Selon une enquête de CloudBees, les questions de sécurité et de conformité sont un frein à l'innovation

CloudBees, leader des plateformes de livraison de logiciels pour les entreprises, publie aujourd'hui son rapport annuel CloudBees Global C-Suite Security Survey, qui conclut que les contraintes de sécurité et de conformité entravent considérablement les stratégies d'innovation de la plupart des entreprises. L'enquête indique par ailleurs que les décideurs estiment que la stratégie de type "shift left" en matière de sécurité constitue un fardeau pour les équipes de développement.

Pour les trois quarts des dirigeants d'entreprise, les questions de conformité (76 %) et de sécurité (75 %) entravent la capacité d'innovation de leur société. Ce constat est dû, en partie, au temps consacré aux audits de conformité, aux risques et aux dysfonctionnements. Dans le même temps, les dirigeants privilégient massivement une approche de type "shift left", qui consiste à avancer les tests et l'évaluation des logiciels dans le cycle de vie du développement, laissant ainsi la charge de la conformité aux équipes de développement. De fait, 83 % des dirigeants considèrent cette approche comme importante pour leur entreprise, et 77 % déclarent mettre actuellement en oeuvre une approche de sécurité et de conformité de type "shift left". Malgré cela, 58 % des cadres dirigeants estiment que cette approche représente une charge pour leurs développeurs.

"Les résultats de cette étude mettent en évidence le besoin urgent de transformer le paysage de la sécurité et de la conformité des logiciels. À mesure que DevOps arrive à maturité, la sécurité et la conformité sont devenues des sources de friction importantes", a déclaré Prakash Sethuraman, responsable de la sécurité informatique chez CloudBees. "Si le "shift left" est un thème récurrent, il n'apporte pas les résultats escomptés. En revanche, il pèse davantage sur les équipes de développement et les détourne des tâches à valeur ajoutée. Il est nécessaire d'adopter un nouvel état d'esprit et une nouvelle approche, où la sécurité et la conformité sont continues et accélèrent véritablement l'innovation."

Cette étude a également fait apparaître une baisse de la confiance dans la sécurité et la conformité de la chaîne logistique logicielle, de même qu'une plus grande attention dans ce domaine. En 2022, 88 % des dirigeants considèrent que leur chaîne logistique logicielle est sécurisée ou très sécurisée, contre 95 % en 2021. Par ailleurs, 33 % d'entre eux estiment que leur chaîne logistique logicielle est totalement conforme, soit un recul de 19 % par rapport à l'année précédente. De plus, 86 % des dirigeants accordent davantage d'attention à la conformité qu'il y a deux ans, et 82 % se disent plus préoccupés par les attaques.

L'enquête fait également apparaître les éléments suivants :

• On constate des différences régionales dans la confiance accordée à la conformité et à la sécurité. L'enquête révèle ainsi que les dirigeants américains sont les plus attentifs à la sécurité et à la conformité, alors que leurs homologues espagnols et britanniques consacrent le plus de temps à la conformité. Les dirigeants allemands témoignent du plus faible niveau de confiance parmi les dirigeants interrogés, 23 % d'entre eux déclarant que leur chaîne d'approvisionnement en logiciels n'est pas sécurisée.
• Quand il faut choisir entre vitesse et sécurité, la sécurité l'emporte. Plus des trois quarts des dirigeants estiment qu'il est préférable d'être sûr et conforme plutôt que rapide et conforme.
• Les cadres dirigeants font confiance à leurs équipes. Neuf dirigeants sur dix considèrent que leur équipe de gestion des risques dispose des outils, des compétences et de l'expertise nécessaires pour créer et/ou maintenir une chaîne d'approvisionnement logicielle sécurisée.
• Si l'automatisation est bénéfique, elle n'est pas disponible pour tous. Seuls 22 % des dirigeants indiquent que leur chaîne logistique de livraison de logiciels est entièrement automatisée et 37 % considèrent qu'elle est sur le point de l'être. Au même titre, 22 % affirment que leur processus de conformité est entièrement automatisé et 35 % qu'il est quasiment automatisé.
• Les résultats sont mitigés en ce qui concerne les outils. Trois dirigeants sur cinq (59 %) déclarent disposer de tous les outils externes, ou presque, pour répondre aux questions de sécurité et de conformité, et 29 % déclarent disposer de combinaisons d'outils internes et externes. Seuls 11 ont recours principalement à des outils internes.

L'enquête CloudBees Global C-Suite Security Survey a été réalisée auprès de 600 cadres supérieurs d'entreprises d'au moins 250 employés aux États-Unis, en Australie, en France, en Allemagne, en Espagne et au Royaume-Uni, du 27 juin au 11 juillet 2022.

Ressources supplémentaires

• En savoir plus sur l'étude CloudBees Global C-Suite Security Survey
• Lisez notre blog : DevOps Has Evolved Beyond Shift Left
• En savoir plus sur CloudBees
• En savoir plus sur la plateforme CloudBees

À propos de CloudBees

CloudBees offre aux entreprises une plateforme d'avant-garde de livraison de logiciels qui leur permet d'innover en permanence, d'être compétitives et toujours gagnantes dans un monde fondé sur l'expérience numérique. Conçue pour les plus grandes organisations du monde et les exigences les plus complexes, la plateforme de CloudBees permet aux organisations de développement de logiciels de fournir des produits évolutifs, conformes, régis et sécurisés sur la base du code qu'un développeur écrit pour les personnes qui les utilisent. La plateforme, qui se connecte à d'autres outils de pointe, améliore l'expérience des développeurs et permet aux organisations de donner vie à l'innovation numérique en continu, de s'adapter rapidement et de générer des résultats commerciaux qui créent les leaders et les disrupteurs du marché.

CloudBees a été fondée en 2010 et bénéficie du soutien de Goldman Sachs, Morgan Stanley, Bridgepoint Capital, HSBC, Golub Capital, Delta-v Capital, Matrix Partners et Lightspeed Venture Partners. Rendez-vous sur www.cloudbees.com et suivez-nous sur Twitter, LinkedIn, et Facebook.

Le texte du communiqué issu d'une traduction ne doit d'aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d'origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.