Ouvrir le menu Fermer le menu

< Retour aux évènements

Comment sécuriser sa chaîne d’approvisionnement logicielle ?

ISIT
ISIT

Les failles sur la chaîne d’approvisionnement logicielle explosent

Comment les RSSI peuvent prévenir de manière proactive les menaces et réduire les risques ?

Jeudi 14 Octobre à 11h
Session présentée en Anglais
Votre chaîne d’approvisionnement logicielle est de plus en plus attaquée, ce qui met à rude épreuve les mesures de cybersécurité existantes pour détecter les attaques. Etes-vous sûr de pouvoir compter exclusivement sur des approches purement réactives comme les antivirus, les pare-feu, etc., pour faire face aux menaces et aux failles de sécurité ? Nous savons tous intuitivement que tout logiciel déployé est vulnérable et susceptible d’être attaqué, mais jusqu’à présent, il n’existait aucun moyen de prévenir ces menaces de manière proactive. Jim Routh, ancien RSSI et CSO chez MassMutual, Aetna et CVSHealth, vous présentera une approche de gestion basée sur les risques pour réduire de manière proactive cette menace dans votre organisation.

Présentateurs du webinaire :
  • Jim Routh, ancien RSSI et CSO chez MassMutual, Aetna et CVSHealth
  • Vince Arneja, directeur des produits chez GrammaTech
  • Stan Gibson, modérateur IDG (ancien rédacteur en chef d’eWeek)

Cas d’utilisation de GrammaTech : Sécurité de la chaîne d’approvisionnement logicielle (COTS)

Ce webinaire se focalisera sur la sécurisation de la chaîne d’approvisionnement logicielle et l’analyse des logiciels COTS. Comme le souligne le rapport d’Osterman Research, 100% des logiciels commerciaux prêts à l’emploi couramment utilisés qui ont été analysés contenaient des composants open source vulnérables qui peuvent être exploités par des attaquants. En utilisant CodeSentry, les organisations peuvent rapidement analyser les logiciels COTS en analysant les fichiers binaires pour générer un score de sécurité de haut niveau, une nomenclature logicielle (SBOM) et un rapport de vulnérabilité détaillé. Grâce à ces informations remontées par CodeSentry, les industriels disposent dorénavant d’un levier sans précédent sur les éditeurs de logiciels avec une visibilité qu’ils n’ont jamais eue auparavant. Cela leur permet de prendre des décisions plus éclairées sur les logiciels qu’ils consomment afin de réduire les risques de manière plus proactive et d’améliorer leur stratégie globale de sécurité.

Challenge/Solution :
Le problème actuel avec les logiciels (commerciaux) achetés est qu’ils peuvent contenir des vulnérabilités invisibles pouvant amener des risques de cybersécurité dans votre entreprise. Récemment, Osterman Research a produit des résultats révélateurs sur ce risque. L’étude a révélé que 100% des applications logicielles commerciales largement utilisées (navigateurs Web, courrier électronique, partage de fichiers, réunions en ligne et messagerie) contenaient des vulnérabilités exploitables dans les composants open source. En outre, lorsqu’une enquête sur la sécurité de Forrester Analytics Technographics a demandé « comment l’attaque externe a-t-elle été menée ? », 30 % ont répondu « vulnérabilité logicielle » et le nombre devrait continuer d’augmenter.

Pour cette raison, il ne suffit plus de simplement que de compter sur les éditeurs de logiciels pour garantir la sécurité de leurs produits, mais les industriels doivent vérifier que les applications qu’ils achètent et qu’ils installent sont exemptes de défauts pouvant introduire un risque de cybersécurité dans l’entreprise. La sécurisation de la chaîne d’approvisionnement logicielle est à la fois une approche proactive et un concept novateur qui doit être appliqué pour compléter d’autres mesures défensives, notamment la protection des terminaux, les antivirus, les pare-feu, etc., et ce, afin de réduire les risques et d’améliorer la cybersécurité.

Le défi est que, donner la possibilité aux professionnels d’analyser les applications logicielles commerciales qu’ils utilisent pour voir ce qui constitue ces logiciels et quelles sont les vulnérabilités présentes est un concept très nouveau. GrammaTech est le pionnier d’une nouvelle catégorie d’outils capables d’effectuer une analyse proactive de composition logicielle sur les binaires des applications, d’identifier les composants du logiciel, de détecter les vulnérabilités et d’éditer une nomenclature logicielle (SBOM) complète. Les résultats donnent aux industriels un effet de levier sans précédent sur leurs fournisseurs de logiciels qu’elles n’ont jamais eu auparavant. Ces résultats peuvent être utilisés pour accepter ou rejeter de nouvelles applications logicielles, négocier des conditions avec les fournisseurs et partager les résultats avec eux afin qu’ils puissent corriger les vulnérabilités et améliorer la sécurité de leurs produits et, en fin de compte, la sécurité des organisations.