Pieter Danhieux est directeur général, président et cofondateur de Secure Code Warrior.
En 2020, Pieter a été reconnu comme finaliste dans la catégorie Diversity Champion pour les SC Awards Europe 2020, et a reçu le Editor's Choice pour le Chief Executive Officer de l'année par Cyber Defense Magazine (CDM), le magazine électronique de sécurité de l'information le plus important de l'industrie. En 2016, il a été classé 80e sur la liste des "Coolest Tech people in Australia" (Business Insider), a reçu le titre de "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) et est membre du Forbes Technology Council.
Pieter est également instructeur principal pour le SANS Institute, où il enseigne aux organisations militaires, gouvernementales et privées des techniques offensives sur la manière de cibler et d'évaluer les organisations, les systèmes et les individus pour détecter les faiblesses en matière de sécurité. Il est également membre du conseil consultatif de NVISO, une société de conseil en cybersécurité en Europe. Avant de créer sa propre entreprise, Pieter a travaillé chez Ernst & Young et BAE Systems. Il est également l'un des cofondateurs de BruCON, l'une des conférences sur le piratage informatique les plus impressionnantes de la planète.
Il a commencé sa carrière dans la sécurité de l'information très tôt et a obtenu la certification Certified Information Systems Security Professional (CISSP) en tant que l'une des personnes les plus jeunes jamais rencontrées en Belgique. En cours de route, il a obtenu toute une série de certificats de cybersécurité (CISA, GCFA, GCIH, GPEN, GWAP) et est actuellement l'une des rares personnes au monde à détenir la certification la plus élevée, celle d'expert en sécurité GIAC (GSE).
Directeur général, président et cofondateur
Les efforts déployés par le gouvernement australien pour s'attaquer sérieusement à la cybersécurité montrent clairement qu'il s'agit d'un domaine de risque essentiel au niveau national, mais sa stratégie va-t-elle assez loin ?
La plupart des initiatives visant à "passer à gauche", c'est-à-dire à introduire la sécurité beaucoup plus tôt dans le processus de développement, ne font tout simplement pas avancer l'aiguille assez loin.
Le dernier décret du gouvernement fédéral américain aborde de nombreux aspects de la cybersécurité fonctionnelle, mais pour la première fois, il souligne spécifiquement l'impact des développeurs et la nécessité pour eux de disposer de compétences vérifiées en matière de sécurité et d'être sensibilisés à cette question.
Le National Institute of Standards & Technology (NIST) a publié un livre blanc actualisé, détaillant plusieurs plans d'action pour réduire les vulnérabilités des logiciels et les cyber-risques.
J'aurais pu commencer cet article avec tous les faits et chiffres indiquant une startup prospère et en hypercroissance ; ils sont indéniablement impressionnants et la trajectoire de notre entreprise en cours est solide. Cependant, pour moi, ces chiffres ne reflètent pas ce dont je suis le plus fier en 2019.
Nos anniversaires sont l'occasion de réfléchir aux fruits de notre travail, de célébrer l'équipe et d'aborder l'année à venir avec confiance. Aujourd'hui, sept ans après notre création, je me pose des questions : Avons-nous réussi ? S'agit-il encore d'une véritable entreprise ? Bien sûr, nous avons atteint la maturité, mais j'espère que nous ne perdrons jamais le sens de la curiosité, de la passion et de l'intelligence que nous avons depuis le début.
Cette semaine, nous célébrons officiellement les huit ans de Secure Code Warrior. D'une part, cela représente 350 fois la durée de la mission Apollo 11, ainsi que l'équivalent de 45 000 parties de football ou de 5696 fois Super Mario Odyssey jusqu'à la fin. D'autre part, cela ne représente qu'un trentième de la durée de vie d'une tortue géante (250 ans, si vous vous posez la question). Dans le monde d'une startup à forte croissance, cela représente un voyage plein de rebondissements, de leçons et d'accomplissements, dont beaucoup étaient inimaginables lorsque nous avons commencé à signer notre plan d'affaires.
Laisser la sécurité de l'API au hasard est un moyen infaillible d'introduire des problèmes plus tard, avec des conséquences potentiellement dévastatrices dans le pire des cas, et des travaux frustrants et des performances médiocres dans le meilleur des cas.
L'idée qui sous-tend les applications de recherche de contacts est judicieuse. Cette technologie, lorsqu'elle fonctionne bien, permet de révéler rapidement les points chauds et d'effectuer des tests complets, deux éléments essentiels pour lutter contre la propagation d'un virus contagieux.
Comment les développeurs sont-ils censés écrire du code sécurisé si personne ne leur apprend jamais pourquoi c'est important, quelles sont les conséquences d'un code non sécurisé et, surtout, comment éviter d'écrire ces vulnérabilités dans leurs cadres de programmation respectifs ?
Vers la fin de l'année dernière, l'incroyable communauté de MITRE a publié sa liste des 25 erreurs logicielles les plus dangereuses du CWE qui ont affecté le monde en 2019. Et la plupart d'entre elles n'étaient pas une surprise.
Notre vision est de permettre aux développeurs d'être la première ligne de défense de leur organisation en rendant la sécurité très visible et en leur fournissant les compétences et les outils nécessaires pour écrire un code sécurisé dès le début.
Le fait que Bill Demirkapi, jeune chercheur en sécurité, ait révélé des failles importantes dans un logiciel utilisé par son école m'a certainement rappelé quelques souvenirs. Je me souviens avoir été un enfant curieux, qui soulevait le capot d'un logiciel pour jeter un coup d'œil en dessous et voir comment il fonctionnait... et si je pouvais le casser.
Donner aux développeurs les moyens d'écrire un code sécurisé dès le départ est une occasion pour les RSSI de prendre le contrôle de la situation en matière de sécurité et de réaliser des améliorations rapides, faciles et mesurables tant pour les équipes de sécurité que pour les équipes de développement.
Les soins de santé pourraient être le prochain "grand" champ de bataille de la cybersécurité, les criminels s'attaquant aux machines qui diagnostiquent les problèmes médicaux, fournissent des traitements et maintiennent la vie.
Dans le domaine de la cybersécurité, nous sommes souvent comme des chasseurs. Nos yeux sont fermement rivés sur l'horizon, à la recherche de la prochaine faille. Toutefois, ce regard tourné vers l'avenir peut avoir l'effet surprenant d'affaiblir notre conscience globale de la sécurité.
Ces événements axés sur les développeurs comptent parmi mes préférés du calendrier ; ils nous rappellent avec humilité que la communauté travaille sans relâche pour éduquer les ingénieurs et spécialistes en logiciels et leur donner les moyens de défendre la sécurité dans leur travail.
La véritable bataille à laquelle nous sommes confrontés n'est pas celle contre les "script kiddies" ou les dangereux syndicats de la cybercriminalité organisée... il s'agit de faire en sorte que davantage de personnes se soucient du fait que des violations de données se produisent.
La sécurité des logiciels est toujours au centre de mes préoccupations, tout comme le danger très réel que représente notre mode de vie de plus en plus numérique et axé sur le partage d'informations personnelles. Après tout, nous nous trouvons dans un territoire largement non réglementé, non supervisé et ignoré. Nous sommes dans le Far West.
L'accent mis sur une approche préventive - par opposition à une approche réactive - peut ne pas être largement compris en dehors de l'équipe de sécurité, en particulier si un incident de sécurité important et grave n'a pas eu lieu.
Cette année, le Conseil des normes de sécurité du PCI a publié un tout nouvel ensemble de lignes directrices sur la sécurité des logiciels dans le cadre du PCI Software Security Framework. Cette mise à jour vise à aligner les meilleures pratiques en matière de sécurité des logiciels sur le développement de logiciels modernes.
L'avènement de la coqueluche numérique du moment - le métavers - ajoute une vaste surface d'attaque pour les vulnérabilités au niveau du code et l'ingénierie sociale. Et nous ne sommes tout simplement pas prêts à nous battre sur ce nouveau terrain de jeu qui se nourrit de poudre aux yeux.
Alors que les DSI développent agressivement les capacités agiles de leur entreprise, les compétences en matière de codage sécurisé seront une arme d'innovation et leur absence sera un instrument de destruction.
Un récent rapport du centre britannique d'évaluation de la cybersécurité de Huawei a mis en évidence des problèmes de sécurité majeurs dans les processus d'ingénierie logicielle de Huawei. Mais c'est un problème qui peut être résolu.
Les initiatives réglementaires vont sans aucun doute s'améliorer et se développer au fil du temps, mais si les organisations appuient déjà sur le bouton de panique et se lancent dans la formation dès maintenant, elles risquent de se retrouver mal équipées pour l'avenir.
La récente attaque contre les dépôts GitHub met en lumière un problème bien connu dans le secteur de la sécurité : la plupart des développeurs ne sont tout simplement pas suffisamment sensibilisés à la sécurité, et des données précieuses peuvent être menacées à tout moment.
Il existe de nombreuses solutions pour trouver les vulnérabilités dans le code, mais la sécurité doit mettre davantage l'accent sur l'enseignement aux développeurs des règles de sécurité qui les empêcheront de commettre ces erreurs dès le départ.
Avec l'arrivée du GDPR, ainsi qu'une stratégie révisée suite à une attaque en plusieurs étapes qui a exposé les données sensibles de nombreuses personnalités publiques - ainsi que des serveurs du gouvernement fédéral allemand - il est clair que la sensibilisation et l'action en matière de cybersécurité sont au premier plan des préoccupations des dirigeants de la région DACH.
La perception de ce qui constitue l'acte de codage sécurisé fait l'objet d'un débat. Selon une étude récente menée en collaboration avec Evans Data, ce sentiment a été révélé noir sur blanc. L'enquête State of Developer-Driven Security 2022 (État de la sécurité pilotée par les développeurs 2022) se penche sur les principaux points de vue et expériences de 1 200 développeurs actifs, mettant en lumière leurs attitudes et leurs défis dans le domaine de la sécurité.
Notre vice-présidente de la réussite des clients, Fatemah Beydoun, a récemment présenté son exposé intitulé "Mentoring for the future : Comment nous pouvons tous faire mieux pour encourager les talents féminins dans le domaine de la cybersécurité" devant un public très réceptif. Elle a joué un rôle essentiel dans l'évolution positive du secteur de la cybersécurité.
Alors que le codage sécurisé doit devenir une composante obligatoire de l'ingénierie logicielle au niveau tertiaire, certaines universités prennent les devants en offrant une formation de haut niveau et en accordant la priorité à la sécurité dans le cadre du processus de développement dès le début.p
Les RSSI et les DSI créatifs et inspirés ont le pouvoir d'innover et de façonner notre monde numérique, mais ils peuvent également jouer un rôle déterminant dans la transformation de la culture de sécurité d'une organisation.
Bien que VxWorks ne soit pas un nom familier pour le consommateur moyen, ce produit logiciel profite à de nombreuses personnes comme vous et moi, chaque jour. Aujourd'hui, nous sommes confrontés à la possibilité que des centaines de millions d'appareils alimentés par VxWorks soient compromis.
Nous devons nous efforcer de changer le discours, de faire en sorte que la sécurité fasse partie intégrante de la vie professionnelle de chaque développeur. Et je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et de les impliquer dans la sécurité par le biais, par exemple, de la ludification.
C'est le moment de l'année (pour nous, en tout cas) où je réfléchis à notre dernier tour de piste et à ce qui a été fait au cours des 365 jours précédents pour nous préparer à une nouvelle année de croissance, d'enseignements et d'inévitable imprévisibilité.
Ne pensez-vous pas qu'il est temps de donner un coup de jeune à la sécurité ? Il suffit de changer la conversation et de rendre les choses un peu plus positives (pour ne pas dire amusantes !) pour les deux parties, en particulier pour l'équipe de développement.
Que vous formiez les cadres dirigeants à la cybersécurité ou que vous aidiez les développeurs JAVA ou C# à sécuriser leurs compétences en matière de codage, la créativité, la ludification et l'amusement ont leur place.
Le 23 juin est une date spéciale dans le calendrier des geeks, puisqu'elle marque la Journée internationale des femmes ingénieurs. C'est l'occasion de mettre en lumière la contribution des femmes au développement de logiciels.
L'industrie de la sécurité des logiciels n'est pas exactement connue pour ses sentiments chaleureux et flous, ses observations fantaisistes et ses commentaires sur la vie, mais, peut-être qu'en vieillissant, je me surprends à réfléchir à l'impact que nous pouvons tous avoir dans le monde.
Avec l'augmentation des cyberattaques, qui touchent tous les types d'organisations dans tous les secteurs verticaux, la menace d'une violation de données coûteuse, embarrassante et préjudiciable aux résultats est bien réelle. Le problème ne se réduit pas, il se développe comme une tumeur.
Dans notre secteur, de nombreux experts en sécurité ont commencé à prédire les sujets brûlants de l'année, mais avec plus de cinq milliards d'enregistrements de données sensibles volés en 2019, nous avons pensé qu'il serait plus précis de prédire ce qui ne se passera pas en matière de cybersécurité dans un avenir prévisible.
En aidant à définir les responsabilités de nos applications et logiciels dans le cadre d'une hiérarchie stricte, et en appliquant ces politiques avec le moins de privilèges possible, nous pouvons nous assurer que nos applications et logiciels survivent et prospèrent malgré les menaces qui pèsent sur eux.
Le plan de mobilisation pour la sécurité des logiciels libres représente une étape positive pour la sécurité des développeurs. Cependant, nous devons tous faire le point et évaluer honnêtement si notre organisation est suffisamment mûre - et si nos équipes de développement ont le bon niveau de sensibilisation et de compétences en matière de sécurité - pour mettre en œuvre les stratégies défensives les plus récentes et les plus performantes.
Abordant des questions brûlantes telles que la manière de tirer le meilleur parti du budget AppSec d'une organisation, ainsi que plusieurs questions curieuses de l'auditoire, le panel des Leaders in AppSec a délivré une véritable magie matinale qui aidera les spécialistes de la sécurité à mettre en place des programmes viables au sein de leurs organisations.
Nous ne recevons pas de conseils réalistes, ni les solutions les plus rapides, pour lutter contre les assauts incessants de la cybersécurité moderne. Bien sûr, chaque violation est différente à sa manière, et il existe de nombreux vecteurs d'attaque qui peuvent être exploités dans les logiciels vulnérables. Les conseils génériques réalisables seront limités, mais l'approche des meilleures pratiques semble plus défectueuse d'heure en heure.
En début d'année, le Conseil des normes de sécurité PCI a dévoilé la version 4.0 de sa norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Bien que les organisations ne devront pas être entièrement conformes à la version 4.0 avant mars 2025, cette mise à jour est la plus transformatrice à ce jour et exigera de la plupart des entreprises qu'elles évaluent (et probablement mettent à niveau) des processus de sécurité complexes et des éléments de leur pile technologique. Cela s'ajoute à la mise en œuvre d'une formation de sensibilisation à la sécurité basée sur les rôles et d'une formation régulière au codage sécurisé pour les développeurs.
La stratégie nationale de cybersécurité de la CISA représente la meilleure chance que nous ayons de rehausser les normes logicielles dans tous les domaines et, enfin, d'inaugurer une nouvelle ère de développeurs compétents en matière de sécurité.
S'il semble inévitable que la technologie de l'IA de type LLM change la façon dont nous abordons de nombreux aspects du travail - et pas seulement le développement de logiciels -, nous devons prendre du recul et envisager les risques au-delà des gros titres. Et en tant que compagnon de codage, ses défauts sont peut-être son attribut le plus "humain".
Nous avons annoncé la clôture de notre tour de table de série C, qui a permis de lever 50 millions de dollars pour la prochaine phase de notre mission : aider davantage d'organisations pionnières à exploiter la puissance de leur cohorte de développement pour déjouer les vulnérabilités les plus courantes.
Tout juste après l'annonce de notre financement de série C, j'ai le plaisir de vous annoncer une nouvelle étape dans le parcours de notre entreprise. Synopsys, leader de l'industrie de la sécurité, a accueilli un nouveau produit passionnant dans sa gamme de produits : Synopsys Developer Security Training, powered by Secure Code Warrior.
Le plan stratégique pour la cybersécurité prévoit des changements majeurs dans la manière dont la plupart des organisations abordent la cybersécurité, et les développeurs sont dans une position unique pour aider à atteindre ces nouveaux objectifs.
Aujourd'hui, nous fêtons notre neuvième anniversaire, et je reste immensément fier et reconnaissant de nos réalisations et de la place durable que nous occupons dans le domaine de la cybersécurité, alors que la scène continue d'évoluer rapidement.
Une vulnérabilité critique, CVE-2024-3094, a été découverte dans la bibliothèque de compression de données XZ Utils utilisée par les principales distributions Linux, introduite par une porte dérobée par un acteur de la menace. Ce problème de haute gravité permet l'exécution potentielle de code à distance, ce qui présente des risques importants pour les processus de construction de logiciels. La faille affecte les premières versions (5.6.0 et 5.6.1) de XZ Utils dans Fedora Rawhide, avec un appel urgent aux organisations pour qu'elles mettent en place des correctifs. L'incident souligne le rôle essentiel des bénévoles de la communauté dans la maintenance des logiciels libres et met en évidence la nécessité d'améliorer les pratiques de sécurité et le contrôle d'accès au cours du cycle de développement des logiciels.
Le gouvernement australien, qui collabore avec la CISA aux plus hauts niveaux de la gouvernance mondiale, exige des fournisseurs des normes plus élevées en matière de qualité et de sécurité des logiciels.