Stratégie

Malgré les sécurités en place, des vulnérabilités continuent de passer en production

Malgré les sécurités en place, des vulnérabilités continuent de passer en production
Selon une étude de Dynatrace, moins de quatre organisations sur dix ont la capacité de détecter des vulnérabilités dans leurs environnements de production.

Selon une enquête mondiale publiée par Dynatrace, 75% des RSSI estiment que malgré les couches de sécurité en place, des brèches continuent de passer en production.

PublicitéUne récente étude mondiale réalisée par Coleman Parkes pour l'éditeur Dynatrace auprès de 1300 responsables de la sécurité des systèmes d'information (RSSI) met en évidence la persistance de certains défis pour ces derniers autour de la gestion des vulnérabilités applicatives. Ainsi, 75% des répondants estiment que des brèches continuent de passer en production malgré la mise en place de modèles de sécurité à plusieurs couches, et pour près de sept RSSI sur dix (69%), la gestion des vulnérabilités est devenue plus difficile avec l'accélération croissante de la transformation numérique. La vitesse de développement en particulier entraîne parfois le retour en production de vulnérabilités déjà identifiées, un défi auquel se heurtent 59% des répondants, d'autant plus que 34% seulement estiment avoir une culture DevSecOps mature.

Selon l'enquête, plus de six organisations sur dix disposent d'au moins cinq types de solutions de sécurité différentes. Les plus répandues sont les antivirus (64%), les outils de chiffrement et de sécurité des messageries (59%), les pare-feu applicatifs (57%), le chiffrement de données (50%) et les outils de détection et blocage d'attaques en temps réel (48%). Toutefois, seules 37% des organisations interrogées disposent d'outils de détection des vulnérabilités en production et 4% seulement estiment avoir une visibilité sur les vulnérabilités dans les environnements de production conteneurisés. Parmi les zones d'ombre figure notamment l'utilisation de bibliothèques de code venant de tierces parties, un tiers des équipes de sécurité confiant ne pas toujours savoir quelles bibliothèques sont utilisées en production. À l'opposé, un quart seulement des équipes de sécurité disposent de rapports complets, précis, mis à jour en continu et en temps réel, sur chaque application et chaque bibliothèque de code qui s'exécute en production.

Simplifier et automatiser la gestion des vulnérabilités

En moyenne, les répondants reçoivent chaque mois 2 027 alertes de vulnérabilités potentielles dans leurs applications, dont près d'un tiers (32%) nécessitent une action. Par ailleurs, les équipes de sécurité passent en moyenne 28% de leur temps sur des tâches de gestion des vulnérabilités qui pourraient être automatisées. Dans ce contexte, près de huit RSSI sur dix (79%) considèrent le fait de pouvoir gérer en continu les vulnérabilités en production comme une capacité essentielle, en particulier dans des environnements multicloud de plus en plus complexes - beaucoup ayant été échaudés par la faille Log4j.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Pouvez-vous visualiser les dépenses par métier / business unit ?