Dans quelle mesure les SBOM s’imposent-ils?
Les SBOM sont l’une des solutions privilégiées pour sécuriser la supply chain logicielle. Dans quelle mesure les entreprises créent-elles ces inventaires ou se servent-elles de ceux déjà produits? Quels sont les avantages escomptés et les craintes liées à cette pratique?
Alors que les entreprises ont pour la plupart adopté des logiciels open source, ceux-ci suscitent leur lot de craintes en matière de cybersécurité, constate entre autres un rapport de 2022 publié par la Fondation Linux. Mais cette étude, menée auprès de 412 entreprises dans le monde entier, vise en particulier à décrypter le taux d’adoption et les pratiques en lien avec les Software Bills of Materials (SBOM). Ces nomenclatures, qui dressent l’inventaire de tous les composants d’une application, se placent en seconde position des actions privilégiées pour sécuriser la supply chain logicielle. Juste derrière le besoin de disposer d’un système de signalement des vulnérabilités simple et évolutif. Et devant l’utilisation obligatoire de l’authentification à deux facteurs par les développeurs et les responsables des déploiements.
Les SBOM se sont ainsi clairement fait une place dans la stratégie de cybersécurité des entreprises. Selon l’étude, neuf firmes sur dix ont entamé leur parcours en la matière. Dans la moitié des cas, les initiatives ne couvrent que quelques domaines. Un quart des firmes interrogées abordent tout de même cette pratique dans presque tous les domaines de leurs activités. «Dans l’ensemble, 76% des organisations ont atteint un degré tangible de préparation en matière de SBOM», résument les auteurs de l’étude.
Ceux qui créent des SBOM…
Certaines entreprises vont elles-mêmes produire des SBOM, alors que les autres vont se servir d’inventaires déjà établis. Typiquement, les éditeurs logiciels vont en créer, alors que leurs clients en bénéficieront. Toutefois, les SBOM contribueront également à sécuriser et à rendre plus facile à maintenir les logiciels conçus pour un usage interne. Les résultats de l’étude montrent qu’un peu plus de la moitié des organisations produisent déjà des SBOM dans un ou plusieurs segments. Elles le font avant tout pour mieux comprendre les dépendances dans le cadre de projets vastes et complexes. De même que pour facilement contrôler les vulnérabilités des composants.
Si les entreprises se préoccupent naturellement de la sécurité de leurs logiciels, elles expriment aussi des inquiétudes relatives aux SBOM. En particulier car il existe une incertitude quant au fait que cette pratique sera rendue obligatoire ou non. Le manque de standardisation crée aussi des doutes.
… et ceux qui s’en servent
Les entreprises utilisatrices sont une infime minorité à ne pas envisager l’utilisation de SBOM déjà produits. La moitié d’entre elles le font déjà avec des applications en production. Les avantages escomptés sont multiples. En tête, la possibilité de bénéficier d’informations sur les composants utiles aux exigences de conformité et de reporting. Mais aussi de pouvoir disposer de données qui permettent une prise de décision plus éclairée et basée sur le risque. Sans oublier une détection rapide des vulnérabilités ou encore l’identification proactive de composants en fin de vie. Pour ces entreprises clientes, les principales préoccupations concernant l’utilisation des SBOM sont liées au manque de clarté quant aux attentes de l’industrie, de même qu’au manque d’instruments pour automatiser leur utilisation.
