DevSecOps : ces pratiques où la France se distingue

En matière de DevSecOps, la France souffre-t-elle moins des silos organisationnels et du manque de compétences que bien d’autres pays ?

Les dernières données de Synopsys le suggèrent. Elles résultent d’un sondage auprès de 1000 professionnels de l’IT « dont les responsabilités touchent à la sécurité ».

En France, sur 125 répondants, près d’un quart (23,2 %) travaillent pour des PME. Une proportion sans égale dans les sept autres pays concernés (Allemagne, Chine, États-Unis, Finlande, Japon, Royaume-Uni, Singapour). Même réflexion à l’autre extrémité du spectre : 8 % des répondants dans l’Hexagone exercent dans une organisation de plus de 15 000 personnes.

Déploiement automatisé plutôt que déploiement continu

Quand on leur demande quelles pratiques leur organisation suit, les répondants en France sont plus nombreux que la moyenne à mentionner l’automatisation des déploiements. 32,8 % en l’occurrence. Seule la Chine affiche un taux plus élevé (48,15 %).

Constat inverse sur le déploiement continu. À 21,6 %, la France est en avant-dernière position, ne devançant que Singapour (20,8 %).

Elle est, pour le reste, dans le « ventre mou », avec des taux d’adoption allant de 20 % pour l’orchestration de la sécurité applicative à 33,6 % pour la gestion des risques en passant par 28 % pour l’automatisation des tests.

Des programmes de sécurité particulièrement matures ?

Quand on leur demande de jauger la maturité de leurs programmes de sécurité, les répondants en France sont 11,2 % à la situer au niveau maximal (5/5 : processus analysés et améliorés en continu). 28 % la situent au niveau 4/5 (processus et contrôles journalisés et gérés). 40 %, au niveau 3/5 (processus et procédures standardisés).

Si on combine ces trois taux, la France dépasse tous les autres pays pris en considération. Elle est 3^e au niveau 5/5, 2^e au niveau 4/5 et 1^re au niveau 3/5.

Des tests de sécurité fréquents

Qu’en est-il de la fréquence de test de la sécurité des applications critiques ? En France, 19,2 % des participants répondent « tous les jours ». On descend ensuite à 11,1 % pour le Japon (moyenne : 7,07 %).

Ils sont 76,8 % à effectuer des tests au moins une fois par semaine. Seule la Chine présente un taux plus élevé (86 %).

Au même titre que l’Allemagne, la France se caractérise par une homogénéité des méthodes de test. En tout cas entre pentesting externe (40 % le pratiquent), tests automatisés (39,2 %), tests manuels hors pentests (37,6 %) et combinaison manuel/automatique (44,8 %).

Une moindre culture de responsabilité ?

« Qui est responsable des tests de sécurité ? » À cette question, la France a systématiquement le taux le plus bas, qu’importe les réponses.

– Équipe interne : 36,8 % (moyenne : 46,03 %)
– Développeurs/ingénieurs logiciels : 33,6 % (moyenne : 45,14 %)
– Équipe QA : 32,8 % (moyenne : 37,59 %)
– Équipes DevOps transversales : 28,8 % (moyenne : 35,53 %)
– Consultants externes : 28 % (moyenne : 32,88 %)

L’écart avec les États-Unis est de l’ordre de 15 points sur la plupart de ces options. Il est de 20 à 30 points avec la Chine.

Une correction rapide des vulnérabilités

11,2 % des répondants en France affirment qu’il ne leur faut, en moyenne, pas plus d’une semaine pour corriger des vulnérabilités dans les applications déployées. Un taux sans égal (les États-Unis suivent à 7,81 %).

La proportion de répondants choisissant l’option « entre 1 et 2 semaines » est également importante : 40,8 %, c’est plus que la moyenne (26,4 % ; la Chine est à 57,04 %).

KPI DevSecOps : la conformité pas prioritaire

Synopsys a présenté aux sondés 10 indicateurs de mesure des activités DevSecOps et leur a demandé d’en choisir jusqu’à trois utilisés dans leur organisation.

Le taux le plus bas pour les KPI de conformité est en France (17,6 % ; moyenne : 23,75 %). Même chose pour le taux d’identification de problèmes avant la mise en prod (16 % ; moyenne : 22,28 %). Et pour la réduction du nombre de problèmes découverts à la fin du processus de dev (24 % ; moyenne : 28,26 %).

À l’inverse, on cite plus que la moyenne – et que tous les pays, Royaume-Uni excepté – la réduction des retards sur la phase build (28,91 %).

Les budgets, plus problématiques que les compétences

Au global, près de 30 % des répondants reconnaissent que les silos organisationnels sont un défi pour leurs initiatives DevSecOps. Ils sont moins nombreux en France : 23,8 %. Seul Singapour affiche un taux inférieur (22,4 %).

La France apparaît également moins touchée que la moyenne par le manque de compétences. 26,4 % des répondants le citent. Seul le Royaume-Uni (24,41 %) affiche un taux inférieur.

La France est plus affectée que la moyenne sur un seul élément : l’insuffisance des budgets (32,8 % ; moyenne : 29,4 %).

Les faux positifs, moindre souci

Quant aux problèmes qu’ils rencontrent avec leur outillage AST, les répondants en France sont nettement moins nombreux que la moyenne à citer les faux positifs (21,6 % ; moyenne : 32,19 %).

Ils se montrent aussi moins affectés par l’impossibilité de consolider les résultats des différents outils (22,4 % ; moyenne : 28,95 %).

L’absence de priorisation de la remédiation sleon le niveau d’exposition, d’exploitabilité et/ou de criticité apparaît plus problématique (40 % ; moyenne : 34,74 %).

L’Infrastructure as Code plébiscité

Quand on leur demande de sélectionner jusqu’à trois facteurs de réussite des programmes DevSecOps, les répondants en France sont 39,2 % à choisir la mise en œuvre de stratégies de sécurité parIaC. C’est plus que la moyenne (33,56 %) et presque autant qu’en Chine (40,74 %).

La France affiche, au contraire, le deuxième taux le plus bas sur l’amélioration de la communication entre les équipes dev, ops et sécurité (27,2 % ; moyenne : 32,48 %). Idem sur la création d’équipes DevSecOps transversales (21,6 % ; moyenne : 28,95 %). Elle a, en outre, le taux le plus bas sur la formation des développeurs/ingénieurs au codage sécurisé (20,8 % ; moyenne : 27,58 %).

À consulter en complément :

DevSecOps : 5 points saillants du rapport GitLab 2023
xOps : le renouveau de l’administrateur système
DevOps : ces plates-formes qui reconfigurent le marché
Sécurité applicative : trouver le juste prix reste difficile

Illustration © DanteVeiil – Adobe Stock