Trouver des bugs est facile, mais les corriger est le véritable goulot d’étranglement : voici comment convaincre votre conseil d’administration de financer votre nettoyage de sécurité.
Les responsables de la sécurité ont fait de nets progrès en matière de visibilité. La plupart des organisations peuvent désormais identifier les vulnérabilités de leurs applications, dépendances et pipelines de développement avec beaucoup plus de cohérence que par le passé. Pourtant, un déséquilibre fondamental demeure : les vulnérabilités sont découvertes plus rapidement qu’elles ne peuvent être corrigées.
Ce déséquilibre s’accentue. Aujourd’hui, 82 % des organisations ont une dette de sécurité, définie comme des vulnérabilités accumulées et non résolues depuis plus d’un an. Dans le même temps, la part des vulnérabilités définies comme « graves » et « susceptibles d’être exploitées » continue d’augmenter.
Cette combinaison a de réelles conséquences. Les vulnérabilités ne font pas que s’accumuler ; ils persistent dans les environnements de production suffisamment longtemps pour être découverts et utilisés.
Parmi mes collègues RSSI, la conversation a changé. Le défi consiste désormais à traduire cette réalité en une analyse de rentabilité qui trouve un écho auprès des dirigeants et stimule les investissements dans les capacités de remédiation. Voici six façons de procéder.
Traitez la dette de sécurité comme une dette financière
La dette sécuritaire se comporte un peu comme la dette financière. Il s’accumule avec le temps, s’aggrave lorsqu’il n’est pas géré et crée des coûts permanents pour l’entreprise. Ces coûts se manifestent dans les versions retardées, les efforts de remédiation d’urgence, les résultats des audits et la réponse aux incidents.
Sa gestion efficace nécessite la même discipline que celle appliquée au risque financier. Cela signifie mesurer la dette totale et critique, fixer des objectifs de réduction et suivre les progrès au fil du temps. Cela signifie également faire la distinction entre les niveaux de risque acceptables et inacceptables, plutôt que de traiter toutes les vulnérabilités sur un pied d’égalité.
Je pense que la dette sécuritaire devrait être visible au niveau exécutif. Les équipes de direction suivent régulièrement les performances financières, la résilience opérationnelle et la fiabilité des services. Les dettes de sécurité appartiennent à la même catégorie. Il reflète l’exposition de l’organisation et sa capacité à gérer cette exposition au fil du temps.
Considérer la capacité de remédiation comme une contrainte commerciale
La plupart des organisations sont parfaitement conscientes des vulnérabilités. Le facteur limitant est la capacité à y répondre.
La capacité de remédiation détermine si la dette de sécurité augmente ou diminue. Lorsque le volume de nouvelles découvertes dépasse la capacité de l’organisation à les corriger, l’arriéré s’accroît et l’exposition augmente. Cette dynamique persiste quelle que soit l’efficacité des outils de détection.
D’après mon expérience, il est important de quantifier cette contrainte. Cela implique notamment de montrer l’écart entre les découvertes et les correctifs, d’identifier les vulnérabilités à haut risque qui restent ouvertes et de démontrer combien de temps elles persistent. Ces données montrent clairement que des améliorations progressives de l’efficacité ne suffiront pas à elles seules à combler l’écart.
Présenter la capacité de remédiation en termes opérationnels permet d’aligner la discussion sur les priorités de l’exécutif. Les dirigeants comprennent les contraintes liées au débit d’ingénierie, aux dépenses cloud et à la disponibilité des services. La capacité de remédiation doit être traitée de la même manière.
Focus sur les risques exploitables dans les systèmes critiques
La dette de sécurité prend tout son sens lorsqu’elle est liée à son impact sur les entreprises.
Toutes les vulnérabilités ne comportent pas le même niveau de risque. Ceux qui comptent le plus partagent deux caractéristiques. Ils sont susceptibles d’être exploités et existent dans des applications importantes pour l’entreprise.
L’évaluation de la gravité traditionnelle ne rend pas pleinement compte de cela. Le système commun de notation des vulnérabilités (CVSS) reste utile. Toutefois, cela ne permet pas de savoir si une vulnérabilité est accessible, si elle se trouve dans un système critique ou si des techniques d’exploitation sont facilement disponibles.
Une approche pratique consiste à superposer l’exploitabilité et le contexte commercial aux modèles de notation existants. Cela crée un ensemble ciblé de vulnérabilités à haut risque qui nécessitent une attention immédiate. Dans de nombreux environnements, cela représente un pourcentage relativement faible du total des résultats, mais il représente une grande partie de l’impact potentiel.
En se concentrant sur ce sous-ensemble, les organisations peuvent diriger les ressources là où elles ont le plus grand effet. Cette approche facilite également la communication des risques en termes commerciaux.
Prioriser les applications de joyaux de la couronne
Le risque n’est pas réparti uniformément entre les applications.
Chaque organisation possède des systèmes plus critiques que d’autres. Il peut s’agir de plateformes orientées client, de services générateurs de revenus ou d’applications qui traitent des données sensibles. Les compromis dans ces domaines ont un impact disproportionné sur l’entreprise.
Concentrer les efforts de remédiation sur ces applications phares améliore rapidement les résultats. Nos recherches ont révélé que 11,3 % des failles présentent une gravité élevée et une exploitabilité élevée. Il garantit que les systèmes les plus importants bénéficient du niveau de protection le plus élevé et réduit la probabilité d’incidents à fort impact.
Des objectifs clairs contribuent à renforcer cette orientation. Sur une période définie, les organisations peuvent réduire leur dette de sécurité critique, raccourcir la durée de vie des vulnérabilités à haut risque et maintenir des seuils stricts d’exposition dans les systèmes clés. Ces objectifs traduisent les activités de sécurité en résultats commerciaux que les dirigeants peuvent comprendre et soutenir.
Établir des mesures qui reflètent le risque
Les métriques jouent un rôle central dans l’élaboration des comportements.
De nombreuses organisations continuent de s’appuyer sur le nombre de vulnérabilités découvertes ou résolues. Bien que ces mesures fournissent un contexte utile, elles n’indiquent pas si le risque augmente ou diminue.
Des mesures plus efficaces se concentrent sur l’exposition. Il s’agit notamment du nombre de vulnérabilités critiques ou exploitables dans les systèmes clés, de l’âge moyen de ces vulnérabilités et des tendances au fil du temps. Ensemble, ces mesures fournissent une image plus claire de l’évolution du risque.
Lier ces mesures aux objectifs organisationnels renforce la responsabilité. La réduction de la dette de sécurité peut être intégrée aux OKR, avec des objectifs spécifiques pour réduire la dette critique, abaisser l’âge de vulnérabilité et maintenir des seuils acceptables dans les applications à haut risque.
Formaliser l’acceptation des risques est également important. Les vulnérabilités à haut risque qui restent ouvertes devraient nécessiter l’approbation de l’entreprise et des délais définis. Cela garantit que le risque est reconnu et géré délibérément.
Augmenter les investissements dans la capacité de remédiation
L’amélioration des résultats en matière de sécurité nécessite un investissement soutenu dans la capacité d’agir.
La capacité de remédiation peut être étendue de plusieurs manières. Les organisations peuvent consacrer du temps d’ingénierie aux travaux de sécurité, intégrer des mesures correctives dans les flux de développement et adopter l’automatisation pour réduire les efforts manuels. Les correctifs assistés par l’IA et les conseils automatisés peuvent aider les équipes à traiter les vulnérabilités plus efficacement sans perturber la vitesse de développement.
Il est tout aussi important de prévenir de nouvelles dettes de sécurité. Des politiques telles que l’obligation de résoudre les vulnérabilités à haut risque avant leur publication contribuent à limiter l’introduction d’une exposition supplémentaire. Au fil du temps, cela réduit la charge globale des équipes de remédiation.
Ces changements ne ralentissent pas l’innovation. Ils créent les conditions permettant de fournir des logiciels de manière sûre et cohérente.
Aligner l’entreprise sur la réduction des risques
La dette sécuritaire n’affecte pas seulement la fonction de sécurité. Cela influence la résilience, la posture réglementaire et la capacité de l’organisation à fournir des logiciels en toute confiance.
Les RSSI jouent un rôle central dans l’alignement des parties prenantes autour de cette problématique. En définissant la dette de sécurité en termes d’impact commercial, de contraintes de capacité et de résultats mesurables, ils peuvent déplacer le débat de la gestion du retard technique vers la réduction des risques d’entreprise.
Cet alignement est essentiel pour sécuriser les investissements. Lorsque les dirigeants comprennent la relation entre la capacité de remédiation et le risque commercial, les décisions concernant le financement, la priorisation et les compromis deviennent plus claires.
La dette de sécurité continuera d’exister. Ce qui compte, c’est l’efficacité avec laquelle il est géré et mesuré. Par exemple, un bon objectif devrait être de doubler la capacité de réparation grâce à des investissements en outils, et pas seulement en effectifs.
Les organisations qui le mesurent, le gouvernent et investissent activement dans sa réduction sont mieux placées pour contrôler les risques à grande échelle. Ceux qui ne le feront pas continueront à voir leur visibilité augmenter, même si leur visibilité s’améliore.
Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?



