Le développement d’applications s’est transformé et est largement automatisé, mais la sécurité reste un effort hautement manuel. Les développeurs et les praticiens DevOps sont jusqu'à 100 fois plus nombreux que les professionnels de la sécurité. La pression sur le délai de mise sur le marché a provoqué des frictions entre les équipes d’application et de sécurité, créant la perception que la sécurité est un goulot d’étranglement. Il s’agit d’un dilemme sérieux qui se traduit souvent par des tests de mauvaise qualité, des raccourcis dans les processus et une surveillance inefficace.

Dans le même temps, la prolifération d’architectures, de clouds et d’intégrations tierces a considérablement augmenté la surface de menace pour de nombreuses organisations. Les vulnérabilités des applications telles que les scripts intersites (XSS) et les injections sont courantes depuis l'aube de la sécurité des applications il y a plus de 20 ans, mais les attaquants continuent de les découvrir et de les exploiter à un rythme alarmant. Les attaquants exploitent rapidement les vulnérabilités à l’aide de cadres d’automatisation et d’outils améliorés par l’IA pour analyser Internet, découvrir et exploiter les faiblesses à des fins de gain monétaire. Les logiciels open source en particulier sont en proie à des vulnérabilités, introduisant des risques inconnus et importants.

F5 Labs rapporte qu'une vulnérabilité critique avec un potentiel d'exécution de code à distance, l'une des attaques les plus graves possibles, est publiée toutes les 9 heures. D’ici 2025, 500 nouveaux CVE devraient être publiés au cours d’une semaine normale en 2025.

Pour gérer efficacement la complexité croissante de la sécurisation des applications dans les architectures, les clouds et les infrastructures de développement, les organisations doivent modifier leur stratégie et leur perspective.

L' Open Web Application Security Project (OWASP) a été fondé en 2001 pour persuader les dirigeants d'entreprise et les conseils d'administration de la nécessité d'une gestion efficace des vulnérabilités. Une approche disciplinée, incluant les commentaires des fournisseurs de sécurité et de la communauté, a abouti au Top 10 de l'OWASP , une liste des vulnérabilités d'application les plus courantes et les plus critiques.

XSS et Injection figurent dans toutes les listes OWASP Top 10 depuis sa création, mais une nouvelle ère de sécurité des applications est marquée par la menace croissante pour les chaînes d'approvisionnement en logiciels, l'omniprésence des logiciels open source et la complexité opérationnelle de la gestion de la sécurité et de l'accès pour les applications héritées et modernes. Les mises à jour logicielles, les données critiques et l’intégrité du pipeline CI/CD peuvent toutes être compromises. Bien que les logiciels open source accélèrent considérablement le développement, ils modifient également la gestion des risques car les contrôles courants dans les logiciels personnalisés développés en interne, tels que l'analyse de code statique (SCA), ne sont pas toujours possibles ou pratiques avec les logiciels tiers.

En 2021, des attaquants ont commencé à exploiter une vulnérabilité critique dans une bibliothèque de logiciels open source largement déployée et utilisée par des milliers de sites Web et d’applications presque immédiatement après la publication des détails de la vulnérabilité. Si elle n’est pas traitée, cette vulnérabilité peut conduire à l’exécution de code à distance, permettant aux attaquants de prendre le contrôle de sites Web et d’applications en ligne, de voler de l’argent, de violer des données et de compromettre les comptes clients.

F5 Labs détaille comment le paysage CVE a considérablement changé au cours des deux dernières décennies, avec un nombre croissant et une variété croissante de vulnérabilités. Et si certains de ces changements sont dus à l’évolution de la technologie, d’autres sont une manifestation de la manière dont les données sont collectées.

L’évolution rapide de la technologie modifie la manière dont les organisations font des affaires, ainsi que les mesures qu’elles doivent prendre pour assurer la sécurité de leurs activités. Aujourd'hui, 88 % des organisations fonctionnent dans un modèle hybride comprenant SaaS, cloud public/IaaS, sur site (traditionnel), sur site (cloud privé), colocation, Edge . Ces organisations exploitent de plus en plus l'IA pour soulager le réglage manuel et automatiser la construction de politiques de sécurité en fonction des menaces détectées. Bien que les projets greenfield puissent capitaliser sur l’efficacité du cloud, la plupart des portefeuilles d’entreprise incluent à la fois des applications héritées et modernes qui couvrent une variété d’architectures dans les centres de données, les clouds et au sein des microservices.

L’explosion des applications et la rapidité de mise sur le marché entraînent également des changements fondamentaux dans la gestion des risques. Il est possible que les ingénieurs réseau ne déploient pas d’infrastructure. Les équipes DevOps peuvent facilement créer une infrastructure virtuelle et éphémère à l’aide d’architectures émergentes telles que des conteneurs dans une solution cloud clé en main, automatisant tout, de la création de code au déploiement de services. Ces changements dans les rôles, les responsabilités et les méthodes de travail dans le cycle de développement des applications peuvent souvent laisser la sécurité derrière eux.

Dans le même temps, les attaquants deviennent plus efficaces dans leurs méthodes, en exploitant des outils et des cadres facilement disponibles pour faire évoluer leurs attaques, en employant essentiellement les mêmes méthodes que celles utilisées par les professionnels de la sécurité pour quantifier et évaluer les risques.

De plus, les organisations adoptent de plus en plus plusieurs fournisseurs de cloud pour assurer la continuité des activités. De plus, les organisations sont de plus en plus confrontées à une prolifération d’outils en raison des efforts déployés pour répondre à des besoins spécifiques dans plusieurs environnements cloud . Cela laisse souvent les responsables de la sécurité confus quant à ce qui est sécurisé ou non, et les nuances peuvent entraîner une vulnérabilité, généralement une mauvaise configuration de sécurité (par exemple, voir le modèle de responsabilité partagée AWS ).

Le risque évolue en fonction de la manière dont les applications sont construites et déployées. La sécurité doit donc évoluer pour rester en avance sur les vulnérabilités des applications. La visibilité et la cohérence sont plus importantes que jamais, mais les organisations ont besoin d’un changement de paradigme dans la manière dont la sécurité des applications est mise en œuvre. Au lieu de construire une politique de sécurité après le lancement d'une application, d'éliminer les faux positifs pour stabiliser et ajuster la politique, puis de surveiller les vulnérabilités récemment publiées qui peuvent mettre l'application en danger, la sécurité des applications doit être intrinsèquement intégrée dans le cycle de vie de développement de l'application, indépendamment de l'architecture, du cloud ou du framework, du code aux tests jusqu'à la production.

Les tests de pénétration peuvent révéler des risques critiques avant que le logiciel ne soit mis en production et aplatir considérablement la courbe de temps d'atténuation en fournissant des informations clés aux équipes de sécurité qui peuvent ensuite mettre en œuvre des mesures provisoires critiques telles que des politiques de pare-feu d'application Web.

La sécurité des applications la plus efficace est automatisée, intégrée et adaptative. L’automatisation peut réduire les dépenses opérationnelles (OpEx) et réduire la pression sur les ressources de sécurité critiques lors de la publication, du déploiement et de la maintenance des applications. Le déploiement automatisé des politiques peut améliorer l'efficacité en mettant en œuvre et en stabilisant les contrôles de sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC), ce qui conduit à une plus grande efficacité avec moins d'intervention manuelle, libérant InfoSec d'un barrage d'alertes et de faux positifs potentiels pour se concentrer sur des efforts de gestion des risques plus stratégiques. L'intégration native dans les cadres de développement d'applications et les pipelines d'intégration continue/livraison continue (CI/CD) réduit les frictions entre les équipes de développement et de sécurité, ce qui conduit à une meilleure agilité commerciale et à un meilleur alignement organisationnel.

L'intégration dans les outils de développement, via le déploiement et la maintenance pilotés par API, simplifie la gestion des politiques et le contrôle des changements sur plusieurs architectures et clouds en faisant abstraction de la complexité de l'infrastructure, en réduisant les frais généraux opérationnels et en évitant les erreurs de configuration.

De plus, les mesures d’atténuation de sécurité doivent être précises et résilientes pour éviter de frustrer les clients ou de permettre aux attaquants d’intensifier leurs campagnes pour échapper à la détection. Les consommateurs exigent des expériences personnalisées et organisées et les attaquants sophistiqués ne sont pas facilement dissuadés.

Une sécurité efficace qui n’a pas d’impact sur la convivialité peut servir de différenciateur clé pour gagner et fidéliser les clients dans une économie numérique hautement compétitive. 

Aujourd’hui, les applications constituent l’activité principale de l’entreprise, ce qui fait des menaces envers les applications et de l’inefficacité de la sécurité les plus grands risques pour le potentiel de l’entreprise. Les architectures d’applications modernes et décentralisées ont élargi la surface des menaces, l’automatisation a augmenté les risques involontaires et l’efficacité des attaquants, et les retombées de la cybercriminalité continuent de croître, mais les organisations qui offrent systématiquement des expériences numériques sécurisées connaîtront une croissance de leur clientèle et de leurs revenus.

La solution est claire. Plutôt que de retarder la publication d’un nouveau code susceptible de changer le monde, déplacez la sécurité vers la gauche pour automatiser les protections tout au long du cycle de vie de l’application et changez la perspective de la sécurité pour qu’elle devienne un différenciateur commercial clé.

En atténuant de manière proactive les vulnérabilités, en réduisant la complexité et en protégeant l’entreprise avec une sécurité efficace et facile à utiliser, vous pouvez accélérer la transformation numérique et optimiser l’expérience client, réduisant ainsi les risques et créant un avantage concurrentiel numérique.