Ce n’est pas parce que le composant que vous ajoutez à votre application est sécurisé aujourd’hui que l’application sera toujours sécurisée demain.
Cela est dû en grande partie à la complexité de la chaîne d’approvisionnement logicielle : le mélange de code propriétaire et open source, d’API et d’interfaces utilisateur, le comportement des applications et les workflows de déploiement qui entrent dans la création d’applications logicielles.
Pour les entreprises développant des logiciels, les problèmes de sécurité à n’importe quel point de cette chaîne, à tout moment, pourraient mettre votre organisation et vos clients en danger. Comment pouvez-vous vous assurer que votre chaîne d’approvisionnement logicielle est sécurisée et le prouver ?
Codebase, risque de sécurité de la chaîne d’approvisionnement
Une faille n’importe où dans la chaîne d’approvisionnement se répercute du point d’origine de la vulnérabilité ou de la violation, parfois jusqu’à l’utilisateur final, et peut avoir des effets dévastateurs. En raison de sa complexité et de sa connectivité, la chaîne d’approvisionnement logicielle présente une surface d’attaque en constante expansion. Par exemple, les acteurs de la menace pourraient tirer parti des logiciels compromis et des communications fréquentes sur les réseaux pour obtenir un accès privilégié aux réseaux et aux organisations. Cela permet à ces mauvais acteurs de contourner la sécurité du périmètre et d’apparaître comme des utilisateurs ou des comptes légitimes, et une fois à l’intérieur – et avec des autorisations – ils pourraient faire des ravages.
Connaissez-vous la composition du logiciel dans vos applications, y compris le code open source et le code propriétaire ? Savez-vous quels composants et versions ils utilisent ? Les logiciels open source sont partout ; il s’agit d’un composant essentiel de tout développement d’applications modernes. Notre analyse des bases de code commerciales dans le rapport Synopsys “Open Source Security and Risk Analysis” montre que presque toutes (98%) les bases de code contiennent des logiciels open source. Et ce chiffre est de 100 % dans les secteurs de l’énergie et des technologies propres, de la cybersécurité, de l’Internet des objets, du matériel informatique et des semi-conducteurs. Le rapport montre également que 81 % des bases de code contiennent au moins une vulnérabilité open source connue.
En raison de la prévalence des logiciels open source, la chaîne d’approvisionnement est plus compliquée et obscure, et implique plus de liens et de dépendances que jamais auparavant. La seule façon d’atténuer le risque est de maintenir la visibilité sur le logiciel open source utilisé et de traiter les zones de risque au fur et à mesure qu’elles sont identifiées.
De plus, votre code propriétaire est écrit par des développeurs, qui n’ont généralement pas beaucoup d’expérience ou de formation en matière de sécurité. Comme pour les logiciels open source, les risques du code propriétaire sont complexes et peuvent être difficiles à identifier, même par des experts en sécurité chevronnés. Cependant, ces vulnérabilités dans votre propre code pourraient servir de points d’entrée vers des données et des systèmes sensibles. C’est pourquoi il est si important de sécuriser les logiciels propriétaires aux côtés du code tiers dans une application.
Attaques de la chaîne d’approvisionnement logicielle
Les pirates informatiques ciblent de plus en plus la chaîne d’approvisionnement car il y a un retour sur investissement élevé. Et parce que les pirates obtiennent ce qu’ils veulent, ces attaques deviennent de plus en plus courantes. Gartner prédit que d’ici 2025, 45 % des organisations dans le monde auront subi des attaques sur leur chaîne d’approvisionnement logicielle. Et en raison des dépendances et de la connectivité, les failles et les vulnérabilités des applications créent un risque pour les organisations à plusieurs degrés du vecteur d’attaque initial.
Bâtir la confiance avec un logiciel
La façon de sécuriser la chaîne d’approvisionnement des logiciels et d’établir la confiance avec vos clients et fournisseurs est d’adopter une approche proactive pour sécuriser la chaîne d’approvisionnement des logiciels avec une nomenclature logicielle (SBOM). Un SBOM, souvent généré par un outil d’analyse de composition logicielle, est un inventaire complet des composants utilisés pour constituer un logiciel. Il répertorie tous les codes open source et propriétaires, les licences associées, les versions utilisées et l’état des correctifs. Un SBOM plus complet comprend également des emplacements de téléchargement pour les composants et les dépendances, ainsi que toutes les sous-dépendances auxquelles les dépendances sont liées. Les éléments spécifiques et la quantité de détails inclus dans un SBOM dépendent de l’organisation et de ses clients et partenaires, de tout organisme de réglementation compétent et des informations dont ils ont besoin. Ces données sont destinées à être partagées entre les entreprises et les communautés, afin de permettre à d’autres organisations de créer leur propre nomenclature logicielle complète.
Durcissement de la chaîne d’approvisionnement
La sécurité est seulement aussi forte que son maillon le plus faible. Les chaînes d’approvisionnement logicielles qui créent les applications modernes d’aujourd’hui sont complexes et compliquées, et tout problème de sécurité le long de la chaîne pourrait exposer votre organisation ou vos clients à un risque d’attaque. Pour gagner la confiance de vos consommateurs et vous conformer aux normes et réglementations de l’industrie, vous devez renforcer votre chaîne d’approvisionnement contre les menaces de sécurité et prouver que vous l’avez fait. Découvrez à quoi ressemble une chaîne d’approvisionnement logicielle, les risques encourus et comment élaborer une approche globale de la sécurité de la chaîne d’approvisionnement afin que votre organisation ne soit pas le maillon le plus faible.
Mike McGuire est directeur principal du marketing produit chez Synopsys, une société américaine d’automatisation de la conception électronique qui se concentre sur la conception et la vérification du silicium, la propriété intellectuelle du silicium et la sécurité et la qualité des logiciels.
