Phylapp
Sécurité des développements et applications

Les indicateurs pour piloter la sécurité du développement

Les métriques de sécurité du développement rendent visible la dette applicative. Délai de remédiation, densité de vulnérabilités, couverture des tests : ces indicateurs doivent être mappés sur les risques business pour être actionnables par la direction.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 16 lectures

Points clés

  • Les métriques de sécurité du développement permettent de rendre visible une réalité qui resterait sinon invisible jusqu'à l'incident.
  • Les indicateurs clés : délai de remédiation des vulnérabilités SAST/DAST, taux de couverture des tests de sécurité, density de vulnérabilités par millier de lignes de code, âge moyen des dépendances vulnérables.
  • Le DORA (DevOps Research and Assessment) démontre que les organisations avec des pratiques DevSecOps matures ont simultanément un meilleur time-to-market et une meilleure sécurité.
  • Les métriques de sécurité du développement doivent être présentées à la direction avec un mapping sur les risques business, pas seulement comme des indicateurs techniques.
Cas EU Maersk (2017) — La reconstruction de l'infrastructure IT de Maersk après NotPetya a inclus la mise en place d'un programme de métriques de sécurité du développement. Le reporting trimestriel des indicateurs de sécurité applicative au CODIR — avec mapping sur les risques business — a été identifié comme un facteur clé de la durabilité de l'investissement sécurité post-incident.

Rendre visible la dette de sécurité

Sans métriques, la sécurité applicative est une réalité invisible pour la direction. Un RSSI qui déclare "nous avons une bonne sécurité applicative" sans données ne fournit pas d'information décisionnelle. Un RSSI qui présente "nous avons 47 vulnérabilités critiques en backlog, dont 12 ont plus de 30 jours, dans des applications qui traitent des données financières" donne à la direction une information sur laquelle elle peut agir — budget, priorisation, recrutement.

Les métriques de sécurité du développement remplissent cette fonction de visibilité. Elles transforment une propriété complexe et abstraite (le niveau de sécurité d'une codebase) en indicateurs concrets qui permettent le suivi dans le temps, la comparaison entre équipes ou applications, et la prise de décision d'investissement informée.

Les métriques opérationnelles clés

Le délai de remédiation par sévérité mesure le temps entre l'identification d'une vulnérabilité (via SAST, DAST, ou pentest) et sa correction validée. C'est l'indicateur qui traduit directement l'efficacité du programme de sécurité applicatif en termes de risque réel. La densité de vulnérabilités (vulnérabilités par millier de lignes de code) permet de comparer des applications de tailles différentes et de suivre l'amélioration dans le temps. Le taux de couverture des tests de sécurité (quelle proportion du code est couverte par des tests incluant des assertions de sécurité) mesure la qualité du filet de sécurité automatisé. L'âge moyen des dépendances vulnérables connues mesure la réactivité du processus de mise à jour.

Ces métriques doivent être collectées automatiquement par les outils intégrés dans le pipeline CI/CD — la collecte manuelle n'est pas scalable et crée des biais de sélection.

La corrélation sécurité-performance en DevSecOps

Une idée reçue persistante est que la sécurité et la vitesse de développement sont en opposition — qu'investir dans la sécurité ralentit les livraisons. Les recherches du programme DORA (DevOps Research and Assessment) réfutent ce mythe avec des données : les organisations à haute performance DevOps présentent simultanément de meilleures métriques de livraison (fréquence de déploiement, délai de changement) et de meilleures métriques de sécurité (délai de remédiation, taux de disponibilité).

Cette corrélation s'explique par le fait que les pratiques qui améliorent la qualité logicielle (intégration continue, tests automatisés, revues de code) bénéficient également à la sécurité. Le DevSecOps n'ajoute pas de friction au développement — il intègre les contrôles de sécurité dans les flux existants, rendant la sécurité une propriété émergente du processus plutôt qu'une phase distincte.

Cas US T-Mobile (2021-2023) — Les incidents répétés de T-Mobile sur cette période ont conduit l'entreprise à publier un plan d'amélioration de sa posture de sécurité, incluant la mise en place de métriques de suivi de la sécurité applicative. La capacité à mesurer les progrès et à les démontrer aux régulateurs américains (FCC, FTC) a été une condition du règlement des poursuites réglementaires.

Présenter les métriques à la direction

Les métriques techniques de sécurité du développement doivent être traduites en termes de risque business pour être compréhensibles et actionnables par la direction. "47 vulnérabilités critiques non patchées depuis plus de 30 jours dans l'application de gestion des contrats clients" est plus percutant que "notre DAST score est de 73/100". La traduction implique d'identifier quelles applications traitent quelles catégories de données, et de mapper les vulnérabilités sur les risques métier correspondants.

Un tableau de bord de sécurité applicative présenté trimestriellement au CODIR, avec des tendances (progression ou régression depuis le trimestre précédent), des comparaisons sectorielles si disponibles, et des recommandations d'investissement hiérarchisées, est le format qui transforme les métriques techniques en outil de gouvernance.

Cas Asie SingHealth (2018) — Le rapport post-incident a formulé des recommandations spécifiques sur la mise en place d'indicateurs de sécurité applicative pour le système de santé singapourien. Ces recommandations incluaient la création d'un tableau de bord de sécurité applicative présenté régulièrement aux instances de gouvernance, permettant un pilotage proactif plutôt qu'une réaction post-incident.

Articles similaires

Les applications deviennent la première surface d’exposition des organisations

Les applications web, mobiles et les APIs représentent la première surface d'attaque. La dette technique des applications legacy, la prolifération des APIs et l'absence de sécurité dans le cycle de vie applicatif constituent les vulnérabilités structurelles.

24 mai 2026 7 min

Pourquoi la sécurité doit être intégrée dès la conception des logiciels

Le coût de correction d'une vulnérabilité croît de 1 à 100 entre conception et production. La modélisation des menaces et la formalisation des exigences de sécurité dès la spécification sont les fondements du secure by design.

24 mai 2026 7 min

Les erreurs fréquentes dans le développement des applications internes

Les applications internes sont sous-sécurisées malgré leurs données sensibles. Injection SQL, absence de contrôle au niveau objet, secrets dans le code et shadow development sont les erreurs structurelles les plus fréquentes.

24 mai 2026 7 min
WhatsApp