Une étude Checkmarx / Censuswide révèle que les développeurs interrogés disent être meilleurs en sécurité, avec une compétence plus grande. Mais il y a énorme mais qui pondère ce sentiment d'amélioration : le manque de temps pour être efficace et réellement appliquer le secure by design.

L'étude DevSecOps Evolution : from DevEx to DevSecOps analyse les pratiques des équipes de développement dans les grandes entreprises. L’étude révèle que, malgré une certaine progression, les équipes de développement et de sécurité peinent à aligner flux de travail et métriques associées. Bref : il y a un peu de mieux mais le fossé reste colossal. 

Quelques chiffres qui font réflêchir : 

• 21 % des développeurs interrogés déclarent que la sécurité est leur priorité absolue lors du codage
• 99,6 % des participants ont eu accès à des formations dédiées à la sécurité, 90 % d'entre eux estimant l’efficacité de ces dernières de moyenne ou élevée
•  41,53 % déclarent comprendre les tickets de vulnérabilité qu'ils reçoivent, ainsi que la manière dont ces vulnérabilités se manifestent lors de l'exécution, entre 41 et 60 % du temps
• 72 % des développeurs consacrent plus de 17 heures par semaine à des tâches liées à la sécurité et un sur quatre y consacre plus de 25 heures

Checkmarx préconise 4 étapes pour faire du DevSecOps :

• Étape 0 - Sécurité réactive : l’AppSec est « intégré » au développement, créant un goulot d'étranglement et agissant comme un frein au déploiement.
• Étape 1 - Axé sur la sécurité : l’AppSec détecte et transmet les vulnérabilités aux développeurs, qui sont bombardés d'alertes sans recevoir aucune aide à la remédiation.
• Étape 2 – Axé sur le DevEx : les outils sont directement intégrés à l'environnement de développement (IDE), ce qui permet aux développeurs de corriger les vulnérabilités à l'aide de conseils de remédiation sans perturber leur flux de travail.
• Étape 3 – DevSecOps mature : la culture DevSecOps est désormais solidement ancrée. Les équipes de sécurité et de développement partagent une vision commune en matière de politiques, de gouvernance et de collaboration. La formation, dispensée directement dans l’environnement de développement IDE au moment opportun, assure une montée en compétences ciblée. Par ailleurs, des objectifs clairs et des indicateurs de performance harmonisés permettent de suivre efficacement les progrès.

Un autre élément de l'étude pointe que 28 % du temps consacré à la sécurité sont pour la résolution et la fixation des failles. 45 % du temps est dédié à faire du code sécurisé (reste à savoir où et comment). 

« En 2024, le DevSecOps a connu une phase de transition en France, portée par une prise de conscience croissante et des efforts pour intégrer la sécurité à chaque étape du développement. Pourtant, des défis persistent, notamment le manque de ressources, des budgets contraints et des organisations encore cloisonnées. Si des avancées ont été réalisées, 2025 sera une année clé pour structurer et généraliser durablement le DevSecOps en France face à un cadre réglementaire de plus en plus exigeant. » conclut Fabien Petiau, Country Manager France de Checkmarx.

Pour aller plus loin :

Hors série sécurité & hacking édition 2025 : https://www.programmez.com/magazine/programmez-hors-serie-16-pdf

DevCon sécurité de novembre 2024 :