![\"\"](\"https:\/\/media.jfrog.com\/wp-content\/uploads\/2025\/11\/10205656\/03-Blog-inner-main-img-863X300.png\")
<\/p>\n<\/p>\n
La complexit\u00e9 croissante des attaques de cha\u00eene d\u2019approvisionnement logicielle, de plus en plus syst\u00e9miques, intensifie la tension critique entre rapidit\u00e9 et s\u00e9curit\u00e9.<\/p>\n
Le r\u00e9cent rapport \u00ab\u00a0Breaking the Chain\u00a0\u00bb<\/a> de la Direction nationale isra\u00e9lienne du cyberespace (INCD) confirme que les menaces les plus importantes se situent en dehors de votre code d\u2019origine, mettant en \u00e9vidence une crise de confiance dans la cha\u00eene d\u2019approvisionnement logicielle open source (OSS).<\/p>\n Bien que les perc\u00e9es \u00e9mergentes de l\u2019IA agentique en mati\u00e8re de d\u00e9fense<\/a> constituent une avanc\u00e9e pr\u00e9cieuse pour la qualit\u00e9 et la s\u00fbret\u00e9 du code, le rapport de l\u2019INCD rappelle que seule une s\u00e9curit\u00e9 couvrant l\u2019ensemble de la cha\u00eene logicielle, native au processus de livraison et focalis\u00e9e sur les binaires peut v\u00e9ritablement surmonter la tension persistante entre vitesse et s\u00e9curit\u00e9 dans les organisations.<\/p>\n La philosophie de JFrog s\u2019articule autour de trois objectifs principaux\u00a0: garantir la productivit\u00e9 des d\u00e9veloppeurs, permettre aux \u00e9quipes de d\u00e9veloppement de s\u2019assurer que chaque version d\u2019un logiciel est fiable et faciliter le processus global de gestion de la s\u00e9curit\u00e9. Ces r\u00e9sultats r\u00e9pondent efficacement au paradoxe vitesse\/s\u00e9curit\u00e9, permettant aux \u00e9quipes d\u2019atteindre les deux objectifs. Que faut-il donc faire pour y parvenir\u00a0?<\/em><\/p>\n Tout d\u2019abord, la s\u00e9curit\u00e9 doit couvrir l\u2019ensemble de la cha\u00eene d\u2019approvisionnement logicielle, de bout en bout.<\/strong><\/p>\n Pourquoi\u00a0?<\/i> La s\u00e9curit\u00e9 ne se r\u00e9sume pas \u00e0 des contr\u00f4les ponctuels. Elle exige un engagement permanent, depuis la cr\u00e9ation du code jusqu\u2019\u00e0 la mise en production de l\u2019artefact. Cela impose de disposer de contexte et de feedback \u00e0 chaque \u00e9tape du cycle de vie complet de l\u2019artefact. Une approche de bout en bout (E2E) permet de fournir la source unique de v\u00e9rit\u00e9 n\u00e9cessaire pour g\u00e9rer les risques \u00e0 l\u2019\u00e9chelle mondiale, garantir la conformit\u00e9 et assurer le contr\u00f4le et la tra\u00e7abilit\u00e9 n\u00e9cessaires tout au long de la cha\u00eene de production.<\/p>\n Ensuite, la s\u00e9curit\u00e9 doit faire partie int\u00e9grante du pipeline de livraison, et non \u00eatre greff\u00e9e apr\u00e8s coup.<\/strong><\/p>\n Pourquoi\u00a0?<\/i> Les outils de s\u00e9curit\u00e9 externes r\u00e9actifs introduisent des frictions, ralentissent la mise sur le march\u00e9 et ne peuvent tout simplement pas fournir la visibilit\u00e9 n\u00e9cessaire \u00e0 une gouvernance efficace. En appliquant une politique et en effectuant un scan continu au sein d\u2019une plateforme unique, la conformit\u00e9 et la confiance sont automatiquement \u00e9tablies au fil du pipeline, et non pas v\u00e9rifi\u00e9es apr\u00e8s coup. De cette mani\u00e8re, la politique s\u2019applique \u00e0 tous les points de passage automatis\u00e9s, et la s\u00e9curit\u00e9 devient un moteur de vitesse, non une contrainte.<\/p>\n Troisi\u00e8mement, votre architecture de s\u00e9curit\u00e9 doit \u00eatre ax\u00e9e sur les binaires et s\u2019appuyer sur la recherche.<\/strong><\/p>\n Pourquoi\u00a0? <\/i>L\u2019artefact compil\u00e9 \u2013 le binaire \u2013 est la cible principale des attaquants. Se fier uniquement au scan du code source cr\u00e9e un angle mort critique, laissant passer des vuln\u00e9rabilit\u00e9s introduites plus tard dans le processus CI\/CD via des scripts de build malveillants ou des d\u00e9pendances corrompues. En appliquant une politique et en analysant continuellement l\u2019artefact binaire, la confiance est automatiquement int\u00e9gr\u00e9e dans l\u2019ex\u00e9cution du pipeline. Votre strat\u00e9gie de s\u00e9curit\u00e9 doit \u00e9galement s\u2019appuyer sur des recherches fiables. Par exemple, JFrog dispose d\u2019une \u00e9quipe d\u2019ing\u00e9nieurs et de chercheurs en s\u00e9curit\u00e9<\/a> qui se consacrent exclusivement \u00e0 l\u2019am\u00e9lioration de la s\u00e9curit\u00e9 des logiciels par la d\u00e9couverte, l\u2019analyse et l\u2019exposition de nouvelles vuln\u00e9rabilit\u00e9s et m\u00e9thodes d\u2019attaque.<\/p>\n Les conclusions du r\u00e9cent rapport de l\u2019INCD, Breaking the Chain\u00a0: How Supply Chain Attacks Target Package Managers<\/a> (en fran\u00e7ais\u00a0: \u00ab\u00a0Briser la cha\u00eene\u00a0: de quelle mani\u00e8re les attaques de la cha\u00eene d\u2019approvisionnement ciblent les gestionnaires de packages\u00a0\u00bb), fournit une validation externe cruciale de la n\u00e9cessit\u00e9 d\u2019une approche int\u00e9grale de la s\u00e9curit\u00e9.<\/p>\n Les pipelines CI\/CD automatisent l\u2019ensemble du cycle de vie logiciel, du d\u00e9veloppement au d\u00e9ploiement, afin de permettre la livraison rapide d\u2019un code de haute qualit\u00e9. Toutefois, compte tenu de la relation \u00e9troite entre le d\u00e9veloppement, la gestion des packages et ces processus automatis\u00e9s, ces pipelines constituent la principale porte d\u2019entr\u00e9e du risque dans l\u2019organisation. L\u2019analyse de l\u2019INCD souligne que les acteurs malveillants ciblent les composants tiers compromis pour p\u00e9n\u00e9trer et s\u2019implanter dans l\u2019infrastructure des organisations, en contournant souvent les d\u00e9fenses p\u00e9rim\u00e9triques traditionnelles.<\/p>\n La confiance implicite plac\u00e9e dans les registres de packages et leurs contenus cr\u00e9e un risque syst\u00e9mique, augmentant fortement la surface d\u2019attaque des entreprises. L\u2019\u00e9chelle est immense\u00a0: selon le rapport, \u00ab\u00a0les 15\u00a0000 premiers PackAGES PyPI sont collectivement t\u00e9l\u00e9charg\u00e9s plus de 83\u00a0milliards de fois par mois\u00a0\u00bb. La compromission d\u2019une seule d\u00e9pendance transitive peut avoir un impact \u00e9norme.<\/p>\n Le rapport explique \u00e9galement comment les gestionnaires de packages sp\u00e9cifiques \u00e0 une langue (tels que npm, pip et Maven), contrairement aux gestionnaires de syst\u00e8mes d\u2019exploitation plus contr\u00f4l\u00e9s, ne disposent g\u00e9n\u00e9ralement pas de processus de maintenance et d\u2019approbation centraux rigoureux\u00a0; les d\u00e9veloppeurs pouvant envoyer des mises \u00e0 jour directement \u00e0 ces \u00e9cosyst\u00e8mes sans supervision manuelle. Cette flexibilit\u00e9 acc\u00e9l\u00e8re l\u2019innovation mais augmente intrins\u00e8quement l\u2019exposition aux risques de s\u00e9curit\u00e9.<\/p>\n L\u2019incapacit\u00e9 des outils de s\u00e9curit\u00e9 traditionnels \u00e0 d\u00e9tecter les logiciels malveillants est un autre probl\u00e8me majeur identifi\u00e9 dans le paysage de la d\u00e9fense. Les outils existants, tels que les tests statiques de s\u00e9curit\u00e9 des applications (SAST)<\/a> et l\u2019analyse de la composition logicielle (SCA)<\/a>, sont principalement con\u00e7us pour d\u00e9tecter les vuln\u00e9rabilit\u00e9s connues, les sch\u00e9mas de codage dangereux ou les erreurs de logique.<\/p>\n Seuls, ces outils pr\u00e9sentent une lacune fonctionnelle en mati\u00e8re d\u2019analyse comportementale\u00a0: ils ne se concentrent pas sur la d\u00e9tection d\u2019un comportement inhabituel ou d\u2019autres indicateurs qui r\u00e9v\u00e9leraient la pr\u00e9sence d\u2019un logiciel malveillant. Cette lacune cr\u00e9e une fen\u00eatre critique o\u00f9 peuvent se d\u00e9velopper des attaques sophistiqu\u00e9es de la cha\u00eene d\u2019approvisionnement de type \u00ab\u00a0zero day\u00a0\u00bb, telles que l\u2019incident de la porte d\u00e9rob\u00e9e de XZ Utils<\/a>.<\/p>\n Le rapport de l\u2019INCD d\u00e9taille \u00e9galement de mani\u00e8re utile les tactiques courantes qui exploitent l\u2019absence de contr\u00f4le de bout en bout (E2E) et la d\u00e9pendance \u00e0 l\u2019\u00e9gard de la confiance implicite\u00a0:<\/p>\n Pour att\u00e9nuer ces menaces, le rapport de l\u2019INCD recommande de mettre en \u0153uvre une approche \u00e0 plusieurs niveaux. La plateforme de cha\u00eene d\u2019approvisionnement logicielle de JFrog<\/a> assure cette d\u00e9fense en s\u2019appuyant sur trois piliers fondamentaux\u00a0: une approche E2E, une int\u00e9gration native, et un focus sur les artefacts binaires.<\/p>\n Ce pilier garantit une s\u00e9curit\u00e9 et un contr\u00f4le continus tout au long du cycle de vie des artefacts, en comblant les lacunes de gouvernance et les mandats de conformit\u00e9 identifi\u00e9s par l\u2019INCD.<\/p>\n Atteindre la vitesse sans friction exige une s\u00e9curit\u00e9 int\u00e9gr\u00e9e structurellement, et non greff\u00e9e apr\u00e8s coup.<\/p>\n Ce pilier garantit que la protection est appliqu\u00e9e \u00e0 l\u2019artefact lui-m\u00eame (la cible principale des attaquants) et couvre l\u2019angle mort du code source.<\/p>\n L\u2019introduction de chercheurs en s\u00e9curit\u00e9 dot\u00e9s de LLM repr\u00e9sente une avanc\u00e9e consid\u00e9rable dans le domaine de la s\u00e9curit\u00e9 applicative. Ces outils vont au-del\u00e0 de l\u2019analyse traditionnelle en s\u2019appuyant sur le raisonnement des grands mod\u00e8les de langage (LLM) pour comprendre le comportement du code comme le ferait un expert humain.<\/p>\n Bien que ces outils agentiques soient un compl\u00e9ment n\u00e9cessaire \u00e0 la bo\u00eete \u00e0 outils pour am\u00e9liorer la qualit\u00e9 du code de premi\u00e8re partie, leur port\u00e9e est limit\u00e9e et ils interviennent trop t\u00f4t dans le cycle de d\u00e9veloppement pour arr\u00eater les risques syst\u00e9miques de la cha\u00eene d\u2019approvisionnement d\u00e9crits par l\u2019INCD.<\/p>\n Les outils shift left sont n\u00e9cessaires pour la d\u00e9tection pr\u00e9coce et la r\u00e9duction des co\u00fbts de rem\u00e9diation, et il est passionnant de voir \u00e9merger de nouvelles technologies agentiques dans ce domaine. Nous encourageons les \u00e9quipes \u00e0 tirer pleinement parti de ces outils, mais \u00e0 le faire de mani\u00e8re responsable\u00a0: les utiliser seuls est extr\u00eamement risqu\u00e9 car vous ignorez une vaste surface d\u2019attaque.<\/p>\n La voie vers des versions rapides et fiables est claire\u00a0: pour garantir une int\u00e9grit\u00e9 logicielle robuste et r\u00e9soudre le dilemme entre vitesse et s\u00e9curit\u00e9, les organisations doivent adopter l\u2019architecture fond\u00e9e sur trois piliers essentiels\u00a0: une s\u00e9curit\u00e9 de bout en bout, native et int\u00e9gr\u00e9e, et centr\u00e9e sur les binaires.<\/p>\n Alors que de nouveaux outils d\u2019IA puissants offrent des perspectives compl\u00e9mentaires pr\u00e9cieuses, seule une plateforme centralis\u00e9e peut fournir la gouvernance, le contr\u00f4le et la protection binaire n\u00e9cessaires pour s\u00e9curiser la cha\u00eene d\u2019approvisionnement logicielle moderne.<\/p>\nLa position de JFrog en mati\u00e8re de s\u00e9curit\u00e9\u00a0: Se bout en bout. Native. Avanc\u00e9e.<\/h2>\n
Les trois piliers de la d\u00e9fense<\/h2>\n
Les principaux d\u00e9fis s\u00e9curitaires d\u2019apr\u00e8s l\u2019INCD<\/h2>\n
D\u00e9fi 1\u00a0: CI\/CD\u00a0: des pipelines qui ouvrent une autoroute automatis\u00e9e au risque<\/h3>\n
D\u00e9fi 2\u00a0: La crise de la confiance implicite et des gestionnaires sp\u00e9cifiques \u00e0 chaque langage<\/h3>\n
D\u00e9fi 3\u00a0: l\u2019angle mort des outils traditionnels en mati\u00e8re de logiciels malveillants<\/h3>\n
Tactiques adverses observ\u00e9es<\/h3>\n
\n
L\u2019INCD recommande une s\u00e9curit\u00e9 multicouche de la cha\u00eene d\u2019approvisionnement logicielle<\/h2>\n
Pilier 1\u00a0: Couverture et gouvernance de bout en bout (E2E)<\/h3>\n
\n
Pilier 2\u00a0: S\u00e9curit\u00e9 native et int\u00e9gr\u00e9e<\/h3>\n
\n
Pilier 3\u00a0: Architecture centr\u00e9e sur les binaires<\/h3>\n
\n
Une note sur les scanners de s\u00e9curit\u00e9 agentiques\u00a0: avantages et limites<\/h2>\n
La promesse \u2013 ou l\u00e0 o\u00f9 les outils aliment\u00e9s par les LLM excellent\u00a0:<\/h3>\n
\n
Les limites \u2013 ou l\u00e0 o\u00f9 le risque syst\u00e9mique persiste\u00a0:<\/h3>\n
\n
S\u00e9curiser la cha\u00eene d\u2019approvisionnement logicielle gr\u00e2ce \u00e0 une protection E2E, int\u00e9grale et centr\u00e9e sur les binaires<\/h2>\n