Les organisations sont confrontées à des menaces de cybersécurité imminentes en raison d’une surveillance inadéquate des actifs informatiques

Republié par Platon

Suiveurs: 0

Les organisations sont confrontées à des menaces de cybersécurité imminentes en raison d'une surveillance inadéquate des actifs informatiques

ITAM n’est pas une solution unique ; il s'agit d'un processus continu qui nécessite une évaluation et un ajustement réguliers pour s'aligner sur l'évolution des besoins de l'entreprise.

RIEGELSVILLE, Pennsylvanie (PRWEB) 18 juillet 2023

La gestion des actifs informatiques (ITAM) utilise des informations financières, contractuelles et d'inventaire pour surveiller et prendre des décisions stratégiques concernant les actifs informatiques. Son objectif principal est de garantir une utilisation efficace et efficiente des ressources informatiques. En réduisant le nombre d’actifs utilisés et en prolongeant leur durée de vie, ITAM permet d’éviter des mises à niveau coûteuses. Comprendre le coût total de possession et améliorer l'utilisation des actifs font partie intégrante d'ITAM.(1) Walt Szablowski, fondateur et président exécutif d'Eracent, qui offre une visibilité complète sur les réseaux de ses grandes entreprises clientes depuis plus de deux décennies, conseille : « ITAM n'est pas une solution unique ; il s'agit d'un processus continu qui nécessite une évaluation et un ajustement réguliers pour s'aligner sur l'évolution des besoins de l'entreprise. Il joue un rôle crucial dans la stratégie de cybersécurité plus large et doit être intégré de manière transparente aux processus de gestion des services informatiques et au cadre de gestion des risques d’une organisation.

Les actifs informatiques comprennent le matériel et les logiciels, tels que les systèmes d'exploitation, les ordinateurs et les serveurs. Les actifs peuvent être « tangibles » (appareils) ou « immatériels » (logiciels). La gestion des actifs informatiques implique l'identification, le suivi et la maintenance des actifs individuels grâce à des mises à jour régulières, la résolution des problèmes de fonctionnalité, la fourniture de rappels de renouvellement d'abonnement et la garantie que les actifs informatiques sont remplacés ou mis à niveau lorsqu'ils deviennent obsolètes et ne peuvent pas recevoir de mises à jour de sécurité.(2)

La gestion des logiciels et du matériel informatique comprend l’identification et la gestion des cyber-vulnérabilités. Tous les actifs présentent des vulnérabilités en matière de cybersécurité, la gestion des cybermenaces est donc essentielle. Un nouveau processus d'identification des vulnérabilités des logiciels open source associés aux logiciels achetés est contenu dans une nomenclature logicielle (SBOM) qui fait désormais partie de la documentation fournie par les éditeurs de logiciels.

Une nomenclature logicielle (SBOM) est un inventaire complet des composants, bibliothèques et modules nécessaires à la construction d'un logiciel particulier et de leurs relations respectives avec la chaîne d'approvisionnement. Des études révèlent que 37 % des logiciels installés restent inutilisés. La suppression des logiciels et du matériel inutilisés réduit les vulnérabilités et évite les dépenses inutiles. En réduisant la surface d'attaque, l'exposition globale à la sécurité est minimisée.(3)

L'ITAM va au-delà de l'inventaire des actifs en exploitant les données capturées pour augmenter la valeur commerciale. Il réduit les coûts, élimine le gaspillage et améliore l'efficacité en évitant les acquisitions d'actifs inutiles et en optimisant les ressources actuelles. ITAM permet des migrations, des mises à niveau et des modifications plus rapides et plus précises, améliorant ainsi l'agilité organisationnelle.(4)

Les logiciels open source (OSS) sont largement utilisés dans le développement d'applications modernes. Cependant, le rapport OSSRA (Open Source Security and Risk Analysis) de 2023, qui examine les vulnérabilités et les conflits de licences trouvés dans environ 1,700 17 bases de code dans 88 secteurs, révèle des dangers opérationnels importants. Un nombre inquiétant de bases de code contiennent des composants OSS dormants qui n'ont pas reçu de mises à jour ou d'activité de développement depuis au moins deux ans. Cela indique un manque de maintenance et met le logiciel en danger. Le rapport montre qu'un pourcentage élevé, 91 % à 5 %, des bases de code sont obsolètes, contiennent des composants inactifs ou n'ont fait l'objet d'aucune activité de développement récente.(XNUMX)

Les logiciels open source sont soumis aux lois sur le droit d'auteur et leur utilisation dans une application nécessite que les organisations respectent les conditions de licence associées. Pour garantir la conformité, de nombreuses entreprises disposent de ressources juridiques dédiées ou d’un personnel compétent en matière d’open source. L’utilisation de logiciels open source sans respecter les exigences de licence peut entraîner des violations légales et des responsabilités. L’open source représentant environ 80 % des applications modernes, les organisations doivent se méfier de toute utilisation non divulguée de l’open source. Les titulaires de droits d'auteur, ainsi que les organisations à but non lucratif qui soutiennent le mouvement des logiciels open source, peuvent activement engager des poursuites judiciaires contre les violations, ce qui peut causer des dommages financiers et une atteinte à leur réputation.(6)

Les licences open source sont de deux types principaux : permissives et copyleft. Les licences permissives nécessitent une attribution au développeur d'origine avec des exigences supplémentaires minimes, tandis que les licences copyleft, comme la licence publique générale (GPL), favorisent le partage de code mais comportent des risques pour les logiciels commerciaux. Les organisations s'appuient sur les SBOM pour naviguer dans des chaînes d'approvisionnement logicielles complexes, identifier les faiblesses, suivre l'utilisation de l'open source et garantir la conformité des licences. L'inclusion des licences dans le SBOM aide les organisations à maintenir un inventaire complet et à réduire les responsabilités légales. Le non-respect des licences open source peut entraîner des litiges juridiques et la perte des droits de propriété intellectuelle. L'inclusion de licences dans un SBOM aide les organisations à promouvoir la transparence, la confiance et la conformité au sein des chaînes d'approvisionnement logicielles.(7)

Les logiciels open source ont rendu les chaînes d’approvisionnement plus complexes et moins transparentes, augmentant ainsi le potentiel de cyberattaques. Gartner prédit que d’ici 2025, 45 % des organisations dans le monde auront été victimes d’attaques contre la chaîne d’approvisionnement logicielle. Il est important de maintenir une visibilité sur l'utilisation des logiciels open source et de traiter rapidement tout domaine de vulnérabilité identifié.(8) Les équipes de gestion des actifs logiciels doivent faire partie et contribuer à leurs équipes de cybersécurité. En brisant ces deux silos, ils deviennent une équipe de gestion des risques cohérente. Et lorsqu’ils achètent un logiciel ou engagent quelqu’un pour le créer, ils doivent obtenir un SBOM, qui est un élément essentiel de la gestion et de la réduction des risques.

La gestion du cycle de vie suit tous les aspects de la propriété des actifs et des licences, de l'acquisition à la cession. Les outils de gestion des services informatiques (ITSM), les bases de données de gestion de configuration (CMDB) et les outils de gestion des actifs logiciels (SAM) ne suffisent pas pour une gestion complète du cycle de vie. Ces solutions manquent des détails nécessaires et donneront lieu à des résumés de propriété incomplets, limitant ainsi la capacité de maximiser la valeur des actifs et de minimiser les coûts. Pour parvenir à une gestion efficace du cycle de vie, les organisations doivent suivre tous les actifs et licences dans leur environnement informatique. En maintenant un référentiel dédié, ils établissent une base de référence fiable pour chaque actif et licence.(9)

Eracent Cycle de vie ITMC™ fournit une gestion complète des actifs du cycle de vie de tous les actifs et licences, assurant un suivi continu depuis la planification et l'acquisition jusqu'à l'actualisation et la disposition. Les données capturées dans ITMC Lifecycle constituent la base de nombreuses activités, notamment les demandes des utilisateurs finaux, les achats, le SAM, la gestion du cycle de vie du matériel, l'ITSM, la sécurité des réseaux et des points finaux, les flux de travail automatisés, la budgétisation, la planification, etc. De plus, le système facilite le suivi, le reporting et les alertes automatiques pour les contrats, les accords et les transactions financières.

Szablowski note : « C'est comme le Far West, du point de vue de la gestion des actifs informatiques. Il y a un élément subversif. L’idée est que si le logiciel provient d’une source comme Microsoft, il doit être prêt à fonctionner. Mais il peut y avoir quelque chose là-dedans qui pourrait être une bombe à retardement du point de vue de la sécurité. Et si votre équipe interne de développement d’applications ou un fournisseur que vous avez engagé utilise le mauvais type de licence, votre entreprise en paiera le prix fort. C’est une véritable boîte de Pandore. Mais dans ce cas, il faut vraiment regarder sous le couvercle. »

À propos d'Eracent

Walt Szablowski est le fondateur et président exécutif d'Eracent et préside les filiales d'Eracent (Eracent SP ZOO, Varsovie, Pologne ; Eracent Private LTD à Bangalore, Inde, et Eracent Brésil). Eracent aide ses clients à relever les défis de la gestion des actifs du réseau informatique, des licences logicielles et de la cybersécurité dans les environnements informatiques complexes et évolutifs d'aujourd'hui. Les entreprises clientes d'Eracent économisent considérablement sur leurs dépenses annuelles en logiciels, réduisent leurs risques d'audit et de sécurité et établissent des processus de gestion des actifs plus efficaces. La clientèle d'Eracent comprend certains des plus grands réseaux et environnements informatiques d'entreprise et gouvernementaux au monde. Des dizaines d'entreprises du Fortune 500 font confiance aux solutions Eracent pour gérer et protéger leurs réseaux. Pour en savoir plus, visitez https://eracent.com/.

Références:

1. Qu'est-ce que la gestion d'actifs (ITAM) ?. IBM. (s.d.). https://www.ibm.com/cloud/blog/it-asset-management

2. Trovato, S. (2022 décembre 28). Qu’est-ce que la gestion d’actifs ? Forbes. https://www.forbes.com/advisor/business/it-asset-management/

3. Éracent. (2018 juin 19). Le lien entre la cybersécurité et Itam. Eracent. https://eracent.com/the-linkage-between-cybersecurity-and-itam/

4. Chouffani, R., Holak, B., McLaughlin, E. (2022 avril 18). Qu’est-ce que la gestion d’actifs (ITAM) ?. DSI. https://www.techtarget.com/searchcio/definition/IT-asset-management-information-technology-asset-management

5. [rapport d'analyste] rapport de sécurité et d'analyse open source. Synopsis. (s.d.). https://www.synopsys.com/software-integrity/resources/analyst-reports/open-source-security-risk-analysis.html?intcmp=sig-blog-sctrust

6. 08, BTMJ, auteurs, Micro ; Research, T., Trend Micro, Research, Us, C., Abonnez-vous. (2021, 8 juillet). Comment gérer les risques liés aux licences open source. Tendance Micro. https://www.trendmicro.com/en_us/research/21/g/navigating-open-source-licensing-risk.html

7. Interconnexion. (2023, 12 juin). Licences open source dans sboms. Moyen. https://medium.com/@interlynkblog/open-source-licenses-in-sboms-9ee6f6dc1941

8. Callinan, M. (2022 août 31). Établir la confiance dans votre chaîne d'approvisionnement logicielle avec un SBOM. Chaîne ITAM. https://itamchannel.com/establishing-trust-in-your-software-supply-chain-with-an-sbom/

9. AppStorePlus PG1 final LR – effacé. (s.d.). https://eracent.com/wp-content/uploads/2020/09/ITMCLifecycle-data-sheet-0820-IAITAM2020.pdf