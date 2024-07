Etude mondiale Checkmarx : 63% des organisations, victimes d’une attaque ciblant la chaîne d’approvisionnement logicielle

juillet 2024 par Checkmarx

100% des 900 organisations de professionnels de la sécurité applicative aux États-Unis, en Europe et en Asie-Pacifique interrogées ont été victimes d’une attaque ciblant la chaîne d’approvisionnement logicielle à un moment donné. Tels sont les résultats du rapport de recherche mondial, « Etat de la sécurité de la chaîne d’approvisionnement logicielle en 2024 » de Checkmarx leader de la sécurité des applications cloud natives. Cette étude intervient dans un contexte où les packages open source sont en évolution constante dans le code des applications d’entreprise, et où les responsables AppSec et les développeurs sont perpétuellement challengés sur leurs capacités à atténuer leur instrumentalisation par des acteurs malveillants.

« La sécurité de la chaîne d’approvisionnement logicielle est dans le viseur des agences de réglementation gouvernementales et de cybersécurité ainsi qu’une priorité de plus en plus grande pour plus de la moitié des entreprises mondiales interrogées », déclare Amit Daniel, Chief Marketing Officer, Checkmarx. « Il est essentiel que les RSSI permettent aux développeurs de comprendre plus facilement ces nouveaux risques et de sécuriser l’ensemble de leur supply chain logicielle. Nous avons vu plus d’attaques sur l’écosystème open source au cours des deux dernières années que jamais auparavant avec plus de 385 000 paquets malveillants détectés à ce jour par notre équipe de recherche en sécurité. Checkmarx offre des fonctionnalités dans Checkmarx One pour permettre aux développeurs d’ajouter de manière transparente une protection contre de telles attaques. »

Principaux enseignements :

• Plus de la moitié des applications (56%) dans les entreprises interrogées contiennent des packages de code open source

• 75% des organisations se déclarent très préoccupées (39%) voire préoccupées (36%) par la sécurité de leur chaîne d’approvisionnement logicielle

• Si 100% des organisations ont subi une attaque de la Supply chain à un moment donné, 18 % d’entre elles y ont été victimes au cours de l’année écoulée et 68% au cours des deux dernières années.

Même si les RSSI et responsables Appsec interrogés donnent la priorité à la sécurité de la chaîne d’approvisionnement logicielle, les progrès restent lents :

• 57% ont déclaré que la sécurité de la chaîne d’approvisionnement logicielle était un domaine d’intérêt majeur ou important

• 54% prévoient d’utiliser ou étudient l’utilisation d’une solution dédiée

• 50% demandent activement des nomenclatures logicielles (SBOM), c’est-à-dire une liste de tous les composants, dépendances et métadonnées utilisées par une application à leurs fournisseurs, mais moins de la moitié savent comment les exploiter efficacement en cas de besoin.

Méthodologie

Etude conduite par un cabinet d’études mondial début 2024 pour le compte de Checkmarx auprès de 900 RSSI et professionnels de la sécurité applicative dans des entreprises d’Amérique du Nord, d’Europe et d’Asie-Pacifique dont le chiffre d’affaires annuel est supérieur ou égal à 750 millions de dollars.