Les 8 leçons du Gartner Security Summit

Le Gartner Security Summit s’est tenu dans le Maryland, aux États-Unis, le 17 juin – un événement auquel ont participé environ 3 500 personnes et 200 fournisseurs. Je vous le répète régulièrement, le thème de la sécurité est très en vogue.

Voici quelques tendances et recommandations en matière de sécurité des applications qui ont été collectées par Vinod Nair (Software Intelligence Evangelist) :

  1. Les composants Open Source et les composants tiers deviennent omniprésents dans les systèmes d’information de nos entreprises. Par conséquent, nous sommes exposés à des risques accrus en matière de sécurité des logiciels libres.
  2. Les solutions de SCA (analyse de la composition des logiciels) sont à leur apogée sur le cycle “hype” et deviennent maintenant une réalité. Même si certains précisent que DevOps va tuer ces outils…
  3. Comprendre qu’il y a souvent un compromis entre la vitesse et la profondeur de l’analyse fournie par les outils de test de sécurité des applications. Il faut tenir compte des facteurs suivants au moment de faire votre choix
  4. Les développeurs jouent un rôle de plus en plus important dans le choix des solutions de sécurité des applications.
  5. Le Magic Quadrant de Gartner pour la sécurité des applications est un bon point de départ, pour trouver les bons outils de sécurité des applications (Normal, c’est leur événement quand même). Les acteurs de niche dans le quadrant comme CAST offrent des fonctionnalités telles que les mesures de santé applicative en plus de la sécurité des applications.
  6. Les faux positifs et les défauts de couverture continuent d’être des défis pour améliorer les outils de sécurité des applications. L’Intelligence Artificielle est de plus en plus considérée comme un moyen de combler cet écart.
  7. Intégrer la sécurité au plus tôt dans le processus de développement est primordial. Les entreprises ne connaissent pas suffisamment l’amélioration des normes et des pratiques de développement préconisées par des organismes comme le CISQ ou l’OWASP.
  8. La plupart des entreprises ne savent pas non plus comment faire respecter ces normes par les développeurs, il s’agit là d’un défi et il faut plus de formation des équipes.

A bon entendeur…