Selon un nouveau rapport, l’crasante majorit des organisations (91 %) ont connu un incident dans la chane d’approvisionnement logicielle au cours des 12 derniers mois.
L’tude de Data Theorem et de l’Enterprise Strategy Group a interrog plus de 350 personnes issues d’organisations des secteurs priv et public aux tats-Unis et au Canada, parmi lesquelles des professionnels de la cyberscurit, des dveloppeurs d’applications et des professionnels de l’informatique.
L’tude rvle que les incidents de scurit les plus courants au cours de cette priode sont les suivants : exploit zero-day sur des vulnrabilits au sein de codes tiers (41 %), exploits de services cloud mal configurs (40 %), exploits de vulnrabilits dans des logiciels open-source et des images de conteneurs (40 %), secrets/tokens/mots de passe vols dans des rfrentiels de code source (37 %), et violations de donnes API dans des logiciels et codes tiers (35 %).
L’enqute montre galement que 88 % des organisations estiment qu’il est essentiel ou important de disposer d’un inventaire prcis de leurs API tierces et de leurs services cloud en ce qui concerne la scurit de la chane d’approvisionnement logicielle. Ensuite, 86 % des entreprises estiment qu’il est essentiel ou important de connatre la composition ou l’inventaire du code d’application utilis.
« En raison du nombre massif de fournisseurs et de partenaires, la dcouverte continue des composants travers la chane d’approvisionnement logicielle est un dfi majeur ; en fait, partir de notre enqute, l’crasante majorit (88 pour cent) des organisations dclarent l’importance et la criticit d’avoir un inventaire prcis de leurs API tierces et de leurs services cloud« , dclare Melinda Marks, directeur de pratique, cyberscurit chez Enterprise Strategy Group. « Bien qu’il soit entendu que les SBOM sont importants pour la scurit de la chane d’approvisionnement logicielle, la plupart des organisations sont confrontes la difficult de crer et de maintenir des SBOM jour. Pour scuriser au mieux leurs applications, les entreprises ont besoin d’une analyse, d’une dcouverte et d’une inspection continues des composants open-source, des bibliothques tierces et des API dans le code source.«
Les principales priorits d’investissement dans la scurit de la chane d’approvisionnement au cours des 12 18 prochains mois sont : l’analyse des composants de code source ouvert et des bibliothques tierces pour dtecter les vulnrabilits (44 %), suivie de la dcouverte et de l’inspection des API dans le code source (39 %) et de la cration d’un SBOM par l’analyse de la composition (38 %). Plus d’un tiers des organisations considrent l’investissement dans l’application de contrles de scurit des API d’excution comme une priorit absolue.
propos de Data Theorem
Data Theorem est un fournisseur leader de la scurit des applications modernes, aidant les clients prvenir les violations de donnes AppSec. Ses produits se concentrent sur la scurit des API, le cloud (apps sans serveur, CSPM, CWPP, CNAPP), les apps mobiles (iOS et Android) et les apps web (apps page unique). Sa mission principale est d’analyser et de scuriser n’importe quelle application moderne, tout moment et en tout lieu. Le moteur prim Data Theorem Analyzer Engine analyse en permanence les API, les applications Web, mobiles et Cloud la recherche de failles de scurit et de lacunes en matire de confidentialit des donnes. La socit a dtect plus de 5 milliards d’incidents applicatifs et scurise actuellement plus de 25 000 applications modernes pour ses entreprises clientes dans le monde entier. Data Theorem a son sige Palo Alto, en Californie, et des bureaux New York et Paris.
Source : « The Growing Complexity of Securing the Software Supply Chain » (tude de Data Theorem)
Et vous ?
Quel est votre avis sur le sujet ?
Trouvez-vous les conclusions de cette tude de Data Theorem crdibles ou pertinentes ?
Voir aussi :