Dynatrace, the software intelligence company, dévoile les résultats d’une enquête mondiale indépendante, menée auprès de 1 300 responsables de la sécurité des systèmes d’information (RSSI) de grandes organisations dont la France. Cette étude révèle que la gestion des vulnérabilités est aujourd’hui rendue plus difficile par la vitesse et la complexité que génèrent l’utilisation d’environnements multicloud, de plusieurs langages de programmation, et de bibliothèques logicielles open source. 75% des RSSI déclarent ainsi qu’en dépit d’une approche multi-couches de la sécurité, des brèches continuent de laisser passer des vulnérabilités en production. Ce constat souligne l’importance croissante de faire converger observabilité et sécurité, et d’ouvrir la voie aux pratiques AISecDevOps, pour que les organisations soient en mesure de mieux gérer les vulnérabilités au runtime, et de détecter et bloquer les attaques en temps réel. Le rapport Observability and security must converge to enable effective vulnerability management est disponible gratuitement en téléchargement.
L’étude souligne les conclusions suivantes :
69 % des RSSI déclarent que la gestion des vulnérabilités est devenue plus difficile avec l’accélération croissante de la transformation digitale.
Plus des trois-quarts (79%) des RSSI estiment qu’une gestion automatique et en continu des vulnérabilités au runtime est critique pour combler les lacunes des solutions de sécurité existantes. Cependant, seuls 4% des organisations disposent d’une visibilité en temps réel des vulnérabilités au runtime dans des environnements de production conteneurisés.
Seuls 25% des équipes en charge de la sécurité ont accès à un rapport complet, précis, mis à jour en continu et en temps réel, de chaque application et chaque bibliothèque de code qui s’exécute en production.
« Ces résultats montrent qu’il existe toujours des possibilités que des vulnérabilités échappent aux équipes de sécurité, quelle que soit leurs niveaux de défenses. Les nouvelles applications, tout comme les logiciels déjà existants et stables, sont sujets à des vulnérabilités qui sont détectées de manière plus fiable en production. Log4Shell est emblématique de ce problème, et il ne fait aucun doute que des scénarios similaires se reproduiront dans le futur, » souligne Bernd Greifeneder, Chief Technology Officer chez Dynatrace. « La plupart des organisations ne disposent toujours pas d’une visibilité en temps réel sur les vulnérabilités au runtime. Le problème vient de l’utilisation croissante des pratiques de livraison dans le cloud, qui permettent une plus grande agilité business mais introduisent aussi un degré supplémentaire de complexité pour la gestion des vulnérabilités, et la détection et le blocage des attaques. Avec l’accélération de la transformation digitale, les équipes déjà surmenées sont bombardées de milliers d’alertes de sécurité, dont il est impossible de démêler le critique du non prioritaire. Les équipes ne peuvent pas répondre manuellement à chacune des alertes, et les organisations se retrouvent exposées à des risques inutiles en laissant les vulnérabilités s’échapper en production. »
L’étude inclut également les résultats suivants :
En moyenne, les organisations reçoivent, chaque mois, 2 027 alertes de vulnérabilités potentielles dans leurs applications.
Moins du tiers (32%) des alertes de vulnérabilités applicatives que les organisations reçoivent, nécessite une action, contre 42% l’année dernière.
En moyenne, les équipes en charge de la sécurité passent 28% de leur temps sur des tâches de gestion des vulnérabilités qui pourraient être automatisées.
« Les organisations réalisent que, pour gérer efficacement les vulnérabilités à l’ère du cloud, la sécurité doit devenir une responsabilité partagée, » poursuit Bernd Greifeneder. « La convergence de l’observabilité et de la sécurité est nécessaire pour fournir aux équipes de développement, d’exploitation et de sécurité, le contexte dont elles ont besoin pour comprendre comment leurs applications sont connectées, où se cachent les vulnérabilités et lesquelles doivent être priorisées, afin d’accélérer la gestion du risque et la réponse aux incidents. Pour être véritablement efficaces, les organisations doivent rechercher des solutions offrant des fonctionnalités d’IA et d’automatisation pour permettre du AISecDevOps. Ces solutions donnent les moyens aux équipes de rapidement identifier et prioriser les vulnérabilités au runtime, de bloquer les attaques en temps réel, et de remédier aux failles logicielles avant qu’elles puissent être exploitées. Au lieu de perdre leur temps en réunions de crise ou à traquer des faux positifs et des alertes de vulnérabilités qui ne passeront jamais en production, les équipes peuvent alors livrer, plus rapidement et plus sereinement, des logiciels de meilleure qualité et plus sécurisés. »
Ce rapport est basé sur une enquête, menée en avril 2022 par Coleman Parkes et commandée par Dynatrace, auprès de 1 300 RSSI d’organisations de plus de 1 000 employés. L’échantillon inclut 200 répondants aux États-Unis ; 100 répondants dans chacun des pays et régions suivants : Royaume-Uni, France, Allemagne, Espagne, Italie, Scandinavie, Moyen-Orient, Australie et Inde ; et 50 répondants dans chacun des pays suivants : Singapour, Malaisie, Brésil et Mexique.