Discussion :

[Sandra Coret]

94 % des cadres supérieurs estiment que les fournisseurs de logiciels devraient être tenus responsables des problèmes liés aux environnements de développement non sécurisés, selon Venafi

Une nouvelle enquête de Venafi révèle que 94 % des cadres supérieurs estiment que les fournisseurs de logiciels qui ne protègent pas l'intégrité de leurs pipelines de création de logiciels devraient avoir des conséquences claires, telles que des amendes et une responsabilité juridique accrue pour les entreprises dont la négligence a été prouvée.

Cependant, la plupart d'entre eux n'ont guère changé leur façon d'évaluer la sécurité des logiciels qu'ils achètent et les garanties qu'ils exigent des fournisseurs de logiciels.

Parmi les autres résultats, 97 % des dirigeants pensent que les fournisseurs de logiciels doivent améliorer la sécurité de leurs processus de création de logiciels et de signature de code. 96 % pensent également que les fournisseurs de logiciels devraient être tenus de garantir l'intégrité du code dans leurs mises à jour logicielles.

Malgré cela, 55 % déclarent que le piratage de SolarWinds n'a eu que peu ou pas d'impact sur les préoccupations qu'ils prennent en compte lors de l'achat de logiciels pour leur entreprise. En outre, 69 % déclarent que leur entreprise n'a pas augmenté le nombre de questions qu'elle pose aux fournisseurs de logiciels sur les processus utilisés pour assurer la sécurité de leurs logiciels et vérifier le code.

"Il y a une déconnexion évidente entre l'inquiétude concernant les attaques de la chaîne d'approvisionnement et l'amélioration des contrôles et des processus de sécurité pour atténuer ce risque", déclare Kevin Bocek, vice-président de la stratégie de sécurité et du renseignement sur les menaces chez Venafi. "Les dirigeants ont raison de s'inquiéter de l'impact des attaques de la chaîne d'approvisionnement. Ces attaques présentent des risques sérieux pour toute organisation qui utilise des logiciels commerciaux et il est extrêmement difficile de s'en défendre. Pour résoudre ce problème systémique, l'ensemble du secteur technologique doit changer la façon dont nous construisons et achetons les logiciels. Les dirigeants ne peuvent pas traiter ce problème comme un simple problème technique de plus - il s'agit d'une menace existentielle. Les cadres dirigeants et les conseils d'administration doivent exiger que les équipes de sécurité et de développement des fournisseurs de logiciels fournissent des garanties claires quant à la sécurité de leurs logiciels."

L'étude montre également que les cadres sont divisés sur la question de savoir qui est responsable de l'amélioration de la sécurité au sein de leurs propres organisations de développement de logiciels. 48 % d'entre eux estiment que la sécurité informatique est responsable et 46 % pensent que les équipes de développement sont responsables.

Source : Venafi

Et vous ?

Que pensez-vous des résultats de cette enquête ? êtes-vous d'accord avec les résultats ?
Si la sécurité et l'intégrité d'un logiciel sont la responsabilité des fournisseurs, que pensez-vous de l'attitude relativement laxiste des acheteurs pour évaluer la qualité et la sécurité des logiciels qu'ils acquièrent ?

Voir aussi :

Le Top 10 des nouvelles vulnérabilités de sécurité de l'open source en 2019, avec des failles dans des projets écrits dans des langages populaires comme JavaScript, Java, Go, selon un rapport

Le nombre de vulnérabilités rapportées sur des logiciels open source a doublé en 2019, selon un rapport de RiskSense

56 % des incidents majeurs de cybersécurité ces cinq dernières années concernaient des applications web vulnérables, exploitées majoritairement par des cybercriminels Etatiques, selon un rapport de F5

[walfrat]

Et quel pourcentage de "cadres supérieurs" (???) sont prêt à fournir le budget nécessaire pour augmenter la sécurité des developpements ?

[smarties]

Déjà si les sociétés avait plus d'environnement Linux (développeurs, administratif en utilisant LibreOffice ou OnlyOffice) ou Mac (développeurs, graphistes, vidéo, son, ...), ça augmenterait énormément la sécurité car on est bien enfermé dans son /home

Le coût des licences Windows pourrait être réinjecté dans la sécurité

Héberger ses données sur site et à faire des doubles hors ligne ou des sauvegardes dans le cloud cryptées serait aussi bien.

[calvaire]

Déjà si les sociétés avait plus d'environnement Linux (développeurs, administratif en utilisant LibreOffice ou OnlyOffice) ou Mac (développeurs, graphistes, vidéo, son, ...), ça augmenterait énormément la sécurité car on est bien enfermé dans son /home

je ne pense pas, Linux a aussi des failles de sécurité qui serons exploité par les pirates. Meme si de part sa nature modulaire, Linux a une architecture présentant moins de faille, un hacker en générale sous windows n'exploite pas une faille kernel mais une faille de internet explorer, de office ou d'un autre vieux composant intégré qui a 20ans d'age. On a pas ca sous linux.
Libre Office a un gros manque pour ce qui est du travail collaboratif. Dans office tout est intégré, le fichier est stocké dans onedrive et peut etre éditer à plusieurs. C'est un confort que je préfère garder en entreprise. Libre office a peut etre un truc équivalent cela dit et dans ce cas désolé ma remarque est fausse.

Le coût des licences Windows pourrait être réinjecté dans la sécurité

Non, toute les grosses boite qui passe à linux prennent des distribs avec support, très souvent RedHat. Enfin dans mes 5 boites du cac40 j'ai vu que du RedHat. C'est peut etre moins cher que du windows cela dit.

Héberger ses données sur site et à faire des doubles hors ligne ou des sauvegardes dans le cloud cryptées serait aussi bien.

Oui 100% d'accord, de plus bitlocker c'est 0 niveau sécurité, il existe des distrib linux pour trouver la clé de chiffrement (cela ce fait assez vite en moins d'1 semaine).

[smarties]

je ne pense pas, Linux a aussi des failles de sécurité qui serons exploité par les pirates. Meme si de part sa nature modulaire, Linux a une architecture présentant moins de faille, un hacker en générale sous windows n'exploite pas une faille kernel mais une faille de internet explorer, de office ou d'un autre vieux composant intégré qui a 20ans d'age. On a pas ca sous linux.
Libre Office a un gros manque pour ce qui est du travail collaboratif. Dans office tout est intégré, le fichier est stocké dans onedrive et peut etre éditer à plusieurs. C'est un confort que je préfère garder en entreprise. Libre office a peut etre un truc équivalent cela dit et dans ce cas désolé ma remarque est fausse.

Les pirates visent majoritairement Windows mais je suis d'accord Linux a aussi des failles mais sur la part marché du bureau Linux contre Windows est faible.
Pour une solution collaborative, il y a OnlyOffice mais je ne l'ai pas beaucoup utilisé donc je ne peux pas faire de retour. Cepandant, je vois quand même encore beaucoup de personnes s'échanger des Excel ou des Word donc même si Windows offre cette possibilité, son utilisation n'est pas complète.
Et en hébegeant ses données chez MS, elle sont théoriquement hébergées en France mais je ne fais pas 100% confiance à MS car c'est une société américaine avec son Patriot Act et Cloud Act.

Non, toute les grosses boite qui passe à linux prennent des distribs avec support, très souvent RedHat. Enfin dans mes 5 boites du cac40 j'ai vu que du RedHat. C'est peut etre moins cher que du windows cela dit.

Sous Windows on paye les licences et le support alors que sous Linux on a plus le choix.