La majorit des organisations ont t touches par des attaques de la chane d’approvisionnement en logiciels au cours de l’anne coule, et nombre d’entre elles ont du mal les dtecter et y rpondre. Plus de la moiti (54 %) des organisations interroges ont subi une attaque de la chane d’approvisionnement en logiciels au cours de l’anne coule, selon un nouveau rapport du Software Integrity Group de Synopsys et du Ponemon Institute.
La majorit des organisations mondiales (54 %) ont subi une attaque de la chane d’approvisionnement des logiciels au cours de l’anne coule, et la plupart d’entre elles ne sont pas en mesure de faire face l’volution des risques. C’est ce qui ressort du rapport « The State of Software Supply Chain Security Risk », publi par Synopsys, Inc. et le Ponemon Institute, qui rvle galement que 50 % des entreprises ont mis plus d’un mois ragir une attaque. Une entreprise sur cinq dclare que son organisation n’est pas efficace dans sa capacit dtecter et rpondre ces attaques.
Les donnes montrent galement que l’IA devient omniprsente dans le cycle de dveloppement des logiciels. La majorit des professionnels de la scurit (52 %) affirment que leurs quipes de dveloppement utilisent des outils d’IA pour gnrer du code, en particulier OpenAI Codex (50 %), ChatGPT (45 %) et GitHub Copilot (43 %). Si l’utilisation de l’IA permet de raliser des gains d’efficacit en automatisant la prise de dcision, les rsultats indiquent que peu de protections sont mises en place, ce qui est proccupant. Seul un tiers (32 %) des organisations disposent de processus permettant d’valuer le code gnr par l’IA en termes de licence, de scurit et de risques de qualit.
Les rpondants l’enqute ont galement fait tat d’un manque d’engagement inquitant de la part des dcideurs lorsqu’il s’agit d’attnuer ces problmes. Seuls 39 % d’entre eux dclarent que les dirigeants de leur organisation sont trs engags dans la rduction du risque de logiciels malveillants dans les chanes d’approvisionnement en logiciels. Mme si 45 % des professionnels de la scurit affirment que les compromissions de la chane d’approvisionnement telles que celles de SolarWinds ont entran une augmentation des investissements dans la scurit de la chane d’approvisionnement des logiciels, seuls 38 % d’entre eux estiment que les ressources consacres la scurisation de la chane d’approvisionnement sont suffisantes ou trs suffisantes.
« Les attaques contre la chane d’approvisionnement sont de plus en plus frquentes dans les organisations du monde entier, mais ce rapport met en vidence les faiblesses persistantes des processus de dveloppement de logiciels et des normes de scurit existantes« , a dclar Jason Schmitt, directeur gnral du Software Integrity Group de Synopsys. « Les attaquants sont de plus en plus sophistiqus et trouvent ainsi davantage de faiblesses qui leur permettent d’explorer une chane d’approvisionnement o ils peuvent voler des donnes sensibles, des logiciels malveillants d’usine et des systmes de contrle. En particulier avec la monte du code gnr par l’IA, les quipes de scurit doivent maintenir la visibilit sur les applications et valuer en permanence la proprit intellectuelle, les menaces de scurit et la qualit du code pour rduire les risques.«
Voici d’autres rsultats cls :
- Les organisations renoncent la mise en uvre des SBOM : Les nomenclatures logicielles (SBOM) sont essentielles pour garantir une chane d’approvisionnement logicielle scurise, mais seulement 35 % des professionnels de la scurit dclarent que leurs organisations les produisent. En outre, seuls 40 % d’entre eux dclarent arrter immdiatement l’utilisation d’un logiciel si le fournisseur ne fournit pas le SBOM demand. Les principales raisons pour lesquelles les organisations produisent des SBOM sont la gestion gnrale des dpendances et des vulnrabilits (50 %), les rglementations industrielles (39 %), les exigences des clients (38 %) et les exigences gouvernementales (38 %).
- Les vulnrabilits des logiciels open-source restent un risque important : Prs des deux tiers (65 %) des personnes interroges dclarent utiliser des logiciels open-source, mais moins de la moiti d’entre elles (47 %) affirment que leur entreprise est trs efficace ou trs efficace pour les scuriser dans la chane d’approvisionnement.
propos de Synopsys
Catalyseur de l’re de l’intelligence omniprsente, Synopsys, Inc. fournit des solutions fiables et compltes de conception du silicium aux systmes, de l’automatisation de la conception lectronique la proprit intellectuelle du silicium, en passant par la vrification et la validation des systmes. Ils travaillent en troite collaboration avec des clients du secteur des semi-conducteurs et des systmes dans un large ventail d’industries afin d’optimiser leur capacit et leur productivit en matire de recherche et de dveloppement, en favorisant l’innovation d’aujourd’hui pour stimuler l’ingniosit de demain.
Source : « The State of Software Supply Chain Security Risk »
Et vous ?
Pensez-vous que ce rapport est crdible ou pertinente ?
Quel est votre avis sur le sujet ?
Voir aussi :