Les codeurs conquièrent la sécurité : Série "Partager et apprendre" - Le détournement de clics
Susie ouvre son courrier électronique pour échapper à un méchant rapport qu'elle doit rendre dans deux jours. Elle voit apparaître dans sa boîte de réception un lien vers un iPad gratuit. Après avoir cliqué sur ce lien, elle accède à un site web comportant une grande bannière indiquant : "Cliquez ici pour obtenir votre iPad gratuit". Elle clique sur le bouton, mais rien ne semble se passer. Le problème, c'est qu'il s'est passé quelque chose.
Après avoir navigué jusqu'à sa boîte de réception, elle se rend compte que tous ses courriels ont été supprimés. Elle n'a même pas appuyé sur "supprimer". Que se passe-t-il ?
Le site de messagerie a été piraté. Le clickjacking incite les utilisateurs à effectuer des actions qu'ils n'avaient pas l'intention de faire, ce qui peut entraîner de graves problèmes.
Voyons maintenant comment fonctionne le clickjacking, pourquoi il est dangereux et ce que les développeurs comme vous peuvent faire pour l'éviter :
Comprendre le détournement de clics
Le clickjacking, également appelé "UI redressing attack", se produit lorsqu'un pirate utilise plusieurs couches transparentes sur une page web pour inciter l'utilisateur à cliquer sur un bouton ou un lien sur lequel il n'a pas l'intention de cliquer.
Avez-vous déjà eu un insecte coincé dans votre voiture ? Ils volent contre la vitre en essayant furieusement de s'envoler vers l'extérieur. L'intention de l'insecte est de voler vers ce qui ressemble à des arbres et à l'air libre, sans se soucier de la vitre qui bloque son chemin.
Le clickjacking est similaire dans sa conception, sauf que l'utilisateur est l'insecte et votre site web est la vitre qui bloque le passage. L'utilisateur voit quelque chose qu'il veut, par exemple un iPhone gratuit. L'attaquant place votre site dans un cadre transparent au-dessus de l'annonce de l'iPhone gratuit. Lorsque l'utilisateur clique sur le bouton pour obtenir le prix prétendument "gratuit", il clique en fait sur un bouton de votre site, effectuant ainsi une action qu'il n'avait pas prévue.
Pourquoi le détournement de clics est dangereux
Que peut faire un pirate avec le clickjacking ? Cela dépend en grande partie de la fonctionnalité du site web en question.
Le pirate peut amener un utilisateur à aimer ou à partager le site du pirate sur les médias sociaux. Cette opération est facile à réaliser, car de nombreuses personnes restent connectées à leurs comptes de médias sociaux pour des raisons de commodité.
Si votre site peut être placé dans un cadre, une opération sensible peut être effectuée en cliquant sur un bouton, ce qui peut constituer un vecteur d'attaque. Par exemple, un utilisateur clique pour obtenir un iPad gratuit, mais au lieu de cela, il modifie les paramètres de son compte sur votre site, ce qui le rend moins sûr. Une attaque de ce type a été menée contre la page des paramètres du plugin Adobe Flash. Les paramètres pouvaient être placés dans un cadre transparent, ce qui incitait l'utilisateur à permettre à toute animation Flash d'accéder au microphone et à la caméra. Les attaquants peuvent alors enregistrer la victime, ce qui constitue une atteinte majeure à la vie privée.
Un client de messagerie peut être piégé dans un site, ce qui amène l'utilisateur à supprimer tous les courriels de sa boîte aux lettres ou à les transférer vers une adresse électronique contrôlée par l'attaquant.
L'essentiel est que l'utilisateur ne peut pas voir ce qu'il clique, il peut donc être convaincu de cliquer sur n'importe quoi. Qu'il s'agisse d'un partage social ou du téléchargement d'un logiciel malveillant, les possibilités sont vastes.
Comment vaincre le détournement de clics
Le détournement de clics peut être évité. La méthode recommandée pour empêcher le détournement de clics consiste à définir une politique de sécurité du contenu (Content Security Policy ou CSP) pour votre site. En utilisant l'en-tête de réponse HTTP "frame ancestors", vous pouvez contrôler la manière dont votre site peut être encadré.
- "frame-ancestors none'- Aucun autre site n'est autorisé à encadrer le vôtre. C'est le paramètre recommandé.
- "frame-ancestors self'- Les pages de votre site ne peuvent être encadrées que par d'autres pages de votre site.
- "frame-ancestors self <uri list=""> - Your site can be framed by the sites in the URI lists and no others.</uri>
Le système CSP frame-ancestors n'est actuellement pas pris en charge par tous les principaux navigateurs. Utilisez l'en-tête HTTP "X-Frame-Options" comme option de repli pour ces navigateurs.
- DENY - Personne ne peut encadrer votre site. C'est le paramètre recommandé
- SAMEORIGIN - Identique à "self" pour CSP. Vous pouvez encadrer votre propre contenu, mais personne d'autre ne peut le faire.
- ALLOW-FROM <uri> - Allow the specified URI to frame your content.</uri>
Ne vous faites pas pirater
Le clickjacking est une attaque intelligente et trompeuse qui peut nuire à la réputation et entraîner des pertes de revenus si votre produit peut être manipulé par les attaquants. Consultez nos ressources d'apprentissage gratuites pour en savoir plus sur le clickjacking.
Utilisez une politique de sécurité du contenu et un en-tête "X-Frame-Options" pour empêcher les autres d'utiliser votre site à des fins malveillantes. Ne permettez pas aux attaquants de manipuler vos utilisateurs. Ne vous laissez pas détourner par les clics.
Voyons maintenant comment fonctionne le clickjacking, pourquoi il est dangereux et ce que les développeurs comme vous peuvent faire pour l'éviter.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationJaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Susie ouvre son courrier électronique pour échapper à un méchant rapport qu'elle doit rendre dans deux jours. Elle voit apparaître dans sa boîte de réception un lien vers un iPad gratuit. Après avoir cliqué sur ce lien, elle accède à un site web comportant une grande bannière indiquant : "Cliquez ici pour obtenir votre iPad gratuit". Elle clique sur le bouton, mais rien ne semble se passer. Le problème, c'est qu'il s'est passé quelque chose.
Après avoir navigué jusqu'à sa boîte de réception, elle se rend compte que tous ses courriels ont été supprimés. Elle n'a même pas appuyé sur "supprimer". Que se passe-t-il ?
Le site de messagerie a été piraté. Le clickjacking incite les utilisateurs à effectuer des actions qu'ils n'avaient pas l'intention de faire, ce qui peut entraîner de graves problèmes.
Voyons maintenant comment fonctionne le clickjacking, pourquoi il est dangereux et ce que les développeurs comme vous peuvent faire pour l'éviter :
Comprendre le détournement de clics
Le clickjacking, également appelé "UI redressing attack", se produit lorsqu'un pirate utilise plusieurs couches transparentes sur une page web pour inciter l'utilisateur à cliquer sur un bouton ou un lien sur lequel il n'a pas l'intention de cliquer.
Avez-vous déjà eu un insecte coincé dans votre voiture ? Ils volent contre la vitre en essayant furieusement de s'envoler vers l'extérieur. L'intention de l'insecte est de voler vers ce qui ressemble à des arbres et à l'air libre, sans se soucier de la vitre qui bloque son chemin.
Le clickjacking est similaire dans sa conception, sauf que l'utilisateur est l'insecte et votre site web est la vitre qui bloque le passage. L'utilisateur voit quelque chose qu'il veut, par exemple un iPhone gratuit. L'attaquant place votre site dans un cadre transparent au-dessus de l'annonce de l'iPhone gratuit. Lorsque l'utilisateur clique sur le bouton pour obtenir le prix prétendument "gratuit", il clique en fait sur un bouton de votre site, effectuant ainsi une action qu'il n'avait pas prévue.
Pourquoi le détournement de clics est dangereux
Que peut faire un pirate avec le clickjacking ? Cela dépend en grande partie de la fonctionnalité du site web en question.
Le pirate peut amener un utilisateur à aimer ou à partager le site du pirate sur les médias sociaux. Cette opération est facile à réaliser, car de nombreuses personnes restent connectées à leurs comptes de médias sociaux pour des raisons de commodité.
Si votre site peut être placé dans un cadre, une opération sensible peut être effectuée en cliquant sur un bouton, ce qui peut constituer un vecteur d'attaque. Par exemple, un utilisateur clique pour obtenir un iPad gratuit, mais au lieu de cela, il modifie les paramètres de son compte sur votre site, ce qui le rend moins sûr. Une attaque de ce type a été menée contre la page des paramètres du plugin Adobe Flash. Les paramètres pouvaient être placés dans un cadre transparent, ce qui incitait l'utilisateur à permettre à toute animation Flash d'accéder au microphone et à la caméra. Les attaquants peuvent alors enregistrer la victime, ce qui constitue une atteinte majeure à la vie privée.
Un client de messagerie peut être piégé dans un site, ce qui amène l'utilisateur à supprimer tous les courriels de sa boîte aux lettres ou à les transférer vers une adresse électronique contrôlée par l'attaquant.
L'essentiel est que l'utilisateur ne peut pas voir ce qu'il clique, il peut donc être convaincu de cliquer sur n'importe quoi. Qu'il s'agisse d'un partage social ou du téléchargement d'un logiciel malveillant, les possibilités sont vastes.
Comment vaincre le détournement de clics
Le détournement de clics peut être évité. La méthode recommandée pour empêcher le détournement de clics consiste à définir une politique de sécurité du contenu (Content Security Policy ou CSP) pour votre site. En utilisant l'en-tête de réponse HTTP "frame ancestors", vous pouvez contrôler la manière dont votre site peut être encadré.
- "frame-ancestors none'- Aucun autre site n'est autorisé à encadrer le vôtre. C'est le paramètre recommandé.
- "frame-ancestors self'- Les pages de votre site ne peuvent être encadrées que par d'autres pages de votre site.
- "frame-ancestors self <uri list=""> - Your site can be framed by the sites in the URI lists and no others.</uri>
Le système CSP frame-ancestors n'est actuellement pas pris en charge par tous les principaux navigateurs. Utilisez l'en-tête HTTP "X-Frame-Options" comme option de repli pour ces navigateurs.
- DENY - Personne ne peut encadrer votre site. C'est le paramètre recommandé
- SAMEORIGIN - Identique à "self" pour CSP. Vous pouvez encadrer votre propre contenu, mais personne d'autre ne peut le faire.
- ALLOW-FROM <uri> - Allow the specified URI to frame your content.</uri>
Ne vous faites pas pirater
Le clickjacking est une attaque intelligente et trompeuse qui peut nuire à la réputation et entraîner des pertes de revenus si votre produit peut être manipulé par les attaquants. Consultez nos ressources d'apprentissage gratuites pour en savoir plus sur le clickjacking.
Utilisez une politique de sécurité du contenu et un en-tête "X-Frame-Options" pour empêcher les autres d'utiliser votre site à des fins malveillantes. Ne permettez pas aux attaquants de manipuler vos utilisateurs. Ne vous laissez pas détourner par les clics.
Susie ouvre son courrier électronique pour échapper à un méchant rapport qu'elle doit rendre dans deux jours. Elle voit apparaître dans sa boîte de réception un lien vers un iPad gratuit. Après avoir cliqué sur ce lien, elle accède à un site web comportant une grande bannière indiquant : "Cliquez ici pour obtenir votre iPad gratuit". Elle clique sur le bouton, mais rien ne semble se passer. Le problème, c'est qu'il s'est passé quelque chose.
Après avoir navigué jusqu'à sa boîte de réception, elle se rend compte que tous ses courriels ont été supprimés. Elle n'a même pas appuyé sur "supprimer". Que se passe-t-il ?
Le site de messagerie a été piraté. Le clickjacking incite les utilisateurs à effectuer des actions qu'ils n'avaient pas l'intention de faire, ce qui peut entraîner de graves problèmes.
Voyons maintenant comment fonctionne le clickjacking, pourquoi il est dangereux et ce que les développeurs comme vous peuvent faire pour l'éviter :
Comprendre le détournement de clics
Le clickjacking, également appelé "UI redressing attack", se produit lorsqu'un pirate utilise plusieurs couches transparentes sur une page web pour inciter l'utilisateur à cliquer sur un bouton ou un lien sur lequel il n'a pas l'intention de cliquer.
Avez-vous déjà eu un insecte coincé dans votre voiture ? Ils volent contre la vitre en essayant furieusement de s'envoler vers l'extérieur. L'intention de l'insecte est de voler vers ce qui ressemble à des arbres et à l'air libre, sans se soucier de la vitre qui bloque son chemin.
Le clickjacking est similaire dans sa conception, sauf que l'utilisateur est l'insecte et votre site web est la vitre qui bloque le passage. L'utilisateur voit quelque chose qu'il veut, par exemple un iPhone gratuit. L'attaquant place votre site dans un cadre transparent au-dessus de l'annonce de l'iPhone gratuit. Lorsque l'utilisateur clique sur le bouton pour obtenir le prix prétendument "gratuit", il clique en fait sur un bouton de votre site, effectuant ainsi une action qu'il n'avait pas prévue.
Pourquoi le détournement de clics est dangereux
Que peut faire un pirate avec le clickjacking ? Cela dépend en grande partie de la fonctionnalité du site web en question.
Le pirate peut amener un utilisateur à aimer ou à partager le site du pirate sur les médias sociaux. Cette opération est facile à réaliser, car de nombreuses personnes restent connectées à leurs comptes de médias sociaux pour des raisons de commodité.
Si votre site peut être placé dans un cadre, une opération sensible peut être effectuée en cliquant sur un bouton, ce qui peut constituer un vecteur d'attaque. Par exemple, un utilisateur clique pour obtenir un iPad gratuit, mais au lieu de cela, il modifie les paramètres de son compte sur votre site, ce qui le rend moins sûr. Une attaque de ce type a été menée contre la page des paramètres du plugin Adobe Flash. Les paramètres pouvaient être placés dans un cadre transparent, ce qui incitait l'utilisateur à permettre à toute animation Flash d'accéder au microphone et à la caméra. Les attaquants peuvent alors enregistrer la victime, ce qui constitue une atteinte majeure à la vie privée.
Un client de messagerie peut être piégé dans un site, ce qui amène l'utilisateur à supprimer tous les courriels de sa boîte aux lettres ou à les transférer vers une adresse électronique contrôlée par l'attaquant.
L'essentiel est que l'utilisateur ne peut pas voir ce qu'il clique, il peut donc être convaincu de cliquer sur n'importe quoi. Qu'il s'agisse d'un partage social ou du téléchargement d'un logiciel malveillant, les possibilités sont vastes.
Comment vaincre le détournement de clics
Le détournement de clics peut être évité. La méthode recommandée pour empêcher le détournement de clics consiste à définir une politique de sécurité du contenu (Content Security Policy ou CSP) pour votre site. En utilisant l'en-tête de réponse HTTP "frame ancestors", vous pouvez contrôler la manière dont votre site peut être encadré.
- "frame-ancestors none'- Aucun autre site n'est autorisé à encadrer le vôtre. C'est le paramètre recommandé.
- "frame-ancestors self'- Les pages de votre site ne peuvent être encadrées que par d'autres pages de votre site.
- "frame-ancestors self <uri list=""> - Your site can be framed by the sites in the URI lists and no others.</uri>
Le système CSP frame-ancestors n'est actuellement pas pris en charge par tous les principaux navigateurs. Utilisez l'en-tête HTTP "X-Frame-Options" comme option de repli pour ces navigateurs.
- DENY - Personne ne peut encadrer votre site. C'est le paramètre recommandé
- SAMEORIGIN - Identique à "self" pour CSP. Vous pouvez encadrer votre propre contenu, mais personne d'autre ne peut le faire.
- ALLOW-FROM <uri> - Allow the specified URI to frame your content.</uri>
Ne vous faites pas pirater
Le clickjacking est une attaque intelligente et trompeuse qui peut nuire à la réputation et entraîner des pertes de revenus si votre produit peut être manipulé par les attaquants. Consultez nos ressources d'apprentissage gratuites pour en savoir plus sur le clickjacking.
Utilisez une politique de sécurité du contenu et un en-tête "X-Frame-Options" pour empêcher les autres d'utiliser votre site à des fins malveillantes. Ne permettez pas aux attaquants de manipuler vos utilisateurs. Ne vous laissez pas détourner par les clics.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationJaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Susie ouvre son courrier électronique pour échapper à un méchant rapport qu'elle doit rendre dans deux jours. Elle voit apparaître dans sa boîte de réception un lien vers un iPad gratuit. Après avoir cliqué sur ce lien, elle accède à un site web comportant une grande bannière indiquant : "Cliquez ici pour obtenir votre iPad gratuit". Elle clique sur le bouton, mais rien ne semble se passer. Le problème, c'est qu'il s'est passé quelque chose.
Après avoir navigué jusqu'à sa boîte de réception, elle se rend compte que tous ses courriels ont été supprimés. Elle n'a même pas appuyé sur "supprimer". Que se passe-t-il ?
Le site de messagerie a été piraté. Le clickjacking incite les utilisateurs à effectuer des actions qu'ils n'avaient pas l'intention de faire, ce qui peut entraîner de graves problèmes.
Voyons maintenant comment fonctionne le clickjacking, pourquoi il est dangereux et ce que les développeurs comme vous peuvent faire pour l'éviter :
Comprendre le détournement de clics
Le clickjacking, également appelé "UI redressing attack", se produit lorsqu'un pirate utilise plusieurs couches transparentes sur une page web pour inciter l'utilisateur à cliquer sur un bouton ou un lien sur lequel il n'a pas l'intention de cliquer.
Avez-vous déjà eu un insecte coincé dans votre voiture ? Ils volent contre la vitre en essayant furieusement de s'envoler vers l'extérieur. L'intention de l'insecte est de voler vers ce qui ressemble à des arbres et à l'air libre, sans se soucier de la vitre qui bloque son chemin.
Le clickjacking est similaire dans sa conception, sauf que l'utilisateur est l'insecte et votre site web est la vitre qui bloque le passage. L'utilisateur voit quelque chose qu'il veut, par exemple un iPhone gratuit. L'attaquant place votre site dans un cadre transparent au-dessus de l'annonce de l'iPhone gratuit. Lorsque l'utilisateur clique sur le bouton pour obtenir le prix prétendument "gratuit", il clique en fait sur un bouton de votre site, effectuant ainsi une action qu'il n'avait pas prévue.
Pourquoi le détournement de clics est dangereux
Que peut faire un pirate avec le clickjacking ? Cela dépend en grande partie de la fonctionnalité du site web en question.
Le pirate peut amener un utilisateur à aimer ou à partager le site du pirate sur les médias sociaux. Cette opération est facile à réaliser, car de nombreuses personnes restent connectées à leurs comptes de médias sociaux pour des raisons de commodité.
Si votre site peut être placé dans un cadre, une opération sensible peut être effectuée en cliquant sur un bouton, ce qui peut constituer un vecteur d'attaque. Par exemple, un utilisateur clique pour obtenir un iPad gratuit, mais au lieu de cela, il modifie les paramètres de son compte sur votre site, ce qui le rend moins sûr. Une attaque de ce type a été menée contre la page des paramètres du plugin Adobe Flash. Les paramètres pouvaient être placés dans un cadre transparent, ce qui incitait l'utilisateur à permettre à toute animation Flash d'accéder au microphone et à la caméra. Les attaquants peuvent alors enregistrer la victime, ce qui constitue une atteinte majeure à la vie privée.
Un client de messagerie peut être piégé dans un site, ce qui amène l'utilisateur à supprimer tous les courriels de sa boîte aux lettres ou à les transférer vers une adresse électronique contrôlée par l'attaquant.
L'essentiel est que l'utilisateur ne peut pas voir ce qu'il clique, il peut donc être convaincu de cliquer sur n'importe quoi. Qu'il s'agisse d'un partage social ou du téléchargement d'un logiciel malveillant, les possibilités sont vastes.
Comment vaincre le détournement de clics
Le détournement de clics peut être évité. La méthode recommandée pour empêcher le détournement de clics consiste à définir une politique de sécurité du contenu (Content Security Policy ou CSP) pour votre site. En utilisant l'en-tête de réponse HTTP "frame ancestors", vous pouvez contrôler la manière dont votre site peut être encadré.
- "frame-ancestors none'- Aucun autre site n'est autorisé à encadrer le vôtre. C'est le paramètre recommandé.
- "frame-ancestors self'- Les pages de votre site ne peuvent être encadrées que par d'autres pages de votre site.
- "frame-ancestors self <uri list=""> - Your site can be framed by the sites in the URI lists and no others.</uri>
Le système CSP frame-ancestors n'est actuellement pas pris en charge par tous les principaux navigateurs. Utilisez l'en-tête HTTP "X-Frame-Options" comme option de repli pour ces navigateurs.
- DENY - Personne ne peut encadrer votre site. C'est le paramètre recommandé
- SAMEORIGIN - Identique à "self" pour CSP. Vous pouvez encadrer votre propre contenu, mais personne d'autre ne peut le faire.
- ALLOW-FROM <uri> - Allow the specified URI to frame your content.</uri>
Ne vous faites pas pirater
Le clickjacking est une attaque intelligente et trompeuse qui peut nuire à la réputation et entraîner des pertes de revenus si votre produit peut être manipulé par les attaquants. Consultez nos ressources d'apprentissage gratuites pour en savoir plus sur le clickjacking.
Utilisez une politique de sécurité du contenu et un en-tête "X-Frame-Options" pour empêcher les autres d'utiliser votre site à des fins malveillantes. Ne permettez pas aux attaquants de manipuler vos utilisateurs. Ne vous laissez pas détourner par les clics.
Table des matières
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
La note de confiance révèle la valeur des initiatives d'amélioration de la sécurité par la conception
Nos recherches ont montré que la formation au code sécurisé fonctionne. Le Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité à réduire les vulnérabilités et la manière de rendre l'initiative encore plus efficace.
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.