Mise en garde vis-à-vis des cyberattaques : Equifax n’est probablement que la première victime connue

Le nouveau rapport « Réalité ou Fiction » de Flexera met en lumière un risque au niveau de la chaîne d’approvisionnement de logiciels : le code open source est disponible partout, mais les éditeurs ignorent les risques auxquels ils s’exposent.

Flexera, À l’heure où 143 millions de clients d’Equifax continuent de ramasser les pots cassés suite au piratage de leurs numéros de sécurité sociale, dates de naissance, permis de conduire, adresses et numéros de cartes de crédit, Flexera émet une mise en garde par rapport au risque de multiplication des incidents et failles dans les mois et années à venir.

Flexera, l’éditeur qui réinvente l’achat, la vente, la gestion et la sécurisation des logiciels, a interrogé plus de 400 éditeurs, fabricants de dispositifs connectés et intelligents (IdO) et équipes internes de développement dans le cadre de son rapport sur les risques de l’open source : réalité ou fiction . Bien que les logiciels open source (OSS) permettent aux éditeurs de faire preuve d’agilité et d’accélérer le développement de leurs produits, cette enquête révèle l’existence de risques au niveau de la chaîne d’approvisionnement nécessitant toute l’attention des fournisseurs et des fabricants.

Les cybercriminels qui ont potentiellement accédé aux données personnelles des clients d’Equifax ont exploité la vulnérabilité CVE-2017-5638 au niveau d’Apache Struts. Ce framework pour serveurs Web est un composant open source très populaire. Il est utilisé par les entreprises au sein de leurs systèmes commerciaux et internes afin de récupérer et de distribuer des données. L’utilisation typique de ce composant open source en fait une cible privilégiée pour les tentatives de cyberattaques.

Selon le rapport de Flexera, 50 % de l’ensemble du code au sein de produits commerciaux et IdO provient de logiciels open source, ce qui présente des risques au vu des mauvaises pratiques courantes :

· L’absence de stratégie relative aux composants OSS est une mauvaise stratégie : seuls 37 % des répondants ont mis en œuvre une stratégie relative à l’acquisition ou l’utilisation de composants open source ;

o Les autres n’ont pas, ou ignorent si une telle politique a été mise en place.

· Personne n’est responsable des composants OSS : 39 % des répondants affirment que personne n’est responsable de la conformité des composants open source dans leur entreprise, ou ignorent de qui il s’agit.

· Les contributeurs de logiciels open source ne suivent pas les meilleures pratiques : 33 % des personnes interrogées affirment que leur entreprise contribue à des projets open source.

o Pourtant, sur les 63 % de répondants dont l’organisation n’a mis en place aucune stratégie relative à leur acquisition ou leur utilisation, 43 % affirment contribuer à de tels projets.

« Tous ces problèmes ne doivent pas nous faire perdre de vue que l’open source reste un modèle gagnant. La disponibilité de code prêt à l’emploi permet d’accélérer le lancement des produits, ce qui est important compte tenu du rythme auquel évolue le monde des logiciels, déclare Jeff Luszcz, vice-président de la gestion des produits chez Flexera. Cependant, la plupart des développeurs n’assurent aucun suivi de l’utilisation de composants open source, et la majorité des responsables des logiciels n’ont pas conscience de la faille ouverte et du risque de sécurité et de conformité. »

Que retenir de ce rapport pour les éditeurs de logiciels et les fournisseurs de dispositifs IdO ? Les processus permettant de gérer la sécurité et les licences des logiciels open source ne sont pas adaptés pour faire face à l’adoption rapide de ces composants, ce qui représente un risque à la fois pour les entreprises et ses clients.

« Les processus de gestion des OSS protègent à la fois les produits et la réputation des marques. Mais la plupart des éditeurs et des fabricants de produits IdO ne ne sont pas conscients du problème, et n’assurent donc pas leur protection et celle de leurs clients, poursuit Jeff Luszcz. Cela met en danger l’intégralité de la chaîne d’approvisionnement : pour les éditeurs, dont les produits sont exposés à des risques de conformité et de failles, mais aussi pour leurs clients, qui ignorent généralement totalement qu’ils utilisent des composants open source et autres logiciels tiers, ou que ceux-ci peuvent être vulnérables. »

lundi 23 octobre 2017
Communiqué de presse
Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn

Les commentaires sont fermés.

Contactez-nous
8 avenue du Maine, 75015 Paris
Tél. : +33 1 53 63 27 27

Yucatan, créée il y a plus de 20 ans et dirigée par Evelyne Martin et Caroline Prince, est la première agence de relations médias spécialisée dans la valorisation de l’innovation dans les secteurs de la high-tech, du digital, de l’industrie, du bâtiment et des sciences. L’agence Yucatan participe au développement de la réputation de ses clients. Yucatan vous présente ici son Blog, que vous pouvez suivre en vous inscrivant à la newsletter.