L'avenir de la cybersécurité : Ce qui ne se passera pas dans l'année à venir
Une version de cet article a été publiée dans Lecture sombre. Elle a été mise à jour pour être publiée ici.
Dans notre secteur, de nombreux experts en sécurité ont pris l'habitude de prédire les sujets brûlants de l'année à venir (et je ne fais pas exception), mais avec plus de cinq milliards d'enregistrements de données sensibles volés en 2019, j'ai pensé qu'il serait plus précis de prédire ce qui ne se passera pas en matière de cybersécurité en 2020, voire dans un avenir prévisible.
Je me suis assis avec mon cofondateur, Matias Madou, et nous avons bien ri en dressant cette liste. Elle se veut quelque peu légère, mais elle vous fait réfléchir au long chemin qui reste à parcourir pour protéger chaque organisation contre les cyberattaques malveillantes.
Maintenant, regardons dans notre boule de cristal et révélons nos prédictions. Nous ne verrons rien :
Les injections SQL éradiquées de tous les logiciels
Je pense que tous les professionnels de la sécurité de la planète attendent le jour où ils ne seront plus obligés d'identifier des bogues d'injection SQL, ad nauseam.
Malheureusement, nous attendons ce jour depuis plus de vingt ans, et nous continuerons à l'attendre au moins une fois de plus. C'est la vulnérabilité qui, telle une blatte, a survécu à toutes les tactiques mises en œuvre jusqu'à présent pour l'éradiquer définitivement.
C'est pour le moins frustrant, car le remède est connu depuis à peu près le même temps. Cependant, la priorité accordée aux meilleures pratiques de sécurité à chaque étape du développement de logiciels (en particulier dès le début) reste trop faible, et certainement inadéquate à la lumière de l'augmentation considérable de la production de code depuis la découverte de l'injection SQL.
(Vous voulez en savoir plus sur les schémas de codage qui peuvent conduire à une injection SQL ? Relevez le défi ici).
Les développeurs et l'AppSec deviennent les meilleurs amis du monde
Ah, les développeurs et l'équipe AppSec. Parviendront-ils un jour à s'entendre ou sont-ils destinés à une vie de rivalité comme Rocky contre Apollo ? La réponse courte est oui, ils peuvent s'entendre, mais à l'heure actuelle, leurs priorités sont souvent très différentes.
Lorsqu'ils se rencontrent dans le cadre d'un projet, ils sont sur des pages opposées et s'affrontent au moment du dernier obstacle : lorsque les spécialistes de l'AppSec examinent le code d'un développeur. Le développeur a construit de belles fonctionnalités fonctionnelles (ce qui est sa priorité absolue) qui sont mises en pièces si des vulnérabilités de sécurité sont découvertes. Le gourou de la sécurité des logiciels a, en effet, qualifié leur bébé de laid et a forcé le développeur à revenir en arrière et à corriger les bogues, ce qui retarde souvent le déploiement.
Dans l'état actuel des choses, ce problème ne sera pas résolu tant que les développeurs et les équipes AppSec ne travailleront pas à un objectif commun, à savoir la création de logiciels sécurisés. Cela ne se produira pas comme un processus par défaut en 2020 (et pour de nombreuses entreprises, pas mal d'années après), mais avec l'avènement du mouvement DevSecOps et au-delà, les développeurs reconnaissent la nécessité de se perfectionner en matière de sécurité et de travailler selon une norme plus élevée ; une norme qui inclut des objectifs de sécurité dès le début.
Une offre excédentaire de professionnels de la sécurité
En 2020, 2025, 2030... il est presque garanti que nous manquerons de personnel au niveau mondial en ce qui concerne l'expertise en matière de sécurité.
Selon un rapport de l'ISC(2), environ 2,93 millions de postes dans le domaine de la cybersécurité sont actuellement vacants. Il est presque certain que la situation va empirer avant de s'améliorer, et il n'y a pas d'armée cachée de la sécurité qui attende de venir à notre secours dans les prochaines années.
Dans l'immédiat, notre meilleure chance de remédier à cette pénurie de compétences est de faire de la sécurité une priorité organisationnelle et d'améliorer les compétences de notre main-d'œuvre existante, ce qui signifie donner aux développeurs la formation et les outils nécessaires pour coder en toute sécurité, ainsi que créer une culture de la sécurité à l'échelle de l'entreprise. La plupart des équipes AppSec actuelles luttent probablement contre des bogues de sécurité bien connus et anciens (voir le point 1 ci-dessus). Si nous veillons à ce qu'elles n'aient pas à consacrer du temps et des efforts précieux à la résolution de ces problèmes courants, elles auront plus de marge de manœuvre pour se concentrer sur les problèmes de sécurité les plus difficiles (pour l'instant, il s'agit probablement de problèmes liés aux API, ainsi que de la construction d'outils qui peuvent s'adapter aux pipelines de développement).
Moins de code produit
Le monde se numérise à une vitesse stupéfiante et la demande sociétale ne va pas faiblir. Environ 111 milliards de lignes de code sont écrites chaque année, et ce chiffre ne fera qu'augmenter et devenir de plus en plus terrifiant (pour les équipes AppSec déjà à bout de souffle, en tout cas).
L'augmentation du volume de code accroît inévitablement les vulnérabilités potentielles en matière de sécurité, de sorte que toute idée selon laquelle 2020 serait une année plus lente pour la production de logiciels et les violations est à peu près aussi réaliste qu'une course de licornes au Grand National.
Une réduction des vols de données
Comme je l'ai dit, plus de code signifie plus de vulnérabilités, ce qui offre plus de possibilités aux attaquants de trouver un moyen de voler des données.
Au moins 5,3 milliards d'enregistrements ont été volés dans le monde en 2019, et la défense contre les attaquants est toujours un peu une course désespérée et réactive. Ce chiffre ne doublera peut-être pas au cours des douze prochains mois, mais je pense qu'il s'en approchera.
À titre d'exemple, examinons les tendances historiques des données volées signalées aux États-Unis d'une année sur l'autre :
Si l'on considère la période 2005-2010, on constate une augmentation régulière avec un léger flux et reflux entre les années. C'est intéressant, mais il est important de souligner qu'en 2009, le nombre de violations signalées a fortement diminué par rapport à 2008. Toutefois, le nombre d'enregistrements volés a nettement augmenté malgré la diminution du nombre de violations.
Les enregistrements de données sont le nouvel or ; ils ont de la valeur pour un attaquant. Le graphique reflète une tendance générale à la hausse des violations et du nombre d'enregistrements volés, avec un pic énorme en 2017. Le nombre d'attaques a eu tendance à diminuer en 2018, peut-être en raison de mesures de sécurité plus strictes, mais le nombre d'enregistrements obtenus n'a jamais été aussi élevé. Les cyberattaques vont devenir de plus en plus sophistiquées, de plus en plus volumineuses et ne sont pas près de disparaître. À l'échelle mondiale, il est peu probable que nous assistions à un ralentissement en 2020, car les entreprises produisent plus de logiciels que jamais auparavant. Elles sont les gardiennes de nos données et doivent travailler plus intelligemment pour protéger notre vie privée.
Les développeurs demandent des formations à la sécurité par vidéo plus longues et plus fréquentes
S'il est une chose que les développeurs adorent, c'est bien de regarder des heures et des heures de vidéos de formation assistée par ordinateur (CBT). En fait, la demande pour ce contenu captivant est telle que Netflix va annoncer une toute nouvelle sous-catégorie consacrée aux vidéos génériques de formation à la sécurité.
Euh, non. Ni maintenant, ni en 2020, ni jamais.
Pour les développeurs, l'introduction à la sécurité se fait souvent par le biais d'une formation à la conformité sur le lieu de travail. Le codage sécurisé fait rarement partie de leur formation tertiaire, et la formation sur le tas peut être leur tout premier contact avec la sécurité des logiciels. Et, comme on peut s'y attendre, ils n'aiment pas cela.
Pour que les développeurs prennent la sécurité au sérieux - et pour que la formation soit utile - elle doit être pertinente, attrayante et contextuelle par rapport à leur travail. Une formation ponctuelle à la conformité - ou un flot ininterrompu de vidéos ennuyeuses - n'est pas le moyen de gagner le cœur d'un développeur, et cela ne réduira pas les vulnérabilités.
Si vous voulez que la cohorte de développeurs ait une chance de devenir une force défensive sensibilisée à la sécurité contre les vulnérabilités courantes, faites-les travailler avec de vrais exemples de code - ceux qu'ils rencontrent dans leurs tâches quotidiennes. Faites en sorte que l'apprentissage se fasse par petites touches, qu'il soit facile d'en tirer parti et qu'il soit motivé par un sentiment de plaisir. Pour qu'une culture de la sécurité prospère, elle doit être positive, engageante et développer des compétences et des solutions réelles dans l'ensemble de l'organisation.
Qui sait ? Avec la bonne formation, un développeur pourrait reconnaître le champion de la sécurité qui sommeille en lui et diffuser largement les avantages du codage sécurisé.
Aucun décès dû à un incident lié à la cybersécurité
D'accord, il ne s'agit pas d'un sujet de plaisanterie. J'ai dit à plusieurs reprises que le monde ne s'intéresserait pas à la cybersécurité tant que des personnes ne mourraient pas des suites d'un incident lié à une cyberattaque.
Le problème, c'est que cela s'est déjà produit et que cela est passé largement inaperçu.
Des cyberattaques contre des hôpitaux américains ont été liées à une augmentation du nombre de décès par crise cardiaque en 2019. Bien sûr, les attaquants n'ont pas provoqué d'événements cardiaques mortels chez les patients, mais leurs attaques par ransomware sur les systèmes et équipements hospitaliers ont ralenti les délais de traitement pour les soins critiques.
Cette étude de l'université de Floride centrale a analysé 3 000 hôpitaux, dont 311 avaient subi une violation de données. Dans les hôpitaux touchés par un incident de sécurité, il fallait en moyenne 2,7 minutes de plus pour faire passer un ECG aux victimes présumées d'une crise cardiaque, probablement en raison des changements de procédure, des mesures de sécurité nouvellement mises en œuvre et des problèmes d'assistance informatique qui prenaient plus de temps qu'auparavant. L'identification et le traitement d'une crise cardiaque sont une course contre la montre, et ces hôpitaux ont enregistré en moyenne 36 décès supplémentaires pour 10 000 crises cardiaques par an.
C'est choquant et, malheureusement, je pense que la situation va empirer avant de s'améliorer. Cela devrait nous rappeler brutalement que nous devons tous faire davantage pour améliorer la sécurité des logiciels et faire en sorte qu'elle soit au centre des préoccupations de chaque entreprise.
Moins d'images d'archives de "hackers cagoulés"
Si vous tapez "hacker" dans une recherche d'images, vous découvrirez inévitablement des milliers d'images d'un personnage cagoulé, sans visage, tapant sur un ordinateur portable, ou d'un personnage similaire portant un masque de Guy Fawkes.
L'image stéréotypée du pirate informatique est de plus en plus fatiguée et fait passer tout le monde pour un méchant. Il y a beaucoup de bons gars et de bonnes filles dans le domaine de la sécurité, et les connotations négatives autour de l'image du "hacker" ne rendent pas service à tout le monde.
Est-ce que je pense que cela va changer bientôt ? Probablement pas, mais il est agréable de rêver. Pour l'instant, il est important de se rappeler que la sécurité n'a pas à être effrayante.
Dans notre secteur, de nombreux experts en sécurité ont commencé à prédire les sujets brûlants de l'année, mais avec plus de cinq milliards d'enregistrements de données sensibles volés en 2019, nous avons pensé qu'il serait plus précis de prédire ce qui ne se passera pas en matière de cybersécurité dans un avenir prévisible.
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationDirecteur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été publiée dans Lecture sombre. Elle a été mise à jour pour être publiée ici.
Dans notre secteur, de nombreux experts en sécurité ont pris l'habitude de prédire les sujets brûlants de l'année à venir (et je ne fais pas exception), mais avec plus de cinq milliards d'enregistrements de données sensibles volés en 2019, j'ai pensé qu'il serait plus précis de prédire ce qui ne se passera pas en matière de cybersécurité en 2020, voire dans un avenir prévisible.
Je me suis assis avec mon cofondateur, Matias Madou, et nous avons bien ri en dressant cette liste. Elle se veut quelque peu légère, mais elle vous fait réfléchir au long chemin qui reste à parcourir pour protéger chaque organisation contre les cyberattaques malveillantes.
Maintenant, regardons dans notre boule de cristal et révélons nos prédictions. Nous ne verrons rien :
Les injections SQL éradiquées de tous les logiciels
Je pense que tous les professionnels de la sécurité de la planète attendent le jour où ils ne seront plus obligés d'identifier des bogues d'injection SQL, ad nauseam.
Malheureusement, nous attendons ce jour depuis plus de vingt ans, et nous continuerons à l'attendre au moins une fois de plus. C'est la vulnérabilité qui, telle une blatte, a survécu à toutes les tactiques mises en œuvre jusqu'à présent pour l'éradiquer définitivement.
C'est pour le moins frustrant, car le remède est connu depuis à peu près le même temps. Cependant, la priorité accordée aux meilleures pratiques de sécurité à chaque étape du développement de logiciels (en particulier dès le début) reste trop faible, et certainement inadéquate à la lumière de l'augmentation considérable de la production de code depuis la découverte de l'injection SQL.
(Vous voulez en savoir plus sur les schémas de codage qui peuvent conduire à une injection SQL ? Relevez le défi ici).
Les développeurs et l'AppSec deviennent les meilleurs amis du monde
Ah, les développeurs et l'équipe AppSec. Parviendront-ils un jour à s'entendre ou sont-ils destinés à une vie de rivalité comme Rocky contre Apollo ? La réponse courte est oui, ils peuvent s'entendre, mais à l'heure actuelle, leurs priorités sont souvent très différentes.
Lorsqu'ils se rencontrent dans le cadre d'un projet, ils sont sur des pages opposées et s'affrontent au moment du dernier obstacle : lorsque les spécialistes de l'AppSec examinent le code d'un développeur. Le développeur a construit de belles fonctionnalités fonctionnelles (ce qui est sa priorité absolue) qui sont mises en pièces si des vulnérabilités de sécurité sont découvertes. Le gourou de la sécurité des logiciels a, en effet, qualifié leur bébé de laid et a forcé le développeur à revenir en arrière et à corriger les bogues, ce qui retarde souvent le déploiement.
Dans l'état actuel des choses, ce problème ne sera pas résolu tant que les développeurs et les équipes AppSec ne travailleront pas à un objectif commun, à savoir la création de logiciels sécurisés. Cela ne se produira pas comme un processus par défaut en 2020 (et pour de nombreuses entreprises, pas mal d'années après), mais avec l'avènement du mouvement DevSecOps et au-delà, les développeurs reconnaissent la nécessité de se perfectionner en matière de sécurité et de travailler selon une norme plus élevée ; une norme qui inclut des objectifs de sécurité dès le début.
Une offre excédentaire de professionnels de la sécurité
En 2020, 2025, 2030... il est presque garanti que nous manquerons de personnel au niveau mondial en ce qui concerne l'expertise en matière de sécurité.
Selon un rapport de l'ISC(2), environ 2,93 millions de postes dans le domaine de la cybersécurité sont actuellement vacants. Il est presque certain que la situation va empirer avant de s'améliorer, et il n'y a pas d'armée cachée de la sécurité qui attende de venir à notre secours dans les prochaines années.
Dans l'immédiat, notre meilleure chance de remédier à cette pénurie de compétences est de faire de la sécurité une priorité organisationnelle et d'améliorer les compétences de notre main-d'œuvre existante, ce qui signifie donner aux développeurs la formation et les outils nécessaires pour coder en toute sécurité, ainsi que créer une culture de la sécurité à l'échelle de l'entreprise. La plupart des équipes AppSec actuelles luttent probablement contre des bogues de sécurité bien connus et anciens (voir le point 1 ci-dessus). Si nous veillons à ce qu'elles n'aient pas à consacrer du temps et des efforts précieux à la résolution de ces problèmes courants, elles auront plus de marge de manœuvre pour se concentrer sur les problèmes de sécurité les plus difficiles (pour l'instant, il s'agit probablement de problèmes liés aux API, ainsi que de la construction d'outils qui peuvent s'adapter aux pipelines de développement).
Moins de code produit
Le monde se numérise à une vitesse stupéfiante et la demande sociétale ne va pas faiblir. Environ 111 milliards de lignes de code sont écrites chaque année, et ce chiffre ne fera qu'augmenter et devenir de plus en plus terrifiant (pour les équipes AppSec déjà à bout de souffle, en tout cas).
L'augmentation du volume de code accroît inévitablement les vulnérabilités potentielles en matière de sécurité, de sorte que toute idée selon laquelle 2020 serait une année plus lente pour la production de logiciels et les violations est à peu près aussi réaliste qu'une course de licornes au Grand National.
Une réduction des vols de données
Comme je l'ai dit, plus de code signifie plus de vulnérabilités, ce qui offre plus de possibilités aux attaquants de trouver un moyen de voler des données.
Au moins 5,3 milliards d'enregistrements ont été volés dans le monde en 2019, et la défense contre les attaquants est toujours un peu une course désespérée et réactive. Ce chiffre ne doublera peut-être pas au cours des douze prochains mois, mais je pense qu'il s'en approchera.
À titre d'exemple, examinons les tendances historiques des données volées signalées aux États-Unis d'une année sur l'autre :
Si l'on considère la période 2005-2010, on constate une augmentation régulière avec un léger flux et reflux entre les années. C'est intéressant, mais il est important de souligner qu'en 2009, le nombre de violations signalées a fortement diminué par rapport à 2008. Toutefois, le nombre d'enregistrements volés a nettement augmenté malgré la diminution du nombre de violations.
Les enregistrements de données sont le nouvel or ; ils ont de la valeur pour un attaquant. Le graphique reflète une tendance générale à la hausse des violations et du nombre d'enregistrements volés, avec un pic énorme en 2017. Le nombre d'attaques a eu tendance à diminuer en 2018, peut-être en raison de mesures de sécurité plus strictes, mais le nombre d'enregistrements obtenus n'a jamais été aussi élevé. Les cyberattaques vont devenir de plus en plus sophistiquées, de plus en plus volumineuses et ne sont pas près de disparaître. À l'échelle mondiale, il est peu probable que nous assistions à un ralentissement en 2020, car les entreprises produisent plus de logiciels que jamais auparavant. Elles sont les gardiennes de nos données et doivent travailler plus intelligemment pour protéger notre vie privée.
Les développeurs demandent des formations à la sécurité par vidéo plus longues et plus fréquentes
S'il est une chose que les développeurs adorent, c'est bien de regarder des heures et des heures de vidéos de formation assistée par ordinateur (CBT). En fait, la demande pour ce contenu captivant est telle que Netflix va annoncer une toute nouvelle sous-catégorie consacrée aux vidéos génériques de formation à la sécurité.
Euh, non. Ni maintenant, ni en 2020, ni jamais.
Pour les développeurs, l'introduction à la sécurité se fait souvent par le biais d'une formation à la conformité sur le lieu de travail. Le codage sécurisé fait rarement partie de leur formation tertiaire, et la formation sur le tas peut être leur tout premier contact avec la sécurité des logiciels. Et, comme on peut s'y attendre, ils n'aiment pas cela.
Pour que les développeurs prennent la sécurité au sérieux - et pour que la formation soit utile - elle doit être pertinente, attrayante et contextuelle par rapport à leur travail. Une formation ponctuelle à la conformité - ou un flot ininterrompu de vidéos ennuyeuses - n'est pas le moyen de gagner le cœur d'un développeur, et cela ne réduira pas les vulnérabilités.
Si vous voulez que la cohorte de développeurs ait une chance de devenir une force défensive sensibilisée à la sécurité contre les vulnérabilités courantes, faites-les travailler avec de vrais exemples de code - ceux qu'ils rencontrent dans leurs tâches quotidiennes. Faites en sorte que l'apprentissage se fasse par petites touches, qu'il soit facile d'en tirer parti et qu'il soit motivé par un sentiment de plaisir. Pour qu'une culture de la sécurité prospère, elle doit être positive, engageante et développer des compétences et des solutions réelles dans l'ensemble de l'organisation.
Qui sait ? Avec la bonne formation, un développeur pourrait reconnaître le champion de la sécurité qui sommeille en lui et diffuser largement les avantages du codage sécurisé.
Aucun décès dû à un incident lié à la cybersécurité
D'accord, il ne s'agit pas d'un sujet de plaisanterie. J'ai dit à plusieurs reprises que le monde ne s'intéresserait pas à la cybersécurité tant que des personnes ne mourraient pas des suites d'un incident lié à une cyberattaque.
Le problème, c'est que cela s'est déjà produit et que cela est passé largement inaperçu.
Des cyberattaques contre des hôpitaux américains ont été liées à une augmentation du nombre de décès par crise cardiaque en 2019. Bien sûr, les attaquants n'ont pas provoqué d'événements cardiaques mortels chez les patients, mais leurs attaques par ransomware sur les systèmes et équipements hospitaliers ont ralenti les délais de traitement pour les soins critiques.
Cette étude de l'université de Floride centrale a analysé 3 000 hôpitaux, dont 311 avaient subi une violation de données. Dans les hôpitaux touchés par un incident de sécurité, il fallait en moyenne 2,7 minutes de plus pour faire passer un ECG aux victimes présumées d'une crise cardiaque, probablement en raison des changements de procédure, des mesures de sécurité nouvellement mises en œuvre et des problèmes d'assistance informatique qui prenaient plus de temps qu'auparavant. L'identification et le traitement d'une crise cardiaque sont une course contre la montre, et ces hôpitaux ont enregistré en moyenne 36 décès supplémentaires pour 10 000 crises cardiaques par an.
C'est choquant et, malheureusement, je pense que la situation va empirer avant de s'améliorer. Cela devrait nous rappeler brutalement que nous devons tous faire davantage pour améliorer la sécurité des logiciels et faire en sorte qu'elle soit au centre des préoccupations de chaque entreprise.
Moins d'images d'archives de "hackers cagoulés"
Si vous tapez "hacker" dans une recherche d'images, vous découvrirez inévitablement des milliers d'images d'un personnage cagoulé, sans visage, tapant sur un ordinateur portable, ou d'un personnage similaire portant un masque de Guy Fawkes.
L'image stéréotypée du pirate informatique est de plus en plus fatiguée et fait passer tout le monde pour un méchant. Il y a beaucoup de bons gars et de bonnes filles dans le domaine de la sécurité, et les connotations négatives autour de l'image du "hacker" ne rendent pas service à tout le monde.
Est-ce que je pense que cela va changer bientôt ? Probablement pas, mais il est agréable de rêver. Pour l'instant, il est important de se rappeler que la sécurité n'a pas à être effrayante.
Une version de cet article a été publiée dans Lecture sombre. Elle a été mise à jour pour être publiée ici.
Dans notre secteur, de nombreux experts en sécurité ont pris l'habitude de prédire les sujets brûlants de l'année à venir (et je ne fais pas exception), mais avec plus de cinq milliards d'enregistrements de données sensibles volés en 2019, j'ai pensé qu'il serait plus précis de prédire ce qui ne se passera pas en matière de cybersécurité en 2020, voire dans un avenir prévisible.
Je me suis assis avec mon cofondateur, Matias Madou, et nous avons bien ri en dressant cette liste. Elle se veut quelque peu légère, mais elle vous fait réfléchir au long chemin qui reste à parcourir pour protéger chaque organisation contre les cyberattaques malveillantes.
Maintenant, regardons dans notre boule de cristal et révélons nos prédictions. Nous ne verrons rien :
Les injections SQL éradiquées de tous les logiciels
Je pense que tous les professionnels de la sécurité de la planète attendent le jour où ils ne seront plus obligés d'identifier des bogues d'injection SQL, ad nauseam.
Malheureusement, nous attendons ce jour depuis plus de vingt ans, et nous continuerons à l'attendre au moins une fois de plus. C'est la vulnérabilité qui, telle une blatte, a survécu à toutes les tactiques mises en œuvre jusqu'à présent pour l'éradiquer définitivement.
C'est pour le moins frustrant, car le remède est connu depuis à peu près le même temps. Cependant, la priorité accordée aux meilleures pratiques de sécurité à chaque étape du développement de logiciels (en particulier dès le début) reste trop faible, et certainement inadéquate à la lumière de l'augmentation considérable de la production de code depuis la découverte de l'injection SQL.
(Vous voulez en savoir plus sur les schémas de codage qui peuvent conduire à une injection SQL ? Relevez le défi ici).
Les développeurs et l'AppSec deviennent les meilleurs amis du monde
Ah, les développeurs et l'équipe AppSec. Parviendront-ils un jour à s'entendre ou sont-ils destinés à une vie de rivalité comme Rocky contre Apollo ? La réponse courte est oui, ils peuvent s'entendre, mais à l'heure actuelle, leurs priorités sont souvent très différentes.
Lorsqu'ils se rencontrent dans le cadre d'un projet, ils sont sur des pages opposées et s'affrontent au moment du dernier obstacle : lorsque les spécialistes de l'AppSec examinent le code d'un développeur. Le développeur a construit de belles fonctionnalités fonctionnelles (ce qui est sa priorité absolue) qui sont mises en pièces si des vulnérabilités de sécurité sont découvertes. Le gourou de la sécurité des logiciels a, en effet, qualifié leur bébé de laid et a forcé le développeur à revenir en arrière et à corriger les bogues, ce qui retarde souvent le déploiement.
Dans l'état actuel des choses, ce problème ne sera pas résolu tant que les développeurs et les équipes AppSec ne travailleront pas à un objectif commun, à savoir la création de logiciels sécurisés. Cela ne se produira pas comme un processus par défaut en 2020 (et pour de nombreuses entreprises, pas mal d'années après), mais avec l'avènement du mouvement DevSecOps et au-delà, les développeurs reconnaissent la nécessité de se perfectionner en matière de sécurité et de travailler selon une norme plus élevée ; une norme qui inclut des objectifs de sécurité dès le début.
Une offre excédentaire de professionnels de la sécurité
En 2020, 2025, 2030... il est presque garanti que nous manquerons de personnel au niveau mondial en ce qui concerne l'expertise en matière de sécurité.
Selon un rapport de l'ISC(2), environ 2,93 millions de postes dans le domaine de la cybersécurité sont actuellement vacants. Il est presque certain que la situation va empirer avant de s'améliorer, et il n'y a pas d'armée cachée de la sécurité qui attende de venir à notre secours dans les prochaines années.
Dans l'immédiat, notre meilleure chance de remédier à cette pénurie de compétences est de faire de la sécurité une priorité organisationnelle et d'améliorer les compétences de notre main-d'œuvre existante, ce qui signifie donner aux développeurs la formation et les outils nécessaires pour coder en toute sécurité, ainsi que créer une culture de la sécurité à l'échelle de l'entreprise. La plupart des équipes AppSec actuelles luttent probablement contre des bogues de sécurité bien connus et anciens (voir le point 1 ci-dessus). Si nous veillons à ce qu'elles n'aient pas à consacrer du temps et des efforts précieux à la résolution de ces problèmes courants, elles auront plus de marge de manœuvre pour se concentrer sur les problèmes de sécurité les plus difficiles (pour l'instant, il s'agit probablement de problèmes liés aux API, ainsi que de la construction d'outils qui peuvent s'adapter aux pipelines de développement).
Moins de code produit
Le monde se numérise à une vitesse stupéfiante et la demande sociétale ne va pas faiblir. Environ 111 milliards de lignes de code sont écrites chaque année, et ce chiffre ne fera qu'augmenter et devenir de plus en plus terrifiant (pour les équipes AppSec déjà à bout de souffle, en tout cas).
L'augmentation du volume de code accroît inévitablement les vulnérabilités potentielles en matière de sécurité, de sorte que toute idée selon laquelle 2020 serait une année plus lente pour la production de logiciels et les violations est à peu près aussi réaliste qu'une course de licornes au Grand National.
Une réduction des vols de données
Comme je l'ai dit, plus de code signifie plus de vulnérabilités, ce qui offre plus de possibilités aux attaquants de trouver un moyen de voler des données.
Au moins 5,3 milliards d'enregistrements ont été volés dans le monde en 2019, et la défense contre les attaquants est toujours un peu une course désespérée et réactive. Ce chiffre ne doublera peut-être pas au cours des douze prochains mois, mais je pense qu'il s'en approchera.
À titre d'exemple, examinons les tendances historiques des données volées signalées aux États-Unis d'une année sur l'autre :
Si l'on considère la période 2005-2010, on constate une augmentation régulière avec un léger flux et reflux entre les années. C'est intéressant, mais il est important de souligner qu'en 2009, le nombre de violations signalées a fortement diminué par rapport à 2008. Toutefois, le nombre d'enregistrements volés a nettement augmenté malgré la diminution du nombre de violations.
Les enregistrements de données sont le nouvel or ; ils ont de la valeur pour un attaquant. Le graphique reflète une tendance générale à la hausse des violations et du nombre d'enregistrements volés, avec un pic énorme en 2017. Le nombre d'attaques a eu tendance à diminuer en 2018, peut-être en raison de mesures de sécurité plus strictes, mais le nombre d'enregistrements obtenus n'a jamais été aussi élevé. Les cyberattaques vont devenir de plus en plus sophistiquées, de plus en plus volumineuses et ne sont pas près de disparaître. À l'échelle mondiale, il est peu probable que nous assistions à un ralentissement en 2020, car les entreprises produisent plus de logiciels que jamais auparavant. Elles sont les gardiennes de nos données et doivent travailler plus intelligemment pour protéger notre vie privée.
Les développeurs demandent des formations à la sécurité par vidéo plus longues et plus fréquentes
S'il est une chose que les développeurs adorent, c'est bien de regarder des heures et des heures de vidéos de formation assistée par ordinateur (CBT). En fait, la demande pour ce contenu captivant est telle que Netflix va annoncer une toute nouvelle sous-catégorie consacrée aux vidéos génériques de formation à la sécurité.
Euh, non. Ni maintenant, ni en 2020, ni jamais.
Pour les développeurs, l'introduction à la sécurité se fait souvent par le biais d'une formation à la conformité sur le lieu de travail. Le codage sécurisé fait rarement partie de leur formation tertiaire, et la formation sur le tas peut être leur tout premier contact avec la sécurité des logiciels. Et, comme on peut s'y attendre, ils n'aiment pas cela.
Pour que les développeurs prennent la sécurité au sérieux - et pour que la formation soit utile - elle doit être pertinente, attrayante et contextuelle par rapport à leur travail. Une formation ponctuelle à la conformité - ou un flot ininterrompu de vidéos ennuyeuses - n'est pas le moyen de gagner le cœur d'un développeur, et cela ne réduira pas les vulnérabilités.
Si vous voulez que la cohorte de développeurs ait une chance de devenir une force défensive sensibilisée à la sécurité contre les vulnérabilités courantes, faites-les travailler avec de vrais exemples de code - ceux qu'ils rencontrent dans leurs tâches quotidiennes. Faites en sorte que l'apprentissage se fasse par petites touches, qu'il soit facile d'en tirer parti et qu'il soit motivé par un sentiment de plaisir. Pour qu'une culture de la sécurité prospère, elle doit être positive, engageante et développer des compétences et des solutions réelles dans l'ensemble de l'organisation.
Qui sait ? Avec la bonne formation, un développeur pourrait reconnaître le champion de la sécurité qui sommeille en lui et diffuser largement les avantages du codage sécurisé.
Aucun décès dû à un incident lié à la cybersécurité
D'accord, il ne s'agit pas d'un sujet de plaisanterie. J'ai dit à plusieurs reprises que le monde ne s'intéresserait pas à la cybersécurité tant que des personnes ne mourraient pas des suites d'un incident lié à une cyberattaque.
Le problème, c'est que cela s'est déjà produit et que cela est passé largement inaperçu.
Des cyberattaques contre des hôpitaux américains ont été liées à une augmentation du nombre de décès par crise cardiaque en 2019. Bien sûr, les attaquants n'ont pas provoqué d'événements cardiaques mortels chez les patients, mais leurs attaques par ransomware sur les systèmes et équipements hospitaliers ont ralenti les délais de traitement pour les soins critiques.
Cette étude de l'université de Floride centrale a analysé 3 000 hôpitaux, dont 311 avaient subi une violation de données. Dans les hôpitaux touchés par un incident de sécurité, il fallait en moyenne 2,7 minutes de plus pour faire passer un ECG aux victimes présumées d'une crise cardiaque, probablement en raison des changements de procédure, des mesures de sécurité nouvellement mises en œuvre et des problèmes d'assistance informatique qui prenaient plus de temps qu'auparavant. L'identification et le traitement d'une crise cardiaque sont une course contre la montre, et ces hôpitaux ont enregistré en moyenne 36 décès supplémentaires pour 10 000 crises cardiaques par an.
C'est choquant et, malheureusement, je pense que la situation va empirer avant de s'améliorer. Cela devrait nous rappeler brutalement que nous devons tous faire davantage pour améliorer la sécurité des logiciels et faire en sorte qu'elle soit au centre des préoccupations de chaque entreprise.
Moins d'images d'archives de "hackers cagoulés"
Si vous tapez "hacker" dans une recherche d'images, vous découvrirez inévitablement des milliers d'images d'un personnage cagoulé, sans visage, tapant sur un ordinateur portable, ou d'un personnage similaire portant un masque de Guy Fawkes.
L'image stéréotypée du pirate informatique est de plus en plus fatiguée et fait passer tout le monde pour un méchant. Il y a beaucoup de bons gars et de bonnes filles dans le domaine de la sécurité, et les connotations négatives autour de l'image du "hacker" ne rendent pas service à tout le monde.
Est-ce que je pense que cela va changer bientôt ? Probablement pas, mais il est agréable de rêver. Pour l'instant, il est important de se rappeler que la sécurité n'a pas à être effrayante.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationDirecteur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été publiée dans Lecture sombre. Elle a été mise à jour pour être publiée ici.
Dans notre secteur, de nombreux experts en sécurité ont pris l'habitude de prédire les sujets brûlants de l'année à venir (et je ne fais pas exception), mais avec plus de cinq milliards d'enregistrements de données sensibles volés en 2019, j'ai pensé qu'il serait plus précis de prédire ce qui ne se passera pas en matière de cybersécurité en 2020, voire dans un avenir prévisible.
Je me suis assis avec mon cofondateur, Matias Madou, et nous avons bien ri en dressant cette liste. Elle se veut quelque peu légère, mais elle vous fait réfléchir au long chemin qui reste à parcourir pour protéger chaque organisation contre les cyberattaques malveillantes.
Maintenant, regardons dans notre boule de cristal et révélons nos prédictions. Nous ne verrons rien :
Les injections SQL éradiquées de tous les logiciels
Je pense que tous les professionnels de la sécurité de la planète attendent le jour où ils ne seront plus obligés d'identifier des bogues d'injection SQL, ad nauseam.
Malheureusement, nous attendons ce jour depuis plus de vingt ans, et nous continuerons à l'attendre au moins une fois de plus. C'est la vulnérabilité qui, telle une blatte, a survécu à toutes les tactiques mises en œuvre jusqu'à présent pour l'éradiquer définitivement.
C'est pour le moins frustrant, car le remède est connu depuis à peu près le même temps. Cependant, la priorité accordée aux meilleures pratiques de sécurité à chaque étape du développement de logiciels (en particulier dès le début) reste trop faible, et certainement inadéquate à la lumière de l'augmentation considérable de la production de code depuis la découverte de l'injection SQL.
(Vous voulez en savoir plus sur les schémas de codage qui peuvent conduire à une injection SQL ? Relevez le défi ici).
Les développeurs et l'AppSec deviennent les meilleurs amis du monde
Ah, les développeurs et l'équipe AppSec. Parviendront-ils un jour à s'entendre ou sont-ils destinés à une vie de rivalité comme Rocky contre Apollo ? La réponse courte est oui, ils peuvent s'entendre, mais à l'heure actuelle, leurs priorités sont souvent très différentes.
Lorsqu'ils se rencontrent dans le cadre d'un projet, ils sont sur des pages opposées et s'affrontent au moment du dernier obstacle : lorsque les spécialistes de l'AppSec examinent le code d'un développeur. Le développeur a construit de belles fonctionnalités fonctionnelles (ce qui est sa priorité absolue) qui sont mises en pièces si des vulnérabilités de sécurité sont découvertes. Le gourou de la sécurité des logiciels a, en effet, qualifié leur bébé de laid et a forcé le développeur à revenir en arrière et à corriger les bogues, ce qui retarde souvent le déploiement.
Dans l'état actuel des choses, ce problème ne sera pas résolu tant que les développeurs et les équipes AppSec ne travailleront pas à un objectif commun, à savoir la création de logiciels sécurisés. Cela ne se produira pas comme un processus par défaut en 2020 (et pour de nombreuses entreprises, pas mal d'années après), mais avec l'avènement du mouvement DevSecOps et au-delà, les développeurs reconnaissent la nécessité de se perfectionner en matière de sécurité et de travailler selon une norme plus élevée ; une norme qui inclut des objectifs de sécurité dès le début.
Une offre excédentaire de professionnels de la sécurité
En 2020, 2025, 2030... il est presque garanti que nous manquerons de personnel au niveau mondial en ce qui concerne l'expertise en matière de sécurité.
Selon un rapport de l'ISC(2), environ 2,93 millions de postes dans le domaine de la cybersécurité sont actuellement vacants. Il est presque certain que la situation va empirer avant de s'améliorer, et il n'y a pas d'armée cachée de la sécurité qui attende de venir à notre secours dans les prochaines années.
Dans l'immédiat, notre meilleure chance de remédier à cette pénurie de compétences est de faire de la sécurité une priorité organisationnelle et d'améliorer les compétences de notre main-d'œuvre existante, ce qui signifie donner aux développeurs la formation et les outils nécessaires pour coder en toute sécurité, ainsi que créer une culture de la sécurité à l'échelle de l'entreprise. La plupart des équipes AppSec actuelles luttent probablement contre des bogues de sécurité bien connus et anciens (voir le point 1 ci-dessus). Si nous veillons à ce qu'elles n'aient pas à consacrer du temps et des efforts précieux à la résolution de ces problèmes courants, elles auront plus de marge de manœuvre pour se concentrer sur les problèmes de sécurité les plus difficiles (pour l'instant, il s'agit probablement de problèmes liés aux API, ainsi que de la construction d'outils qui peuvent s'adapter aux pipelines de développement).
Moins de code produit
Le monde se numérise à une vitesse stupéfiante et la demande sociétale ne va pas faiblir. Environ 111 milliards de lignes de code sont écrites chaque année, et ce chiffre ne fera qu'augmenter et devenir de plus en plus terrifiant (pour les équipes AppSec déjà à bout de souffle, en tout cas).
L'augmentation du volume de code accroît inévitablement les vulnérabilités potentielles en matière de sécurité, de sorte que toute idée selon laquelle 2020 serait une année plus lente pour la production de logiciels et les violations est à peu près aussi réaliste qu'une course de licornes au Grand National.
Une réduction des vols de données
Comme je l'ai dit, plus de code signifie plus de vulnérabilités, ce qui offre plus de possibilités aux attaquants de trouver un moyen de voler des données.
Au moins 5,3 milliards d'enregistrements ont été volés dans le monde en 2019, et la défense contre les attaquants est toujours un peu une course désespérée et réactive. Ce chiffre ne doublera peut-être pas au cours des douze prochains mois, mais je pense qu'il s'en approchera.
À titre d'exemple, examinons les tendances historiques des données volées signalées aux États-Unis d'une année sur l'autre :
Si l'on considère la période 2005-2010, on constate une augmentation régulière avec un léger flux et reflux entre les années. C'est intéressant, mais il est important de souligner qu'en 2009, le nombre de violations signalées a fortement diminué par rapport à 2008. Toutefois, le nombre d'enregistrements volés a nettement augmenté malgré la diminution du nombre de violations.
Les enregistrements de données sont le nouvel or ; ils ont de la valeur pour un attaquant. Le graphique reflète une tendance générale à la hausse des violations et du nombre d'enregistrements volés, avec un pic énorme en 2017. Le nombre d'attaques a eu tendance à diminuer en 2018, peut-être en raison de mesures de sécurité plus strictes, mais le nombre d'enregistrements obtenus n'a jamais été aussi élevé. Les cyberattaques vont devenir de plus en plus sophistiquées, de plus en plus volumineuses et ne sont pas près de disparaître. À l'échelle mondiale, il est peu probable que nous assistions à un ralentissement en 2020, car les entreprises produisent plus de logiciels que jamais auparavant. Elles sont les gardiennes de nos données et doivent travailler plus intelligemment pour protéger notre vie privée.
Les développeurs demandent des formations à la sécurité par vidéo plus longues et plus fréquentes
S'il est une chose que les développeurs adorent, c'est bien de regarder des heures et des heures de vidéos de formation assistée par ordinateur (CBT). En fait, la demande pour ce contenu captivant est telle que Netflix va annoncer une toute nouvelle sous-catégorie consacrée aux vidéos génériques de formation à la sécurité.
Euh, non. Ni maintenant, ni en 2020, ni jamais.
Pour les développeurs, l'introduction à la sécurité se fait souvent par le biais d'une formation à la conformité sur le lieu de travail. Le codage sécurisé fait rarement partie de leur formation tertiaire, et la formation sur le tas peut être leur tout premier contact avec la sécurité des logiciels. Et, comme on peut s'y attendre, ils n'aiment pas cela.
Pour que les développeurs prennent la sécurité au sérieux - et pour que la formation soit utile - elle doit être pertinente, attrayante et contextuelle par rapport à leur travail. Une formation ponctuelle à la conformité - ou un flot ininterrompu de vidéos ennuyeuses - n'est pas le moyen de gagner le cœur d'un développeur, et cela ne réduira pas les vulnérabilités.
Si vous voulez que la cohorte de développeurs ait une chance de devenir une force défensive sensibilisée à la sécurité contre les vulnérabilités courantes, faites-les travailler avec de vrais exemples de code - ceux qu'ils rencontrent dans leurs tâches quotidiennes. Faites en sorte que l'apprentissage se fasse par petites touches, qu'il soit facile d'en tirer parti et qu'il soit motivé par un sentiment de plaisir. Pour qu'une culture de la sécurité prospère, elle doit être positive, engageante et développer des compétences et des solutions réelles dans l'ensemble de l'organisation.
Qui sait ? Avec la bonne formation, un développeur pourrait reconnaître le champion de la sécurité qui sommeille en lui et diffuser largement les avantages du codage sécurisé.
Aucun décès dû à un incident lié à la cybersécurité
D'accord, il ne s'agit pas d'un sujet de plaisanterie. J'ai dit à plusieurs reprises que le monde ne s'intéresserait pas à la cybersécurité tant que des personnes ne mourraient pas des suites d'un incident lié à une cyberattaque.
Le problème, c'est que cela s'est déjà produit et que cela est passé largement inaperçu.
Des cyberattaques contre des hôpitaux américains ont été liées à une augmentation du nombre de décès par crise cardiaque en 2019. Bien sûr, les attaquants n'ont pas provoqué d'événements cardiaques mortels chez les patients, mais leurs attaques par ransomware sur les systèmes et équipements hospitaliers ont ralenti les délais de traitement pour les soins critiques.
Cette étude de l'université de Floride centrale a analysé 3 000 hôpitaux, dont 311 avaient subi une violation de données. Dans les hôpitaux touchés par un incident de sécurité, il fallait en moyenne 2,7 minutes de plus pour faire passer un ECG aux victimes présumées d'une crise cardiaque, probablement en raison des changements de procédure, des mesures de sécurité nouvellement mises en œuvre et des problèmes d'assistance informatique qui prenaient plus de temps qu'auparavant. L'identification et le traitement d'une crise cardiaque sont une course contre la montre, et ces hôpitaux ont enregistré en moyenne 36 décès supplémentaires pour 10 000 crises cardiaques par an.
C'est choquant et, malheureusement, je pense que la situation va empirer avant de s'améliorer. Cela devrait nous rappeler brutalement que nous devons tous faire davantage pour améliorer la sécurité des logiciels et faire en sorte qu'elle soit au centre des préoccupations de chaque entreprise.
Moins d'images d'archives de "hackers cagoulés"
Si vous tapez "hacker" dans une recherche d'images, vous découvrirez inévitablement des milliers d'images d'un personnage cagoulé, sans visage, tapant sur un ordinateur portable, ou d'un personnage similaire portant un masque de Guy Fawkes.
L'image stéréotypée du pirate informatique est de plus en plus fatiguée et fait passer tout le monde pour un méchant. Il y a beaucoup de bons gars et de bonnes filles dans le domaine de la sécurité, et les connotations négatives autour de l'image du "hacker" ne rendent pas service à tout le monde.
Est-ce que je pense que cela va changer bientôt ? Probablement pas, mais il est agréable de rêver. Pour l'instant, il est important de se rappeler que la sécurité n'a pas à être effrayante.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
La puissance d'OpenText Fortify + Secure Code Warrior
OpenText Fortify et Secure Code Warrior unissent leurs forces pour aider les entreprises à réduire les risques, à transformer les développeurs en champions de la sécurité et à renforcer la confiance des clients. Pour en savoir plus, cliquez ici.
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
Ressources pour vous aider à démarrer
10 prédictions clés : Secure Code Warrior sur l'influence de l'IA et de la conception sécurisée en 2025
Les organisations sont confrontées à des décisions difficiles sur l'utilisation de l'IA pour soutenir la productivité à long terme, la durabilité et le retour sur investissement de la sécurité. Au cours des dernières années, il nous est apparu clairement que l'IA ne remplacera jamais complètement le rôle du développeur. Des partenariats IA + développeurs aux pressions croissantes (et à la confusion) autour des attentes en matière de conception sécurisée, examinons de plus près ce à quoi nous pouvons nous attendre au cours de l'année prochaine.
OWASP Top 10 pour les applications LLM : Ce qui est nouveau, ce qui a changé et comment rester en sécurité
Gardez une longueur d'avance dans la sécurisation des applications LLM avec les dernières mises à jour du Top 10 de l'OWASP. Découvrez ce qui est nouveau, ce qui a changé et comment Secure Code Warrior vous fournit des ressources d'apprentissage actualisées pour atténuer les risques dans l'IA générative.
La note de confiance révèle la valeur des initiatives d'amélioration de la sécurité par la conception
Nos recherches ont montré que la formation au code sécurisé fonctionne. Le Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité à réduire les vulnérabilités et la manière de rendre l'initiative encore plus efficace.
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.