Dans cette enquête, Dynatrace a exploré ces lacunes en matière de communication pour mieux comprendre comment une approche unifiée de l’observabilité et de la sécurité peut aider les équipes à collaborer plus efficacement et à réduire leur exposition aux risques.

Les principaux résultats de l’enquête sont les suivants :

Le manque d’alignement des dirigeants et du conseil d’administration entraîne des cyber-risques accrus : les RSSI ont du mal à assurer l’alignement entre les équipes de sécurité et les équipes dirigeantes, 87% d’entre eux déclarant que la sécurité des applications est négligée par le PDG et les membres du conseil d’administration.
Les équipes de sécurité sont trop techniques : pour 7 cadres supérieurs sur 10, les équipes de sécurité utilisent des termes techniques sans fournir de contexte business. Mais 75% des RSSI soulignent que le problème vient des outils de sécurité qui ne sont pas capables de générer des informations que les dirigeants et les conseils d’administrations peuvent utiliser pour comprendre les risques et prévenir les menaces.
L’IA crée des cybermenaces plus élaborées : Alors que les attaques et les menaces générées par IA augmentent considérablement les risques business, il devient de plus en plus critique pour les organisations de combler le fossé entre la technologie et la communication.

Résultats pour la France :

81% des RSSI affirment que la sécurité des applications est négligée par le PDG et les membres du conseil d’administration.
72% des RSSI pensent que les outils de sécurité ont une capacité limitée à générer des informations que les dirigeants et les conseils d’administrations peuvent utiliser pour comprendre les risques et prévenir les menaces.
74% des organisations ont été confrontées à un incident de sécurité applicative au cours des deux dernières années.
77% des RSSI affirment que l’automatisation DevSecOps est de plus en plus importante pour gérer le risque de vulnérabilités introduit par l’IA.
73% des RSSI déclarent qu’il leur est difficile de piloter l’automatisation DevSecOps en raison de leur dépendance à l’égard d’une multitude d’outils de sécurité applicative.
89% des RSSI affirment que l’automatisation DevSecOps sera essentielle pour leur permettre de rester à jour des réglementations émergentes comme le mandat de cybersécurité de la SEC, NIS2 et DORA.
Seuls 11% des RSSI considèrent que leur organisation applique des pratiques matures d’automatisation DevSecOps.
Les RSSI classent les priorités de leur organisation en matière de gestion de la cybersécurité dans l’ordre suivant : 1- Sécurité des applications (gestion des vulnérabilités), 2- Gestion et réponses aux crises (violation de données et attention des médias), 3- Gestion du risque interne / supervision (utilisation des appareils mobiles).

Dans ce contexte, près des trois-quarts (72%) des RSSI déclarent que leur organisation a été confrontée à un incident de sécurité applicative au cours des deux dernières années. Ces incidents comportent des risques importants, les RSSI soulignant les conséquences les plus courantes qu’ils ont subies, à savoir un impact sur les revenus (47%), des sanctions réglementaires (36%) et une perte de parts de marché (28%).

« Les incidents de cybersécurité peuvent avoir des conséquences dévastatrices sur les organisations et leurs clients. C’est pourquoi ce sujet est devenu, à juste titre, une préoccupation majeure au niveau des conseils d’administration, explique Bernd Greifeneder, CTO chez Dynatrace. Cependant, de nombreux RSSI peinent à trouver un alignement entre les équipes de sécurité et les dirigeants seniors parce qu’ils ne savent pas comment traduire des problématiques exclusivement techniques en risques spécifiquement business. Les RSSI doivent urgemment trouver une façon de surmonter ces barrières et créer une culture où la cybersécurité devient une responsabilité partagée. C’est à cette condition qu’ils pourront améliorer leur capacité à répondre efficacement aux incidents de sécurité et minimiser leur exposition aux risques. »

Le rapport inclut les résultats additionnels suivants :

· Favoriser un engagement plus étroit entre les équipes de sécurité et les dirigeants devient de plus en plus important à mesure que l’essor de l’IA expose les organisations à des risques accrus. Les RSSI se montrent inquiets face au potentiel qu’a l’IA de permettre aux cybercriminels de créer de nouvelles menaces plus rapidement et de les déployer à plus grande échelle (52%). Ils sont aussi préoccupés par la capacité de l’IA à permettre aux développeurs d’accélérer la livraison de logiciels avec moins de contrôle, ce qui conduirait à davantage de vulnérabilités (45%).

· Lorsqu’ils cherchent une solution, 83% des RSSI affirment que l’automatisation DevSecOps est de plus en plus importante pour gérer le risque de vulnérabilités introduit par l’IA. Par ailleurs, pour 71% des RSSI, l’automatisation DevSecOps est essentielle pour garantir que des mesures raisonnables ont été prises dans le but de minimiser les risques de sécurité des applications.

· 77% des RSSI affirment que les outils actuels, comme les solutions XDR et SIEM, ne peuvent pas gérer la complexité du cloud car elles n’ont pas l’intelligence nécessaire pour piloter une automatisation à grande échelle. Et pour 70% des RSSI, le fait d’avoir besoin de plusieurs outils de sécurité applicative est un facteur d’inefficacité opérationnelle à cause des efforts que cela requiert pour donner un sens à des sources de données disparates.

« L’utilisation croissante de l’IA est une arme à double tranchant, qui permet d’accroître l’efficacité des créateurs d’innovation digitale tout autant que de ceux qui cherchent à briser leurs défenses, poursuit Bernd Greifeneder. D’une part, il y a un plus grand risque que les développeurs introduisent des vulnérabilités via un code généré par IA qui n’a pas été correctement testé ; et d’autre part, les cybercriminels peuvent développer des attaques plus sophistiquées et plus automatisées pour les exploiter. Pire encore, les organisations doivent également se conformer aux régulations émergentes comme le mandat de la SEC américaine (Securities and Exchange Commission) qui exige qu’elles identifient et rendent compte de l’impact d’une attaque dans un délai de quatre jours. Les organisations ont donc urgemment besoin de moderniser leurs pratiques et outils de sécurité pour protéger leurs applications et leurs données contre les cybermenaces sophistiquées d’aujourd’hui. Les approches les plus efficaces s’appuieront sur une plateforme unifiée capable de piloter une automatisation DevSecOps mature et de tirer parti de l’IA pour traiter des données distribuées à n’importe quelle échelle. Ces plateformes fourniront les informations sur lesquelles l’ensemble de l’organisation pourra s’entendre et s’appuyer pour démontrer sa conformité avec des réglementations strictes. »

Ce rapport est basé sur un sondage mondial mené auprès de 1 300 RSSI et sur 10 entretiens de CEO et de CFO, au sein de grandes organisations de plus de 1 000 employés. Il a été commandité par Dynatrace et conduit par Coleman Parkes entre mars et avril 2024.