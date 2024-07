Recherche de JFrog : Des maillons faibles dans l’utilisation du MLOps et de la sécurité au sein des chaînes d’approvisionnement logicielles des entreprises

juillet 2024 par JFrog

JFrog Ltd dévoile les résultats d’un nouveau rapport exposant les disparités dans les perceptions du MLOps et de la sécurité entre les dirigeants et les équipes de première ligne, ce qui augmente le risque d’attaques de la chaîne d’approvisionnement logicielle (SSC) dans le monde entier.

Les attaques dans la chaîne d’approvisionnement logicielle connaissent une augmentation significative. Ainsi IDC, dans une récente enquête, constate une hausse vertigineuse de 241 % de ces attaques d’une année sur l’autre[1]. Étonnamment, seules 30 % des personnes interrogées ont identifié la nécessité de remédier aux vulnérabilités de leur chaîne d’approvisionnement logicielle comme une préoccupation majeure en matière de sécurité.

" La complexité de la chaîne d’approvisionnement logicielle actuelle pose des risques sans précédent. Malgré les efforts des dirigeants pour équiper les équipes de première ligne avec les bons outils, les développeurs peinent à améliorer l’efficacité et à accélérer la productivité en raison de la prolifération des outils, des longues approbations de modèles open source et de ML, ainsi que des vérifications d’audit et de conformité " déclare Moran Ashkenazi, SVP & CISO de JFrog. " Cette divergence souligne l’urgence pour les organisations de repenser leurs stratégies de sécurité, de se concentrer davantage sur les composants IA/ML, et d’aligner les dirigeants et les exécutants sur une mission visant à renforcer leurs chaînes d’approvisionnement logicielles. "

Le nouveau rapport de JFrog révèle plusieurs disparités entre les responsables de la sécurité et les équipes logicielles de première ligne concernant la détection de packages open source malveillants, l’intégration de l’IA/ML et les analyses de sécurité au niveau du code :

92 % des dirigeants affirment que leurs organisations possèdent des outils pour détecter les packages open source malveillants, alors que seulement 70 % des développeurs sont d’accord avec cette affirmation.

Plus de 90 % des dirigeants pensent qu’ils utilisent des modèles de ML dans leurs applications logicielles, mais seulement 63 % des développeurs confirment que c’est le cas.

88 % des dirigeants pensent que des outils d’IA/ML sont utilisés pour les processus d’analyse et de remédiation de sécurité, cependant seulement 60 % des équipes DevSecOps déclarent utiliser ces outils.

67 % des dirigeants pensent que des analyses de sécurité au niveau du code sont effectuées régulièrement, tandis que seulement 41 % des développeurs confirment que c’est le cas.

L’étude de JFrog se penche également sur les disparités régionales en matière de sécurité de la chaîne d’approvisionnement logicielle, de visibilité et d’utilisation de l’IA/ML, telles que :

Connaissance des solutions de sécurité : 14 % des répondants de la région EMEA n’étaient pas au courant des outils d’identification des packages open source malveillants, alors que ces taux sont plus faibles aux États-Unis (9 %) et en Asie (1 %), ce qui met en évidence un décalage important dans les stratégies de sécurité et la compréhension opérationnelle de la région EMEA.

Adoption des modèles IA/ML : Seuls 82 % des répondants de la zone EMEA ont déclaré utiliser des modèles IA/ML, contre 91 % aux États-Unis et 99 % en Asie. Cette variance peut indiquer que l’environnement européen est moins enclin au risque, influencé par des réglementations strictes, alors que nous observons une adoption plus rapide des technologies IA/ML aux États-Unis.

Pour des informations plus approfondies sur la façon dont les dirigeants peuvent améliorer la collaboration avec les équipes de développeurs, de sécurité et de data science pour mieux sécuriser leurs chaînes d’approvisionnement logicielles, téléchargez le rapport complet. Vous pouvez également vous inscrire pour rejoindre Paul Davis, CISO de JFrog, et Aran Azarzar, CIO de JFrog, pour un webinaire intitulé "Know The Enemy : What Execs Need To Understand To Secure Their Software Supply Chain", qui détaillera les complexités, les solutions prometteuses et les recommandations pour mieux gérer et sécuriser les chaînes d’approvisionnement logicielles.

[1] IDC, "IDC Helps Organizations Navigate Software Supply Chain Security with New Industry-Leading Research," 15 June 2023,