Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Enquête Venafi : 94% des dirigeants interrogés estiment que les entreprises qui négligent la protection des environnements de création des logiciels de sécurité devraient en assumer les conséquences

septembre 2021 par Venafi

Venafi® annonce les résultats d’une enquête mettant en évidence les défis que représentent l’amélioration de la sécurité de la chaîne d’approvisionnement des logiciels. L’enquête avait pour but d’évaluer les opinions de plus de 1 000 professionnels de l’informatique et du développement, dont 193 cadres responsables à la fois de la sécurité et du développement de logiciels. Elle révèle cependant un décalage flagrant entre les préoccupations des chefs d’entreprise et leurs actions. Alors que 94 % des dirigeants estiment qu’il devrait y avoir des sanctions claires (amendes, responsabilité juridique accrue pour les entreprises dont la négligence est avérée) pour les fournisseurs qui ne parviennent pas à protéger l’intégrité de leur pipeline de création de logiciels, la plupart d’entre eux n’ont guère modifié la manière dont ils évaluent la sécurité des logiciels qu’ils achètent et les garanties qu’ils exigent de leurs fournisseurs.

Selon l’ENISA (agence européenne chargée de la sécurité des réseaux et de l’information), le nombre d’attaques qui visent les chaînes d’approvisionnement, comme celles de SolarWinds, Codecov et Kaseya, devrait quadrupler en 2021. Même si les dirigeants d’entreprise sont manifestement aujourd’hui beaucoup plus préoccupés par leur vulnérabilité face aux attaques contre les chaînes d’approvisionnement de logiciels et ont conscience de l’urgence d’agir, les résultats de l’enquête montrent qu’ils ne font pas le nécessaire pour faire évoluer la situation.

Les principales conclusions de l’enquête sont les suivantes :

o 97 % des dirigeants d’entreprise estiment que les fournisseurs de logiciels doivent améliorer la sécurité de leurs processus de création de logiciels et de signature de code.
o 96 % des dirigeants d’entreprise pensent que les fournisseurs de logiciels devraient être tenus de garantir l’intégrité du code dans les mises à jour de leurs logiciels.

Cependant : o 55 % d’entre eux estiment que le piratage de SolarWinds n’a eu que peu ou pas d’impact sur leurs préoccupations au moment de l’achat de produits logiciels pour leur entreprise.
o 69 % affirment même que leur entreprise ne pose pas plus de questions qu’avant aux fournisseurs de logiciels quant aux processus utilisés pour assurer la sécurité de leurs logiciels et de leur code de vérification.
o Au sein de leur propre organisation de développement de logiciels, les dirigeants d’entreprise sont divisés sur la question de savoir qui est responsable de l’amélioration de la sécurité : 48 % d’entre eux estiment que cette tâche incombe au département de sécurité informatique et 46 % considèrent que les équipes de développement devraient prendre en charge ce travail.

« Il y a une déconnexion évidente entre les préoccupations concernant les attaques contre la chaîne d’approvisionnement et l’amélioration des contrôles et des processus de sécurité en vue d’atténuer ce risque », a déclaré Kevin Bocek, vice-président de la stratégie en matière de sécurité et des renseignements sur les menaces chez Venafi. « Les dirigeants d’entreprise ont raison de s’inquiéter de l’impact des attaques sur les chaînes d’approvisionnement. Celles-ci constituent un risque sérieux pour toute organisation qui utilise des logiciels commerciaux et il est extrêmement difficile de s’en prémunir. Pour résoudre ce problème systémique, l’ensemble du secteur technologique doit changer la façon dont nous construisons et achetons les logiciels. Les responsables ne peuvent pas traiter ce point comme un simple problème technique de plus — il s’agit d’une menace existentielle. Les chefs d’entreprise et les conseils d’administration doivent exiger des équipes de sécurité et de développement de logiciels, qu’elles fournissent des garanties claires quant à la sécurité de leurs logiciels. »




Voir les articles précédents

    

Voir les articles suivants