Baptisée AppRisk, l’offre de gestion de la posture de sécurité des applications (ASPM pour application security posture management) lancée par Snyk, le fournisseur de solutions de sécurité pour les développeurs, vise à aider les équipes de sécurité des applications (AppSec) à mieux surveiller et gérer leurs programmes de cybersécurité. Les développeurs et les équipes de sécurité pourront collaborer et relever les défis de la cybersécurité à travers une interface spécifique axée sur la découverte des actifs et à la hiérarchisation des risques.

« Snyk est un pionnier dans les outils pour développeurs, qu’il aide à mieux intégrer la sécurité dans leurs processus de développement et à accélérer les cycles de développement cloud-natifs en les affranchissant des problèmes de sécurité », a déclaré Melinda Marks, analyste senior chez Enterprise Strategy Group (ESG). « Le fournisseur était surtout connu pour ses capacités d'analyse des composants logiciels et de la chaîne d'approvisionnement des logiciels », a-t-elle rappelé. « Avec cette offre, Snyk se positionne un peu plus largement comme fournisseur de sécurité des applications pour le développement moderne et cloud-natif », a ajouté Melinda Marks. La solution AppRisk sera proposée en deux éditions : Essentials, disponible immédiatement, qui ciblera les clients existants de Snyk et fonctionnera uniquement avec les outils de l'éditeur. Et la version Pro, axée sur les entreprises, qui marchera avec les outils de sécurité des développeurs Synk ou non. Celle-ci sera lancée début 2024.

Automatiser la découverte des actifs, les contrôles de sécurité et la priorisation des risques

AppRisk combine les capacités existantes de la plateforme de sécurité des développeurs Snyk, y compris la télémétrie et les contrôles de sécurité, avec une interface ASPM et un ensemble de capacités pour les équipes devsecops. En automatisant la découverte des actifs applicatifs, AppRisk permet aux équipes de sécurité de configurer l’espace ASPM pour découvrir les actifs applicatifs et les classer au fil de l’eau en fonction du contexte commercial. Cette classification basée sur le contexte, combinée aux contrôles existants de Snyk pour analyser et quantifier les risques, alimente le nouveau moteur de hiérarchisation des risques. En outre, selon Snyk, l’offre permet aux équipes devsecops de définir et de gérer les exigences de sécurité et de conformité appropriées, tout en vérifiant que les applications disposent des contrôles adéquats.

Selon Melinda Marks, Snyk devra se concentrer sur deux domaines clés pour que son offre soit efficace. D’une part, être capable de fournir une visualisation granulaire des actifs de l'application et d’autre part, pouvoir quantifier efficacement les risques en mettant l'accent sur le contexte utilisé. « Avec les applications cloud native, la gestion des vulnérabilités représente un véritable défi, car il y a plusieurs couches à tester et à analyser pour gérer efficacement les risques, y compris l'infrastructure en tant que code, le code personnalisé, les images de conteneurs, le code tiers et d'autres éléments dynamiques et souvent éphémères », a déclaré Melinda Marks. « Le scan est nécessaire pour détecter les problèmes éventuels, mais le nombre d'alertes peut être écrasant pour donner la priorité à une remédiation dans les temps afin de prévenir les incidents ou réduire l'impact d'une violation. Ces solutions qui s’intéressent au contexte des applications, à la façon dont elles sont construites, et scrutent leurs connexions aux ressources qu'elles créent, aident les équipes de sécurité des applications à savoir où regarder en priorité et voir ce qui nécessite une attention urgente afin de travailler efficacement », a-t-elle ajouté. Melinda Marks estime par ailleurs que « la consolidation des contrôles de sécurité des applications par AppRisk permettrait facilement de qualifier l'offre de Snyk de plateforme CNAPP (cloud native application protection platform) plutôt que d'ASPM », ajoutant « qu’avec l'adoption accrue des services cloud, la sécurité des applications pour la gestion globale des risques de sécurité devient toujours plus importante ». De plus, selon elle, « il faut s’attendre à ce que les entreprises consolident leurs outils pour optimiser l'efficacité de leurs équipes de sécurité ».