De nombreuses entreprises ne sont malheureusement pas préparées à se défendre contre les cyberattaques de la chaîne d’approvisionnement, malgré un certain nombre d’incidents très médiatisés réussis et l’augmentation de la sensibilisation, selon de nouvelles recherches.
Un sondage réalisé auprès de 1 000 DSI par Venafi a révélé que 82 % des répondants se disaient vulnérables aux cyberattaques ciblant les chaînes d’approvisionnement en logiciels.
Depuis la pandémie de Covid-19 et la vitesse croissante de développement (grâce à des technologies telles que DevOps), la sécurisation de la chaîne d’approvisionnement est devenue une tâche infiniment plus complexe, selon le rapport. La façon dont les ingénieurs logiciels se comportent n’aide pas non plus. Près de neuf DSI sur dix (87 %) pensent que les ingénieurs et les développeurs de logiciels font des compromis sur les politiques et les contrôles de sécurité afin de commercialiser plus rapidement de nouveaux produits et services.
Amélioration de la sécurité
En conséquence, les entreprises sont plus vulnérables, avec des incidents tels que SolarWinds ou Kaseya, qui ne font que donner du crédit à la réclamation. Le succès des attaques antérieures de la chaîne d’approvisionnement a également motivé davantage les cybercriminels à consacrer encore plus de temps et de ressources à la pratique, a-t-on déclaré.
Cependant, il semble que les PDG prennent note de ces menaces, le rapport ajoutant que 85 % des DSI ont été spécifiquement chargés par les chefs d’« améliorer la sécurité des environnements de construction et de distribution de logiciels ». Dans le même temps, 84 % ont déclaré que le budget dédié à la sécurité des environnements de développement logiciel avait augmenté au cours des 12 derniers mois.
« Les pirates ont découvert que les attaques réussies de la chaîne d’approvisionnement, en particulier celles qui ciblent les identités des machines, sont extrêmement efficaces et plus rentables », a déclaré Kevin Bocek, vice-président du renseignement sur les menaces et du développement commercial chez Venafi.
Selon Bocek, l’une des raisons pour lesquelles les attaques de la chaîne d’approvisionnement connaissent un tel succès est que les développeurs forcent l’innovation et la rapidité, mettant la sécurité au second plan. « Malheureusement, les équipes de sécurité ont rarement les connaissances ou les ressources nécessaires pour aider les développeurs à résoudre ces problèmes et les DSI commencent tout juste à prendre conscience de ces défis », a-t-il ajouté.
Pour relever ces défis, a constaté Venafi, la plupart des DSI (68 %) mettent en œuvre des contrôles de sécurité supplémentaires, tandis que 57 % mettent à jour leurs processus de révision. Un peu plus de la moitié (56 %) étendent leur utilisation de la signature de code, tandis que 47 % examinent la provenance de leurs bibliothèques open source.