Les attaques de la chaîne d'approvisionnement logicielle sont en augmentation. De nombreux reportages très médiatisés sur la cybersécurité, tels que l'attaque SolarWinds et la vulnérabilité Apache Log4j, racontent l'histoire d'attaquants exploitant les vulnérabilités et les faiblesses de la chaîne d'approvisionnement logicielle. Le mode de fonctionnement peut aller d'exploits assez simples de vulnérabilités connues telles que Log4Shell à des attaques très sophistiquées, parrainées par des acteurs de la menace d'États-nations tels que l'attaque de la chaîne d'approvisionnement SolarWinds.
Les dépenses annuelles en logiciels d'entreprise (également connus sous le nom de logiciels commerciaux prêts à l'emploi ou COTS) approchent désormais les 600 milliards de dollars avec un taux de croissance de 11,5 %. Pourtant, compte tenu de l'ampleur de cet investissement, combien est dépensé pour garantir la sécurité de tous ces logiciels COTS ? En termes relatifs, les entreprises dépensent une somme dérisoire pour sécuriser leur chaîne d'approvisionnement logicielle par rapport à leur investissement dans des applications logicielles pour soutenir leurs opérations. C'est pourquoi les logiciels COTS vulnérables sont si dangereux, car les vulnérabilités peuvent être « cachées » dans les composants open source (Log4j) au sein des produits, et les clients se retrouvent avec un faux sentiment de sécurité.
Dans un rapport Forrester de 2021 sur l'état de la sécurité des applications, une enquête auprès des entreprises a montré que la voie la plus probable d'une cyberattaque était les vulnérabilités logicielles de leurs applications. Les logiciels open source jouent un rôle clé dans la prévalence de ces vulnérabilités. Son utilisation augmente d'année en année et le nombre de vulnérabilités augmente encore plus rapidement.
Les dépenses annuelles en logiciels d'entreprise (également connus sous le nom de logiciels commerciaux prêts à l'emploi ou COTS) approchent désormais les 600 milliards de dollars avec un taux de croissance de 11,5 %. Pourtant, compte tenu de l'ampleur de cet investissement, combien est dépensé pour garantir la sécurité de tous ces logiciels COTS ? En termes relatifs, les entreprises dépensent une somme dérisoire pour sécuriser leur chaîne d'approvisionnement logicielle par rapport à leur investissement dans des applications logicielles pour soutenir leurs opérations. C'est pourquoi les logiciels COTS vulnérables sont si dangereux, car les vulnérabilités peuvent être « cachées » dans les composants open source (Log4j) au sein des produits, et les clients se retrouvent avec un faux sentiment de sécurité.
Dans un rapport Forrester de 2021 sur l'état de la sécurité des applications, une enquête auprès des entreprises a montré que la voie la plus probable d'une cyberattaque était les vulnérabilités logicielles de leurs applications. Les logiciels open source jouent un rôle clé dans la prévalence de ces vulnérabilités. Son utilisation augmente d'année en année et le nombre de vulnérabilités augmente encore plus rapidement.
De plus, un rapport de recherche Osterman de 2021 a révélé que 100 % des logiciels COTS largement utilisés analysés par GrammaTech CodeSentry (sans accès au code source) contenaient des composants open source vulnérables. Un pourcentage inquiétant de 85 % de ces applications analysées présentaient des vulnérabilités critiques avec un score CVSS (Common Vulnerability Scoring System) de 10,0. Les applications les plus vulnérables étaient e-mails quotidiens et applications de réunion en ligne. Toutes les applications sont des applications largement utilisées et la présence de ces vulnérabilités critiques présente un risque sérieux de cybersécurité pour les organisations car la probabilité et l'impact d'une cyberattaque réussie sont très élevés. Le résultat de cette recherche montre clairement qu'il reste encore beaucoup à faire pour sécuriser la chaîne d'approvisionnement des logiciels.
Alors, quelles actions les entreprises peuvent-elles mettre en place pour améliorer cette situation ?
Alors, quelles actions les entreprises peuvent-elles mettre en place pour améliorer cette situation ?