Selon l’étude CloudBees, les dirigeants affirment massivement que leurs chaînes logistiques logicielles sont sécurisées (95 %) ou très sécurisées (55 %) et 93 % se disent prêts à faire face à des problèmes tels qu’un ransomware ou tout autre type de cyberattaque. Cependant, lorsqu’on leur pose davantage de questions sur leurs chaînes logistiques logicielles, les réponses révèlent certaines vulnérabilités. Plus de deux dirigeants sur cinq (45 %) admettent que les démarches visant à les sécuriser sont à mi-chemin ou moins, et 64 % disent ne pas savoir vers qui ils se tourneraient en premier lieu en cas d’attaque.

"Il est essentiel que les chaînes logistiques logicielles fonctionnent de la manière la plus sûre et la plus conforme possible. Ces résultats montrent que si les dirigeants sont confiants en apparence, ils sont également conscients des lacunes en matière de sécurité et de planification qui pourraient les exposer à d’importantes perturbations commerciales notamment en termes d’inquiétudes des clients ou d’un impact négatif sur la marque", a déclaré Prakash Sethuraman, RSSI chez CloudBees. "Pour qu’une chaîne logistique logicielle soit sécurisée, elle doit être vérifiée en permanence tout au long du cycle de vie en temps réel - de la réflexion jusqu’à la mise en production. Il est encourageant de voir que les entreprises se concentrent sur la partie de développement, mais elles doivent aussi disposer d’une vision holistique de bout en bout."

L’enquête révèle également que de nombreuses entreprises ne sont pas préparées à réagir rapidement en cas d’attaque ou de violation de leur sécurité. Parmi les cadres interrogés, 64 % déclarent qu’il leur faudrait plus de quatre jours pour résoudre le problème s’ils en étaient victimes. Pour une entreprise du Fortune 500, cela pourrait se traduire par une perte de plusieurs millions de dollars de revenus et par une atteinte importante à leur réputation. Et, alors que 93 % des cadres déclarent s’entraîner régulièrement à faire face à une vulnérabilité de la production de la chaîne logistique, 58 % affirment que s’ils en rencontraient une, ils ne sauraient pas comment la gérer au sein de leur entreprise.

Alors que les professionnels s’appuient de plus en plus sur les logiciels pour répondre aux besoins critiques de leur activité, les tendances montrent qu’un nombre croissant d’attaques font de cette question une priorité pour les conseils d’administration. Presque tous les cadres dirigeants (95 %) déclarent qu’ils pensent davantage à la sécurisation de leur chaîne logistique logicielle aujourd’hui qu’il y a deux ans, et 92 % d’entre eux affirment qu’un problème de sécurité aurait un impact sur leur entreprise. Les résultats de l’enquête menée auprès de 500 dirigeants en France, aux États-Unis, au Royaume-Uni, et en Allemagne reflètent une préoccupation croissante concernant la sécurité de la livraison et de la distribution des logiciels.

L’enquête a également révélé que :

– Les perturbations ont un impact sur les employés et leur capacité d’innovation : Plus de quatre dirigeants sur cinq (83 %) affirment que le fait de faire face à des problèmes de sécurité oblige leurs développeurs à cesser certaines de leurs missions pour réviser le code, ce qui entraîne de nombreuses perturbations de l’activité. De plus, 82 % affirment que leurs employés perdent le temps qu’ils pourraient consacrer à l’innovation en s’occupant des problèmes de sécurité.

– Les réponses varient en fonction de la taille et du lieu : Les petites entreprises sont plus confiantes dans leur capacité à gérer les problèmes de chaîne logistique logicielle que les plus grandes. Et entre les différents pays, ce sont les États-Unis qui sont les plus confiants sur la sécurité de celles-ci, contrairement à la France qui est, elle, moins confiante.

– Les questions techniques sont à l’ordre du jour : Presque tous les dirigeants affirment que les images de conteneurs sont vérifiées pour détecter les vulnérabilités de niveau élevé ou critique (95 %) et que leurs clés d’accès d’automatisation sont configurées pour expirer systématiquement (95 %), tandis que 92 % affirment que leur entreprise n’accepte que les commits signés par un développeur avec une clé GPG. Neuf dirigeants sur dix affirment que les dépendances aux registres de confiance sont limitées (90 %) et que l’accès administratif aux outils de CI/CD est restreint (89 %).