Nous avons consulté 15 directeurs techniques de SaaS au sujet de leurs défis et préoccupations en matière de sécurité du cloud et du code. Pourquoi ?
- Les directeurs techniques de SaaS sont tous confrontés à des défis en matière de sécurisation de leur produit. Nous avons voulu identifier ces tendances et découvrir leurs besoins et leurs inquiétudes.
- La recherche de clients est essentielle pour le succès de toute startup, et Aikido n'est pas différent ! En fait, nous adorons découvrir ce que les clients ont à dire.
- Depuis le début, nous nous attachons à concevoir et à faire évoluer nos outils de sécurité en fonction de ce qui est le plus important pour nos clients.
Ici, à l'Aïkido, nous croyons au partage ouvert des connaissances. Il est donc temps de transmettre ce que nos consultations ont découvert et mis au jour.
A propos de notre consultation sur la sécurité du cloud et du code
Les directeurs techniques que nous avons consultés sont issus de startups de logiciels natifs dans le nuage qui comptent entre 51 et 500 employés. Nous nous sommes concentrés sur ces sujets de sécurité du cloud et du code :
- la priorité accordée à la prévention de la menace
- les obstacles à la prévention des menaces
- leur niveau de satisfaction à l'égard des solutions actuelles
- les autres solutions qu'ils ont utilisées et leurs défauts
- les défis auxquels ils sont confrontés
- leurs exigences et les résultats souhaités
- les caractéristiques qu'ils apprécient, et
- ce qu'ils veulent accomplir à l'avenir.
Quelle importance accordez-vous à la prévention des menaces pesant sur la sécurité de l'informatique en nuage et du code ?
Commençons par le niveau de priorité que les directeurs techniques accordent à la prévention des menaces de sécurité. Les données dont nous disposons montrent que les directeurs techniques accordent un degré de priorité élevé à la prévention des menaces. La note moyenne est de 8,27 (sur 10). 93 % des directeurs techniques ont classé l'importance de la prévention des menaces à 7 ou plus. Le chiffre 8 est la réponse la plus populaire et le chiffre 10 est le deuxième choix le plus élevé.
Qu'est-ce qui empêche de prévenir efficacement les menaces liées à la sécurité de l'informatique en nuage et du code ?
Même si les directeurs techniques aimeraient prévenir les menaces liées à la sécurité du cloud et du code, certains obstacles se dressent devant eux. Les trois principaux obstacles sont les priorités concurrentes, le budget et la complexité.
Priorités concurrentes
La réponse la plus fréquente est la concurrence des priorités (40 %). Qu'est-ce que cela signifie pour les défis en matière de sécurité ? Bien que les directeurs techniques considèrent la sécurité comme une priorité absolue, il existe d'autres préoccupations tout aussi importantes, voire potentiellement plus importantes, au sein d'une entreprise. Par exemple, la course aux nouvelles fonctionnalités par rapport aux problèmes de sécurité qui les entourent est un exercice d'équilibre en matière de cybersécurité.
Comme la sécurité est souvent un bon investissement à long terme, mais qu'elle a moins d'impact au quotidien, il est facile de déprioriser le travail.
Contraintes budgétaires
Le deuxième obstacle est constitué par les contraintes budgétaires (33 %). Le principal défi consiste à prouver le retour sur investissement que les mesures de sécurité apportent à l'entreprise. Ou, comme le dit un directeur technique, "justifier l'investissement dans la sécurité du cloud". Cela peut également être lié à la privatisation quotidienne mentionnée ci-dessus.
Complexité
La complexité remporte la palme (27 %). Le problème réside dans la multiplicité des menaces potentielles. Les classer par ordre de priorité devient un fardeau et un défi. Il est donc facile de perdre de vue les menaces les plus importantes.
Quel est votre degré de satisfaction à l'égard de vos solutions actuelles pour prévenir les menaces à la sécurité du code et de l'informatique en nuage ?
La note moyenne est de 6,4 et un tiers des directeurs techniques ont évalué leur satisfaction à l'égard des solutions actuelles à 5 ou moins. Seuls 20 % sont très satisfaits, avec une note de 8 ou 9, tandis que 0 % obtient une note parfaite de 10. L'essentiel est de comparer ces résultats avec le niveau de priorité beaucoup plus élevé qu'ils accordent à la prévention des menaces. Nous constatons un écart notable et inquiétant entre l'importance et la satisfaction.
Quelles autres solutions de sécurité utilisez-vous et quelles sont leurs faiblesses ?
Les solutions de sécurité actuelles comprennent un large éventail de produits disponibles sur le marché. Les directeurs techniques ont mentionné 11 produits, SonarQube étant le plus utilisé (33 %). Par ailleurs, pas plus de 13 % des directeurs techniques utilisaient les mêmes produits au moment de notre enquête.
Tarification et modèles de tarification
40 % des directeurs techniques ont indiqué que le plus gros défaut concerne les prix élevés et les modèles de tarification. L'un d'entre eux fait état d'un prix astronomique, "payant aujourd'hui des logiciels dans les six chiffres". Un autre s'interroge sur la viabilité à long terme de la tarification à la ligne : "Les modèles de tarification qui suivent le nombre de lignes de code sont une source d'inquiétude pour l'avenir".
Faux positifs
33 % ont signalé des faux positifs, c'est-à-dire des alertes qui identifient par erreur une vulnérabilité ou une activité malveillante. Nous pouvons tous comprendre les frustrations qui en découlent : la lassitude des alertes et le gaspillage des ressources dû aux faux positifs.
D'autres lacunes dans les solutions actuelles
Parmi les autres défauts, citons les difficultés liées à l'évaluation des risques, la complexité de l'installation et de la maintenance, l'absence d'adéquation entre la technologie et la pile, et la protection limitée.
Un directeur technique met le doigt sur les frustrations liées à la nécessité d'utiliser plusieurs solutions de sécurité :
Je ne connais aucune solution qui couvre plusieurs scénarios, ce qui signifie qu'en tant que directeur technique, je m'attends à ce que le logiciel-service que nous utilisons actuellement pour des analyses de sécurité automatisées de notre base de code ne soit certainement pas la même chose qu'une solution qui assure la conformité avec l'un de nos fournisseurs de services en nuage.
Que nous apprennent les avis des directeurs techniques sur les failles actuelles des logiciels de sécurité ?
Voici ce qu'il faut retenir. Les directeurs techniques sont à la recherche d'un guichet unique pour les logiciels de sécurité du code et de l'informatique en nuage :
- des prix raisonnables
- l'absence de faux positifs
- une installation simple, et
- un entretien sans souci.
Quels sont les plus grands défis en matière de sécurisation du code et de l'informatique dématérialisée ?
Les principaux défis auxquels sont confrontés les directeurs techniques de SaaS sont l'opposition au sein de l'entreprise, l'excès d'informations à traiter, l'évolution des menaces et la complexité d'une couverture complète.
Opposition interne
40 % ont déclaré que le principal défi était d'ordre interne : le manque de sensibilisation ou d'autres priorités se traduisent par des ressources limitées. Cela confirme les deux principaux obstacles à la prévention des menaces mentionnés précédemment (priorités et budget).
Le plus grand défi consiste à changer l'état d'esprit des organisations et à leur faire comprendre que la sécurité est une caractéristique et qu'il faut y investir en permanence.
La gestion du changement est notoirement difficile. Et la sensibilisation à des changements significatifs d'attitude et de stratégie peut s'avérer un défi encore plus difficile à relever.
Trop de bruit
La surcharge d'informations est une réalité. 27 % des directeurs techniques déclarent que le tri entre les informations est le deuxième défi le plus important. Il n'est pas facile de comprendre quelles sont les menaces à prioriser ou à explorer, ni comment les traiter. Une fois de plus, si des faux positifs sont présents, il peut y avoir des impasses, des inefficacités et un travail malavisé.
Il semble y avoir un nombre illimité de données dans les journaux, mais aucun moyen de gérer ce qu'elles signifient, par qui et comment elles doivent être traitées.
Évolution, couverture et complexité des menaces
L'évolution, la couverture et la complexité des menaces ont été classées comme des défis de moindre importance. Cependant, ils confirment toujours certains des obstacles et des failles identifiés plus tôt dans l'enquête.
Les menaces de sécurité ne sont pas stagnantes - elles évoluent et tendent à garder une longueur d'avance sur les solutions de sécurité. Cela signifie que vos vulnérabilités évoluent également, ce qui peut parfois ressembler à un jeu de piste.
Les méthodes des attaquants sont de plus en plus sophistiquées et de nouvelles vulnérabilités sont découvertes régulièrement.
Les CTO ont également souligné les difficultés rencontrées pour confirmer certaines des failles identifiées dans leurs solutions actuelles. Ils déclarent recevoir une couverture incomplète, ce qui crée un faux sentiment de sécurité. Et dans le domaine de la sécurité, ce n'est tout simplement pas suffisant !
Bien qu'ils tentent de donner un sentiment de sécurité, je crains qu'ils ne nous protègent pas réellement contre la majorité des menaces.
Une couverture incomplète est liée à la nécessité, ou à la perception de la nécessité, d'une mosaïque de solutions diverses :
Il y a trop de pièces mobiles. Qu'il s'agisse des systèmes et logiciels de développement initial, du processus CICD, de l'infrastructure des applications ou des référentiels de données, ... ils ne s'intègrent pas dans une approche holistique de solution de posture de sécurité.
Quels sont les résultats commerciaux souhaités par les directeurs techniques ? Qu'est-ce qui importe le plus aux directeurs techniques en matière de sécurité du cloud et du code ?
Nous avons posé ces deux questions pour savoir quels étaient leurs objectifs stratégiques et ce qui comptait le plus pour les atteindre.
Résultats souhaités
Les directeurs techniques ont classé les trois principaux résultats stratégiques de la manière suivante :
- Protéger la réputation de la marque et la confiance des clients (47%)
- Les données sensibles sont protégées, ce qui signifie qu'il n'y a pas de violation de données (33%)
- Être couvert pour la conformité (20 %)
Qu'est-ce qui compte le plus ?
Et, pour mettre en œuvre ces résultats souhaités, ce qui importait le plus aux CTO étaient les éléments suivants (vous pouvez en choisir plus d'un pour cette question) :
- Peu d'entretien (53%)
- Fiabilité / Pas de faux positifs (40%)
- Des rapports clairs et efficaces (33%)
Avez-vous remarqué ce que nous avons remarqué ? Ces conclusions sont similaires à celles que nous avons tirées de la question sur les failles des solutions de sécurité actuelles.
Mais qu'en est-il de la tarification ?
Cependant, un rapport clair et efficace remplace un prix raisonnable dans la liste ci-dessus par rapport aux apprentissages par défaut. Ainsi, en contradiction avec les commentaires et les choix concernant le prix et le budget plus tôt dans l'enquête, seulement 7% ont donné la priorité au prix dans cette question. Qu'est-ce que cela signifie ?
Décortiquons la perplexité liée à la tarification. Nous interprétons cela comme signifiant que le prix est un défi et un obstacle lorsque le logiciel de sécurité ne répond pas aux attentes. Mais si la solution de sécurité est précise, facile à maintenir, qu'elle démystifie la complexité grâce à des rapports simples et qu'elle aide à atteindre les objectifs les plus élevés, à savoir protéger la réputation de la marque, susciter la confiance des clients et assurer la sécurité des données tout en respectant les normes de conformité, le prix devient moins bloquant et plus facile à justifier.
Les caractéristiques les plus importantes lors du choix d'un logiciel de sécurité du code et de l'informatique en nuage
Nous avons également demandé aux CTO SaaS quelles étaient les caractéristiques techniques les plus importantes à leurs yeux. Ils ont classé cinq affirmations comme suit (notes sur 4) :
- Détection d'une mauvaise configuration du nuage - 3,67 (33 % l'ont classé premier)
- Analyse des vulnérabilités à partir de sources ouvertes - 3,53 (33% l'ont classé premier)
- Détection des secrets (clés API, mots de passe, certificats, etc.) - 3,53 (plus de 53 % ont classé cette fonction en deuxième position)
- Analyse statique du code via les plateformes CI/CD - 2,93
- Analyse des licences Open Source - 1.33 (80% l'ont classé dernier)
Lesquelles de ces caractéristiques de sécurité sont les plus importantes pour vous ? Y en a-t-il d'autres que vous souhaiteriez voir figurer dans votre solution de sécurité ?
Vous voulez un produit qui résout vos problèmes de sécurité du code et de l'informatique en nuage ?
Par-dessus tout, lorsqu'on leur a demandé ce qu'ils aimeraient accomplir à l'avenir, les directeurs techniques ont placé la déclaration suivante en tête de liste :
Je veux me sentir totalement à l'abri des menaces qui pèsent sur la sécurité de l'informatique en nuage et du code.
C'est de la musique pour nos oreilles. Willem, notre directeur technique, était confronté à ce problème dans ses entreprises précédentes. Ce problème l'a poussé à créer la bonne solution. C'est précisément ce que nous sommes en train de construire avec Aikido.
Notre solution rassemble les meilleurs outils de sécurité des logiciels libres. Cela vous permet de couvrir tous les domaines pertinents. Aikido vous montre également quels sont les problèmes et les vulnérabilités qui comptent vraiment et ceux que vous devez résoudre. Pas de faux positifs ici !
Voyez par vous-même comment Aikido peut aider un directeur technique à relever les défis liés à la sécurité du cloud et du code. Testez Aikido gratuitement ou contactez-nous.
.jpg)
.svg)
.jpg)
.jpg)
.jpg)
