73% des organisations ont considérablement augmenté leurs efforts en matière de sécurité de la chaîne logistique logicielle suite aux évènements Log4Shell, SolarWinds et Kaseya, selon Synopsys

L'étude menée par Enterprise Strategy Group souligne la prévalence des risques liés à la chaîne logistique logicielle dans les applications natives du cloud.

Synopsys a révélé une nouvelle recherche basée sur une enquête récente auprès de 350 décideurs en matière de développement d'applications, de technologies de l'information et de cybersécurité. L'étude, menée par Enterprise Strategy Group (ESG) et commandée en partie par le Synopsys Software Integrity Group, a été mise en évidence dans le cadre de l'étude "Walking the Line : GitOps et Shift Left Security" : Scalable, Developer-centric Supply Chain Security Solutions", montre que le risque de la chaîne d'approvisionnement logicielle s'étend au-delà de l'open source.

En réponse aux attaques de la chaîne logistique logicielle telles que Log4Shell, SolarWinds et Kaseya, 73 % des personnes interrogées déclarent avoir augmenté de manière significative leurs efforts pour sécuriser la chaîne logistique logicielle de leur entreprise par le biais de diverses initiatives de sécurité. Ces initiatives comprennent l'adoption d'une forme de technologie d'authentification multifactorielle forte (33 %), l'investissement dans des contrôles de tests de sécurité des applications (32 %) et l'amélioration de la découverte des actifs pour mettre à jour l'inventaire de la surface d'attaque de leur organisation (30 %).

Malgré ces efforts, 34 % des entreprises déclarent que leurs applications ont été exploitées en raison d'une vulnérabilité connue dans un logiciel open source (OSS) au cours des 12 derniers mois, 28 % d'entre elles ayant été victimes d'un exploit inconnu ("zero-day") découvert dans un logiciel open source.

À mesure que l'utilisation des logiciels open source s'intensifie, leur présence dans les applications va naturellement augmenter aussi. La pression actuelle pour améliorer la gestion des risques de la chaîne logistique logicielle a mis l'accent sur les nomenclatures logicielles (SBOM). Mais l'explosion de l'utilisation des logiciels libres et le manque de rigueur de la gestion des logiciels libres ont rendu la compilation des nomenclatures complexes, comme le confirme l'étude de l'ESG, qui montre que 39 % des personnes interrogées ont indiqué que cette tâche constituait un défi pour l'utilisation des logiciels libres.

" Alors que les entreprises sont témoins du niveau d'impact potentiel qu'une vulnérabilité ou une violation de la sécurité de la chaîne d'approvisionnement logicielle peut avoir sur leur activité par le biais de gros titres très médiatisés, la priorisation d'une stratégie de sécurité proactive est désormais un impératif commercial fondamental ", a déclaré Jason Schmitt, directeur général de Synopsys Software Integrity Group. " Si la gestion du risque lié à l'open source est un élément essentiel de la gestion du risque de la chaîne d'approvisionnement logicielle dans les applications natives du cloud, nous devons également reconnaître que le risque va au-delà des composants open source. L'infrastructure en tant que code, les conteneurs, les API, les dépôts de code - la liste est longue et doit être prise en compte pour garantir une approche holistique de la sécurité de la chaîne logistique logicielle."

Si les logiciels open source sont à l'origine du problème de la chaîne d'approvisionnement, l'évolution vers le développement d'applications natives dans le cloud fait que les entreprises s'inquiètent des risques posés à d'autres nœuds de leur chaîne d'approvisionnement. Il s'agit non seulement d'aspects supplémentaires du code source, mais aussi de la manière dont les applications natives du cloud sont stockées, conditionnées et déployées, ainsi que de la manière dont elles s'interfacent entre elles par le biais d'interfaces de programmation d'applications (API). Près de la moitié (45 %) des répondants à l'enquête ont identifié les API comme le vecteur le plus susceptible d'être attaqué, avec les référentiels de stockage de données (42 %) et les images de conteneurs d'applications (34 %).

La quasi-totalité (99 %) des personnes interrogées ont déclaré que leur organisation utilise actuellement des logiciels libres ou prévoit de le faire dans les 12 prochains mois. Si la maintenance, la sécurité et la fiabilité de ces projets open source suscitent des inquiétudes, la principale préoccupation concerne l'ampleur de l'utilisation de l'open source dans le développement des applications. 54 % des entreprises indiquent que leur principale préoccupation est "d'avoir un pourcentage élevé de code d'application en open source".

"Avec le récent décret présidentiel américain (14028) visant à améliorer la cybersécurité du pays, l'importance d'un concept connu sous le nom de "software Bill of Materials" suscite un vif intérêt", a déclaré Tim Mackey, principal stratège en matière de sécurité au sein du Synopsys Cybersecurity Research Center. "En fait, un SBOM permet aux opérateurs de logiciels de savoir quels producteurs de logiciels tiers sont inclus dans leurs applications, qu'il s'agisse de logiciels open source, commerciaux ou de tiers sous contrat. Cette connaissance est essentielle lors de la conception d'un processus de gestion des correctifs, car sans elle, on ne dispose que d'une vue incomplète des risques logiciels présents dans toute application, quelle que soit son origine. Armée de ces informations, lorsque la prochaine vulnérabilité zero-day des proportions de Log4Shell émergera (et elle le fera), votre organisation sera en mesure d'agir rapidement et efficacement pour se défendre contre les attaques ciblant les composants logiciels tiers."

Les résultats de l'enquête suggèrent également que, bien que la sécurité axée sur les développeurs et le "déplacement vers la gauche" - un concept visant à permettre aux développeurs d'effectuer des tests de sécurité plus tôt dans le cycle de vie du développement - se développe parmi les organisations qui créent des applications natives du cloud, 97 % des organisations ont connu un incident de sécurité impliquant leurs applications natives du cloud au cours des 12 derniers mois.

Nom : Synopsys-Logo.wine.png
Affichages : 923
Taille : 44,5 Ko

L'accélération des cycles de publication pose également des problèmes de sécurité à toutes les équipes. Les équipes de développement d'applications (41 %) et DevOps (45 %) s'accordent à dire que les développeurs ignorent souvent les processus de sécurité établis, tandis qu'une majorité de développeurs d'applications (55 %) s'accordent à dire que les équipes de sécurité manquent de visibilité sur les processus de développement. Soixante-huit pour cent des personnes interrogées ont indiqué qu'elles accordaient une priorité élevée à l'adoption de solutions de sécurité axées sur les développeurs et au transfert de certaines responsabilités en matière de sécurité aux développeurs, bien que les développeurs (45 %) soient actuellement plus nombreux à être responsables des tests de sécurité des applications que les équipes de sécurité (40 %). Ces développeurs sont deux fois plus susceptibles d'utiliser des outils de sécurité développés en interne ou open source que des solutions spécialisées de fournisseurs tiers.

Dans le même temps, les développeurs jouent un rôle plus important dans la sécurisation de la chaîne logistique des applications natives du cloud, mais seulement 36 % des équipes de sécurité ont déclaré être à l'aise avec le fait que les équipes de développement prennent la responsabilité des tests. Des préoccupations telles que la surcharge des équipes de développement avec des outils et des responsabilités supplémentaires, la perturbation de l'innovation et de la vitesse, et l'obtention d'une supervision des efforts de sécurité restent les principaux obstacles aux efforts de sécurité des applications dirigés par les développeurs.

À propos du Synopsys Software Integrity Group

Synopsys Software Integrity Group aide les équipes de développement à créer des logiciels sécurisés et de haute qualité, en minimisant les risques tout en maximisant la vitesse et la productivité. Synopsys fournit des solutions d'analyse statique, d'analyse de la composition des logiciels et d'analyse dynamique qui permettent aux équipes de trouver et de corriger rapidement les vulnérabilités et les défauts du code propriétaire, des composants open source et du comportement des applications.

Source : Synopsys

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Synopsys présente Code Sight Standard Edition pour permettre le développement sécurisé de logiciels, en détectant les vulnérabilités de sécurité dans le code source et les dépendances open source

82 % des DSI estiment que leur entreprise est vulnérable aux cyberattaques visant les chaînes d'approvisionnement en logiciels, suite au passage au développement en mode cloud natif, selon Venafi

47 % des responsables de la sécurité ne pensent pas qu'ils seront victimes d'une intrusion, malgré la sophistication et la fréquence croissantes des attaques, selon Illumio

Les entreprises ne connaissent que 17 % de leurs composants open source, soit une augmentation de seulement 4 % l'année dernière, le rapport montre également que les risques augmentent