L’industrie de la sécurité applicative est à un tournant. Bien qu’il y ait une forte demande, les professionnels ont du mal à trouver des emplois à leur niveau d’expertise. Les entreprises sont confrontées à des défis pour sécuriser leurs logiciels avec des budgets limités. Pour paver la voie, les professionnels de l’AppSec auront besoin de solides capacités pour conduire le changement culturel. Qu’est-ce qui guidera l’avenir de la sécurité des applications?
DevSecOps et attentes non rencontrées
L’industrie de l’AppSec (Application Security) est actuellement confrontée à des défis intéressants. À mon avis, l’industrie n’a pas mûri aussi rapidement que prévu (rappelez-vous simplement le boom de DevSecOps en 2010-2014).
En ce moment, nous connaissons un désalignement de l’offre et de la demande. Les professionnels expérimentés et bien rémunérés ont du mal à trouver des opportunités à la hauteur de leur expertise. Les entreprises ne peuvent pas trouver de ressources dans les limites de leur budget actuel.
Il existe également une lacune dans les pratiques de sécurité logicielle en raison de l’état actuel du marché et de sa maturité.
- Le secteur des startups, qui a attiré de nombreux professionnels de l’AppSec lors du boom technologique de 2020-2021, est désormais fortement impacté (il suffit de penser aux licenciements chez Spotify, Shopify, Niantic ou Meta).
- Le marché de petites et moyennes structures est encore au début de son cheminement en cybersécurité, la sécurité logicielle étant souvent à la traîne par rapport à d’autres domaines tels que la gouvernance, les risques, les tests de sécurité et la réponse aux incidents.
- Les grandes entreprises fonctionnent encore souvent selon un modèle opérationnel basé par projets, qui conditionne les activités AppSec en évaluations ponctuelles et non en amélioration continue.
Les difficultés des professionnels de l’AppSec
En plus du contexte de ralentissement économique, il existe une frustration mutuelle croissante causée par le cloisonnement des équipes de développement, DevOps et cybersécurité. Malheureusement, certaines entreprises prennent la décision de licencier les derniers collaborateurs qui ont rejoint l’entreprise. Ces licenciements incluent les équipes de cybersécurité et les professionnels du DevSecOps.
D’autre part, il y a un manque de soutien fort pour la culture « shift-left » et une visibilité insuffisante de la direction. Ceci entraîne une incapacité à mesurer le retour sur investissement (ROI) et la valeur des processus de sécurité applicative.
De plus, les développeurs qui assument des responsabilités en matière de sécurité dans les projets jouent un rôle crucial (les fameux « champions »). Ils aident à déplacer la sécurité vers la gauche (shift-left), en mettant l’accent sur la sécurité des applications plus tôt dans le processus de développement. Cependant, cette approche peut entraîner le licenciement de professionnels très bien payés en cybersécurité lorsque des mesures de réduction des coûts entrent en jeu.
Quel avenir pour l’AppSec ?
Dans le paysage en constante évolution de la sécurité des applications, un lent changement et une transformation sont en cours. et voici ce que je vois venir ensuite :
- l’AppSec va évoluer d’un marché de la formation et du conseil vers la création de plates-formes et de processus nativement sécurisés.
- Les plates-formes et les outils sont beaucoup plus faciles à déployer à grande échelle que les personnes. Ils empêchent des classes entières de bugs de sécurité et fournissent des mécanismes d’identité et authentification, ainsi que des garanties de sécurité intégrées.
- Nous verrons arriver de plus en plus d’outils de sécurité intuitifs, rentables et alimentés par l’IA développés par des startups, permettant aux développeurs de sécuriser leur code sans avoir besoin de faire appel à des consultants en AppSec.
Il y aura une forte demande pour des professionnels de l’AppSec dans des rôles de leadership capables de se positionner à l’intersection de trois compétences : 50 % de changement culturel, 25 % d’ingénierie logicielle et 25 % de cybersécurité.