Deloitte, IBM et Red Hat s’associent pour améliorer la sécurité des chaînes d’approvisionnement logicielles contre les cybermenaces automatisées.
Deloitte, IBM et Red Hat annoncent un partenariat visant à protéger la chaîne d’approvisionnement logicielle contre des cybermenaces de plus en plus automatisées. À cette fin, Deloitte rejoint le projet Lightwell d’IBM et Red Hat, auquel Palo Alto Networks a également souscrit récemment. En tant que partenaire d’intégration pour Lightwell, Deloitte apporte une expertise supplémentaire en matière de cyber-risques et d’architecture logicielle sécurisée.
Vulnérabilités de l’open source
Lightwell combine un modèle de sécurité open source avec une ingénierie active. La plateforme coordonne les notifications de menaces en amont avec des administrateurs indépendants, tandis que des correctifs sont développés, testés et appliqués directement aux versions logicielles utilisées. Cela permet aux organisations de recevoir des mises à jour de sécurité sans avoir à effectuer des mises à niveau perturbatrices à grande échelle.
Les exploits n’attendent pas les processus de correction manuels, et la réponse de l’entreprise ne le peut pas non plus.
Adnan Amjad, responsable Cyber de Deloitte aux États-Unis
Grâce à cette approche, des correctifs validés sont déployés rapidement pour les versions logicielles spécifiques en production. Cela réduit considérablement la fenêtre durant laquelle les vulnérabilités peuvent être exploitées, en particulier dans les environnements informatiques complexes où les cycles de correction traditionnels causent souvent des retards.
Cycle de vie du logiciel
La collaboration se concentre sur une visibilité continue de tous les composants logiciels au sein d’une organisation, y compris les codes propriétaires, open source et tiers. Grâce à une surveillance et un balayage constants, il est possible de cartographier précisément quel code s’exécute, où, et quelles fonctions il prend en charge.
De plus, la hiérarchisation contextuelle permet de distinguer les menaces réelles des signaux moins pertinents, en fonction de la gravité, de l’exposition et de l’exploitabilité. La validation automatisée des correctifs par IBM et Red Hat, combinée aux ingénieurs déployés de Deloitte (Forward Deployed Engineers), garantit que les correctifs sont déployés rapidement et sans interruption.
