Une récente étude, menée en avril 2024 par Blackberry, révèle que les organisations publiques et privées demeurent vulnérables aux cyberattaques visant leur chaîne d’approvisionnement logicielle. Ce constat survient malgré l’impact considérable de l’affaire SolarWinds en 2020, qui avait révélé l’ampleur des risques associés à la sécurité des logiciels. Lors de cet incident, des cybercriminels avaient infiltré la plateforme Orion de SolarWinds, compromettant ainsi les systèmes informatiques de près de 18 000 organisations, dont plusieurs départements clés du gouvernement américain et de grandes entreprises telles que Microsoft. Ce précédent avait pourtant souligné la nécessité d’un renforcement de la sécurité des chaînes logicielles.
Blackberry, spécialiste de la cybersécurité dans l’Internet des objets, a interrogé un millier de décideurs informatiques à travers le monde pour évaluer l’impact financier et réputationnel des cyberattaques depuis l’affaire SolarWinds. Bien que celle-ci ait conduit à un durcissement des régulations, tant aux États-Unis qu’en Europe, l’étude met en lumière une prise de conscience encore limitée des risques. Près de 75 % des chaînes d’approvisionnement logicielles ont subi une attaque au cours des 12 derniers mois, souvent via des éditeurs de logiciels que les entreprises ne surveillaient pas ou peu. De plus, seules 51 % des organisations affectées ont pu se remettre des perturbations en moins d’une semaine, contre 53 % en 2022, soulignant une stagnation dans les capacités de réponse.
Malgré la reconnaissance des dangers, notamment financiers et réputationnels, les entreprises continuent de faire aveuglément confiance à leurs fournisseurs pour identifier et prévenir les vulnérabilités. Deux répondants sur cinq déclarent réaliser un inventaire cyber de leur chaîne logicielle, mais ces actions restent entravées par un manque de compréhension technique et d’outils adéquats. Par ailleurs, la majorité des organisations préfère taire les failles détectées, craignant pour leur réputation, malgré les recommandations en faveur de la transparence dans la gestion des crises.