Produire vite en faisant appel aux méthodes agiles et à des portions de code tiers tout en respectant la sécurité est un défi pour les développeurs. Pour mieux comprendre et évaluer ces tendances, l'Enterprise Strategy Group pour Data Theorem a interrogé plus de
300 professionnels de l'IT, de la cybersécurité et du développement d'applications au sein d'organisations en Amérique du Nord (États-Unis et Canada). Concrètement, les vulnérabilités de la supply chain logicielle sont à l’origine d’une attaque par ransomware du logiciel de transfert sécurisé MOVEit ou contre des entreprises comme Shell, des banques américaines, des compagnies d’assurance, etc.
A ce jour, 40 % des entreprises déclarent que plus de la moitié de leur code est composé de logiciels tiers. Plus précisément, 58 % des entreprises prévoient que plus de 30 % de leur code sera constitué de logiciels libres. Aujourd’hui, elles ne sont que 51 % à le penser.
Sous l’injonction du « Time To Market », à savoir la livraison rapide d’applications, près de la moitié des développeurs publient de nouvelles versions plusieurs fois par semaine. Cette rapidité peut altérer fortement la sécurité des applications car les développeurs n’ont pas le temps de corriger leur code pour améliorer la sécurité. Concernant les petites entreprises (moins de 100 employés), plus d'un tiers (35 %) publie 50 dépôts de code tandis que le pourcentage pour les organisations de taille moyenne (100-999 employés) et les entreprises (1 000 employés ou plus) est respectivement de 54 % et 77 %.
Seules 43 % des organisations déclarent être totalement sûres que leurs développeurs n'utilisent que des logiciels libres sécurisés
L’étude d’ESG pointe une incohérence entre l’assurance des organisations qui s’estiment bien protégés des risques (74 % des répondants) et les déclarations circonspectes de 43 % du panel sur la certitude que leurs codeurs ne recourent qu’à des logiciels libres sécurisés.Plus précisément, un tiers des répondants indiquent qu'ils sont trop dépendants des logiciels libres avec de multiples défis, notamment des difficultés à identifier les vulnérabilités dans le code libre et le risque d'être victimes de pirates qui ciblent les logiciels open source populaires.
Des solutions de vérifications de la sécurité du code mais jugées difficiles à utiliser
En termes de priorités, les outils de test et d'analyse, de découverte et d'inspection des API et les SBOM sont les plus importants. Le Software Bill Of Materials (SBOM) n’est autre que la liste des composants d’une application, un inventaire pour vérifier la sécurité d’un logiciel. La notion de SBOM est cependant contestée par certains experts.A noter, 44 % des entreprises utilisent des processus manuels pour effectuer cet inventaire et le suivi des applications. Côté investissement, près de trois-quarts des organisations (soit 74 %) investirait de manière significative dans la sécurité de la chaîne d'approvisionnement logicielle.
Le recours aux outils d’analyse et vérification du code est certes essentiel mais la sûreté des applications et services repose, notamment, sur une réduction de la cadence de publication du code.
