Les 15 principaux défis de sécurité du Cloud et du code révélés par les CTO

Nous avons consulté 15 CTO de SaaS concernant leurs défis et préoccupations en matière de sécurité du cloud et du code. Pourquoi ?

• Les CTO SaaS sont tous confrontés à des défis pour sécuriser leur produit. Nous avons voulu identifier ces tendances et découvrir leurs besoins et préoccupations.
• La recherche client est essentielle au succès de toute startup, et Aikido ne fait pas exception ! En fait, nous aimons découvrir ce que les clients ont à dire.
• Dès le départ, nous nous sommes concentrés sur la conception et l'évolution de nos outils de sécurité en fonction de ce qui est le plus important pour nos clients.

Chez Aikido, nous croyons au partage ouvert des connaissances, il est donc temps de transmettre ce que nos consultations ont découvert et mis en lumière.

À propos de notre consultation sur la sécurité du cloud et du code

Les CTO que nous avons consultés proviennent de startups logicielles cloud-natives comptant entre 51 et 500 employés. Nous nous sommes concentrés sur ces sujets de sécurité du cloud et du code :

• la priorité accordée à la prévention des menaces
• obstacles à la prévention des menaces
• leurs niveaux de satisfaction vis-à-vis des solutions actuelles
• quelles autres solutions ils ont utilisées et leurs défauts
• défis auxquels ils sont confrontés
• leurs exigences et les résultats souhaités
• les fonctionnalités qu'ils apprécient, et
• ce qu'ils veulent accomplir à l'avenir.

Quelle est l'importance de la prévention des menaces de sécurité du cloud et du code pour vous ?

Commençons par le niveau de priorité que les CTO accordent à la prévention des menaces de sécurité. Nos preuves montrent que les CTO accordent un niveau de priorité élevé à la prévention des menaces. La note moyenne est de 8,27 (sur 10). 93 % des CTO ont classé l'importance de la prévention des menaces à 7 ou plus. 8 a été la réponse la plus populaire, et 10 le deuxième choix le plus élevé.

Qu'est-ce qui entrave la prévention efficace des menaces de sécurité du cloud et du code ?

Autant les CTO souhaiteraient prévenir les menaces de sécurité du cloud et du code, certains obstacles entravent le succès. Les trois principaux freins étaient les priorités concurrentes, le budget et la complexité.

Priorités concurrentes

La principale réponse : les priorités concurrentes (40 %). Qu'est-ce que cela signifie concernant les défis de sécurité ? Bien que les CTOs considèrent la sécurité comme une priorité élevée, il existe d'autres préoccupations tout aussi, voire potentiellement plus importantes au sein d'une entreprise. Par exemple, la course à la sortie de nouvelles fonctionnalités par rapport aux problèmes de sécurité qui les entourent est l'équilibre délicat de la cybersécurité.

« Puisque la sécurité est souvent un bon investissement à long terme mais a moins d'impact au quotidien, il est facile de déprioriser ce travail. »

Contraintes budgétaires

Le deuxième frein était les contraintes budgétaires (33 %). Le principal défi réside dans la démonstration du ROI que les mesures de sécurité apportent à l'entreprise. Ou, comme le dit un CTO, « Justifier l'investissement dans la sécurité du cloud ». Cela peut également être lié à la dépriorisation quotidienne mentionnée ci-dessus.

Complexité

La complexité arrive en troisième position (27 %). Le problème est le grand nombre de menaces potentielles. Les prioriser devient lourd et difficile. Cela peut être accablant et, par conséquent, il est facile de perdre de vue les menaces les plus importantes.

Dans quelle mesure êtes-vous satisfait de vos solutions actuelles pour prévenir les menaces de sécurité du code et du cloud ?

Note D. La note moyenne est de 6,4 et un tiers des CTOs ont évalué leur satisfaction vis-à-vis des solutions actuelles à 5 ou moins. Seuls 20 % étaient très satisfaits avec une note de 8 ou 9, tandis que 0 % ont déclaré un 10 parfait. L'essentiel est de comparer cela au niveau de priorité bien plus élevé qu'ils accordent à la prévention des menaces. Nous constatons un écart notable et préoccupant entre l'importance et la satisfaction.

Quelles autres solutions de sécurité utilisez-vous et quels sont leurs défauts ?

Les solutions de sécurité actuelles incluent un large éventail de ce qui est disponible sur le marché. Les CTO ont mentionné 11 produits ; SonarQube était le plus largement utilisé (33 %). Au-delà de cela, pas plus de 13 % des CTO utilisaient les mêmes produits au moment de notre enquête.

Tarifs et modèles de tarification

40% des CTO ont indiqué que le principal défaut concerne les prix élevés et les modèles de tarification. Un CTO rapporte un prix astronomiquement élevé, « payant aujourd'hui un logiciel de l'ordre de six chiffres ». Un autre remet en question la viabilité à long terme de la tarification par ligne : « Les modèles de tarification basés sur le nombre de lignes de code sont une source de préoccupation pour l'avenir. »

Faux positifs

33 % ont signalé des faux positifs – des alertes qui identifient erronément une vulnérabilité ou une activité malveillante. Nous pouvons tous comprendre les frustrations que cela engendre : la fatigue liée aux alertes et le gaspillage de ressources résultant des faux positifs.

Autres failles des solutions actuelles

D'autres lacunes comprennent des défis liés à l'évaluation des risques, une configuration et une maintenance complexes, une inadéquation avec la stack technique et une protection limitée.

Un CTO met en évidence les frustrations liées à la nécessité d'employer plusieurs solutions de sécurité :

« Je ne connais aucune solution qui couvre plusieurs scénarios, ce qui signifie que mon attente en tant que CTO serait que le SaaS que nous utilisons actuellement pour les scans de sécurité automatisés de notre base de code ne sera sûrement pas le même qu'une solution qui assure la conformité avec l'un de nos fournisseurs cloud. »

Que retenons-nous des réflexions des CTOs sur les lacunes actuelles des logiciels de sécurité ?

Voici le principal enseignement. Les CTO recherchent un guichet unique pour les logiciels de sécurité du cloud et du code, offrant :

• tarifs raisonnables
• un manque de faux positifs
• une configuration simple et
• maintenance simplifiée.

Quels sont les plus grands défis liés à la sécurisation du code et du cloud ?

Les principaux défis actuels pour les CTO SaaS sont l'opposition au sein de l'entreprise, une surcharge d'informations à gérer, l'évolution des menaces et la complexité d'obtenir une couverture complète.

Opposition interne

40% ont déclaré que le principal défi est interne : le manque de sensibilisation ou d'autres priorités signifie des ressources limitées. Cela confirme leurs deux principaux obstacles à la prévention des menaces mentionnés précédemment (priorités et budget).

« Le plus grand défi est de changer la mentalité organisationnelle et de leur faire comprendre que la sécurité est une fonctionnalité et que nous devons y investir continuellement. »

La gestion du changement est notoirement difficile. Et sensibiliser pour apporter des changements significatifs aux attitudes et aux stratégies peut être un défi encore plus ardu.

Trop de bruit

La surcharge d'informations est une réalité. 27 % des CTOs déclarent que le tri du « bruit » est le prochain défi majeur. Il n'est pas facile de comprendre quelles menaces prioriser ou explorer, ni comment les gérer. De plus, si des faux positifs sont présents, cela peut entraîner des impasses, des inefficacités et un travail mal orienté.

« Il semble y avoir une quantité illimitée de données dans les logs, mais aucun moyen de gérer ce qu'elles signifient toutes, par qui et comment elles devraient être traitées. »

Évolution, couverture et complexité des menaces

L'évolution, la couverture et la complexité des menaces ont été classées comme des défis de moindre importance. Cependant, elles confirment toujours certains des blocages et des failles identifiés plus tôt dans l'enquête.

Les menaces de sécurité ne sont pas statiques : elles évoluent et ont tendance à garder une longueur d'avance sur les solutions de sécurité. Cela signifie que vos vulnérabilités évoluent également, et cela peut parfois ressembler à un jeu de la taupe.

« Les attaquants deviennent plus sophistiqués dans leurs méthodes, et de nouvelles vulnérabilités sont découvertes régulièrement. »

Les CTO ont également souligné des difficultés à confirmer certaines des failles identifiées avec leurs solutions actuelles. Ils signalent une couverture incomplète, ce qui crée un faux sentiment de sécurité. Et dans le domaine de la sécurité, ce n'est tout simplement pas suffisant !

« Bien qu'ils essaient de procurer un sentiment de sécurité, je crains qu'ils ne nous protègent pas réellement contre la majorité des menaces. »

Une couverture incomplète est liée à la nécessité, ou à la perception de la nécessité, d'un patchwork de solutions diverses :

« Il y a trop d'éléments mouvants. Des systèmes et logiciels de développement initiaux, au processus CICD, en passant par l'infrastructure applicative et les dépôts de données, … ils ne s'intègrent pas dans une approche de solution de posture de sécurité holistique. »

Quels sont les résultats commerciaux souhaités par les CTO ? Qu'est-ce qui importe le plus aux CTO en matière de sécurité du cloud et du code ?

Nous avons posé ces deux questions pour découvrir quels étaient leurs objectifs stratégiques et ce qui comptait le plus pour les atteindre.

Résultats souhaités

Les CTO ont classé les trois principaux résultats stratégiques comme suit :

1. Protéger la réputation de la marque et la confiance des clients (47 %).
2. Les données sensibles sont protégées, ce qui signifie aucune fuite de données (33 %)
3. Couverture de la conformité (20 %)

Qu'est-ce qui compte le plus ?

Et, pour atteindre ces résultats souhaités, ce qui importait le plus aux CTO était ceci (plusieurs choix possibles pour cette question) :

1. Faible maintenance (53 %)
2. Fiabilité / Pas de faux positifs (40%)
3. Rapports clairs et efficaces (33 %)

Remarquez-vous ce que nous remarquons ? Ce sont des conclusions similaires à celles que nous avons tirées de la question sur les failles des solutions de sécurité actuelles.

Mais qu'en est-il des tarifs ?

Cependant, un reporting clair et efficace prend le pas sur le prix raisonnable dans la liste ci-dessus, par rapport aux leçons tirées des failles. Ainsi, contredisant les commentaires et les choix concernant le prix et le budget plus tôt dans l'enquête, seuls 7% ont priorisé le prix dans cette question. Que cela pourrait-il signifier ?

Démystifions la complexité des tarifs. Nous interprétons cela comme le fait que le prix est un défi et un obstacle lorsque le logiciel de sécurité ne répond pas aux attentes. Mais, si la solution de sécurité est précise, facile à maintenir, démystifie la complexité avec des rapports clairs, et contribue à atteindre les objectifs supérieurs de protection de la réputation de la marque, de création de confiance client et de sécurisation des données tout en respectant les normes de conformité, la tarification devient moins un obstacle et plus facile à justifier.

Les fonctionnalités les plus importantes lors du choix d'un logiciel de sécurité du cloud et du code

Nous avons également demandé aux CTOs SaaS quelles fonctionnalités techniques étaient les plus importantes pour eux. Ils ont classé cinq affirmations comme suit (notes sur 4) :

1. Détection des mauvaises configurations cloud - 3,67 (33 % l'ont classé en premier)
2. Scan de vulnérabilités Open Source - 3.53 (33% l'ont classé en premier)
3. Détection de secrets (clés API, mots de passe, certificats, etc.) - 3,53 (plus de 53 % l'ont classé en deuxième)
4. Analyse statique du code via les plateformes CI/CD - 2,93
5. Analyse des licences open source - 1,33 (80 % l'ont classé en dernier)

Quelles sont les fonctionnalités de sécurité les plus importantes pour vous parmi celles-ci ? Y en a-t-il d'autres que vous aimeriez voir dans votre solution de sécurité ?

Vous voulez un produit qui résout vos défis de sécurité du cloud et du code ?

Avant tout, lorsqu'on leur a demandé ce qu'ils souhaitaient accomplir à l'avenir, les CTO ont classé la déclaration suivante comme la plus importante :

« Je veux me sentir complètement à l'abri des menaces de sécurité du cloud et du code. »

C'est une musique à nos oreilles. Willem, notre CTO, a rencontré exactement ces difficultés dans ses précédentes entreprises. Cette problématique l'a poussé à créer la bonne solution. C'est précisément ce que nous construisons avec Aikido.

Notre solution rassemble les meilleurs outils de sécurité logicielle open source. Cela vous permet de couvrir tous les domaines pertinents. Aikido vous montre également quels problèmes et vulnérabilités comptent vraiment et lesquels vous devriez réellement résoudre. Pas de faux positifs ici !

Découvrez par vous-même comment Aikido peut alléger les défis de sécurité du cloud et du code d'un CTO. Essayez Aikido gratuitement en test ou contactez-nous.