Les règles du formulaire d'attestation de développement de logiciels sécurisés de l'Agence américaine pour la cybersécurité et les infrastructures (CISA) entreront en vigueur le 11 juin 2024. Elles imposent aux producteurs de logiciels qui travaillent avec le gouvernement américain d'adhérer à des pratiques de sécurité essentielles et d'en confirmer le déploiement. Mais une nouvelle étude de Lineaje révèle que 80 % des entreprises ne sont pas prêtes.Le rapport indique également que 84 % des entreprises interrogées n'ont pas mis en place de nomenclatures logicielles (SBOM) dans leur processus de développement, malgré le décret 14028 qui rendra les SBOM obligatoires depuis mai 2021. Ces résultats montrent que, dans de nombreux cas, les efforts du gouvernement fédéral pour prévenir les cyberinfiltrations ne se sont pas encore traduits par des actions concrètes.
Malgré les sanctions potentielles associées à la non-conformité, l'enquête de Lineaje révèle que 65 % des personnes interrogées n'ont jamais entendu parler du décret 14028, tandis que près de la moitié de celles qui le connaissent n'en connaissent pas les critères spécifiques.
« Les efforts du gouvernement fédéral pour protéger notre chaîne d'approvisionnement en logiciels sont louables, mais il est clair que la sensibilisation n'a pas été suffisante », déclare Javed Hasan, PDG et cofondateur de Lineaje. « Si les entreprises ne peuvent pas construire sans logiciels libres, elles ne peuvent pas non plus survivre à long terme si ces mêmes logiciels libres sont truffés de failles de sécurité. Les éditeurs de logiciels et les professionnels de la cybersécurité doivent se former et prendre des mesures immédiates pour respecter les échéances à venir afin de protéger leurs organisations et de contribuer à l'amélioration de la position globale de la nation en matière de cybersécurité. »
Entre autres résultats, près de 60 % des personnes interrogées déclarent que leurs entreprises utilisent des composants open-source dans leurs logiciels, mais seulement 16 % peuvent affirmer avec certitude que le logiciel open-source moyen est sécurisé. Alors qu'une légère majorité (56 %) affirme disposer des outils nécessaires pour identifier et atténuer ces composants, près d'un quart n'est pas sûr et près de 20 % n'ont pas d'outils. Par ailleurs, 66 % des entreprises interrogées ont investi dans des outils permettant de trouver et de corriger les vulnérabilités des logiciels développés en interne.
À propos de Linearje
Lineaje offre une plateforme de gouvernance robuste conçue pour la gestion de la sécurité de la chaîne d'approvisionnement des logiciels. Ciblant les entreprises impliquées dans l'approvisionnement, la construction, l'achat ou l'utilisation d'applications logicielles, Lineaje garantit des mesures de sécurité complètes tout au long de la chaîne d'approvisionnement. Grâce à ses solutions spécialisées, les entreprises peuvent protéger efficacement leur écosystème logiciel, en réduisant les risques et en améliorant la posture de sécurité globale.
Source : Lineaje
Et vous ?
Quel est votre avis sur le sujet ? Trouvez-vous les conclusions de cette enquête de Lineaje crédibles ou pertinentes ?Voir aussi :
Il est urgent de renforcer la sécurité de la mémoire dans les produits logiciels, selon la CISA, l'utilisation d'un langage de programmation à sécurité mémoire comme Rust serait une solution La NSA et la CISA des États-Unis publient un guide pour renforcer la sécurité des clusters Kubernetes en vue d'aider les entreprises à rendre leurs infrastructures plus résilientes