Checkmarx a l'expertise pour aider les plus grandes entreprises du monde à anticiper les risques liés aux applications sans ralentir le développement.

Global Security Mag : Quelle sera votre actualité lors du Forum InCyber (FIC) 2025 ?

Fabien Petiau : Checkmarx sera présent au Forum InCyber 2025 sur le stand E5 pour présenter ses dernières avancées en matière de sécurité applicative et d'adoption du DevSecOps. Le DevSecOps implique de penser la sécurité des applications et de l'infrastructure comme partie intégrante du développement applicatif. Il adresse les problèmes de sécurité du code et de fiabilité des développements. Les bénéfices d'une telle démarche sont importants : elle améliore le respect des exigences de sécurité et la conformité aux réglementations, autorise une prévention active de la cybercriminalité, diminue drastiquement le nombre d'incidents en post-déploiement de l'application et permet même une meilleure réactivité au changement tout en réduisant les temps de développement.

Nous présenterons Checkmarx One, notre plateforme cloud-native unifiée de sécurité applicative, qui accompagne les entreprises dans la protection de leurs applications, de la première ligne de code jusqu'au déploiement dans le cloud.

Global Security Mag : Quels sont les points forts des solutions que vous allez présenter à cette occasion ?

Fabien Petiau : Checkmarx One permet d'incorporer la sécurité à chaque étape du cycle de développement des applications (SDLC) sans le ralentir en s'intégrant directement aux environnements DevOps, ainsi qu'aux outils de développeurs tels que les IDE, SCM, outils de collaboration... La plateforme regroupe un ensemble complet de moteurs de scan permettant d'adresser la totalité de la surface d'attaque des applications avant leur déploiement en production. Cette consolidation permet de réduire le coût total de possession, de simplifier la gestion fournisseurs, et d'obtenir une vision holistique via une interface unique. Checkmarx One permet également d'accroitre l'adoption des développeurs, de diminuer les frictions entre eux et les équipes sécurité. En effet, en plus de s'intégrer dans leurs outils, Checkmarx One permet aux équipes sécurité de fournir aux développeurs des résultats priorisés basés sur leur contexte et leur exploitabilité.

Checkmarx permet de surmonter les principaux défis du DevSecOps en intégrant la sécurité dans les workflows de développement, en simplifiant la gestion des vulnérabilités et en garantissant la scalabilité et la visibilité nécessaires pour une approche de sécurité efficace et cohérente. La plateforme s'intègre aux systèmes existants de manière transparente ce qui permet une adoption DevSecOps à grande échelle.

Global Security Mag : Cette année le Forum InCyber aura pour thème « Zero Trust, la confiance pour tous ? », quelles sont les principales cybermenaces en rapport avec ce sujet ?

Fabien Petiau : Une des plus grandes menaces est l'exploitation des vulnérabilités dans les applications. Selon l'enquête Checkmarx « The Future of Application Security 2024 (https://info.checkmarx.com/future-of-application-security-2024?utm_source=PR&utm_medium=referral&utm_campaign=Future_of_application_sec) », 91 % des entreprises ont déclaré avoir mis en production des applications vulnérables, confrontées à la pression du développement accéléré et à des priorités concurrentes. Les failles applicatives ou du code mal sécurisé sont des vecteurs de cyberattaques. Zero Trust nécessite une vigilance continue, et les organisations doivent se protéger contre les vulnérabilités applicatives. Cela fait d'outils comme Checkmarx (qui aide à sécuriser les applications dès leur développement) un élément clé de la stratégie.

L'évolution constante des méthodes de développement, des architectures des applications et de leurs modes de déploiement, ont considérablement étendu le nombre de vecteurs d'attaque à la disposition des hackers (Cloud, containers, orchestrateurs, infrastructure as code, APIs, IA, chaine d'approvisionnement logicielle, recours croissant à l'Open Source…). L'utilisation croissante de l'intelligence artificielle (IA) pour la génération de code soulève également des préoccupations en matière de sécurité. Une étude montre que les développeurs utilisant des assistants IA écrivent souvent moins de code sécurisé et ont tendance à sous-estimer les vulnérabilités de leur code. Les LLMs utilisés par les outils de codage IA ne sont pas entrainés pour garantir un codage sécurisé, contribuant à la prolifération de vulnérabilités. En outre, l'IA présente de nouveaux vecteurs d'attaque, comme l'injection de prompt ou l'empoisonnement des données d'entraînement, exposant les systèmes à des risques de fuites d'informations sensibles et d'attaques. Pour contrer ces menaces, il est crucial d'intégrer des solutions de sécurité directement dans le flux de travail des développeurs, telles que l'automatisation de la détection des failles et la sécurisation du code généré. Les organisations doivent sensibiliser leurs équipes au profil de risque de chaque outil IA et leur fournir des solutions permettant de sécuriser le code dès sa création, tout en maintenant la productivité.

Global Security Mag : Comment vos solutions répondent-elles à cette problématique ?

Fabien Petiau : Dans un environnement Zero Trust, Checkmarx s'assure que les applications sont sécurisées dès leur développement, garantissant qu'elles ne contiennent pas de failles exploitables, ce qui contribue à la mise en œuvre d'une sécurité continue et rigoureuse. Faire émerger une culture de la sécurité logicielle – AppSec - dans l'entreprise nécessite de rééquilibrer les besoins au sein de l'organisation dans sa globalité, en offrant une sécurité transparente dans l'ensemble du SDLC. Cela passe par la mise en place d'une plateforme unique et automatisée de bout-en-bout pleinement intégrée dans les outils de développement, CI/CD, etc. Mais cela passe aussi et surtout par l'implication des développeurs au même titre que les autres équipes et de partager les responsabilités. Au plus près du code, le développeur doit disposer de moyens renforcés – des outils comme des formations - qui lui permettront de produire du code sécurisé. Ceci implique donc de mettre en place une culture de la sécurité logicielle dans l'entreprise en permettant aux développeurs de prendre en main la sécurité de leurs applications.

Global Security Mag : Comment les technologies doivent-elles évoluer pour contrer ces menaces ?

Fabien Petiau : Les technologies doivent répondre aux menaces en adressant la totalité de la surface d'attaque et en proposant des solutions consolidées. Elles doivent apporter de la valeur à toutes les parties prenantes (RSSI, AppSec, Développement), permettre aux équipes de se focaliser sur ce qui est important pour le métier, s'intégrer de façon transparente dans les outils utilisés par les développeurs, et leur permettre de se former facilement à la sécurité applicative. Enfin, ces technologies doivent offrir une « scalabilité » suffisante pour permettre de sécuriser facilement l'ensemble des applications des organisations.

Global Security Mag : Quel message souhaitez-vous transmettre aux RSSI, CISO, Responsables Cyber ?

Fabien Petiau : Plus d'applications, des pipelines plus rapides et des menaces croissantes contribuent à une augmentation vertigineuse des risques. Avec plus de 1700 clients à travers le monde, plus d'un trillion de lignes de code analysées chaque année, Checkmarx a l'expertise pour aider les plus grandes entreprises du monde à anticiper les risques liés aux applications sans ralentir le développement. En offrant aux équipes de sécurité les outils dont elles ont besoin, tout en permettant aux développeurs de travailler à leur façon, des pipelines DevOps à l'expérience développeur, Checkmarx aide les équipes de sécurité et de développement à mieux collaborer – le tout sur une plateforme de sécurité des applications unifiée. C'est pourquoi tant d'entreprises comptent sur Checkmarx pour obtenir un retour sur investissement deux fois plus élevé et améliorer la productivité des développeurs sur les tâches de sécurité de 50 %.