Mardi 29 Juillet 2014

De l'importance de la maîtrise de la "supply chain" logicielle

Jeudi 19 Mai 2011
Une étude menée par Coverity révèle que la majorité des entreprises utilisent des codes logiciels tiers fournis par différents partenaires pour élaborer leurs propres produits, sans toutefois que la qualité et la sécurité de ces codes soient testées avec la même rigueur que ceux développés en interne. Un laxisme étonnant qui expose les entreprises concernées à des risques qui pourraient peser sur son activité et ternir son image de marque. 

"A différents égards, Coverity met le doigt sur des enjeux nouveaux et méconnus grâce à cette étude" explique Jon Arnold, directeur général EMEA de Coverity. "Et, en effet, on ne peut que s’étonner de ce risque très important que prennent certaines sociétés qui ne testent pas, ou pas assez profondément, la qualité des codes qu’elles acquièrent auprès de fournisseurs externes. Des codes qui vont pourtant être utilisés dans des systèmes embarqués et des produits qui seront mis sur le marché. Prendre le risque d’intégrer des logiciels déficients dans des produits, c’est effectivement prendre le risque d’impacter négativement l’image de marque d’une société, ainsi que la satisfaction des clients et, au final, le chiffre d’affaires" continue-t-il.

"Le fait que peu de codes tiers soient testés en termes de fiabilité et de sécurité peut s’expliquer par la complexification ce qu’on appelle la « supply chain de développement » des logiciels. Cette complexification est due aux pressions croissantes au niveau des délais de mise sur le marché des produits d’une part, et d’autre part au fait que les logiciels, d’une manière générale, sont de plus en plus sophistiqués. Tout cela entraine le besoin d’être plus efficace et plus productif au niveau du développement logiciel. Ceci a pour conséquence de pousser les entreprises à avoir recours à des fournisseurs et des partenaires tiers, et plus uniquement à leur équipe de développement interne. D’où une chaine de développement logiciel de plus en plus complexe. Pourquoi prendre ce risque ? C’est une question bien légitime, qu’il faut sans doute poser aux entreprises qui ne testent pas la qualité de leurs codes tiers !". 

Dans la majorité des cas, c’est l’acheteur qui est tenu pour 100% responsable de la qualité des codes fournis par des partenaires externes. Mais doit-il vraiment endosser toute la responsabilité en cas de problème de fiabilité ou de sécurités ?
"Ce point mis en exergue par l’étude de Forrester Research est lié à la perception du client final. En d’autres termes, le consommateur va généralement associer la qualité d’un produit avec le logo qu’il porte, et non avec les composants qu’il renferme" ajoute Jon Arnold. "Faisons une analogie avec les rappels de véhicules défectueux dans le secteur automobile : si un constructeur rappelle des véhicules en raison, par exemple, d’un problème au niveau du système de freinage, ce n’est pas l’image de marque du fournisseur de freins qui va souffrir, mais bien celle du constructeur dont le logo est sur le capot du véhicule. C’est pourquoi il est si important qu’une entreprise puisse contrôler et gérer avec un maximum d’efficacité l’ensemble de la supply chain logicielle. Exactement au même titre qu’un constructeur automobile qui doit (en théorie) s’assurer d’un contrôle qualité extrêmement rigoureux vis-à-vis de ses fournisseurs et équipementiers".

Voilà pourquoi Coverity a élaboré Coverity Integrity Control.
"Cette solution que nous avons lancée il y a quelques semaines permet de mettre en place une gouvernance des codes logiciels" souligne Jon Arnolrd. "Elle permet notamment de définir des politiques en termes de qualité et de sécurité des codes, puis de contrôler et mesurer – au cours des phases de développement – la conformité des codes (internes ou externes) avec les politiques et les standards mis en place. Coverity Integrity Control permet de gérer de manière centralisée le bon respect et la mise en application des politiques de qualité, et ce quelles que soient les équipes de développement intervenant sur la supply chain logicielle. C’est l’efficacité de la gouvernance des codes qui permet d’anticiper et de maitriser les risques liés aux problèmes de qualité des logiciels".

Au final, pour les entreprises concernées, quels enseignements tirer de cette étude ?
. primo, le recours à des codes fournis par des partenaires externes est une tendance qui est déjà très importante aujourd’hui, et qui le sera encore plus demain.
. secundo, tous les codes et les logiciels utilisés dans un produit donné seront mis sur le marché sous un seul et unique logo, sous une seule marque.
. tertio, les entreprises doivent par conséquent se concentrer sur la maitrise et la gouvernance de la supply chain logicielle, qui se complexifie de plus en plus. En adoptant notamment une solution permettant cette gouvernance de code.




Les résultats de l'étude « Software Integrity Risk Report »

L'étude conduite par le cabinet Forrester Consulting pour le compte de Coverity montre que moins de 50% des codes logiciels tiers sont testés au niveau de leur qualité et de leur sécurité. Le rapport est basé sur une enquête menée auprès de 336 professionnels du développement applicatif en Amérique du Nord et en Europe sur le thème de l’intégrité logicielle, avec pour objectif d’analyser les pratiques actuelles et les tendances du marché en matière de qualité et de sécurité des logiciels. 

Outre le fait que la majorité des entreprises utilisent des codes logiciels tiers fournis par de nombreux partenaires, sans que la qualité et la sécurité de ces codes soient testées avec la même rigueur que ceux développés en interne, l’étude souligne également l’existence d’une approche biaisée du risque et de la responsabilité dans le domaine du développement applicatif, et met en lumière l’impact des défauts logiciels sur les activités des entreprises. 



La part occupée par les codes en provenance de partenaires tiers, ainsi que leur impact sur les priorités métier de l’entreprise.

• Plus de 90% des responsables interrogées confirment avoir recours à des codes tiers fournis par des éditeurs, des équipes sous-traitantes ou des fournisseurs d’open source

• Plus de 40% des responsables interrogés ont souligné le fait que les défauts des codes logiciels tiers provoquent des retards de mise sur le marché, des rappels de produits, des failles de sécurité, des allongements dans les délais de développement et des baisses de revenus. Autant de problèmes les incitant à vouloir obtenir une meilleure visibilité sur l’intégrité des codes. 

• Environ 65% des entreprises déclarent que la satisfaction client est impactée par les défauts logiciels, et 47% pensent que le délai de mise sur le marché est également impacté par ces mêmes défauts logiciels



Le fossé existe entre les tests effectués sur les codes développés en interne et ceux effectués sur les codes provenant de partenaires tiers :

• Seules 44% des entreprises interrogées procèdent, pendant les phases de développement, à des tests de code automatisés sur les codes fournis par des partenaires. Tandis que 69% de ces mêmes entreprises procèdent à des tests automatisés pour les codes développés en interne

• Seules 35% des entreprises interrogées effectuent des évaluations des risques et des aspects de sécurité et de vulnérabilité pour les codes logiciels tiers qu’elles utilisent dans leurs développements. Tandis que 70% d’entre elles appliquent ce type de méthodes aux logiciels développés en interne

• Seules 35% des entreprises interrogées procèdent à un contrôle de code manuel sur les logiciels fournis par leurs partenaires. Tandis que 68% le font pour les codes développés en interne

• Les écarts d’assurance de qualité sont également mis en exergue, avec 51% des entreprises interrogées déclarant effectuer des tests fonctionnels, de charge et d’unité automatisés pour les logiciels fournis par des partenaires tiers. Tandis que 75% appliquent ces mêmes méthodes d’assurance qualité aux logiciels développés en interne



L’approche du risque et de la responsabilité dans le domaine du développement applicatif est biaisée :

• Dans près de la moitié des cas, la fonction achat est tenue pour 100% responsable des problèmes de qualité et de sécurité détectés dans les codes fournis par les partenaires tiers. Tandis que le fournisseur tiers est tenu pour responsable dans seulement un cas sur dix

• L’étude confirme également que les développeurs prennent plus de responsabilité pour 74% des entreprises interrogées, qui considèrent que les développeurs doivent rendre plus de comptes en matière d’objectifs de qualité et de sécurité qu’il ne le faisait un an auparavant

 
OKI
Les 10 derniers articles
Services
  • Les derniers communiqués de presse
  • Proposer un communiqué de presse
Communiqués de presse