres dirigeants affirment que les problèmes de conformité (76 %) et de sécurité (75 %) limitent la capacité d’innovation de leur entreprise. Cela est dû, en partie, au temps considérable consacré aux audits de conformité, aux risques et aux défauts.
  • La sécurité est le département de la lenteur.
    Deux tiers des cadres dirigeants sont d’accord pour dire que le département de la sécurité est “le département de la lenteur”. Les équipes de développement partagent également ce point de vue et considèrent souvent que la sécurité est le département le plus lent.
  • Comment les équipes occupent-elles leur temps ?
    Plus de la moitié des cadres dirigeants (56 %) affirment que les processus de conformité empêchent leur équipe de développement de consacrer plus de temps aux activités qu’elle devrait mener, tandis que près de la moitié (47 %) déclarent que la connaissance de la conformité et/ou de la sécurité en est la cause.

En définitive, les résultats renforcent la nécessité pour les initiatives de conformité et de sécurité de ne pas se contenter de parler de “Shift Left”, mais de passer à la pratique en supprimant ce fardeau pour les développeurs et les ingénieurs de mise en production, par le biais de l’automatisation. Une automatisation capable d’évaluer, d’affirmer et de prouver la conformité de la chaîne d’approvisionnement en logiciels en temps réel.