Les attaques de la chaîne d’approvisionnement continuent d’être un problème mondial pour les organisations. Étant donné que les nouvelles années ont commencé, il y a déjà eu un certain nombre d’attaques de la chaîne d’approvisionnement qui ont déclenché des interruptions importantes.
Des attaques populaires contre la chaîne d’approvisionnement se sont multipliées à l’heure actuelle, impliquant de grandes entreprises telles que SolarWinds, Kaseya, Colonial Pipeline et le fabricant d’aliments JBS. Chacune de ces organisations provient de différents marchés ; chacun est un joueur essentiel dans leurs chaînes d’approvisionnement.
Le problème est que la majorité de ces attaques de ransomware ont été corrigées en rémunérant les cyberattaquants responsables des perturbations pour relancer l’activité. Mais le problème ici est que si les entreprises parviennent à payer une rançon, pourquoi ne transportent-elles pas ces ressources pour protéger leur entreprise ?
Selon la Société de l’Union européenne pour la cybersécurité (ENISA), les attaques de la chaîne d’approvisionnement sont devrait augmenter d’un élément de 4 en 2021. Les dirigeants s’inquiètent désormais progressivement de leur vulnérabilité aux attaques de la chaîne d’approvisionnement des applications logicielles et comprennent l’urgence d’agir.
Néanmoins, une étude de Venafi montre que la majorité d’entre eux ne prennent aucune mesure qui entraînera une modification. Alors que 94% des dirigeants pensent qu’il devrait y avoir des conséquences claires pour les fournisseurs de logiciels qui cessent de travailler pour protéger la stabilité de leurs pipelines de construction d’applications logicielles, la plupart ont en fait peu fait pour modifier la méthode qu’ils évaluent la sécurité du logiciel qu’ils achètent et les assurances qu’ils exigent des sociétés d’applications logicielles.
Qui est vraiment responsable des attaques de la chaîne d’approvisionnement ?
L’étude, qui met en évidence les défis liés à l’amélioration de la sécurité de la chaîne d’approvisionnement des logiciels, a évalué les opinions de plus de 1 000 spécialistes de l’informatique et du développement, composés de 193 cadres chargés à la fois de la sécurité et du développement de logiciels. Les résultats ont révélé que même si les dirigeants étaient à juste titre préoccupés, ils n’ont pas suivi de plans d’action percutants.
« Il existe un décalage clair entre le problème des attaques de la chaîne d’approvisionnement et l’amélioration des contrôles et des processus de sécurité pour atténuer cette menace. « , a déclaré Kevin Bocek, vice-président des méthodes de sécurité et des renseignements sur les menaces chez Venafi.
(Photo de JUSTIN SULLIVAN/ GETTY IMAGES NORTH AMERICA/ Getty Images via AFP)
L’étude a également révélé que presque tous les dirigeants (97 %) pensent que les fournisseurs de services logiciels ont besoin d’améliorer la sécurité de leurs procédures de conception et de finalisation de code d’applications logicielles, tandis que 96 % pensent également que les fournisseurs d’applications logicielles doivent être nécessaires. pour garantir l’intégrité du code dans les mises à jour de leurs applications logicielles.
Dans le même temps, cependant, 55% des dirigeants déclarent que le piratage de SolarWinds a eu peu ou pas d’influence sur les préoccupations qu’ils prennent en compte lors de l’achat de logiciels pour leur bus ité. Au sein de leurs organisations, les dirigeants sont divisés sur qui est responsable de l’amélioration de la sécurité au sein de leurs sociétés de développement d’applications logicielles : 48 % de la sécurité informatique de l’État est responsable, tandis que 46 % des groupes de promotion de l’État sont responsables.
Pour Bocek, les cadres sont idéaux pour s’inquiéter de l’effet des attaques de la chaîne d’approvisionnement. Ces attaques présentent des risques majeurs pour chaque organisation qui utilise des applications logicielles d’entreprise et sont très difficiles à résister. Pour résoudre ce problème systémique, Bocek estime que l’ensemble de l’industrie technologique doit modifier la méthode de création et d’achat de l’application logicielle.
Renforcer la sécurité de la chaîne d’approvisionnement en prenant en charge le point de terminaison exposition directe
« Les cadres ne peuvent pas traiter cela comme un simple problème technique. C’est un danger existentiel. Les cadres et les conseils d’administration doivent exiger que les groupes de sécurité et d’avancement pour les fournisseurs d’applications logicielles fournissent une assurance claire sur la sécurité de leur application logicielle. »
La vérité est que la protection des informations commerciales contre toute attaque, qu’il s’agisse de logiciels malveillants ou de ransomware, est le devoir de l’organisation. Bien qu’ils puissent souhaiter que les fournisseurs d’applications logicielles les aident à construire leur cyber-résilience, en fin de compte, rien de tout cela n’a d’importance s’ils ne partagent pas la responsabilité de sécuriser leur entreprise.
En substance, fournir les attaques en chaîne sont répandues et les cybercriminels ne se soucient pas de savoir qui est en charge de la sécurité. Pour eux, il s’agit d’interférer avec la chaîne d’approvisionnement et de gagner de l’argent.
Jouer au jeu vidéo de blâmer les responsabilités en matière de sécurité ne résoudra rien. Les dirigeants et les fournisseurs de sécurité ont besoin d’interagir pour proposer les meilleurs services pour sécuriser leur service.
Toute l’actualité en temps réel, est sur L’Entrepreneur
