Lorsqu’il est difficile de décrocher une augmentation d’enveloppe pour boucler un budget sécurité, il peut toujours être utile d’exhumer un rapport alarmiste sur les coûts estimés des sinistres informatiques en entreprise. Le dernier rapport Forrester (inscription préalable nécessaire) est anxiogène en diable, et propice à une écoute attentive de la part de la Direction.
Selon le Forrester donc, depuis début 2011, plus de 51% des entreprises auraient subi entre une et dix compromissions ou un et dix accidents touchant une application Web. 18% des services ayant déclaré avoir supporté ce genre de mésaventure chiffrent les pertes engendrées à plus de 500 000 $. 8% situent le dol au-delà de 1 million de dollar, et deux estiment avoir perdu plus de 10 millions de dollars.
71% des personnes interrogées pensent que les processus de validation du code sont soit inadaptés, soit insuffisants pour que soient considérées comme fiables les applications développées en interne, et que les moyens financiers mis en œuvre sont nettement insuffisants. 41% déclarent que ces carences en termes de validation des programmes sont provoquées par une pression croissante visant à atteindre le « time to market » le plus court possible. Moins de la moitié des services contactés par le Forrester (42%) déclarent mettre en œuvre des pratiques de type SDL ou équivalentes. Sur cette proportion, 28% seulement affirment utiliser des listes et des bibliothèques recensant les fonctions approuvées et interdites.
