CloudBees a publié son rapport annuel CloudBees Global C-Suite Security Survey, révélant l’obstacle à l’innovation que constituent les problèmes de sécurité et de conformité. Celui-ci souligne également la difficulté des développeurs face aux stratégies "shift-left". Pour mémoire shift-left, ou le décalage de test vers la gauche, est une approche des tests de logiciels et des tests de système dans laquelle les tests sont effectués plus tôt dans le cycle de vie (c'est-à-dire déplacés vers la gauche sur la chronologie du projet). 

Trois dirigeants français sur quatre déclarent que les défis liés à la conformité (76 %) et à la sécurité (67 %) limitent leur capacité d'innovation. Cela est notamment dû au temps considérable consacré aux audits de conformité, à la gestion des risques et aux défauts. Dans le même temps, ils sont majoritairement favorables à une approche « shift-left ». Cette stratégie consiste à effectuer les tests et l'évaluation des logiciels plus tôt dans le cycle de développement, ce qui fait alors peser la charge de la conformité sur les développeurs. En effet, 83 % des dirigeants déclarent que celle-ci est importante pour leur entreprise et 71% des répondants français affirment même qu'ils sont en train de l’adopter pour la sécurité et la conformité, contre plus de 80% en Australie, Espagne, au Royaume-Uni ou aux États-Unis. Pourtant, 58 % admettent aussi que cette approche est une contrainte pour leurs développeurs.

« Cette enquête souligne le besoin urgent de faire évoluer la mise en sécurité et en conformité des logiciels. Alors que DevOps arrive à maturité, ces deux aspects sont devenus de véritables sources de frictions », a déclaré Prakash Sethuraman, CISO chez CloudBees. « Bien que le concept "shift-left" soit en vogue, force est de constater qu’il ne donne pas les résultats attendus. Au contraire, il accable davantage les équipes de développement et détourne leur attention de leur mission principale. Ce qu'il faut alors, c'est un nouvel état d'esprit, une nouvelle approche, dans laquelle la mise en sécurité et en conformité soit continue et stimule l'innovation. »

L'enquête a également dévoilé une baisse de confiance dans la sécurité et la conformité de la chaîne logistique logicielle, ainsi qu'une plus grande préoccupation pour celles-ci. En 2022, 88 % des cadres dirigeants déclarent que leur chaîne logistique logicielle est sécurisée ou très sécurisée, contre 95 % en 2021. De même, 33 % d'entre eux notent que leur chaîne logistique logicielle est totalement conforme, soit une baisse de 19 % par rapport à l'année précédente. Enfin, 86 % des dirigeants français se préoccupent davantage de la conformité qu'il y a deux ans, et 89 % disent être inquiets par les cyberattaques.

Parmi les autres points clés de l’étude figurent :

• Des disparités régionales concernant la confiance dans la conformité et la sécurité. 83 % des cadres dirigeants français estiment que leur chaîne logistique logicielle est conforme ou presque contre seulement 66 % des allemands. 23 % des répondants allemands pensent même que leur chaîne logistique logicielle n’est pas sécurisée contre seulement 9 % des français.
• La sécurité l’emporte face à la vitesse. En France, 84 % des cadres dirigeants préfèrent une chaîne logistique logicielle sécurisée et conforme plutôt que rapide et conforme, contre 75 % aux USA.
• Une volonté d’adopter la stratégie « shift left ». 71 % des cadres dirigeants français implémentent cette stratégie contre 61 % des allemands et 83 % des américains.
• Des avis partagés sur les contraintes que pose l’approche « shift left » sur les développeurs. 52% des cadres dirigeants français estiment que cette stratégie est un poids pour les développeurs alors que 39 % affirment qu’elle est une aide.
• L'automatisation est utile, mais n'est pas disponible pour tous. 55 % des cadres dirigeants français affirment que leur chaîne logistique logicielle est automatisée – contre 71% aux US - tandis que 32 % disent que la leur est semi-automatisée.

L'enquête CloudBees Global C-Suite Security Survey a été menée auprès de 600 cadres supérieurs d'entreprises comptant au moins 250 employés aux États-Unis, en Australie, en France, en Allemagne, en Espagne et au Royaume-Uni entre le 27 juin et le 11 juillet 2022.