82 % des DSI estiment que leur entreprise est vulnérable aux cyberattaques visant les chaînes d'approvisionnement en logiciels, suite au passage au développement en mode cloud natif, selon Venafi

L'étude menée par Venafi, spécialiste de l'identité machine, auprès de 1 000 DSI, suggère que le passage au développement en mode cloud natif, ainsi que la vitesse accrue résultant de l'adoption des processus DevOps, ont rendu les défis liés à la sécurisation des chaînes d'approvisionnement en logiciels infiniment plus complexes.

L'augmentation du nombre et de la sophistication des attaques de la chaîne d'approvisionnement, comme celles de SolarWinds et de Kaseya, au cours des 12 derniers mois, a mis ce problème en évidence, attirant l'attention des PDG et des conseils d'administration.

L'étude révèle que 87 % des DSI pensent que les ingénieurs et les développeurs de logiciels font des compromis sur les politiques et les contrôles de sécurité afin de commercialiser plus rapidement de nouveaux produits et services. Dans le même temps, 85 % des DSI ont reçu des instructions spécifiques du conseil d'administration ou du PDG pour améliorer la sécurité des environnements de création et de distribution de logiciels. 84 % affirment que le budget consacré à la sécurité des environnements de développement de logiciels a augmenté au cours de l'année écoulée.

"La transformation numérique a fait de chaque entreprise un développeur de logiciels. Et par conséquent, les environnements de développement de logiciels sont devenus d'énormes cibles pour les attaquants", explique Kevin Bocek, vice-président de la veille sur les menaces et du développement commercial chez Venafi. "Les pirates ont découvert que les attaques réussies de la chaîne d'approvisionnement sont extrêmement efficaces et plus rentables."

Nom : venafi-vector-logo-2022.png
Affichages : 737
Taille : 13,3 Ko

En réponse aux risques, 68 % des entreprises mettent en place davantage de contrôles de sécurité, 57 % mettent à jour leurs processus de révision, 56 % étendent leur utilisation de la signature de code - un contrôle de sécurité clé pour les chaînes d'approvisionnement en logiciels - et 47 % examinent la provenance de leurs bibliothèques open source.

"Les DSI sont conscients de la nécessité d'améliorer la sécurité de la chaîne logistique logicielle, mais il est extrêmement difficile de déterminer exactement où se situent les risques, quelles sont les améliorations qui apportent le plus de sécurité et comment ces changements réduisent les risques au fil du temps", ajoute M. Bocek. "Nous ne pouvons pas résoudre ce problème en utilisant les méthodologies existantes. Au lieu de cela, nous devons penser différemment à l'identité et à l'intégrité du code que nous construisons et utilisons -- et nous devons le protéger et le sécuriser à chaque étape du processus de développement à la vitesse de la machine."

Source : Venafi

Et vous ?

Trouvez-vous ce rapport pertinent ?
Qu'en est-il au sein de votre entreprise ?
Quelle approche est adoptée par votre organisation pour sécuriser les chaînes d'approvisionnement en logiciels ?

Voir aussi :

L'attaque de la chaîne d'approvisionnement contre la société SolarWinds expose près de 18 000 organisations, ce piratage peut dévoiler de profonds secrets américains ; les dégâts sont encore inconnus

Des portes dérobées ont été trouvées dans plus de 90 thèmes et plugins WordPress, affectant plus de 360 000 sites actifs, suite à une attaque massive de la chaîne d'approvisionnement

Les attaques de la chaîne d'approvisionnement des logiciels ont augmenté de plus de 300 % en 2021 par rapport à 2020, dû à la faible sécurité dans les environnements de développement