A l’heure où les équipes cherchent à innover toujours plus vite, la complexité de l’open source et la rapidité de développement limitent l’efficacité des contrôles de sécurité effectués sur la chaîne d’approvisionnement logiciel.
La transformation numérique a subi un effet accélérateur des suites conjuguées de la crise pandémique et de la nécessité pour les entreprises de faire évoluer leurs SI et leurs processus pour plus d’agilité et de compétitivité. Une accélération qui s’est faite dans les pires conditions d’urgence, ce qui a largement augmenté la surface d’attaque qui s’est étendue tout au long des chaines numériques et des infrastructures distribuées.
Les surfaces d'attaque des entreprises s'étendent ainsi que les risques associés à l'utilisation du cloud, du code, des applications et des chaînes d'approvisionnement numériques. Les cybercriminels n’ont pas tardé à se lancer dans des attaques contre la chaîne d'approvisionnements numériques, car elles promettent des retours rémunérateurs élevés. D’après une étude d’Octoverse, il est assez courant que les projets de développement utilisent des centaines de dépendances open source, 203 par référentiel en moyenne.
Plus de 90% des applications contiennent des composants open source
Plus de 90% des applications contiennent des composants open source, ce qui ajoute une couche de complexité et de fragilité. Les pipelines CI/CD et DevOps sont généralement structurés pour permettre aux développeurs de travailler rapidement, mais pas forcément de manière plus sécurisée. À mesure que des vulnérabilités telles que Log4j se propagent dans la chaîne d'approvisionnement, d'autres menaces devraient apparaître. Gartner prévoit que d'ici 2025, 45 % des organisations dans le monde auront subi des attaques sur leurs chaînes d'approvisionnement en logiciels, soit trois fois plus qu'en 2021. Dans ce contexte d’insécurité croissante, 82% des DSI jugent leur chaîne d’approvisionnement logiciel vulnérable, selon une étude publiée par Venafi.
Réalisée par Coleman Parkes Research, l'étude commandée par Venafi résume les réponses de 1000 DSI travaillant dans onze pays : États-Unis, Royaume-Uni, France, Allemagne, Autriche, Suisse, Benelux, ainsi que l’Australie et la Nouvelle-Zélande.
Le rythme des livraisons dans le modèle DevOps en cause
L’adoption massive du développement cloud natif, associé à l’accroissement du rythme des livraisons dans le modèle DevOps, a largement accru la complexité des problématiques de sécurisation des chaînes d’approvisionnement logiciel. Une situation dont savent profiter des esprits malintentionnés, motivés par le succès d’attaques de grande ampleur telles que SolarWinds et Kaseya, qui ont visé des chaînes d’approvisionnement logiciel. Ces pirates concentrent désormais leurs efforts sur des environnements de développement logiciel et de distribution.
Selon l’étude, les RSSI sont de plus en plus inquiets au sujet des perturbations engendrées au niveau de l’activité globale de leur entreprise, sans parler des pertes de revenus, du vol de données et des dégâts sur la clientèle que peuvent causer des attaques ciblant la chaîne d’approvisionnement logiciel. Interrogés sur les maillons faibles de la chaine de livraison du code, les RSSI désignent majoritairement le manque de vigilance, voire les négligences des développeurs. Ils sont 87 % à penser que les ingénieurs logiciels et les développeurs négligent les règles de sécurité et les mesures de contrôle en place, afin de mettre plus vite leurs produits et services sur le marché.
Il faut le protéger et le sécuriser chaque étape du processus
Malgré les affaires retentissantes, la pression pour moderniser les applications et fournir des expériences positives aux clients et aux collaborateurs restent les principales préoccupations des développeurs. En cela, ils se conforment aux stratégies commerciales des entreprises pour lesquelles ils travaillent, celles qui placent l'innovation et la satisfaction des clients en tête de liste de leurs préoccupations. Comme l’explique si bien Kevin Bocek, vice-président de la recherche sur les menaces et du développement commercial chez Venafi : « En réalité, les développeurs sont davantage focalisés sur l’innovation et la rapidité que sur la sécurité. Malheureusement, les équipes chargées de la sécurité ont rarement les connaissances et les ressources nécessaires pour aider les développeurs à gérer cette question. Et les RSSI commencent tout juste à en prendre conscience ».
Pour pallier ces manquements, imputables à des modes de travail et d'exécution surannés, les organisations doivent donc aller au-delà des approches traditionnelles de surveillance, de détection et de réponse en matière de sécurité, pour gérer un ensemble plus large d'expositions à la menace. « Il est impossible de traiter cette problématique à l’aide des méthodes actuelles, affirme Kevin Bocek. Il convient de réfléchir différemment à l’identité à et l’intégrité du code qui est écrit et utilisé. Il faut le protéger et le sécuriser à chaque étape du processus de développement devenu ultra-rapide ».