Les organisations sont vulnérables aux attaques qui s’en prennent à leurs logiciels libres
Selon CIODive, les organisations manqueraient de politiques pour gérer la sécurité de leurs logiciels libres. Cette faiblesse représenterait une préoccupation majeure pour les experts en sécurité de l’information et les responsables gouvernementaux.
Selon les experts, les logiciels libres ont transformé la façon dont les développeurs travaillent et ont apporté plus d’efficacité, d’innovation et de rapidité dans la conception de nouvelles applications. Cependant, leur utilisation massive en fait une cible de choix pour les cyberpirates. Effectivement, ces derniers auraient constaté qu’il est peut-être plus facile de s’attaquer à la chaîne d’approvisionnement des logiciels libres que de chercher des vulnérabilités dans les applications des utilisateurs finaux.
À ce sujet, TechCrunch rappelle qu’en 2017, Equifax – l’une des plus grandes agences de notation de crédit au monde – a été victime d’une intrusion de cyberpirates qui ont profité d’une vulnérabilité non corrigée dans l’Apache Struts, un serveur Web libre. Quelque 143 millions de consommateurs dans le monde ont été affectés. La plupart se trouvaient aux États-Unis, mais il y en avait aussi au Canada et au Royaume‑Uni. Notons que la Homeland Security américaine avait émis un avertissement quelques mois auparavant au sujet de ces vulnérabilités.
À ce qu’il paraît, les vulnérabilités persistent. Selon une étude conjointe du Linux Foundation et de Snyk, un pourcentage important des organisations (40 %) ne feraient pas tellement confiance à la sécurité de leurs logiciels libres tandis que seulement la moitié auraient mis en place une politique de sécurité liée à la conception ou à l’utilisation de ce type de logiciels. Ces conclusions font écho à une étude de Forrester (2021), qui montre que les deux tiers des personnes interrogées ont estimé que leur organisation avait été victime d’une violation au moins une fois au cours des 12 mois précédents.
La conséquence de cette faiblesse est l’augmentation du temps nécessaire pour corriger les vulnérabilités des logiciels libres. Apparemment, il aurait plus que doublé. En 2018, les vulnérabilités étaient corrigées en 41 jours, alors qu’en 2021, cela prenait 110 jours.
CIODive explique que ces retards entraînent des risques. En effet, puisque chaque année, les informaticiens conçoivent un grand nombre de nouveaux logiciels libres, les organisations n’ont pas d’autre choix que de se concentrer seulement sur les vulnérabilités qui semblent les plus critiques. Éventuellement, les failles moins graves peuvent ne pas être corrigées, et leur persistance dans l’écosystème informatique représenterait un défi pour les organisations quant à la gestion de la sécurité logicielle.
Selon CIODive, les organisations manqueraient de politiques pour gérer la sécurité de leurs logiciels libres. Cette faiblesse représenterait une préoccupation majeure pour les experts en sécurité de l’information et les responsables gouvernementaux.
Selon les experts, les logiciels libres ont transformé la façon dont les développeurs travaillent et ont apporté plus d’efficacité, d’innovation et de rapidité dans la conception de nouvelles applications. Cependant, leur utilisation massive en fait une cible de choix pour les cyberpirates. Effectivement, ces derniers auraient constaté qu’il est peut-être plus facile de s’attaquer à la chaîne d’approvisionnement des logiciels libres que de chercher des vulnérabilités dans les applications des utilisateurs finaux.
À ce sujet, TechCrunch rappelle qu’en 2017, Equifax – l’une des plus grandes agences de notation de crédit au monde – a été victime d’une intrusion de cyberpirates qui ont profité d’une vulnérabilité non corrigée dans l’Apache Struts, un serveur Web libre. Quelque 143 millions de consommateurs dans le monde ont été affectés. La plupart se trouvaient aux États-Unis, mais il y en avait aussi au Canada et au Royaume‑Uni. Notons que la Homeland Security américaine avait émis un avertissement quelques mois auparavant au sujet de ces vulnérabilités.
À ce qu’il paraît, les vulnérabilités persistent. Selon une étude conjointe du Linux Foundation et de Snyk, un pourcentage important des organisations (40 %) ne feraient pas tellement confiance à la sécurité de leurs logiciels libres tandis que seulement la moitié auraient mis en place une politique de sécurité liée à la conception ou à l’utilisation de ce type de logiciels. Ces conclusions font écho à une étude de Forrester (2021), qui montre que les deux tiers des personnes interrogées ont estimé que leur organisation avait été victime d’une violation au moins une fois au cours des 12 mois précédents.
La conséquence de cette faiblesse est l’augmentation du temps nécessaire pour corriger les vulnérabilités des logiciels libres. Apparemment, il aurait plus que doublé. En 2018, les vulnérabilités étaient corrigées en 41 jours, alors qu’en 2021, cela prenait 110 jours.
CIODive explique que ces retards entraînent des risques. En effet, puisque chaque année, les informaticiens conçoivent un grand nombre de nouveaux logiciels libres, les organisations n’ont pas d’autre choix que de se concentrer seulement sur les vulnérabilités qui semblent les plus critiques. Éventuellement, les failles moins graves peuvent ne pas être corrigées, et leur persistance dans l’écosystème informatique représenterait un défi pour les organisations quant à la gestion de la sécurité logicielle.