Les CIO ne se fient pas à leur supply chain logicielle
Selon une étude publiée par Venafi, les CIO n'ont pas encore saisi les changements organisationnels et les nouveaux contrôles qu’impliquent les risques liés à la sécurité de leur supply chain logielle. Ils ont toutefois bien conscience de la menace.
Se défendre contre les attaques à la supply chain logicielle nécessite de revoir de fond en comble la stratégie de cybersécurité, avertit l’éditeur spécialisé Venafi dans l’introduction de sa récente étude consacrée à cette problématique. Menée auprès de 1000 CIO actifs dans dix pays (dont la Suisse), l’enquête montre que si les responsables interrogés comprennent le risque de ces types d'attaques, ils n'ont pas encore saisi les changements que ces menaces impliquent.
Des menaces bien présentes dans l'esprit des CIO
Alors que les cyberattaques contre SolarWinds, Kaseya ou Codecov ont forcément marqué les esprits, plus de trois-quarts des CIO estiment que leur chaîne d'approvisionnement logicielle est vulnérable. La menace préoccupe d’ailleurs aussi les échelons supérieurs de la direction, puisque la plupart des CIO ont reçu l'instruction de renforcer la sécurité de cette chaîne de la part du board ou du CEO. En conséquence, beaucoup de responsables IT ne sont pas restés les bras croisés et ont pris des mesures préliminaires en la matière. Avant tout en mettant en place davantage de contrôles, mais également en vérifiant les certificats de signature de code et l’origine des bibliothèques open source utilisées dans leur environnement applicatif.
Pour continuer sur cette lancée, plus de trois quarts des entreprises opèrent des réaffectations budgétaires dans l'objectif de mieux sécuriser leurs pipelines de développement logiciel. Notamment en augmentant leurs budgets dédiés à l'IAM (Identity and Access Management) pour les environnements d'ingénierie logicielle.
Incohérences organisationnelles
L'étude de Venafi révèle en outre des incohérences organisationnelles. Car dans une majorité d’entreprises, les équipes de sécurité informatique ont toujours tendance à être responsables de la sécurité de cette supply chain, quand bien même, à l'ère du cloud, des microservicee et autres API, elles n'ont souvent pas de visibilité sur ce que font les équipes d'ingénierie logicielle. De plus, dans un tiers des firmes, les équipes infosec peuvent recommander des contrôles de sécurité mais ne peuvent pas les faire appliquer. Sans compter que les responsables de la cybersécurité accordent peu de confiance aux développeurs, dont la plupart sont soupçonnés de contourner les mesures de sécurité dans le souci de livrer des produits et services plus rapidement.
