Le DevSecOps et la gestion des identités ce n’est pas encore ça dans les entreprises. C’est en tout cas ce que pointe le dernier rapport de Sysdig sur les usages IT des entreprises en 2023. En s’appuyant sur les données issues de l’analyse de millions de containers en production, le spécialiste de la sécurité du cloud a pu mettre en évidence que les entreprises avaient encore trop tendance à privilégier l’utilité et la rapidité aux bonnes pratiques de sécurité.
Ainsi, le rapport montre que l’analyse des codes et la détection des failles en amont du passage en production reste quelque chose de très illusoire. D’après les données collectées sur 6 millions d’images en productions, près de 91 % des analyses de sécurité ont échoué. Sur les pipelines CI/CD, ce taux d’échec restait de 71%. Si le remède est apparemment connu, les maux sont donc toujours là.
Du côté de la gestion des identités, le rapport présente également des chiffres alarmants. S’il est acquis que cette dernière est primordiale, Sysdig a analysé que sur l’ensemble des permissions accordées à toutes les identités, seules 2% sont réellement utilisées. 98% des permissions ne sont pas utilisées par les machines ou les personnes à qui elles sont accordées et donc superflues. C’est pourtant autant de facteurs de compromissions possibles.
"Bien que je ne sois pas surprise par l'appréhension autour de la sécurité des nouvelles technologies comme l'IA, je suis découragée par le nombre massif de permissions excessives qui sont administrées, en particulier pour les identités des machines” a déclaré Anna Belak, Director, Office of Cybersecurity Strategy chez Sysdig. “C'est un peu comme si l'on était obsédé par un accident d'avion alors que l'on brûle régulièrement les feux rouges sans ceinture de sécurité."
Pour ce qui est de l’IA, les entreprises semblent toutefois plus précautionneuses. Si 31 % d’entre elles ont intégré des structures et des modules d'IA, seulement 15 % de ces intégrations sont utilisées pour des outils d'IA génératifs tels que les grands modèles de langage (LLM). Considérant l'acceptation des risques décrite dans le rapport, les organisations restent donc prudentes lorsqu'il s'agit de mettre en œuvre de l'intelligence artificielle.