Capterra révèle une augmentation des vulnérabilités dans la chaîne d'approvisionnement des logiciels
Selon une récente enquête de Capterra, 61 % des entreprises américaines ont subi des répercussions importantes en raison de vulnérabilités dans la chaîne d'approvisionnement des logiciels au cours de l'année écoulée, ce qui souligne la nécessité de renforcer les mesures de sécurité. L'enquête approfondie, à laquelle ont participé 271 spécialistes de l'informatique et de la sécurité informatique, a tenté d'analyser l'exposition des organisations américaines aux failles éventuelles des logiciels tiers.
Les inquiétudes concernant la sécurité des chaînes d'approvisionnement en logiciels ont atteint des niveaux alarmants, selon une récente enquête menée par Capterra, une filiale de la célèbre société d'analyse Gartner. Les résultats révèlent que 50 % des personnes interrogées considèrent que la menace est "élevée" ou "extrême", tandis que 41 % la considèrent comme modérée. Les logiciels libres sont apparus comme une source majeure d'inquiétude dans la chaîne d'approvisionnement, 94 % des entreprises américaines utilisant désormais une forme ou une autre de logiciel libre, et plus de la moitié d'entre elles (57 %) s'appuyant sur plusieurs plates-formes libres.
Soulignant l'importance de ces chiffres, Zach Capers, analyste chez Capterra, a expliqué que "la plupart des plateformes logicielles qui ne sont pas entièrement open source comprennent un grand nombre de paquets open source que les développeurs utilisent pour accélérer la production". Cette constatation révèle que l'ampleur du problème pourrait être bien plus importante que ce que l'on pensait au départ.
La menace que représentent les logiciels open source n'est pas une nouvelle révélation. Sonatype, une société leader dans l'automatisation de la chaîne d'approvisionnement des logiciels, a signalé une augmentation alarmante de 742 % des logiciels malveillants de la chaîne d'approvisionnement détectés dans les paquets open source en amont entre 2019 et 2022. La Fondation Linux a constaté que le projet de développement d'une application moyenne contient 49 vulnérabilités réparties sur 80 dépendances directes, ce qui met encore plus en évidence le risque.
M. Capers a souligné que la prolifération des applications, communément appelée "app sprawl", exacerbe le risque de cybersécurité dans ce domaine. Il a révélé que les détaillants victimes de cyberattaques au cours des deux dernières années étaient plus de deux fois plus susceptibles d'attribuer leur malheur à la prolifération des applications que ceux qui n'ont pas été touchés (53 % contre 22 %).
Pour relever ces défis urgents, M. Capers a formulé plusieurs recommandations. Tout d'abord, les entreprises doivent s'efforcer de réduire la prolifération des applications et d'établir un processus formel d'évaluation des risques pour leur chaîne d'approvisionnement en logiciels. Il est encourageant de constater que 64 % des entreprises procèdent déjà à de telles évaluations. En outre, la mise en œuvre de la gestion des accès privilégiés, une pratique employée par 61 % des répondants, et le déploiement de pots de miel, une tactique adoptée par 34 % d'entre eux, ont été soulignés comme des mesures efficaces pour atténuer les risques et renforcer la sécurité dans la chaîne d'approvisionnement en logiciels.
Les sources de cet article comprennent un article paru dans InfoSecurityMagazine.