Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Etude Venafi : 82% des DSI jugent leur chaîne d’approvisionnement logiciel vulnérable

mai 2022 par Venafi

Venafi® publie ce jour les conclusions d’une étude internationale réalisée auprès de 1000 directeurs des systèmes d’information (DSI). Il en ressort que 82% jugent leur organisation vulnérable en cas de cyberattaque visant sa chaîne d’approvisionnement logiciel.

Le passage au développement cloud-native, associé à la rapidité croissante du développement favorisée par l’adoption de processus DevOps, a énormément ajouté à la complexité des problématiques de sécurisation des chaînes d’approvisionnement logiciel. Une situation dont savent profiter des personnes malintentionnées, motivées par le succès d’attaques de grande ampleur telles que SolarWinds et Kaseya qui ont visé des chaînes d’approvisionnement logiciel. Ces pirates concentrent désormais leurs efforts sur des environnements de build logiciel et de distribution.
La nette hausse du nombre d’attaques sophistiquées ces 12 derniers mois a attiré l’attention générale, interpellant même des CEO et conseils d’administration. Résultat, les DSI sont de plus en plus inquiets des perturbations engendrées au niveau de l’activité globale de leur entreprise, sans parler des pertes de revenus, du vol de données et des dégâts sur la clientèle que peuvent causer des attaques ciblant la chaîne d’approvisionnement logiciel.

Principales conclusions de l’enquête :

• 87% des DSI pensent que les ingénieurs logiciel et les développeurs négligent les règles de sécurité et les mesures de contrôle en place, afin de mettre plus vite leurs produits et services sur le marché.
• 85% des DSI ont été chargés, par le conseil d’administration ou le CEO de leur entreprise, d’améliorer la sécurité de leurs environnements de build logiciel et de distribution des produits développés.
• 84% indiquent que le budget alloué à la sécurité de leur environnement de développement logiciel a augmenté par rapport à l’année précédente.

« Avec la transformation digitale, les entreprises se sont toutes muées en développeurs de logiciels, si bien que leurs ingénieurs et leurs environnements de développement sont tous devenus une cible de choix pour des pirates », souligne Kevin Bocek, vice-président de la recherche sur les menaces et du développement commercial chez Venafi. « Les pirates ont bien compris que des attaques abouties visant la chaîne d’approvisionnement logiciel sont très efficaces et extrêmement lucratives. »

Kevin Bocek a déjà relevé des dizaines de techniques de piratage des environnements de développement, notamment lors d’attaques exploitant des composants logiciels open source, à l’instar de la faille de Log4j. « En réalité, les développeurs sont davantage focalisés sur l’innovation et la rapidité que sur la sécurité. Malheureusement, les équipes chargées de la sécurité ont rarement les connaissances et les ressources nécessaires pour aider les développeurs à gérer cette question. Et les DSI commencent tout juste à en prendre conscience ».

Plus de 90% des applications logicielles contiennent des composants open source, ce qui ajoute une couche de complexité et de fragilité. Les pipelines CI/CD et DevOps sont généralement structurés pour permettre aux développeurs de travailler rapidement, mais pas forcément de manière plus sécurisée. A l’heure où les équipes cherchent à innover toujours plus vite, la complexité de l’open source et la rapidité de développement limitent l’efficacité des contrôles de sécurité effectués sur la chaîne d’approvisionnement logiciel.

Les DSI ont compris qu’ils devaient changer d’approche, ce qui produit les résultats suivants :
• 68% sont en train de mettre en place un plus grand nombre de contrôles de sécurité
• 57% mettent à jour leurs processus de contrôle
• 56% ont davantage recours à la signature de code, un système de protection critique pour les chaînes d’approvisionnement logiciel
• 47% étudient la provenance de leurs librairies open source

« Les DSI ont compris qu’ils doivent améliorer la sécurité de leur chaîne d’approvisionnement logiciel, or il est très difficile de déterminer précisément le maillon au niveau duquel il y a des risques, quelles améliorations renforceront grandement la sécurité, et en quoi ces modifications diminueront les risques au fil du temps », poursuit Kevin Bocek. « Il est impossible de traiter cette problématique à l’aide des méthodes actuelles. Il convient de réfléchir différemment à l’identité à et l’intégrité du code qui est écrit et utilisé. Il faut le protéger et le sécuriser à chaque étape du processus de développement devenu ultra-rapide ».


Voir les articles précédents

    

Voir les articles suivants