JP Morgan le dit haut et fort : la chaîne d’approvisionnement logicielle a toujours été vulnérable

Publié le 29 avril 2025
Deux professionnels de l’informatique assis à une table discutant des données affichées sur plusieurs écrans d’ordinateur

Lorsque Patrick Opet, responsable de la sécurité des systèmes d’information chez JP Morgan, a tiré la sonnette d’alarme cette semaine dans le monde des entreprises américaines en adressant une lettre ouverte au secteur pour l’exhorter à privilégier la sécurité dans la chaîne d’approvisionnement logicielle, rares sont ceux qui y ont entendu quelque chose de véritablement inédit. Ce qui frappait dans cette nouvelle, c’est qu’elle émanait de la plus grande banque américaine en termes d’actifs et de la plus grande banque au monde en termes de capitalisation boursière, alors même que les institutions financières ne sont généralement pas réputées pour leurs déclarations audacieuses et sans détour.

De plus, la lettre de M. Opet souligne le risque particulier pour les secteurs plus réglementés et sensibles tels que la finance, où le coût d’un échec peut atteindre des milliers de milliards de dollars. Le rapport 2024 sur le coût d’une violation de données d’IBM a révélé que le coût mondial moyen d’une seule violation dans le secteur financier s’élevait à 6,08 millions de dollars, juste derrière le coût des violations dans le secteur de la santé, qui s’élève à 9,77 millions de dollars.

« La commodité ne peut plus primer sur le contrôle », a déclaré M. Opet dans sa publication sur LinkedIn, appelant ainsi les fournisseurs de logiciels tiers, les responsables de la sécurité et la communauté technologique au sens large à examiner de plus près les « points de défaillance uniques » qui peuvent entraîner « des conséquences potentiellement catastrophiques à l’échelle du système ».

Cette « commodité » peut prendre la forme d’un système de données et de processus parfaitement intégré qui se met à jour sans délai ni intervention manuelle, ce qui est sans conteste un objectif pour les entreprises. Cependant, comme l’avertit Nataraj Nagaratnam, directeur technique d’IBM pour la sécurité et l’infrastructure de l’IA, « à mesure que les agents d’IA popularisent une utilisation plus autonome de l’IA, par exemple, il est plus important que jamais de s’assurer que les mesures de sécurité des entreprises sont à la hauteur des risques liés à ces innovations ».

La sécurité dans la chaîne d’approvisionnement logicielle : un appel à l’action

M. Nagaratnam s’est entretenu avec IBM Think depuis le salon RSA à San Francisco, où il a rejoint 40 000 professionnels de la sécurité lors de l’un des plus grands événements de l’année consacrés à la cybersécurité. La lettre de M. Opet était le sujet du jour, suscitant un débat et la reconnaissance qu’il s’agissait d’un appel à la création de normes dans l’ensemble du secteur et d’un moyen de mesurer leur respect.

À ce stade précoce, le jury n’a pas encore tranché sur la nature exacte de ces normes et mesures. Mais les enjeux sont considérables. Un exemple : l’attaque par ransomware contre le fournisseur de logiciels CDK Global, qui fournit des services logiciels au secteur automobile, a coûté plus d’un milliard de dollars aux concessionnaires, selon une estimation d’Anderson Economic Group, un cabinet de conseil basé à East Lansing, dans le Michigan. Comme l’a déclaré M. Opet, « la recherche de parts de marché au détriment de la sécurité expose l’ensemble des écosystèmes clients à des risques importants et conduira à une situation insoutenable pour le système économique ».

Que pouvons-nous en retenir dans l’immédiat ? Les experts d’IBM ont retenu trois appels à l’action de la lettre de M. Opet et du débat qui l’entoure :

  1. Sécurité dès la conception : la sécurité ne peut pas être une préoccupation secondaire. « Les fournisseurs doivent de toute urgence redonner la priorité à la sécurité, en la plaçant au même niveau ou au-dessus du lancement de nouveaux produits », a écrit M. Opet. Mark Hughes, partenaire directeur mondial d’IBM pour les services de cybersécurité, a anticipé ce sentiment dans un récent rapport sur la cybersécurité : « Les entreprises doivent abandonner leur approche préventive ponctuelle et se concentrer sur des mesures proactives telles que la modernisation de la gestion des authentifications, le comblement des failles dans l’authentification multifacteur et la traque en temps réel des menaces afin de détecter les menaces cachées avant qu’elles n’exposent des données sensibles. » Dans une publication sur LinkedIn en réponse à la lettre de M. Opet, M. Hughes exhorte les entreprises à combler les lacunes en matière de technologie et de gouvernance des données « avant qu’elles ne deviennent des points d’entrée pour les risques ».
  2. Contrôles standardisés : les fournisseurs de SaaS et autres prestataires tiers devraient adopter et hériter de contrôles standardisés, estime Dinesh Nagarajan, associé aux services de sécurité quantique et de sécurité des applications d’IBM Consulting pour les données et l’IA. Mais il ne suffit pas de mettre au point une méthode standard pour évaluer les fournisseurs de logiciels, ajoute-t-il, il est essentiel de vérifier « s’ils se conforment aux obligations ou contrôles requis ». IBM a contribué à l’élaboration de contrôles à l’échelle du secteur pour le cloud et a collaboré avec des organismes industriels tels que la Cloud Security Alliance afin de développer des contrôles cloud destinés tout particulièrement aux institutions financières. S’appuyant sur ces travaux, IBM a étendu cette approche à l’utilisation de l’IA générative par les institutions financières, en collaboration avec dix banques sur plusieurs continents.
  3. Gouvernance tout au long de la chaîne d’approvisionnement : les fournisseurs de SaaS et les entreprises doivent adopter une approche holistique pour gouverner et gérer de manière proactive leur sécurité et surveiller en permanence leur conformité, explique M. Nagaratnam. Pour ce faire, les organisations peuvent notamment élaborer et mettre en œuvre leurs propres protocoles de cybersécurité, afin d’identifier les vulnérabilités, d’évaluer les risques et d’atténuer les conséquences des incidents. Ces protocoles de réponse aux incidents doivent également préciser qui est responsable de certaines actions spécifiques, par exemple quelle partie est responsable (et potentiellement redevable) de la sécurisation d’une solution d’IA générative proposée par un tiers. Le recours à des composants tiers nécessite une surveillance et un contrôle rigoureux, ainsi que la compréhension d’une responsabilité partagée, de sorte que les fournisseurs soient responsables de la sécurisation de l’ensemble de la pile logicielle, et pas seulement de leur partie.

De nouveaux outils industriels apparaissent également presque chaque semaine pour aider les entreprises en matière de gouvernance et de conformité. Hier encore, par exemple, Credo AI, une plateforme de gouvernance de l’IA, et IBM ont collaboré pour lancer l’Accélérateur de conformité watsonx.governance, qui aide les responsables des cas d’utilisation de l’IA et de la conformité à respecter diverses réglementations de manière plus rapide et plus automatisée.

Selon M. Nagarajan d’IBM, le fait de rendre les dirigeants individuellement responsables des technologies qu’ils emploient contribuerait grandement à améliorer la sécurité. « Lorsque vous rendez les chefs d’entreprise responsables des technologies qu’ils utilisent, de leur gestion, de leur finalité et de leur protection, cela améliore automatiquement la sécurité. »

