Rapport : 64 % des entreprises ont été touchées par des attaques de la chaîne d’approvisionnement, principalement en raison d’une dépendance accrue à l’OSS

La dépendance de l’industrie du logiciel à l’open source ainsi qu’une forte augmentation des dépendances aux logiciels open source (OSS) ont contribué à faire des chaînes d’approvisionnement une cible de sécurité majeure. Selon un récent rapport, 64 % des organisations ont été touchées par une attaque de la chaîne d’approvisionnement logicielle au cours de l’année écoulée.

Le rapport, The 2022 State of the Software Supply Chain, a été réalisé par le fournisseur de logiciels et de solutions IoT Revenera avec des données provenant de plus de 100 projets de services d’audit Revenera.

Bien que la sensibilisation à l’utilisation de l’open source soit la première étape pour élaborer et maintenir une stratégie de gestion de l’open source réussie, près de 70 % des organisations n’ont pas de politiques à l’échelle de l’entreprise pour utiliser correctement l’open source.

L’équipe d’audit de Revenera a identifié 12 % de problèmes supplémentaires en 2021 par rapport à l’année précédente, avec 2 200 problèmes découverts par projet d’audit, contre 1 959 en 2020. 61 % des fichiers de base de code scannés ont été attribués à l’open source, en hausse de 6 points de pourcentage par rapport à 2020.

De plus, par rapport à 2020, Revenera a constaté une augmentation de 7 % des fichiers binaires, qui sont plus complexes que le code source dans la mesure où ils ont souvent combiné des adresses IP provenant de plusieurs sources et sont constitués de nombreux fichiers constitutifs.

Au total, les attaques de la chaîne d’approvisionnement logicielle ont augmenté de plus de 300% en 2021 par rapport à 2020, selon une étude d’Argon Security, récemment rachetée par Aqua Security. L’équipe d’audit de Revenera a découvert 282 vulnérabilités de sécurité par projet d’audit, soit une augmentation de 217 % par rapport à 2020. 27 % de ces vulnérabilités ont une cote de gravité CVSS « élevée ». Malgré cela, le niveau de sécurité tout au long du cycle de vie du développement logiciel reste faible.

Cependant, certaines entreprises tentent d’atténuer les risques de sécurité grâce à de nouvelles réglementations et à la nomenclature des logiciels (SBOM).

L’industrie et les marchés continuent de répondre aux risques liés à la chaîne d’approvisionnement et à la sécurité des logiciels en augmentant les réglementations visant à découvrir et à suivre les problèmes open source par le biais d’organisations et de réglementations telles que NIST, PCI, OpenChain, OWASP, MITRE, NHTSA et GDPR.

Un décret en mai a commencé à donner la priorité au SBOM en déclarant que tout fournisseur de logiciels qui vend des logiciels au gouvernement fédéral doit fournir un SBOM.

« Alors que les industries et les organes directeurs augmentent les exigences de gouvernance et que de plus en plus d’entreprises exigent un SBOM des fournisseurs de logiciels dans le cadre du processus contractuel pour prouver la sécurité de la chaîne d’approvisionnement des logiciels, disposer d’un inventaire complet et précis de ce qui est dans le code deviendra très probablement la norme plutôt que le exception », indique le rapport.

Revenera a suggéré que ce sont les six étapes pour mieux sécuriser la chaîne d’approvisionnement des logiciels :

  1. « Comprenez la construction du pipeline logiciel et comment les sources, les composants et les packages logiciels pénètrent.
  2. Produisez un SBOM précis qui inclut tous les sous-composants, les dépendances cachées et les licences associées.
  3. Déplacez la gestion des vulnérabilités et la conformité des licences vers la gauche pour minimiser et atténuer les risques open source tôt dans le cycle de vie des devops.
  4. Collaborer avec les principales parties prenantes de l’organisation
  5. Autonomisez les développeurs de logiciels en offrant une formation continue sur la gestion des vulnérabilités de sécurité et de la conformité des licences.
  6. Implémentez une solution SCA qui identifie à la fois les problèmes de sécurité et de conformité des licences dans le code.

Les plus récents

«Comment rendre mon équipe plus intelligente?»

MAUDITE JOB! est une rubrique où Olivier Schmouker répond à vos interrogations les plus croustillantes [puis les plus ...

Le Royaume-Uni se penche dessus la position dominante d’Amazon, Microsoft et Google dans le cloud

L'Ofcom, l'équivalent britannique de l'Arcom, a décidé de lancer une enquête sur Amazon, Microsoft puis Google. Ces trois industries américaines représentent 81% des revenus du marché britannique des services d'infrastructures de cloud public. L'objectif de ces travaux est de déterminer supposé que cpuiste supposé quetuation étouffe la […] Lire l'article

Faut-il avoir des idées pour faire de la politique ?

Évidemment, trouver certains idées quotidiennes est infiniment plus simple que d’élaborer une stratégie de gouvernement.

Une bouffée d’air frais pour fidéliser ses employés

RHéveil-matin est une rubrique quotidienne où l'on présente aux gestionnaires et à leurs employés des solutions inspirantes revers bien fonder leur ...

Iran : des mobilisations historiques, des repressions brutales, les vidéos

IRAN. Alors que depuis six jours les Iraniens manifestent, le président de l'Iran Ebrahim Raïssi a prétendant, jeudi 22 septembre, qu'"une enquête [sur les données de la mort de Masha Amini] sera ouverte".