La date de lancement d’Artemis II est fixée au 8 février après…

Deux policiers hospitalisés après avoir été blessés suite à un refus…

Nantes : Un automobiliste prend la mauvaise voie et percute trois…

Logiciels

Les DSI admettent que leur chaîne d’approvisionnement en logiciels est vulnérable

Lire aussi :

Les actions de HubSpot chutent de 12 % après…

Un nouveau groupe de ransomware exploite la vulnérabilité du…

Demandez à 1 000 DSI s’ils pensent que leur organisation est vulnérable aux cyberattaques ciblant leurs chaînes d’approvisionnement logicielles et on peut s’attendre à ce qu’environ 82 % répondent oui.

L’entreprise de sécurité Venafi a engagé la société de recherche Coleman Parkes pour poser cette question à autant de responsables informatiques d’entreprise des États-Unis, du Royaume-Uni, de France, d’Allemagne, d’Autriche, de Suisse, de Belgique, des Pays-Bas, du Luxembourg, d’Australie et de Nouvelle-Zélande.

Le résultat a été un vote de défiance catégorique.

« Les résultats montrent que si les DSI comprennent le risque de ces types d’attaques, ils doivent encore saisir les changements organisationnels fondamentaux et les nouveaux contrôles de sécurité qu’ils devront intégrer à leur posture de sécurité pour réduire le risque d’attaques de la chaîne d’approvisionnement qui peuvent être dévastatrices. à eux-mêmes et à leurs clients », indique le rapport de Venafi, publié mardi.

Ces responsables informatiques devront comprendre la situation le plus tôt possible. 85 % déclarent avoir été chargés par leur PDG ou le conseil d’administration de prendre des mesures pour améliorer la sécurité des environnements de développement et de construction de logiciels.

Blâmez les sociétés SolarWinds, Codecov et Kaseya dont les outils de création de logiciels d’entreprise ont été compromis par des attaques sophistiquées qui ont affecté leurs clients, sans parler des cinq dernières années de packages empoisonnés dans les registres de logiciels open source populaires.

UE

Administrateurs système : pourquoi ne pas simplement vérifier qu’il n’y a pas de porte dérobée dans chaque programme que vous installez, et ainsi éviter tout cyberdrame ?

LIRE LA SUITE

« La transformation numérique a fait de chaque entreprise un développeur de logiciels », a déclaré Kevin Bocek, vice-président du renseignement sur les menaces et du développement commercial pour Venafi, dans un communiqué. « Et par conséquent, les environnements de développement de logiciels sont devenus une énorme cible pour les attaquants. Les pirates ont découvert que les attaques réussies de la chaîne d’approvisionnement sont extrêmement efficaces et plus rentables. »

Au cours des deux dernières années, ces attaques ont fait des vagues à Washington, entraînant des efforts fédéraux pour renforcer la sécurité de la chaîne d’approvisionnement en logiciels. Et depuis lors, il y a eu de fréquents rappels que le développement de logiciels modernes nécessite trop de confiance.

Le rapport de Venafi constate que certaines mesures ont déjà été prises pour le mieux. Soixante-huit pour cent des personnes interrogées ont déclaré avoir mis en place davantage de contrôles de sécurité, 56 % utilisent davantage la signature de code et 47 % examinent la provenance de leurs bibliothèques open source.

Pourtant, l’application de la sécurité dans les organisations est souvent insuffisante. Quelque 95 % des équipes d’infosec ont reçu l’autorité sur les contrôles de sécurité appliqués à la chaîne d’approvisionnement des logiciels. Dans le même temps, près d’un tiers de ces équipes n’ont pas le pouvoir d’appliquer leurs politiques. Selon l’enquête de Venifi, 31 % des équipes d’infosec peuvent recommander des contrôles de sécurité mais ne peuvent pas les appliquer.

À cela, ajoutez un fossé entre la sécurité informatique et le développement 87 % des personnes interrogées ont déclaré qu’elles pensaient que les développeurs de logiciels compromettaient parfois les contrôles et les politiques de sécurité pour fournir des produits et des services plus rapidement.

Venafi, qui gère la gestion de l’identité des machines, voit ses conclusions comme une opportunité de plaider en faveur d’une plus grande signature de code dans les pipelines de construction CI/CD. Un argument intéressé, sans aucun doute, mais aligné sur les initiatives de l’industrie comme Sigstore et ce que les consultants en sécurité ont demandé en ce qui concerne les registres de code comme NPM.

La signature de code signifie bien sûr que vous devez protéger les clés privées de signature de code, ce que Codecov n’a pas tout à fait réussi, mais personne n’a jamais dit que la sécurité était facile.

www.actusduweb.com
Suivez Actusduweb sur Google News


vous pourriez aussi aimer Plus d'articles de l'auteur
Plus d'Articles

Les actions de HubSpot chutent de 12 % après qu’Alphabet ait…

Un nouveau groupe de ransomware exploite la vulnérabilité du logiciel…

Comment les équipes de plateformes créent des entreprises meilleures,…

Datadog (NASDAQ:DDOG) : meilleurs résultats du premier trimestre pour…

iOS 18 propose un nouveau fond d’écran dynamique aux couleurs…

8 raisons pour lesquelles les développeurs aiment Go et 8 raisons pour…

1 De 351

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Lire la suite