L’tude mene par Enterprise Strategy Group souligne la prvalence des risques lis la chane logistique logicielle dans les applications natives du cloud.
Synopsys a rvl une nouvelle recherche base sur une enqute rcente auprs de 350 dcideurs en matire de dveloppement d’applications, de technologies de l’information et de cyberscurit. L’tude, mene par Enterprise Strategy Group (ESG) et commande en partie par le Synopsys Software Integrity Group, a t mise en vidence dans le cadre de l’tude « Walking the Line : GitOps et Shift Left Security » : Scalable, Developer-centric Supply Chain Security Solutions« , montre que le risque de la chane d’approvisionnement logicielle s’tend au-del de l’open source.
En rponse aux attaques de la chane logistique logicielle telles que Log4Shell, SolarWinds et Kaseya, 73 % des personnes interroges dclarent avoir augment de manire significative leurs efforts pour scuriser la chane logistique logicielle de leur entreprise par le biais de diverses initiatives de scurit. Ces initiatives comprennent l’adoption d’une forme de technologie d’authentification multifactorielle forte (33 %), l’investissement dans des contrles de tests de scurit des applications (32 %) et l’amlioration de la dcouverte des actifs pour mettre jour l’inventaire de la surface d’attaque de leur organisation (30 %).
Malgr ces efforts, 34 % des entreprises dclarent que leurs applications ont t exploites en raison d’une vulnrabilit connue dans un logiciel open source (OSS) au cours des 12 derniers mois, 28 % d’entre elles ayant t victimes d’un exploit inconnu (« zero-day ») dcouvert dans un logiciel open source.
mesure que l’utilisation des logiciels open source s’intensifie, leur prsence dans les applications va naturellement augmenter aussi. La pression actuelle pour amliorer la gestion des risques de la chane logistique logicielle a mis l’accent sur les nomenclatures logicielles (SBOM). Mais l’explosion de l’utilisation des logiciels libres et le manque de rigueur de la gestion des logiciels libres ont rendu la compilation des nomenclatures complexes, comme le confirme l’tude de l’ESG, qui montre que 39 % des personnes interroges ont indiqu que cette tche constituait un dfi pour l’utilisation des logiciels libres.
» Alors que les entreprises sont tmoins du niveau d’impact potentiel qu’une vulnrabilit ou une violation de la scurit de la chane d’approvisionnement logicielle peut avoir sur leur activit par le biais de gros titres trs mdiatiss, la priorisation d’une stratgie de scurit proactive est dsormais un impratif commercial fondamental « , a dclar Jason Schmitt, directeur gnral de Synopsys Software Integrity Group. » Si la gestion du risque li l’open source est un lment essentiel de la gestion du risque de la chane d’approvisionnement logicielle dans les applications natives du cloud, nous devons galement reconnatre que le risque va au-del des composants open source. L’infrastructure en tant que code, les conteneurs, les API, les dpts de code – la liste est longue et doit tre prise en compte pour garantir une approche holistique de la scurit de la chane logistique logicielle. »
Si les logiciels open source sont l’origine du problme de la chane d’approvisionnement, l’volution vers le dveloppement d’applications natives dans le cloud fait que les entreprises s’inquitent des risques poss d’autres nuds de leur chane d’approvisionnement. Il s’agit non seulement d’aspects supplmentaires du code source, mais aussi de la manire dont les applications natives du cloud sont stockes, conditionnes et dployes, ainsi que de la manire dont elles s’interfacent entre elles par le biais d’interfaces de programmation d’applications (API). Prs de la moiti (45 %) des rpondants l’enqute ont identifi les API comme le vecteur le plus susceptible d’tre attaqu, avec les rfrentiels de stockage de donnes (42 %) et les images de conteneurs d’applications (34 %).
La quasi-totalit (99 %) des personnes interroges ont dclar que leur organisation utilise actuellement des logiciels libres ou prvoit de le faire dans les 12 prochains mois. Si la maintenance, la scurit et la fiabilit de ces projets open source suscitent des inquitudes, la principale proccupation concerne l’ampleur de l’utilisation de l’open source dans le dveloppement des applications. 54 % des entreprises indiquent que leur principale proccupation est « d’avoir un pourcentage lev de code d’application en open source« .
« Avec le rcent dcret prsidentiel amricain (14028) visant amliorer la cyberscurit du pays, l’importance d’un concept connu sous le nom de « software Bill of Materials » suscite un vif intrt« , a dclar Tim Mackey, principal stratge en matire de scurit au sein du Synopsys Cybersecurity Research Center. « En fait, un SBOM permet aux oprateurs de logiciels de savoir quels producteurs de logiciels tiers sont inclus dans leurs applications, qu’il s’agisse de logiciels open source, commerciaux ou de tiers sous contrat. Cette connaissance est essentielle lors de la conception d’un processus de gestion des correctifs, car sans elle, on ne dispose que d’une vue incomplte des risques logiciels prsents dans toute application, quelle que soit son origine. Arme de ces informations, lorsque la prochaine vulnrabilit zero-day des proportions de Log4Shell mergera (et elle le fera), votre organisation sera en mesure d’agir rapidement et efficacement pour se dfendre contre les attaques ciblant les composants logiciels tiers. »
Les rsultats de l’enqute suggrent galement que, bien que la scurit axe sur les dveloppeurs et le « dplacement vers la gauche » – un concept visant permettre aux dveloppeurs d’effectuer des tests de scurit plus tt dans le cycle de vie du dveloppement – se dveloppe parmi les organisations qui crent des applications natives du cloud, 97 % des organisations ont connu un incident de scurit impliquant leurs applications natives du cloud au cours des 12 derniers mois.
L’acclration des cycles de publication pose galement des problmes de scurit toutes les quipes. Les quipes de dveloppement d’applications (41 %) et DevOps (45 %) s’accordent dire que les dveloppeurs ignorent souvent les processus de scurit tablis, tandis qu’une majorit de dveloppeurs d’applications (55 %) s’accordent dire que les quipes de scurit manquent de visibilit sur les processus de dveloppement. Soixante-huit pour cent des personnes interroges ont indiqu qu’elles accordaient une priorit leve l’adoption de solutions de scurit axes sur les dveloppeurs et au transfert de certaines responsabilits en matire de scurit aux dveloppeurs, bien que les dveloppeurs (45 %) soient actuellement plus nombreux tre responsables des tests de scurit des applications que les quipes de scurit (40 %). Ces dveloppeurs sont deux fois plus susceptibles d’utiliser des outils de scurit dvelopps en interne ou open source que des solutions spcialises de fournisseurs tiers.
Dans le mme temps, les dveloppeurs jouent un rle plus important dans la scurisation de la chane logistique des applications natives du cloud, mais seulement 36 % des quipes de scurit ont dclar tre l’aise avec le fait que les quipes de dveloppement prennent la responsabilit des tests. Des proccupations telles que la surcharge des quipes de dveloppement avec des outils et des responsabilits supplmentaires, la perturbation de l’innovation et de la vitesse, et l’obtention d’une supervision des efforts de scurit restent les principaux obstacles aux efforts de scurit des applications dirigs par les dveloppeurs.
propos du Synopsys Software Integrity Group
Synopsys Software Integrity Group aide les quipes de dveloppement crer des logiciels scuriss et de haute qualit, en minimisant les risques tout en maximisant la vitesse et la productivit. Synopsys fournit des solutions d’analyse statique, d’analyse de la composition des logiciels et d’analyse dynamique qui permettent aux quipes de trouver et de corriger rapidement les vulnrabilits et les dfauts du code propritaire, des composants open source et du comportement des applications.
Source : Synopsys
Et vous ?
Qu’en pensez-vous ?
Voir aussi :