La menace croissante de la chaîne d’approvisionnement logicielle : mettre en place une défense unifiée

Les acteurs malveillants ont exploité leur avantage face aux chaînes d’approvisionnement de logiciels vulnérables en multipliant les attaques de manière exponentielle. Les entreprises ont été freinées dans leur riposte par l’absence de consensus interne sur leurs capacités et pratiques en matière de sécurité. Les résultats d’une enquête récente ont révélé de multiples domaines de décalage entre les cadres supérieurs/gestionnaires (« cadres ») et le personnel de terrain (« acteurs »).

Les dirigeants ont tendance à avoir une vision comparativement plus positive de la situation en matière de sécurité de leur organisation. Par rapport aux acteurs, les dirigeants pensaient qu’ils mettaient en œuvre davantage de pratiques de sécurité, utilisaient davantage de solutions et se défendaient plus efficacement contre les risques open source. De la même manière, ils ont sous-estimé le temps que leurs équipes consacraient à la correction des vulnérabilités et à l’approbation des progiciels.

Les dirigeants et les acteurs avaient également des perceptions très différentes en ce qui concerne l’intégration de l’intelligence artificielle (IA) et de l’apprentissage automatique (ML) dans les applications logicielles et pour l’analyse de sécurité automatisée.

Les résultats de la recherche ont également révélé des préoccupations spécifiques à la région concernant la sécurité de la CSS.

Amérique du Nord

Les organisations basées en Amérique du Nord (NA) ont tendance à adopter plus rapidement les modèles de ML que celles basées en Europe, au Moyen-Orient et en Afrique (EMEA) ou en Asie-Pacifique (APAC). En outre, les organisations américaines semblent plus à l’aise lorsqu’il s’agit d’utiliser des outils d’IA et de ML pour la création de code.

Ces résultats suggèrent que la course à l’IA est plus intense en Amérique du Nord, où les géants technologiques de la Silicon Valley ont investi massivement dans son développement, que dans les régions EMEA ou APAC.

Europe, Moyen-Orient et Afrique

D’après les résultats de l’enquête, il est clair que les organisations de la région EMEA font preuve de plus de prudence en matière de risque SSC que dans d’autres régions du monde. Ils sont par exemple moins enclins à déployer des logiciels sur des appareils Internet des objets (IoT). En outre, il existe une plus grande résistance à l’intégration de l’IA et du ML dans les logiciels, probablement en raison de problèmes de sécurité et de conformité.

Comparé à l’Amérique du Nord et à l’Asie, l’environnement réglementaire est beaucoup plus strict en Europe, où les organisations sont sensibles aux exigences du règlement général sur la protection des données (RGPD), de la loi sur la cybersécurité et d’autres directives clés.

Pourtant, malgré leur réponse mesurée aux technologies logicielles émergentes, les réponses à l’enquête indiquent que les organisations de la région EMEA sont conscientes du potentiel des outils d’IA et de ML et sont disposées à envisager des moyens de les intégrer dans leurs SSC.

Asie-Pacifique

L’une des distinctions notables des organisations basées en Asie-Pacifique est leur empressement relatif à intégrer l’IA et le ML pour l’analyse et la correction. D’après les résultats de l’enquête, ils sont également très à l’aise avec l’utilisation des outils d’IA et de ML pour la création de code.

Cela pourrait être problématique. Si rien n’est fait, l’enthousiasme des organisations de la région APAC pour ces technologies émergentes pourrait les exposer à des risques de sécurité plus importants pour SSC.

Conclusion

Les dirigeants d’entreprise sont impatients de combler les écarts de perception et d’adopter une solution complète et unifiée pour renforcer la sécurité de SSC. Qu’ils soient basés en Amérique du Nord, dans la région EMEA ou en APAC, les dirigeants sont désireux d’établir une posture de défense de sécurité SSC unifiée pour leurs organisations. Ce qu’il faut, c’est une solution complète qui englobe l’automatisation, utilise des modèles d’IA et de ML et donne la priorité à l’intégration tout au long du cycle de vie du développement logiciel.