La majorité des organisations mondiales (54 %) ont subi une attaque de la chaîne d'approvisionnement des logiciels au cours de l'année écoulée, et la plupart d'entre elles ne sont pas en mesure de faire face à l'évolution des risques. C'est ce qui ressort du rapport "The State of Software Supply Chain Security Risk", publié par Synopsys, Inc. et le Ponemon Institute, qui révèle également que 50 % des entreprises ont mis plus d'un mois à réagir à une attaque. Une entreprise sur cinq déclare que son organisation n'est pas efficace dans sa capacité à détecter et à répondre à ces attaques.
Les données montrent également que l'IA devient omniprésente dans le cycle de développement des logiciels. La majorité des professionnels de la sécurité (52 %) affirment que leurs équipes de développement utilisent des outils d'IA pour générer du code, en particulier OpenAI Codex (50 %), ChatGPT (45 %) et GitHub Copilot (43 %). Si l'utilisation de l'IA permet de réaliser des gains d'efficacité en automatisant la prise de décision, les résultats indiquent que peu de protections sont mises en place, ce qui est préoccupant. Seul un tiers (32 %) des organisations disposent de processus permettant d'évaluer le code généré par l'IA en termes de licence, de sécurité et de risques de qualité.
Les répondants à l'enquête ont également fait état d'un manque d'engagement inquiétant de la part des décideurs lorsqu'il s'agit d'atténuer ces problèmes. Seuls 39 % d'entre eux déclarent que les dirigeants de leur organisation sont très engagés dans la réduction du risque de logiciels malveillants dans les chaînes d'approvisionnement en logiciels. Même si 45 % des professionnels de la sécurité affirment que les compromissions de la chaîne d'approvisionnement telles que celles de SolarWinds ont entraîné une augmentation des investissements dans la sécurité de la chaîne d'approvisionnement des logiciels, seuls 38 % d'entre eux estiment que les ressources consacrées à la sécurisation de la chaîne d'approvisionnement sont suffisantes ou très suffisantes.
"Les attaques contre la chaîne d'approvisionnement sont de plus en plus fréquentes dans les organisations du monde entier, mais ce rapport met en évidence les faiblesses persistantes des processus de développement de logiciels et des normes de sécurité existantes", a déclaré Jason Schmitt, directeur général du Software Integrity Group de Synopsys. "Les attaquants sont de plus en plus sophistiqués et trouvent ainsi davantage de faiblesses qui leur permettent d'explorer une chaîne d'approvisionnement où ils peuvent voler des données sensibles, des logiciels malveillants d'usine et des systèmes de contrôle. En particulier avec la montée du code généré par l'IA, les équipes de sécurité doivent maintenir la visibilité sur les applications et évaluer en permanence la propriété intellectuelle, les menaces de sécurité et la qualité du code pour réduire les risques."
Voici d'autres résultats clés :
- Les organisations renoncent à la mise en œuvre des SBOM : Les nomenclatures logicielles (SBOM) sont essentielles pour garantir une chaîne d'approvisionnement logicielle sécurisée, mais seulement 35 % des professionnels de la sécurité déclarent que leurs organisations les produisent. En outre, seuls 40 % d'entre eux déclarent arrêter immédiatement l'utilisation d'un logiciel si le fournisseur ne fournit pas le SBOM demandé. Les principales raisons pour lesquelles les organisations produisent des SBOM sont la gestion générale des dépendances et des vulnérabilités (50 %), les réglementations industrielles (39 %), les exigences des clients (38 %) et les exigences gouvernementales (38 %).
- Les vulnérabilités des logiciels open-source restent un risque important : Près des deux tiers (65 %) des personnes interrogées déclarent utiliser des logiciels open-source, mais moins de la moitié d'entre elles (47 %) affirment que leur entreprise est très efficace ou très efficace pour les sécuriser dans la chaîne d'approvisionnement.
À propos de Synopsys 
Catalyseur de l'ère de l'intelligence omniprésente, Synopsys, Inc. fournit des solutions fiables et complètes de conception du silicium aux systèmes, de l'automatisation de la conception électronique à la propriété intellectuelle du silicium, en passant par la vérification et la validation des systèmes. Ils travaillent en étroite collaboration avec des clients du secteur des semi-conducteurs et des systèmes dans un large éventail d'industries afin d'optimiser leur capacité et leur productivité en matière de recherche et de développement, en favorisant l'innovation d'aujourd'hui pour stimuler l'ingéniosité de demain. 
Source : "The State of Software Supply Chain Security Risk"
Et vous ?
Pensez-vous que ce rapport est crédible ou pertinente ?
Quel est votre avis sur le sujet ?
Voir aussi :
91 % des entreprises sont confrontées à des incidents dans la chaîne d'approvisionnement logicielle, d'après une étude de Data Theorem
Une majorité de développeurs et de RSSI considèrent la sécurité de la chaîne d'approvisionnement des logiciels comme une priorité absolue, mais ils ne sont pas d'accord sur la responsabilité de chacun
63 % des organisations ont mis en œuvre, totalement ou partiellement, une stratégie de confiance zéro, mais cette stratégie ne permet de réduire qu'un quart le risque global de l'entreprise, selon Gartner