Home » Les dirigeants ne font pas de la sécurité de la chaîne d’approvisionnement logicielle une priorité, selon un rapport

Les dirigeants ne font pas de la sécurité de la chaîne d’approvisionnement logicielle une priorité, selon un rapport

by Nouvelles

Brief de plongée :

  • Alors que l’industrie du logiciel lutte pour se remettre d’une crise de sécurité de la chaîne d’approvisionnement, une étude montre que les dirigeants de l’industrie disent les bonnes choses, mais font très peu pour étayer la rhétorique par des actions décisives pour assurer la sécurité des fournisseurs.
  • Environ 94 % des responsables informatiques et de développement ont convenu que les fournisseurs de logiciels devraient avoir des conséquences, notamment des amendes et une responsabilité légale accrue, pour ne pas avoir sécurisé leur processus de construction, selon une étude de Venafi publiée mardi. L’enquête menée auprès de plus de 1 000 professionnels de l’informatique et du développement comprenait 193 cadres chargés à la fois de la sécurité et du développement de logiciels.
  • Cependant, la plupart des personnes interrogées n’ont pas fait grand-chose pour accroître l’examen minutieux du processus d’achat de logiciels. Les personnes interrogées sont également divisées sur le côté de l’allée qui est responsable de la sécurité des logiciels, avec 48% déclarant que la sécurité informatique est responsable, tandis que 46% déclarent que les équipes de développement sont responsables.

Aperçu de la plongée :

La déconnexion entre la rhétorique et la performance dans les secteurs du développement de logiciels et de la sécurité fait partie d’un débat interne sur le secteur qui devrait prendre les devants, selon un chercheur clé en sécurité chez Venafi.

L’enquête montre que 97% des personnes interrogées conviennent que les fournisseurs de logiciels doivent améliorer la sécurité de leur processus de construction et de signature de code. De plus, 96 % conviennent que les fournisseurs de logiciels doivent garantir l’intégrité du code inclus dans les mises à jour logicielles.

Cependant, le rapport montre que l’industrie n’a pas fait grand-chose pour étayer ces propos par des changements spécifiques dans la façon dont ils contrôlent leurs pratiques.

Plus de la moitié des personnes interrogées ont déclaré que l’attaque de l’État-nation contre SolarWinds n’avait eu aucun impact sur leurs préoccupations concernant l’utilisation de logiciels. L’attaque SolarWinds impliquait un processus d’insertion de logiciels malveillants dans la plate-forme Orion via une porte dérobée.

« L’ensemble de l’industrie technologique doit changer la façon dont nous concevons et achetons des logiciels », a déclaré Kevin Bocek, vice-président de la stratégie de sécurité et des renseignements sur les menaces chez Venafi. “Une grande partie de la déconnexion vient de la confusion importante liée à qui est responsable de la sécurité du pipeline logiciel.”

La recherche fait suite à plusieurs attaques majeures qui ont révélé des faiblesses dans la chaîne d’approvisionnement logicielle, depuis fin 2020. En juillet, une attaque de ransomware par REvil a ciblé la plate-forme de surveillance à distance Kaseya. L’administration Biden a déclaré qu’elle faire de la sécurité des logiciels une priorité après le Vents solaires attaque.

You may also like

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.