Les organisations intensifient leurs efforts de sécurité de la chaîne d’approvisionnement logicielle contre les risques posés par la prévalence de l’open source – CPO Magazine
La sécurité de la chaîne d’approvisionnement des logiciels est une préoccupation majeure pour la plupart des organisations préoccupées par la prévalence du code open source dans leurs produits, selon un rapport Synopsys et ESG.
Par la suite, la plupart des organisations ont intensifié leurs efforts de sécurité de la chaîne d’approvisionnement à la lumière d’attaques de chaîne d’approvisionnement très médiatisées telles que SolarWinds, Kaseya et Log4Shell.
Le Software Integrity Group et le Enterprise Strategy Group (ESG) de Synopsys ont constaté que 99 % des organisations utilisaient (80 %) ou prévoyaient (19 %) d’intégrer des logiciels open source (OSS) au cours des 12 prochains mois. Cependant, plus de la moitié (54 %) des répondants étaient préoccupés par la prévalence des logiciels open source, tandis que 41 % craignaient d’être victimes de pirates ciblant les logiciels open source populaires. 40 % supplémentaires avaient des problèmes pour faire confiance à l’origine du code source ouvert, tandis que 39 % s’inquiétaient des nomenclatures logicielles (SBOM) dans OSS.
Selon Jason Schmitt, directeur général de Synopsys, ces préoccupations et d’autres mettent en évidence l’impact potentiel des vulnérabilités de la chaîne d’approvisionnement logicielle sur les organisations posées par les logiciels open source.
La plupart des organisations sont prêtes à faire face aux risques de sécurité de la chaîne d’approvisionnement des logiciels
Le rapport Synopsys/ESG a révélé que près des trois quarts (73 %) des organisations avaient adopté des mesures pour sécuriser leurs chaînes d’approvisionnement.
Les principales mesures de sécurité de la chaîne d’approvisionnement logicielle adoptées par la plupart des organisations comprennent :
- Authentification forte telle que l’authentification multifacteur (33%)
- Visibilité de la direction sur les pratiques de développement sécurisées (33 %)
- Contrôles des tests de sécurité des applications (32 %)
- Évaluation des contrôles de sécurité actuels (30 %)
- Amélioration de la découverte d’actifs (30 %)
- Mises à jour du logiciel de numérisation (30 %)
- Nouvelles règles de détection et/ou systèmes d’analyse de la sécurité (29 %)
- Audits des éditeurs de logiciels (29%)
- Analyse régulière de la composition (26 %)
- Tests d’intrusion/équipe rouge (26 %)
Selon Melinda Marks, analyste senior ESG, les organisations cherchent à comprendre leurs composants OSS et à réagir rapidement aux vulnérabilités.
Les organisations privilégient les approches centrées sur les développeurs pour sécuriser la chaîne d’approvisionnement logicielle
Le rapport indique que les organisations se tournent vers la gauche en incorporant des pratiques de sécurité dans les premiers cycles de développement de logiciels pour faire face aux risques de sécurité de la chaîne d’approvisionnement des logiciels. Cette approche de décalage vers la gauche signifiait que les développeurs jouaient un rôle essentiel dans la gestion des risques de la chaîne d’approvisionnement. Selon les deux tiers (68 %) des répondants, cette stratégie était une priorité pour leur organisation.
Par conséquent, les organisations ont intégré des stratégies de sécurité en tant que code (SaC), des récits d’utilisateurs de cybersécurité dans le développement agile et GitOps pour atténuer les risques de sécurité de la chaîne d’approvisionnement logicielle. Le rapport a révélé que 59 % des organisations avaient intégré le SaC dans les flux de travail des développeurs, tandis que 72 % pensent qu’il sera pertinent dans les deux prochaines années.
De même, 63 % avaient adopté des témoignages d’utilisateurs de cybersécurité dans le processus de développement logiciel agile pour les applications cloud natives, et 55 % GitOps pour annuler les configurations.
Selon le rapport, 31 % des organisations se sont fait voler leurs secrets via des référentiels Git. Par la suite, 85 % des organisations ont scanné leurs dépôts à la recherche de secrets, et beaucoup les ont trouvés avant qu’ils ne soient divulgués au monde.
Les défis de l’approche Shift-left de la sécurité de la chaîne d’approvisionnement des logiciels
Bien que l’approche centrée sur les développeurs pour sécuriser la chaîne d’approvisionnement ait permis de remédier aux pénuries de personnel en matière de cybersécurité, la plupart des organisations ont été confrontées à des défis insurmontables.
Selon le rapport, 56 % des personnes interrogées ont déclaré que leurs organisations manquaient d’analystes suffisants pour mettre en œuvre la sécurité en tant que code, tandis que 51 % ont déclaré que le SaC n’était pas suffisamment mature pour être intégré à leur stratégie de cybersécurité.
De plus, les organisations avaient du mal à suivre la vitesse et le volume des versions. Cette situation a conduit à des versions de logiciels sans contrôles ni tests de sécurité, selon 45% des répondants.
De même, les équipes de sécurité manquaient de visibilité dans le processus de développement (43%) et un manque de cohérence entre les équipes de développement (36%).
Selon la plupart des répondants en matière de sécurité, l’approche de déplacement vers la gauche ne fonctionnait pas, avec seulement 34 % déclarant que les équipes de développement répondaient à leurs attentes en matière de sécurité. En outre, les organisations anticipaient davantage de difficultés lors de l’adoption de l’approche de sécurité de la chaîne d’approvisionnement des logiciels de décalage vers la gauche.
Quarante-quatre pour cent des personnes interrogées s’attendaient à ce que la stratégie surcharge les développeurs de responsabilités ou d’outils de sécurité, génère plus de travail pour les équipes de sécurité (43 %), et les développeurs n’étaient pas qualifiés pour les responsabilités de sécurité (42 %).
Les violations de données de logiciels open source persistent malgré les efforts de sécurité
Malgré les efforts déployés pour améliorer la sécurité de la chaîne d’approvisionnement des logiciels, plus d’un tiers (34 %) des organisations ont subi une violation liée à des logiciels open source.
De plus, plus d’un quart (28 %) ont subi des violations d’exploits zero-day jusqu’alors inconnus d’OSS, selon le rapport Walking the Line : GitOps et Shift Left Security.
Alors que les organisations sont témoins du niveau d’impact potentiel qu’une vulnérabilité ou une violation de la sécurité de la chaîne d’approvisionnement logicielle peut avoir sur leur entreprise par le biais de gros titres, la priorisation d’une stratégie de sécurité proactive est désormais un impératif commercial fondamental », a déclaré Schmitt.
Alors que le rapport indiquait que la plupart des organisations étaient sur la bonne voie pour résoudre les vulnérabilités de sécurité de la chaîne d’approvisionnement en logiciels posées par le code open source, des efforts supplémentaires sont nécessaires pour couvrir toutes les bases.