Deloitte Touche Tohmatsu Ltd. se joint à une initiative lancée par IBM Corp. et son unité Red Hat en mai pour corriger les vulnérabilités des logiciels open source.
Les entreprises ont annoncé cette décision aujourd'hui.
Deloitte, basé au Royaume-Uni, a été lancé au milieu du XVIIIe siècle en tant que cabinet comptable. Aujourd'hui, il s'agit du plus grand fournisseur mondial de services professionnels, avec un chiffre d'affaires de 70,5 milliards de dollars pour l'exercice 2025. La société possède une importante activité de cybersécurité qui aide les entreprises à analyser leur infrastructure à la recherche de vulnérabilités, à détecter les violations et à effectuer les tâches associées.
L'initiative de sécurité open source au centre du partenariat actuel s'appelle Lightwell. IBM et Red Hat l'ont lancé le mois dernier avec un engagement initial de 5 milliards de dollars. De plus, les entreprises ont engagé 20 000 ingénieurs dans cet effort. Lightwell est conçu pour aider les entreprises à détecter et à corriger les exploits dans les projets open source qui sous-tendent leurs logiciels.
Deloitte travaillera avec IBM pour aider les clients communs à déterminer les composants open source utilisés par leurs développeurs. De plus, le géant du conseil mettra continuellement à jour cet inventaire de composants à mesure que les logiciels des entreprises évoluent. L’objectif est d’éviter les situations où une entreprise ignore qu’une de ses applications contient un module open source vulnérable.
Les correctifs émis par les responsables des projets open source pour les vulnérabilités ne fonctionnent pas toujours immédiatement. Par exemple, une mise à jour peut être uniquement compatible avec la dernière version d'un projet ou nécessiter des modifications de configuration importantes. IBM et Red Hat fourniront une validation automatisée des correctifs pour aider les clients Lightwell à garantir que les mises à jour de sécurité fonctionnent comme prévu. Deloitte, à son tour, gérera le processus d'installation des correctifs et de validation de leur efficacité.
Le géant du conseil affectera une équipe d’ingénieurs déployés à l’avant, ou FDE, pour soutenir cet effort. Un FDE est un développeur qui travaille dans les bureaux d'une organisation cliente. Deloitte affirme que les employés participants aideront les clients non seulement à corriger les vulnérabilités, mais également à assurer la maintenance continue des logiciels.
La société et IBM ont déclaré que le partenariat se concentrerait sur les « chaînes d'approvisionnement en logiciels réglementées ». Cela indique qu’ils prévoient de donner la priorité aux organisations situées dans des secteurs hautement réglementés. L'activité cybersécurité de Deloitte aide ses clients, entre autres tâches, à garantir que leurs systèmes respectent les lois sur la cybersécurité spécifiques à leur secteur.
Le partenariat englobera également certaines autres tâches. IBM, Red Hat et Deloitte aideront les entreprises à signaler les violations aux régulateurs. De plus, ils informeront les responsables du projet open source des vulnérabilités avant de les divulguer publiquement. Cela permet aux responsables de publier des correctifs avant que les pirates ne prennent conscience d'une nouvelle faille de sécurité.
« Lightwell a été créé pour relever le défi croissant de la sécurisation des logiciels open source dans un paysage de menaces basées sur l'IA », a déclaré Savio Rodrigues, vice-président des partenaires de services d'IBM. « Il rassemble les partenariats d'ingénierie, d'automatisation et d'écosystème nécessaires pour lutter contre ce risque à grande échelle. »
