Les entreprises investissent massivement dans la ‘Protection à la conception’ dans le cadre du RGPD

  Posted On   By Fabrice LE PAGE   Cybersécurité pour les entreprises

A quelques semaines de la mise en place du Règlement général sur la protection des données (RGPD) par l’Union européenne, les entreprises accélèrent le rythme pour se mettre en conformité, à la fois sur les plans procédural et technologique.

 

La clé pour éviter de lourdes amendes dans le cadre du RGPD est la “protection des données à la conception et par défaut” (article 25), qui exige que la protection des données soit intégrée dès le début des développements des process pour les produits et services.

 

Fondamentalement, les contrôleurs doivent mettre en place des mesures techniques et procédurales pour s’assurer que le traitement est conforme à la réglementation tout au long du cycle de vie et s’assurer que les données ne sont traitées que lorsque cela est nécessaire. Enfin, pour protéger la vie privée des utilisateurs, les opérations de chiffrement et de déchiffrement doivent être réalisées en local – même lorsque le contrôleur stocke les données dans le cloud – car à la fois les clés et les données doivent rester sous la garde du propriétaire de ces données.

 

Pour le DevOps, la “protection des données à la conception et par défaut” est devenue une affaire particulièrement sérieuse, puisque trois entreprises sur dix ont soupçonné ou vérifié des failles liées à des vulnérabilités de composants open source, soit une augmentation de 55% par rapport à 2017 et de 121% par rapport à 2014, selon une enquête Sonatype.

 

Le DevOps décrit une pratique d’ingénierie logicielle visant à unifier le développement logiciel (Dev) et le fonctionnement logiciel (Ops). L’objectif principal du DevOps est l’automatisation et la surveillance à chaque étape du développement des logiciels, de l’intégration et des tests jusqu’au lancement et au déploiement. Le terme DevSecOps est utilisé lorsque le développement d’une application met l’accent sur la sécurité dès le départ, ce qui minimise le risque de présence de vulnérabilités pendant ou après le déploiement.

 

Les entreprises qui poursuivent leur transformation en matière de DevSecOps ont déclaré avoir réalisé des investissements “critiques” dans la gouvernance de l’open source (44%), la sécurité des conteneurs (56%) et les pare-feux applicatifs Web (58%). D’ailleurs, les pratiques DevOps matures étaient 338% plus susceptibles d’intégrer l’automatisation de la sécurité que les entreprises sans pratique de DevSecOps.

 

Plein feu sur la gouvernance Open Source

 

L’attaque qui a ciblé Equifax l’année dernière est peut-être le meilleur exemple d’exploitation, par des cybercriminels, d’une faille présente dans un logiciel libre. La société Equifax a en effet échoué par deux fois à corriger les vulnérabilités au sein d’Apache Struts, qui au moment de l’attaque étaient connues. Apache Struts est un framework open source pour le développement d’applications Web Java EE, et l’exploitation d’une faille au sein de ce framework a conduit à la violation de données personnelles et financières de 147 millions de clients d’Equifax.

 

Avec la mise en place du RGPD qui se rapproche, les entreprises impliquées dans le DevOps n’ont d’autre choix que de relever leurs standards.

 

Étant donné les vulnérabilités d’applications liées aux composants open source ont bondi de plus de 50% d’une année à l’autre, ceux qui investissent dans le DevSecOps affichent des niveaux de cyber-préparation supérieurs de 85% à ceux des autres“, a déclaré Wayne Jackson, PDG de Sonatype. “Il est évident que les récentes failles de sécurité qui ont fait l’actualité ont augmenté les investissements dans le DevSecOps. L’étude a également mis en lumière des investissements importants de la part des entreprises qui s’efforcent de respecter l’exigence de ‘protection à la conception’ stipulée dans le RGPD“.

 

Autres conclusions clés

  • 77% des entreprises matures en matière de DevOps ont des stratégies open source
  • 59% des entreprises matures en matière de DevOps intègrent davantage d’automatisation de la sécurité dans leur processus de développement
  • 88% des entreprises matures en matière de DevOps investissent dans la formation à la sécurité des applications
  • 63% des entreprises matures en matière de DevOps déclarent tirer parti des solutions de sécurité pour identifier les vulnérabilités dans les conteneurs
  • 48% des répondants précisent que les développeurs sont conscients que la sécurité des applications est importante, mais qu’ils n’ont pas assez de temps pour s’y consacrer

 

Endpoint Detection & Response (EDR)

 

Une autre technologie qui a attiré l’attention des entreprises concernées par le RGPD est l’Endpoint Detection & Response (EDR). 80% des grandes entreprises investissent dans la détection et la réponse au niveau de leurs endpoints, plaçant l’EDR sur la bonne voie pour devenir un actif de sécurité clé d’ici 2020.

 

La demande en outils de réponse aux incidents offrant une visibilité en amont sur les menaces avancées élargit le marché, avec des attentes de taux de croissance annuel moyen (CAGR) de 45,27% entre 2015 à 2020. Le marché de l’EDR a connu une croisse de 238 millions de dollars en 2015 à environ 500 millions de dollars en 2016. D’ici 2020, il devrait peser un milliard de dollars, rivalisant avec le marché de plusieurs milliards de dollars des plateformes de protection des endpoints (EPP).

 

Pour en savoir plus sur l’EDR et comment il entre en jeu dans la conformité au RGPD, téléchargez gratuitement notre livre blanc : Endpoint Detection & Response (EDR) – How to safeguard customers’ personally identifiable information under the GDPR.

 

Pour rappel, le RGPD entrera en vigueur le 25 mai et s’appliquera à toutes les entités qui collectent, contrôlent, stockent ou traitent des données de citoyens de l’Union européenne, que l’entreprise exerce ses activités à l’intérieur ou à l’extérieur de l’UE.