supply chain
On s’en souvient. En 2021, une faille zero day était identifiée dans Log4Shell, une bibliothèque open source très populaire employée dans des milliers d’applications. Pour les organisations, une course était soudain lancée: il fallait patcher au plus vite et, avant cela, déterminer les applications de l’environnement intégrant le composant vulnérable – ce que beaucoup d’entreprises eurent toutes les peines à faire.
L’événement a déclenché une prise de conscience et la sécurisation de la supply chain logicielle fait depuis l’objet d’un regain d’attention. De nombreux outils et pratiques ont ainsi émergé ces deux dernières années, tant pour dresser l’inventaire des dépendances des applications, que pour surveiller et corriger leurs vulnérabilités dès qu’elles apparaissent. La question a aussi pour effet de faire remonter la prise en compte de la sécurité en amont de la software factory, les DevOps se muant en DevSecOps, ainsi que l’évoquent Oscar Prado de Romande Energie et Yann Albou de Sokube.
Connaître les dépendances et patcher rapidement les vulnérabilités, c’est bien. Eviter leur présence, c’est mieux. Dans cet esprit, des réglementations veulent faire porter la responsabilité aux fournisseurs logiciels. Si la démarche est logique, elle peine cependant à s’appliquer aux logiciels et composants libres, mis au point et maintenus par des développeurs peu ou pas rémunérés. De nouvelles formules devront être inventées pour gagner en sécurité tout en préservant ce modèle à succès.
Par analogie avec l’image de couverture de ce numéro, on pourrait dire que la sécurité du trapéziste n’échoit pas seulement à celui qui le réceptionne, mais à l’ensemble des composants et intervenants, et dépend même plus largement, d’une culture de responsabilité au sein des organisations.
Mots-clés : cybersécurité, sécurité informatique, protection des données, menaces cybernétiques, veille cyber, analyse de vulnérabilités, sécurité des réseaux, cyberattaques, conformité RGPD, NIS2, DORA, PCIDSS, DEVSECOPS, eSANTE, intelligence artificielle, IA en cybersécurité, apprentissage automatique, deep learning, algorithmes de sécurité, détection des anomalies, systèmes intelligents, automatisation de la sécurité, IA pour la prévention des cyberattaques.
Bots et IA biaisées : une menace silencieuse pour la cybersécurité des entreprises Introduction Les…
Cloudflare en Panne : Causes Officielles, Impacts et Risques pour les Entreprises Le 5 décembre…
Introduction La cybersécurité est aujourd’hui une priorité mondiale. Récemment, la CISA (Cybersecurity and Infrastructure Security…
La transformation numérique face aux nouvelles menaces Le cloud computing s’impose aujourd’hui comme un…
Les attaques par déni de service distribué (DDoS) continuent d'évoluer en sophistication et en ampleur,…
Face à l'adoption croissante des technologies d'IA dans les PME, une nouvelle menace cybersécuritaire émerge…
This website uses cookies.