Cyberattaques sur la supply chain logicielle, talon d'Achille des grandes entreprises
Une étude révèle une augmentation des attaques sur la supply chain logicielle auxquelles les entreprises sont très vulnérables. Cette "chaîne d'approvisionnement" numérique regroupe l’ensemble des composants nécessaires au développement, à la création et à la publication de logiciels. Au cours des deux dernières années, six grandes entreprises sur dix ont été visées par une cyberattaque de ce type.
63% : c’est la proportion d’organisations ayant subi une cyberattaque visant leur système de protection de la supply chain logicielle au cours des deux dernières années, dont 18% depuis l’année dernière. La supply chain logicielle regroupe l’ensemble des composants, bibliothèques, outils, processus et canaux de distribution nécessaires au développement et au déploiement de logiciels.
L’étude a été menée par la société américaine Checkmarx auprès de 900 responsables de la sécurité des systèmes d’information (RSSI) et responsables de la sécurité applicative (AppSec) de grandes entreprises, dont le chiffre d’affaires annuel est supérieur à 750 millions de dollars. Les sociétés sont notamment spécialisées dans la finance, l’assurance, l’édition de logiciels et l’industrie, en Amérique du Nord, Europe et dans la région Asie-Pacifique.
Un renforcement des attaques sur l’écosystème open source
Depuis la mise en place d’un système de sécurité sur leur supply chain logicielle, comprenant à la fois la gestion des risques et la cybersécurité, la totalité des 900 entreprises interrogées a été victime d’au moins une cyberattaque. 56% d’entre elles développent des applications contenant des paquets logiciels open source, pouvant être source de vulnérabilités : “Nous avons vu plus d’attaques sur l’écosystème open source au cours des deux dernières années que jamais auparavant, avec plus de 385 000 paquets malveillants détectés à ce jour par notre équipe”, explique Amit Daniel, CMO chez Checkmarx.
Trois quarts des organisations se disent préoccupées, voire très préoccupées (39%), par la sécurité de leur supply chain logicielle. Un chiffre qui s’explique notamment par leur souhait de rester compétitives (24%), par la quantité d’actualités traitant de cyberattaques (17%) et par le besoin de mise en conformité (16%). En décembre, les chercheurs de Checkmarx ont relevé plusieurs attaques sur la supply chain logicielle provenant de groupes nord-coréens et russes, exploitant des vulnérabilités critiques et piratant des paquets logiciels open source et privés.
Le rapport note que la sensibilisation aux systèmes de protection de la supply chain logicielle a fortement augmenté depuis l’attaque contre la société américaine SolarWinds en 2020. Cette cyberattaque avait touché la supply chain logicielle, avec l’injection par les pirates informatiques de code malveillant dans la suite logicielle Orion, affectant de nombreuses autres organisations dont le gouvernement américain.
Un souhait de transparence sur les composants logiciels
Pour concevoir un programme de sécurité sur leur supply chain logicielle, deux entreprises sur trois affirment déjà utiliser des outils d’analyse de composition logicielle (SCA), qui permettent de dresser l’inventaire des composants open source dans un logiciel. Les fournisseurs de SCA mettent au point des solutions pour vérifier la fiabilité des contributeurs aux bibliothèques open source, pour rechercher des cas de piratage et pour exécuter du code afin d’identifier des comportements malveillants.
La moitié des RSSI et responsables AppSec demandent également l’instauration de nomenclatures logicielles (SBOM), soit une liste de composants, dépendances et métadonnées utilisés par une application. En revanche, 50% d’entre eux confient qu’ils ne sauraient pas comment les utiliser efficacement en cas de besoin.
Sélectionné pour vous
SUR LE MÊME SUJET
Cyberattaques sur la supply chain logicielle, talon d'Achille des grandes entreprises
Tous les champs sont obligatoires
0Commentaire
Réagir
