Le rapport de Synopsys, bas sur des recherches menes par Enterprise Strategy Group (ESG), montre qu’en rponse des attaques trs mdiatises de la chane d’approvisionnement, 73 % des personnes interroges dclarent avoir augment de manire significative leurs efforts pour scuriser la chane d’approvisionnement en logiciels de leur organisation.
Les mesures prises comprennent l’adoption d’une forme de technologie d’authentification multifactorielle (33 %), l’investissement dans des contrles de tests de scurit des applications (32 %) et l’amlioration de la dcouverte des actifs pour mettre jour l’inventaire de la surface d’attaque de leur organisation (30 %). Malgr ces efforts, 34 % des entreprises indiquent que leurs applications ont t exploites en raison d’une vulnrabilit connue dans un logiciel open source au cours des 12 derniers mois, et 28 % ont t victimes d’une exploitation de type « zero-day » inconnue jusqu’alors dans un logiciel open source.
La pression exerce pour amliorer la gestion des risques de la chane logistique logicielle a mis en lumire les nomenclatures logicielles (SBOM). Mais l’explosion de l’utilisation des logiciels libres et le manque de rigueur de la gestion des logiciels libres ont rendu la compilation des SBOM complexe – l’tude de l’ESG montre que 39 % des personnes interroges ont indiqu que cette tche tait un dfi pour l’utilisation des logiciels libres.
« Les entreprises constatent l’impact potentiel d’une vulnrabilit ou d’une violation de la scurit de la chane d’approvisionnement logicielle sur leurs activits en faisant la une des journaux. La priorit accorde une stratgie de scurit proactive est dsormais un impratif fondamental pour les entreprises« , dclare Jason Schmitt, directeur gnral du Software Integrity Group de Synopsys. « Si la gestion du risque li aux logiciels open source est un lment essentiel de la gestion du risque de la chane d’approvisionnement logicielle dans les applications natives du cloud, nous devons galement reconnatre que le risque s’tend au-del des composants open source. L’infrastructure en tant que code, les conteneurs, les API, les dpts de code – la liste est longue et doit tre prise en compte pour garantir une approche holistique de la scurit de la chane logistique logicielle. »
Les rsultats suggrent galement que, bien que la scurit axe sur les dveloppeurs et le « glissement vers la gauche » – un concept visant permettre aux dveloppeurs d’effectuer des tests de scurit plus tt dans le cycle de vie du dveloppement – se dveloppe parmi les entreprises qui crent des applications « cloud-natives », 97 % d’entre elles ont connu un incident de scurit impliquant leurs applications « cloud-natives » au cours des 12 derniers mois.
L’acclration des cycles de publication pose galement des problmes de scurit. Les quipes de dveloppement d’applications (41 %) et DevOps (45 %) s’accordent dire que les dveloppeurs ignorent souvent les processus de scurit tablis, tandis qu’une majorit de dveloppeurs d’applications (55 %) s’accordent dire que les quipes de scurit manquent de visibilit dans les processus de dveloppement.
Source : Synopsys
Et vous ?
Qu’en pensez-vous ?
Voir aussi :