Les menaces pesant sur la chaîne d'approvisionnement des logiciels augmentent à l'ère de l'IA : CVE, paquets malveillants, mauvaises configurations et erreurs humaines

Les menaces pesant sur la chaîne d'approvisionnement des logiciels augmentent à l'ère de l'IA : CVE, paquets malveillants, mauvaises configurations et erreurs humaines.

Un nouveau rapport publié par JFrog met en garde contre l'expansion de la technologie de l'intelligence artificielle (IA) dans la chaîne d'approvisionnement en logiciels, qui a entraîné une augmentation alarmante des menaces de sécurité. Les principaux facteurs de sécurité affectant l'intégrité et la sécurité de la chaîne d'approvisionnement des logiciels comprennent les vulnérabilités et expositions communes, les paquets malveillants, les expositions de secrets, et les mauvaises configurations et autres erreurs humaines.

La gestion et la sécurisation de la chaîne d'approvisionnement des logiciels de bout en bout sont essentielles pour fournir des versions de logiciels fiables. Cependant, les entreprises ont des difficultés dans ce domaine. Un rapport de Foundry en 2022 avait montré 90 % des responsables de la sécurité informatique interrogés ont déclaré que leurs organisations ne parviennent pas à faire face aux risques de cybersécurité. Cette perception était due à la difficulté de convaincre toute ou une partie de l'organisation de la gravité du risque ainsi qu'au manque d'investissement pour faire face aux risques.

Si en 2025, les organisations ont de plus en plus conscience de la gravité des risques, un nouveau rapport de JFrog fait état de menaces émergentes pour la sécurité des logiciels, de l'évolution des risques et des meilleures pratiques DevOps, et de problèmes de sécurité potentiellement explosifs à l'ère de l'IA. Basé sur les points de vue de plus de 1 400 professionnels du développement, de la sécurité et des opérations, ainsi que sur l'analyse de CVE, le rapport révèle pourquoi la surveillance de la chaîne d'approvisionnement est souvent difficile pour les entreprises dans le paysage des menaces en expansion et frénétique auquel l'ère actuelle de l'IA est confrontée.

Le rapport montre que :

• Les risques liés aux logiciels open source explosent avec des MILLIONS de nouveaux paquets.
• Les problèmes liés aux données CVE obscurcissent la gravité et l'applicabilité des vulnérabilités.
• Les organisations continuent d'augmenter le nombre d'outils de sécurité utilisés
• La visibilité complète de la provenance des logiciels échappe à de nombreuses organisations
• La chaîne d'approvisionnement en logiciels d'IA est en plein essor, mais les risques aussi.

Bien que 94 % des entreprises utilisent des listes certifiées pour régir l'utilisation des artefacts de ML, 37 % d'entre elles s'appuient encore sur des efforts manuels pour établir et tenir à jour leurs listes de modèles de ML approuvés. Cette dépendance excessive à l'égard de la validation manuelle crée une incertitude quant à la précision et à la cohérence de la sécurité des modèles de ML.

Yoav Landman, CTO et cofondateur de JFrog, commente le rapport : "De nombreuses organisations adoptent avec enthousiasme des modèles ML publiques pour stimuler l'innovation rapide, démontrant un engagement fort à tirer parti de l'IA pour la croissance. Cependant, plus d'un tiers d'entre elles s'appuient encore sur des efforts manuels pour gérer l'accès à des modèles sécurisés et approuvés, ce qui peut entraîner des oublis potentiels."

Il ajoute : "L'adoption de l'IA ne fera que croître plus rapidement. Ainsi, pour que les organisations puissent prospérer dans l'ère de l'IA d'aujourd'hui, elles doivent automatiser leurs chaînes d'outils et leurs processus de gouvernance avec des solutions prêtes pour l'IA, en veillant à ce qu'elles restent à la fois sûres et fiables, tout en maximisant leur potentiel d'innovation."


Les principaux facteurs de sécurité ayant un impact sur l'intégrité et la sécurité de la chaîne d'approvisionnement des logiciels sont les suivants : Les CVE, les paquets malveillants, l'exposition des secrets et les mauvaises configurations/erreurs humaines. À titre d'exemple, l'équipe de recherche en sécurité de JFrog a détecté 25 229 secrets/tokens exposés dans les registres publics (en hausse de 64 % par rapport à l'année précédente). La complexité croissante des menaces qui pèsent sur la sécurité des logiciels rend plus difficile le maintien d'une sécurité cohérente de la chaîne d'approvisionnement en logiciels.

DockerHub continue d'être l'écosystème le plus contribué sur la base des données du JFrog Catalog examinant les registres publics. Bien que le rythme de croissance ait quelque peu ralenti en 2024 par rapport à la croissance explosive de 2023, environ 2 millions de nouveaux paquets ont été ajoutés en 2024.


Le nombre de nouveaux CVE, en hausse de 27 % par rapport à 2023, suscite des inquiétudes, d'autant plus que nombre d'entre eux sont mal notés. Le rapport révèle que 12 % des CVE de premier plan classés « critiques » (CVSS 9.0-10.0) par les organisations gouvernementales justifient le niveau de gravité critique qui leur a été attribué parce qu'ils sont susceptibles d'être exploités par des attaquants.

Cependant, le rapport affirme qu'il ne faut pas juger un CVE par son CVSS. Lors d'un examen de 183 CVE élevés et critiques provenant des composants et technologies les plus populaires parmi les clients de JFrog, seuls 27 CVE (15 %) se sont révélés hautement exploitables, avec un taux d'applicabilité supérieur à 80 %.


Il est également inquiétant de constater que seuls 43 % des professionnels de l'informatique déclarent que leur organisation applique des analyses de sécurité à la fois au niveau du code et au niveau binaire, ce qui laisse de nombreuses organisations vulnérables aux menaces de sécurité qui ne peuvent être détectées qu'au niveau binaire. Ce chiffre est en baisse par rapport aux 56 % de l'année dernière, ce qui montre que les équipes ont encore d'énormes angles morts lorsqu'il s'agit d'identifier et de prévenir les risques logiciels le plus tôt possible.

Ce résultat est assez similaire au rapport de CrowdStrike en juillet 2024 qui révélait que les spécialistes de la cybersécurité n'examinent les principales mises à jour des applications logicielles que dans 54 % des cas. Selon le rapport de CrowdStrike, plus d'un cinquième des personnes interrogées ont répondu qu'elles n'examinaient les modifications majeures du code que dans moins d'un quart des cas et que 22 % des personnes interrogées ont avoué avoir procédé à un examen de sécurité moins de la moitié des cas.

À propos de JFrog

JFrog a pour mission de créer un monde de logiciels livrés sans friction du développeur à l'appareil. Animée par une vision de « logiciel liquide », la plateforme de chaîne logistique logicielle de JFrog est un système d'enregistrement unique qui permet aux organisations de créer, gérer et distribuer des logiciels rapidement et en toute sécurité, en garantissant leur disponibilité, leur traçabilité et leur inviolabilité. Les fonctions de sécurité intégrées permettent également d'identifier, de protéger et de remédier aux menaces et aux vulnérabilités.

Source : JFrog : Software Supply Chain State of the Union 2025

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

L'IA va accroître le nombre et l'impact des cyberattaques : Les ransomwares étant susceptibles d'en être les plus grands bénéficiaires au cours des deux prochaines années

Les attaques d'applications ont augmenté à 83% en janvier 2025, contre 65% en 2024, mettant les équipes de sécurité sous une immense pression, d'après un rapport de Digital.ai

Les experts en sécurité informatique sont divisés sur le potentiel de l'IA à aider les experts en sécurité offensive, « l'IA accélère la détection des vulnérabilités, mais ne remplace pas l'humain »