80 % des organisations ne sont pas prêtes à respecter les règles CISA sur les pratiques de sécurité
Les règles du formulaire d’attestation de développement de logiciels sécurisés de la US Cybersecurity and Infrastructure Agency (CISA) entrent en vigueur le 11 juin 2024.
Cela nécessite que les producteurs de logiciels qui travaillent avec le gouvernement américain adhèrent et confirment le déploiement de pratiques de sécurité clés. Mais une nouvelle étude de Lineaje révèle que 80 % des entreprises ne sont pas prêtes.
Le rapport révèle également que 84 % des entreprises interrogées n’ont pas mis en œuvre de nomenclatures logicielles (SBOM) dans leur processus de développement, malgré le décret 14028 rendant les SBOM obligatoires en mai 2021. Ces résultats démontrent que, dans de nombreux cas, les efforts du gouvernement fédéral Les mesures visant à prévenir la cyber-infiltration ne se sont pas encore traduites en actions concrètes.
Bien qu’il existe des sanctions potentielles associées au non-respect, l’enquête de Lineaje révèle que 65 pour cent des personnes interrogées n’ont jamais entendu parler de l’EO 14028, tandis qu’environ la moitié de ceux qui le connaissent ignorent ses critères spécifiques.
« Les efforts du gouvernement fédéral pour protéger notre chaîne d’approvisionnement en logiciels sont louables, mais il est clair que la sensibilisation n’a pas été suffisante », déclare Javed Hasan, PDG et co-fondateur de Lineaje. « Même si les entreprises ne peuvent pas se passer de logiciels open source, elles ne peuvent pas non plus survivre à long terme si ces mêmes logiciels open source sont criblés de failles de sécurité. Les éditeurs de logiciels et les professionnels de la cybersécurité doivent se former et prendre des mesures immédiates pour remédier aux problèmes. les prochaines échéances de conformité pour protéger leurs organisations et contribuer à améliorer la posture globale de cybersécurité du pays.
Entre autres conclusions, près de 60 % des personnes interrogées déclarent que leur entreprise utilise des composants open source dans leurs logiciels, mais seulement 16 % peuvent affirmer avec certitude que le logiciel open source moyen est sécurisé. Alors qu’une légère majorité (56 %) déclare disposer des outils nécessaires pour identifier et atténuer ces composants, près d’un quart n’en sont pas sûrs et près de 20 % ne disposent d’aucun outil. Parallèlement, 66 % des entreprises interrogées ont investi dans des outils permettant de détecter et de corriger les vulnérabilités des logiciels développés en interne.
Vous pouvez en savoir plus sur le blog Lineaje.
Crédit image: IgorVetushko/depositphotos.com