Une majorité de développeurs et de RSSI considèrent la sécurité de la chaîne d'approvisionnement des logiciels comme une priorité absolue, mais ils ne sont pas d'accord sur la responsabilité de chacun

Un nouveau sondage réalisé auprès de plus de 500 décideurs et développeurs en matière de sécurité révèle un décalage, voire une certaine méfiance, entre les RSSI et les développeurs en ce qui concerne le degré de sensibilisation à la sécurité de chaque service au sein de l'organisation et le rôle de chacun.

Le sondage Harris réalisé pour Chainguard révèle qu'une majorité de développeurs et de RSSI considèrent la sécurité de la chaîne logistique logicielle comme une priorité absolue dans leur rôle (70 % et 52 % respectivement). Mais la confusion règne quant à la responsabilité de la prévention et de l'atténuation des problèmes de sécurité, au degré de compréhension des outils quotidiens des développeurs par les RSSI et au degré de compréhension par les développeurs des risques associés à certains aspects de leur travail et aux outils qu'ils utilisent.

"Trouver un alignement entre les développeurs et les responsables de la sécurité sur la sécurité de la chaîne d'approvisionnement des logiciels est un défi difficile à relever, même pour les organisations les mieux dotées en ressources et en personnel", déclare Kim Lewandowski, cofondateur et directeur des produits chez Chainguard. "Les conclusions du rapport reflètent la tension qui règne dans le paysage de la sécurité, car les organisations réfléchissent à la manière de maintenir la vélocité des développeurs et les avantages de la technologie open source, tout en comblant les lacunes d'une nouvelle catégorie de vulnérabilités que les chaînes d'approvisionnement en logiciels ont accumulées".


Parmi les résultats, seuls 43 % des développeurs pensent que les RSSI sont "très familiers" avec la façon dont les images de conteneurs s'intègrent dans leur travail, ce qui est faible par rapport à d'autres aspects de la façon dont les développeurs perçoivent leur équipe de sécurité pour comprendre leur travail. Il s'agit notamment des bibliothèques et projets de logiciels libres (61 %), des référentiels de code source et des systèmes de gestion du code source (60 %), ainsi que des outils de création de logiciels (59 %).

Un pourcentage important de développeurs et de RSSI font état d'une lassitude à l'égard des faux positifs de l'analyse de vulnérabilité. 36 % des RSSI et 34 % des développeurs déclarent qu'un nombre écrasant d'alertes de vulnérabilité faussement positives est l'un des plus grands obstacles auxquels leur organisation est confrontée pour assurer la sécurité de la chaîne d'approvisionnement en logiciels. Les deux groupes citent également la consommation de logiciels vulnérables et le manque de cohésion entre les RSSI et les développeurs comme les principaux obstacles à la sécurité de la chaîne d'approvisionnement en logiciels.

En outre, 77 % des RSSI et 68 % des développeurs reconnaissent que la nécessité de donner la priorité à la sécurité provoque des tensions entre leurs équipes. Le rapport révèle que les développeurs ne veulent pas que leur productivité quotidienne soit affectée par les outils ou les exigences de sécurité, 43 % d'entre eux étant tout à fait d'accord pour dire que les pratiques de sécurité de la chaîne logistique logicielle ne devraient pas rendre leur travail plus difficile.

Source : Chainguard

Et vous ?

Pensez-vous que cette étude est crédible ou pertinente ?
Quel est votre avis sur le sujet ?

Voir aussi :

La chaîne d'approvisionnement (supply Chain), le maillon faible de la cybersécurité ? Par Fabien Pereira Vaz, Technical Sales Manager France chez Paessler AG

82 % des composants des logiciels libres sont fondamentalement risqués, d'après un nouveau rapport de la société Lineaje

Les grandes entreprises technologiques et les projets de logiciels libres sont parmi les plus vulnérables aux cyberattaques, d'après une récente étude de AtlasVPN