Nous sommes ravis de ramener Transform 2022 en personne le 19 juillet et virtuellement du 20 au 28 juillet. Rejoignez les leaders de l’IA et des données pour des discussions approfondies et des opportunités de réseautage passionnantes. Inscrivez-vous aujourd’hui!
Coalfire a publié un rapport sur le risque de la chaîne d’approvisionnement des logiciels. L’étude révèle des augmentations de budget et une demande croissante des entreprises pour davantage de tests, de formation et d’améliorations des processus afin de mieux protéger les actifs numériques compte tenu de la gravité du risque de la chaîne d’approvisionnement logicielle.
L’enquête menée auprès de 300 répondants d’entreprises d’achat et de production de logiciels capture l’impact des récents événements cybernétiques tels que le président Biden. Décret exécutif (EO) sur la cybersécurité et les retards d’approvisionnement liés au COVID-19. Le rapport révèle les actions entreprises par les entreprises pour relever ces défis.
Décret exécutif (EO) 14028, “Improving the Nation’s Cybersecurity” pousse les agences à adopter les principes de cybersécurité Zero Trust et à ajuster leurs architectures réseau en conséquence. Sounil Yu, responsable de la sécurité de l’information chez JupiterOne, a déclaré : « Les équipes de sécurité doivent savoir ce qu’elles défendent. Lorsque des vulnérabilités sont découvertes, une nomenclature logicielle (SBOM) aide les équipes de sécurité à commencer à évaluer leur exposition à ces vulnérabilités et à agir immédiatement. Yu a poursuivi : « Sans SBOM, le délai de correction de ces vulnérabilités peut s’étendre sur des mois ou des années, car les équipes de sécurité doivent attendre la notification de chaque fournisseur.
Un SBOM est une sorte de bordereau d’expédition répertoriant les packages et les bibliothèques qui sont entrés dans votre application, ainsi que la relation avec d’autres applications. C’est crucial dans une atmosphère de tolérance zéro.
Augmentation de la sensibilisation au niveau de la direction
Le rapport résume la gravité des risques liés à la chaîne d’approvisionnement des logiciels et fournit les meilleures pratiques aux acheteurs et aux vendeurs de logiciels pour atténuer efficacement les menaces. Plus de 50 % des conseils d’administration d’entreprises acheteuses de logiciels expriment des inquiétudes, ce qui pourrait indiquer que la responsabilité du risque lié à la chaîne d’approvisionnement des logiciels n’est plus confinée aux équipes techniques.
Cinquante-neuf pour cent des développeurs de logiciels signalent que leurs clients ont subi des retards d’achat allant jusqu’à trois mois en raison de problèmes de provenance du code – comment et où il a été produit, qui en était propriétaire, où il était stocké – en particulier en ce qui concerne les logiciels codés dans des pays étrangers.
Compte tenu des exigences de la nomenclature des logiciels (SBOM) dans l’EO du président, 54 % des organisations se recentrent sur le cycle de vie du développement logiciel (SDLC). Les chefs d’entreprise prévoient d’investir massivement dans la gestion des risques de la chaîne d’approvisionnement logicielle, avec plus d’un tiers susceptibles d’allouer au moins 10 % de leur budget de sécurité des applications aux processus spécifiques à la chaîne d’approvisionnement.
“Avec 71 % des personnes interrogées indiquant que devops est désormais à la tête de la prise de décision en matière de chaîne d’approvisionnement numérique, nous avons clairement atteint un tournant dans l’évolution de la gestion de la sécurité”, a déclaré Dan Cornell, vice-président de la stratégie produit de Coalfire. “C’est une excellente nouvelle pour les acheteurs de logiciels, car ce changement créera finalement des applications plus solides avec moins de vulnérabilités.”
Joshua Corman, ancien stratège en chef du groupe de travail CISA COVID-19, fondateur de I Am The Calvary et auteur de l’avant-propos du rapport, a déclaré : « La force des applications est essentielle pour établir et maintenir la confiance entre les développeurs de logiciels et les acheteurs ou opérateurs de logiciels. La confiance que nous accordons à notre infrastructure numérique doit être proportionnelle à la fiabilité et à la transparence de cette infrastructure – et aux conséquences que nous encourrons si cette confiance est mal placée.
Les tests tiers sont une option de plus en plus attrayante pour gérer les risques de sécurité de la chaîne d’approvisionnement, car les tests internes sur l’ensemble de la chaîne d’approvisionnement d’entreprise actuelle nécessitent souvent des effectifs supplémentaires dotés de compétences élevées et d’un salaire élevé.
La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir des connaissances sur la technologie d’entreprise transformatrice et d’effectuer des transactions. En savoir plus sur l’adhésion.
