Selon un nouveau rapport, l'écrasante majorité des organisations (91 %) ont connu un incident dans la chaîne d'approvisionnement logicielle au cours des 12 derniers mois.L'étude de Data Theorem et de l'Enterprise Strategy Group a interrogé plus de 350 personnes issues d'organisations des secteurs privé et public aux États-Unis et au Canada, parmi lesquelles des professionnels de la cybersécurité, des développeurs d'applications et des professionnels de l'informatique.
L'étude révèle que les incidents de sécurité les plus courants au cours de cette période sont les suivants : exploit zero-day sur des vulnérabilités au sein de codes tiers (41 %), exploits de services cloud mal configurés (40 %), exploits de vulnérabilités dans des logiciels open-source et des images de conteneurs (40 %), secrets/tokens/mots de passe volés dans des référentiels de code source (37 %), et violations de données API dans des logiciels et codes tiers (35 %).
L'enquête montre également que 88 % des organisations estiment qu'il est essentiel ou important de disposer d'un inventaire précis de leurs API tierces et de leurs services cloud en ce qui concerne la sécurité de la chaîne d'approvisionnement logicielle. Ensuite, 86 % des entreprises estiment qu'il est essentiel ou important de connaître la composition ou l'inventaire du code d'application utilisé.
"En raison du nombre massif de fournisseurs et de partenaires, la découverte continue des composants à travers la chaîne d'approvisionnement logicielle est un défi majeur ; en fait, à partir de notre enquête, l'écrasante majorité (88 pour cent) des organisations déclarent l'importance et la criticité d'avoir un inventaire précis de leurs API tierces et de leurs services cloud", déclare Melinda Marks, directeur de pratique, cybersécurité chez Enterprise Strategy Group. "Bien qu'il soit entendu que les SBOM sont importants pour la sécurité de la chaîne d'approvisionnement logicielle, la plupart des organisations sont confrontées à la difficulté de créer et de maintenir des SBOM à jour. Pour sécuriser au mieux leurs applications, les entreprises ont besoin d'une analyse, d'une découverte et d'une inspection continues des composants open-source, des bibliothèques tierces et des API dans le code source."
Les principales priorités d'investissement dans la sécurité de la chaîne d'approvisionnement au cours des 12 à 18 prochains mois sont : l'analyse des composants de code source ouvert et des bibliothèques tierces pour détecter les vulnérabilités (44 %), suivie de la découverte et de l'inspection des API dans le code source (39 %) et de la création d'un SBOM par l'analyse de la composition (38 %). Plus d'un tiers des organisations considèrent l'investissement dans l'application de contrôles de sécurité des API d'exécution comme une priorité absolue.
À propos de Data Theorem
Data Theorem est un fournisseur leader de la sécurité des applications modernes, aidant les clients à prévenir les violations de données AppSec. Ses produits se concentrent sur la sécurité des API, le cloud (apps sans serveur, CSPM, CWPP, CNAPP), les apps mobiles (iOS et Android) et les apps web (apps à page unique). Sa mission principale est d'analyser et de sécuriser n'importe quelle application moderne, à tout moment et en tout lieu. Le moteur primé Data Theorem Analyzer Engine analyse en permanence les API, les applications Web, mobiles et Cloud à la recherche de failles de sécurité et de lacunes en matière de confidentialité des données. La société a détecté plus de 5 milliards d'incidents applicatifs et sécurise actuellement plus de 25 000 applications modernes pour ses entreprises clientes dans le monde entier. Data Theorem a son siège à Palo Alto, en Californie, et des bureaux à New York et à Paris.
Source : "The Growing Complexity of Securing the Software Supply Chain" (étude de Data Theorem)
Et vous ?
Quel est votre avis sur le sujet ? Trouvez-vous les conclusions de cette étude de Data Theorem crédibles ou pertinentes ?Voir aussi :
La chaîne d'approvisionnement (supply Chain), le maillon faible de la cybersécurité ? Par Fabien Pereira Vaz, Technical Sales Manager France chez Paessler AG Les attaques de la chaîne d'approvisionnement des logiciels ont augmenté de plus de 300 % en 2021 par rapport à 2020, dû à la faible sécurité dans les environnements de développement 
