Lagier Aymeric

Le nombre grandissant de cyberattaques fait de la cybersécurité une étape incontournable dans la construction des projets informatiques. Introduire de nouvelles activités demandant de nouvelles compétences et n’ayant pas de plus-value métier directe dans des équipes et des processus existants peut être complexe. Comment l’approche People, Process, Technology contribue-t-elle à structurer cette prise en compte de la sécurité ?

Chaque semaine, des milliers de nouvelles vulnérabilités sont découvertes, analysées et publiées. Fin octobre 2025, le National Vulnerability Database (également connu sous le nom de [NVD]) a recensé 40 525 vulnérabilités pour l’année en cours, impliquant une légère augmentation par rapport à 2024. Parmi elles, de nombreuses sont jugées hautement critiques entraînant une course sans fin pour les équipes qui doivent trier, prioriser et corriger tout en assurant le fonctionnement des systèmes. En complément, les équipes font face à de nouvelles exigences imposées par les réglementations impliquant des traitements adaptés. Comment cette explosion du nombre de vulnérabilités peut-elle être gérée tout en respectant les exigences amenées par les nouvelles réglementations européennes ?

Selon le dernier rapport de l’ENISA [ENISA_2024], une adoption généralisée du DevSecOps contribue à limiter l’impact économique des violations de données grâce à l’intégration de mesures de réduction des risques dès la conception. Pour être efficace, cette approche doit s’adapter au contexte métier et aux menaces spécifiques identifiées. Ainsi, comment l’analyse de risques et le DevSecOps s’articulent-ils pour sécuriser les produits ?

La prise en compte de la sécurité au plus tôt lors de la construction d’un produit est essentielle, mais pas suffisante pour répondre aux exigences du CRA. Comment intégrer la sécurité dans l’usine logicielle puis en phase de run lorsque le produit est en production et/ou déployé chez les clients ?

Selon le dernier rapport de Cybersecurity Ventures [CYBERV_RAP], les coûts mondiaux liés à la cybercriminalité devraient atteindre les 10,5 trillions de dollars (9,6 trillions d’euros) par an d’ici 2025. Ces montants augmentent chaque année en raison de l'immaturité de nos systèmes, de l'industrialisation et de la sophistication croissante des attaques. Comment l’Union Européenne (via l’ENISA) peut-elle assurer la sécurité de ses entreprises et citoyens ? Le DevSecOps peut-il concrètement aider à cette sécurisation ?

Selon Sonatype, depuis décembre 2021, 29 % des téléchargements de Log4J le sont sur des versions vulnérables à Log4Shell. Cette statistique démontre l’importance pour les entreprises de renforcer la prise en compte de la sécurité dans les équipes de développement. Comment la mise en place d’un programme de security champions peut-elle améliorer l’intégration de la sécurité au plus tôt dans les projets ?

Plus une vulnérabilité est découverte tardivement dans le cycle de développement logiciel plus son coût de correction est élevé. Les audits arrivant généralement peu de temps avant la mise en production, sont-ils une priorité pour assurer le niveau de sécurité des applications développées ?

La mise en place du DevSecOps au sein d’une entreprise amène une modification de la manière de travailler avec l’apparition de nouveaux processus et l’utilisation de nouveaux outils. Comment s’assurer de l’efficacité et du bon déroulement de cette transformation s’il n’est pas possible de la mesurer ?

Dans une étude menée entre 2019 et 2020, Veracode rapporte que 76% des 132465 applications analysées comportaient au moins une vulnérabilité et que 24% avaient au moins une vulnérabilité critique. Comment aider les développeurs à prendre en compte la sécurité au sein de leurs tâches quotidiennes ?