1. Les logiciels tiers sont une bombe à retardement pour la sécurité
L’industrie moderne du logiciel repose sur des composants tiers. Les entreprises intègrent des bibliothèques open-sourceLes entreprises intègrent des bibliothèques open-source, des API et des solutions de fournisseurs pour accélérer le développement et réduire les coûts. Mais lorsque vous vous appuyez sur le code de quelqu’un d’autre, vous héritez également de ses risques, souvent sans le savoir.
La réalité est que la plupart des applications d’aujourd’hui sont construites sur des couches de composants tiers, et que ces composants comportent des vulnérabilités. Les attaquants le savent. Les brèches de SolarWinds et de MOVEit ont prouvé qu’une seule dépendance compromise peut avoir des conséquences catastrophiques pour des milliers d’organisations. Ces problèmes ébranlent des secteurs entiers, perturbent les opérations et mettent en danger les données sensibles des clients.
Adam Ennamli, responsable du risque et de la sécurité à la Banque générale du Canada, ne mâche pas ses mots : « Pratiquement toutes les applications sont aujourd’hui un patchwork complexe de composants tiers. La vitesse de développement des logiciels est essentielle, mais le contrôle l’est tout autant. Si vous ne savez pas ce que contient votre logiciel, vous ne savez pas d’où viendra la prochaine faille.
2. Le manque de visibilité crée d’énormes angles morts en matière de sécurité
La plupart des entreprises n’ont aucune idée de ce qui se passe dans leur environnement logiciel. Il ne suffit pas de rechercher les vulnérabilités. Vous devez avoir une vue d’ensemble – d’où viennent vos composants tiers, comment ils sont maintenus et quand ils sont mis à jour. Sans cela, vous travaillez dans l’obscurité.
Le défi s’accroît à mesure que les entreprises se développent. Les chaînes d’approvisionnement en logiciels sont en constante évolution, avec de nouvelles dépendances ajoutées quotidiennement. Il est donc plus difficile de savoir quelles données sont consultées, qui en a le contrôle et où elles vont. Jeremy Ventura, Field CISO chez Myriad360, souligne les questions clés que chaque dirigeant devrait se poser : « Qui a accès à mes données ? Quel type de données possède-t-on ? Où mes données sont-elles envoyées ? » Il s’agit là de questions fondamentales pour l’entreprise.
Pour les décideurs, la solution est claire : la visibilité doit être une priorité absolue. Sans cela, vous jouez avec la sécurité. Investissez dans des systèmes de suivi qui vous donnent un aperçu en temps réel des dépendances de vos logiciels. Faites-en une initiative à l’échelle de l’entreprise.
3. La sécurité de la chaîne d’approvisionnement n’est pas seulement un problème d’équipe de sécurité
La sécurité des logiciels ne relève pas uniquement de la responsabilité de votre service informatique. Si la sécurité de la chaîne d’approvisionnement n’est pas traitée comme un risque commercial, vous êtes déjà en retard. Elle doit être intégrée à chaque fonction – juridique, développement, approvisionnement, gestion des produits. Chaque équipe qui interagit avec les fournisseurs de logiciels doit être impliquée.
De nombreuses entreprises commettent l’erreur de trop se fier aux évaluations des fournisseurs. Ce n’est pas parce qu’un fournisseur dit qu’il est sûr qu’il l’est. La sécurité doit être vérifiée. Jeremy Ventura insiste sur ce risque : « Il ne faut pas qu’un seul département s’approprie l’ensemble du programme de la chaîne d’approvisionnement… Faire entièrement confiance à une évaluation sans la vérifier peut entraîner des problèmes majeurs à l’avenir. »
« Les dirigeants doivent être à la tête de cet effort. La sécurité doit être intégrée dans toutes les décisions de l’entreprise. Sans ce changement d’état d’esprit, les vulnérabilités passeront toujours inaperçues ».
4. Ignorer les risques liés à la chaîne d’approvisionnement entraîne des dommages financiers et de réputation importants
La plupart des entreprises ne prennent pas au sérieux la sécurité de la chaîne d’approvisionnement en logiciels avant qu’il ne soit trop tard. Une seule violation peut coûter des millions en amendes réglementaires, en pertes de revenus et en atteinte à la réputation. Certaines entreprises ne s’en remettent jamais.
Un exemple concret : Un organisme de soins de santé a récemment été victime d’une violation de données à la suite de l’attaque d’un de ses fournisseurs. Le résultat ? La perte de données de patients, des pénalités de conformité et des conséquences juridiques. La violation n’était même pas de leur faute, mais ils en ont payé le prix.
Les dirigeants qui ignorent les risques liés à la chaîne d’approvisionnement font un pari dangereux. Si la sécurité n’est pas intégrée dès le départ dans les relations avec les fournisseurs, vous êtes exposé. Les clients ne se soucient pas de savoir à qui incombe la responsabilité d’une violation. Ce qui compte pour eux, c’est que leurs données soient sécurisées. Si ce n’est pas le cas, ils s’en vont.
5. Meilleures pratiques : Automatisation, formation et culture de la sécurité
Les entreprises qui réussissent à gérer la sécurité de la chaîne d’approvisionnement font trois choses bien : elles automatisent, elles éduquent et elles créent une culture où la sécurité est la responsabilité de chacun.
L’automatisation est essentielle. Il est impossible de suivre manuellement chaque dépendance logicielle. Les entreprises ont besoin d’outils qui fournissent une nomenclature logicielle (SBOM) – un enregistrement clair de chaque composant tiers dans leur pile logicielle. Grâce à la surveillance en temps réel, les vulnérabilités peuvent être détectées avant qu’elles ne se transforment en brèches à grande échelle.
La formation est tout aussi essentielle. Les développeurs doivent être formés à reconnaître les risques de sécurité. Adam Ennamli propose un chemin clair vers le succès : « Une communication fréquente entre les équipes de développement, les équipes de sécurité et les chefs d’entreprise… plus d’éducation et d’expérimentation autour de concepts tels que les SBOM… et une culture dans laquelle les développeurs se sentent habilités à soulever des questions sur des paquets suspects. »
La sécurité doit devenir une seconde nature pour tous les membres de l’organisation, des ingénieurs aux dirigeants. Lorsque la sécurité est intégrée à la culture de l’entreprise, les risques diminuent et la résilience augmente.
6. La sécurité doit être intégrée dans le processus de développement
La plupart des entreprises traitent la la sécurité comme une réflexion après coup. Elles développent d’abord des logiciels, puis essaient de les sécuriser plus tard. Cette stratégie est vouée à l’échec. La sécurité doit être intégrée au processus de développement dès le premier jour.
Joseph Leung, directeur technique et chef de produit chez JAVLIN Invest, a vu de ses propres yeux comment les entreprises se débattent avec ce problème : « Nous automatisons le suivi des dépendances avec des outils tels que OWASP Dependency-Check, mais on ne peut pas s’y fier seul. » Son conseil ? Faites de la sécurité une fonction essentielle du développement, et non un processus externe.
Cela signifie qu’il faut mettre en place des politiques strictes pour contrôler les bibliothèques tierces avant de les intégrer. Cela signifie qu’il faut réaliser des audits de sécurité dans le cadre du cycle de développement, et pas seulement avant le déploiement. Et cela signifie que la sécurité doit être la responsabilité de chaque ingénieur.
« Les entreprises qui intègrent la sécurité dans leur processus de développement bénéficient d’un avantage concurrentiel. Les logiciels sécurisés renforcent la confiance, et la confiance renforce les entreprises ».
7. La collaboration interfonctionnelle est la clé de la sécurité de la chaîne d’approvisionnement
Les équipes informatiques et de développement doivent travailler en étroite collaboration avec les services juridiques, les services d’approvisionnement et la direction pour s’assurer que la sécurité est intégrée à chaque étape de la chaîne d’approvisionnement.
Adam Martin, directeur de l’informatique et des opérations chez American Structurepoint, en souligne l’importance : « Les équipes informatiques et de développement doivent analyser et mettre à jour activement les systèmes, tandis que les services juridiques et d’approvisionnement doivent vérifier les pratiques des fournisseurs en matière de sécurité. En l’absence d’harmonisation entre les services, des lacunes en matière de sécurité apparaîtront.
Les dirigeants doivent favoriser cette collaboration. La sécurité ne doit pas être considérée comme un obstacle, mais comme un élément central de la stratégie commerciale de l’entreprise. Les entreprises qui adoptent cette approche seront mieux protégées, plus résistantes et, en fin de compte, plus prospères.
Dernières réflexions
La sécurité est soit intégrée dès le départ, soit réparée après un désastre. Les entreprises qui prennent au sérieux la sécurité de la chaîne d’approvisionnement en logiciels instaurent la confiance, protègent leurs résultats et gardent une longueur d’avance sur la concurrence. Celles qui ne le font pas l’apprendront à leurs dépens.
Les dépendances à l’égard des tiers sont inévitables, mais la confiance aveugle n’est pas une stratégie. La visibilité est essentielle. Chaque chef d’entreprise doit savoir ce qui fonctionne dans son environnement, qui le maintient et comment il est mis à jour. La sécurité ne peut pas être une liste de contrôle – elle doit être une responsabilité partagée entre les équipes, intégrée dans le processus de développement et renforcée par l’automatisation et la surveillance en temps réel.
Les meilleures organisations considèrent la sécurité comme un avantage concurrentiel. Lorsque la sécurité fait partie de la culture de l’entreprise, l’innovation progresse plus rapidement, les clients restent fidèles et les risques sont gérés avant qu’ils ne deviennent des problèmes. C’est l’avenir. Si vous ne le faites pas, vous ne ferez qu’attendre une faille inévitable.
