Telles sont les principales conclusions du dernier rapport de recherche annuel, « A CISO’s Guide to Steering AppSec in the Age of DevSecOps » de Checkmarx, leader de la sécurité des applications cloud natives. Menée auprès de 200 responsables de la sécurité des systèmes d’information (RSSI) issus de secteurs d’activité et de régions variés, le rapport met en lumière les dynamiques qui favorisent une collaboration renforcée entre les équipes de développement et celles de cybersécurité.

À mesure que les applications gagnent en complexité et en évolutivité, sous l’effet combiné de l’intelligence artificielle, des micro-services et des architectures hybrides, les équipes d’ingénierie assument une responsabilité croissante dans la livraison de solutions à la fois sécurisées et évolutives. Dans un contexte de cycles de développement toujours plus courts et de lignes de code en constante expansion, les décisions stratégiques en matière d’AppSec, tout comme les budgets qui les accompagnent, sont de plus en plus transférés aux développeurs.

Objectif : intégrer la sécurité dès les premières étapes du cycle de développement de manière plus efficace.

« Nous assistons aujourd’hui à un tournant décisif : la sécurité applicative n’est plus seulement une exigence technique, elle devient un véritable levier concurrentiel, un poste budgétaire stratégique et une préoccupation de conseil d’administration » a déclaré Jonathan Rende, Chief Product Officer de Checkmarx. « Alors que les équipes de développement prennent de plus en plus la main sur sa mise en œuvre, les RSSI doivent recentrer leur rôle sur la gouvernance, la vision stratégique et la collaboration inter équipes pour garantir des résultats de sécurité durables. »

Un constat majeur : la sécurité des applications devient un critère clé dans les décisions d’achat

Les RSSI interrogés dans des secteurs stratégiques tels que la banque, la finance, les médias, l’assurance, l’industrie, le secteur public et les technologies logicielles s’accordent à dire qu’un programme AppSec solide constitue aujourd’hui un avantage concurrentiel déterminant influençant de plus en plus les décisions d’achat des clients.
• 49 % des RSSI interrogés déclarent que les acheteurs prennent régulièrement en compte la sécurité des applications dans leurs décisions d’achat.
• 24 % indiquent que la sécurité applicative est toujours un critère déterminant dans ces choix.
• Cette tendance est particulièrement marquée en Europe, où 58 % des répondants affirment que la sécurité est systématiquement prise en compte, contre 33 % en Asie-Pacifique et seulement 8 % en Amérique du Nord.

L’étude de Checkmarx met également en lumière une décentralisation croissante des décisions en matière de sécurité, avec un rôle renforcé des équipes de développement, tant sur le plan opérationnel que budgétaire :
• Dans les entreprises développant des produits logiciels, la responsabilité de la sécurité est désormais partagée :
o 50 % continuent de l’attribuer aux RSSI,
o 43 % la transfèrent aux équipes de développement.
• 56 % des organisations indiquent que la majorité de leurs équipes de développement sont pleinement intégrées aux programmes AppSec
« À mesure que la responsabilité de la sécurité se déplace vers les équipes de développement, les budgets suivent la même voie. Les RSSI doivent désormais exercer leur influence non pas en imposant des barrières, mais en définissant un cadre clair : protéger sans freiner l’innovation. » poursuit Jonathan Rende.

Un rôle encore flou de la sécurité au sein des conseils d’administration

L’étude révèle une faille persistante dans la manière dont la sécurité est portée au plus haut niveau décisionnel. Si 62 % des RSSI déclarent présenter des indicateurs AppSec à leur conseil d’administration, la majorité d’entre eux se contentent de rapporter le volume de vulnérabilités, sans les relier à des enjeux métier concrets. Seuls 25 % parviennent à établir un lien clair entre ces risques techniques et leurs conséquences sur la réputation de la marque, la conformité réglementaire ou la performance économique. Ce décalage illustre l’urgence, pour les RSSI, de repositionner la sécurité dans une logique de gestion des risques business, condition indispensable pour obtenir un engagement durable de la Direction.

Méthodologie
Cette étude a été conduite en collaboration avec Global Surveyz, qui a mené une enquête auprès des RSSI d’organisations affichant un chiffre d’affaires annuel supérieur à 750 millions de dollars et disposant d’équipes de développement comptant au moins 180 développeurs. Les participants provenaient de secteurs clés tels que la banque et la finance, l’assurance, les logiciels, la technologie, l’ingénierie, les médias, l’industrie manufacturière, ainsi que du secteur public, avec une couverture géographique incluant les États-Unis, le Canada, l’Europe occidentale et la région Asie-Pacifique (APAC).