Pénurie de compétences ou processus déficients, de nombreuses organisations ne semblent pas savoir comment mesurer la sécurité des logiciels ou l’appliquer en leur sein.
Dans un environnement où les entreprises sont prises entre des attaques de plus en plus sophistiquées, la pénurie de talents et la nécessité de faire évoluer le SI, elles n’ont jamais été autant exposées. Parmi les attaques les plus dévastatrices, celles qui exploitent les vulnérabilités du code et de la protection des identités. L’attaque sur SolarWinds, si l’on devait n’en prendre qu’une comme exemple, a compromis 80 % des entreprises du classement des Fortune 500, ainsi que de nombreuses agences gouvernementales américaines.
Cette attaque sophistiquée, qui a causé des dommages considérables, a exploité les identités des machines pour créer des portes dérobées, se déplacer dans les réseaux et obtenir un accès sécurisé à des ressources clés. Pour mesurer la façon avec laquelle les organisations prévoient d’améliorer l’assurance logicielle, Venafi a mené une enquête qui a évalué les opinions de plus de 1 000 professionnels de l’informatique et du développement, dont 193 cadres responsables à la fois de la sécurité et du développement logiciel.
Un décalage entre les préoccupations et les actions des dirigeants
Les dirigeants sont manifestement beaucoup plus préoccupés par leur vulnérabilité aux attaques de la chaîne logistique logicielle et conscients de l’urgence d’agir. En fait, ils demandent plutôt aux fournisseurs d’agir… sur leur processus et leur code. Une écrasante majorité des dirigeants(97 %) estime que les fournisseurs de logiciels doivent améliorer la sécurité de leurs processus de création de logiciels et de signature de code. Ils sont d’autant plus exigeants, que les exemples d’attaques leur donnent raison : 96 % pensent que les fournisseurs de logiciels devraient être tenus de garantir l’intégrité du code dans les mises à jour de leurs logiciels.
Cependant, entre les exigences exprimées et les actions sur le terrain, il semble y avoir un hiatus, souligne le rapport. « Il y a une déconnexion évidente entre les préoccupations concernant les attaques de la chaîne d’approvisionnement et l’amélioration des contrôles et des processus de sécurité pour atténuer ce risque », a déclaré Kevin Bocek, vice-président de la stratégie de sécurité et des renseignements sur les menaces chez Venafi. En effet, les résultats de l’enquête montrent que les entreprises ne prennent pas de mesures susceptibles d’entraîner des changements.
Assurer la sécurité et la vérification du code
Questionnés sur leurs doléances auprès des fournisseurs, 69 % des dirigeants déclarent que leur entreprise n’a pas augmenté le nombre de questions qu’elle pose aux fournisseurs de logiciels sur les processus utilisés pour assurer la sécurité et la vérification du code. Les raisons de cette déconnexion, sont nombreuses affirme le rapport. Le manque de compréhension quant aux équipes qui devraient s’occuper de l’assurance logicielle au sein des organisations vient en tête de liste.
De nombreuses organisations ne semblent pas savoir comment mesurer la sécurité des logiciels ou l’appliquer en leur sein. « En fait, la plupart d’entre elles n’ont pas fait grand-chose pour changer la façon dont elles évaluent la sécurité des logiciels qu’elles achètent et les garanties qu’elles exigent des fournisseurs de logiciels », explique le rapport.
Pénurie de compétences ou processus défaillants, « il y a un manque général de compréhension sur la façon d’évaluer la sécurité des logiciels », conclut le rapport. La plupart des dirigeants n’ont peut-être tout simplement pas accès aux critères dont leurs équipes ont besoin pour évaluer la sécurité des logiciels qu’ils vont acheter ou utiliser au sein de leur organisation. Pour combler ce vide, Venafi s’est associée à Veracode, avec le soutien de Sophos et de Cloudbees, pour définir une carte de contrôles standard neutres vis-à-vis des fournisseurs. Ces divers contrôles, qu’il est possible de consulter sur cette page,« réduisent considérablement les risques et s’alignent sur les pipelines de développement de logiciels agiles et performants ».