Analyse du secteur de la cybersécurité : Une autre vulnérabilité récurrente à laquelle nous devons remédier
Une version de cet article a été publiée dans Help Net Security. Elle a été mise à jour et publiée ici.
J'ai passé ma carrière à trouver, corriger, discuter et décomposer les vulnérabilités des logiciels, d'une manière ou d'une autre. Je sais qu'en ce qui concerne certains bogues de sécurité courants, bien qu'ils soient dans notre orbite depuis les années 90, ils continuent d'infester nos logiciels et de causer des problèmes majeurs, même si la solution (souvent simple) est connue depuis presque aussi longtemps. Nous avons vraiment l'impression de vivre le jour de la marmotte, où l'industrie semble faire la même chose encore et encore et s'attendre à un résultat différent.
Mais il y a un autre petit problème. Nous ne recevons pas de conseils réalistes, ni les solutions les plus rapides, pour lutter contre les assauts incessants de la cybersécurité moderne. Bien sûr, chaque violation est différente à sa manière, et il existe de nombreux vecteurs d'attaque qui peuvent être exploités dans les logiciels vulnérables. Les conseils génériques réalisables seront limités, mais l'approche des meilleures pratiques semble plus défectueuse d'heure en heure.
À cette fin, je me demande pourquoi tant de commentaires et d'analyses sur la cybersécurité ont omis les solutions qui s'attaquent vraiment à la cause profonde de tant de vulnérabilités : les humains. Le dernier Hype Cycle de Gartner pour la sécurité des applications et The State of Application Security 2021 de Forrester, deux bibles pour les experts en sécurité qui contribuent sans aucun doute à façonner leur programme et l'adoption potentielle de produits, sont presque entièrement axés sur les outils. Un rapport d'Aberdeen datant de 2017 montrait à quel point la pile technologique de sécurité moyenne était devenue indisciplinée, les RSSI gérant des centaines de produits dans le cadre de leurs stratégies de sécurité ; quatre ans plus tard, nous sommes aux prises avec plus de risques, plus de vulnérabilités et plus d'ajouts à des bêtes de pile technologique en pleine croissance.
Les outils de sécurité sont indispensables, mais nous devons voir plus loin et rétablir l'équilibre de la composante humaine de la défense de la sécurité.
L'automatisation est l'avenir. Pourquoi devrions-nous nous préoccuper de l'aspect humain de la cybersécurité ?
Pratiquement tout dans nos vies est alimenté par des logiciels, et il est vrai que l'automatisation remplace les éléments humains qui étaient autrefois présents dans tant d'industries. C'est un signe de progrès dans un monde qui se numérise à grande vitesse, l'IA et l'apprentissage automatique étant des sujets d'actualité qui permettent à de nombreuses organisations de rester tournées vers l'avenir.
Alors pourquoi une approche de la cybersécurité axée sur l'être humain serait-elle autre chose qu'une solution dépassée à un problème technologiquement avancé ? Le fait que des milliards d'enregistrements de données aient été volés dans des brèches au cours de l'année écoulée, y compris la brèche la plus récente dans Facebook qui a touché plus d'un demi-milliard de comptes, devrait indiquer que nous n'en faisons pas assez (ou que nous n'adoptons pas la bonne approche) pour contrer sérieusement les acteurs de la menace.
L'outillage de cybersécurité est un élément indispensable de la cyberdéfense, et les outils auront toujours leur place. Les analystes ont toujours eu raison de recommander les outils les plus récents dans le cadre d'une approche d'atténuation des risques pour les entreprises, et cela ne changera pas. Cependant, la qualité du code (et, par définition, la sécurité) étant difficile à gérer au vu du volume de production de code, les outils ne peuvent pas faire le travail à eux seuls. À ce jour, il n'existe pas d'outil unique qui puisse le faire :
- Recherchez toutes les vulnérabilités, dans tous les langages:framework
- Numériser à la vitesse
- Minimiser la double manipulation causée par les faux positifs et les faux négatifs
Les outils peuvent être lents, encombrants et difficiles à manier. Mais surtout, ils ne font que détecter les problèmes - ils ne les résolvent pas et ne recommandent pas de solutions. Ces dernières exigent des experts en sécurité, qui sont peu nombreux et surchargés de travail, qu'ils fouillent dans les poubelles pour trouver des trésors dans les résultats interminables de pentesting et d'analyse.
Le fait est que, selon le rapport IBM Cyber Security Intelligence Index, l'erreur humaine joue un rôle dans 95 % de toutes les violations de données réussies. Près de la moitié d'entre elles sont directement liées à des vulnérabilités logicielles, dont beaucoup pourraient être atténuées si l'on adhérait davantage au codage sécurisé et à la sensibilisation dès les premiers stades du cycle de développement logiciel (SDLC). Toutefois, pour que cela se produise, il est essentiel de mettre l'accent sur la formation des développeurs et de l'intégrer dans leur flux de travail.
Que nous le voulions ou non, l'être humain est profondément ancré dans le processus de développement des logiciels, et la cybersécurité est avant tout un problème humain. Les outils ne seront pas la panacée pour corriger une faille fondamentale dans notre approche, mais ils peuvent jouer un rôle de soutien essentiel pour remodeler les solutions humaines.
Et si nous construisions de meilleurs outils (et beaucoup d'outils) ?
Les outils de sécurité ne cessent de s'améliorer. Les outils SAST/DAST/IAST ont parcouru un long chemin, gagnant en rapidité et en intelligence, et le RASP devrait être une considération défensive sérieuse dans de nombreux environnements d'application. Les pare-feu, les gestionnaires de secrets, les applications de sécurité en nuage et en réseau sont autant d'éléments qui ne posent pas de problème.
Les humains peuvent toujours s'efforcer de créer de meilleurs outils, mais l'innovation ne suit pas les besoins de sécurité et de protection des données du monde numérique dans lequel nous vivons. Les outils sont, pour la plupart, conçus pour les robots. Ils peuvent aider les développeurs et l'équipe de sécurité à analyser, surveiller ou protéger le code, mais l'interaction est très limitée, et très peu de solutions visent à sensibiliser à la sécurité ou à améliorer les compétences de base qui peuvent conduire à de meilleurs résultats en matière de sécurité.
En fait, plus de la moitié des entreprises ne savent même pas si les outils fonctionnent pour elles, et elles ne sont pas sûres de pouvoir éviter une violation de données dévastatrice. Il s'agit là d'un sentiment très médiocre qui, dans un secteur obsédé par les outils et peu enclin à adopter une approche différente, tend à consolider le statu quo et les problèmes qui en découlent.
Comment une organisation peut-elle tirer parti d'une approche humaine de la sécurité ?
Il ne fait aucun doute qu'il est bénéfique de rester à l'avant-garde des tendances en matière de technologie de sécurité des applications, et que cela peut même aider à prioriser les mises à niveau ou les consolidations dans une pile technologique surchargée, mais ne pas cibler la cause première des logiciels vulnérables - nous, simples humains - nous maintiendra du côté perdant du front de bataille de la cybersécurité.
Si nous voulons sérieusement réduire le nombre de failles de sécurité au niveau du code, il faut donner aux développeurs les bases nécessaires pour réussir à partager la responsabilité de la sécurité. Ils ont besoin d'une formation pertinente et pratique, d'un perfectionnement en cours d'emploi et d'outils fonctionnels qui ne perturbent pas leur flux de travail et ne font pas de la sécurité une corvée à développer. Idéalement, certains outils devraient être centrés sur les développeurs et conçus en pensant avant tout à l'expérience des utilisateurs.
À ce jour, il n'existe pas de programme officiel de certification de la sécurité pour les développeurs, mais chaque entreprise peut tirer profit de l'évaluation comparative et de l'amélioration des compétences en matière de codage sécurisé, en éliminant les vulnérabilités courantes de manière précoce et fréquente, avant que la grosse pile technologique n'entre en action et ne ralentisse tout.
Une équipe de développeurs sensibilisés à la sécurité est un trésor caché pour toute organisation, mais comme toute chose qui en vaut la peine, il faudra du temps et des efforts pour mettre en place une équipe de rêve efficace. Pour convaincre les développeurs de se préoccuper de la sécurité et de considérer le codage sécurisé comme le fondement de la qualité du code, il faut que l'ensemble de l'organisation s'engage à placer la sécurité au premier plan. Et lorsque des équipes entières sont sensibilisées à l'impact positif qu'elles peuvent avoir en éliminant les vulnérabilités courantes au fur et à mesure de l'écriture du code, aucun outil sur Terre ne peut rivaliser.
Nous ne recevons pas de conseils réalistes, ni les solutions les plus rapides, pour lutter contre les assauts incessants de la cybersécurité moderne. Bien sûr, chaque violation est différente à sa manière, et il existe de nombreux vecteurs d'attaque qui peuvent être exploités dans les logiciels vulnérables. Les conseils génériques réalisables seront limités, mais l'approche des meilleures pratiques semble plus défectueuse d'heure en heure.
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationDirecteur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été publiée dans Help Net Security. Elle a été mise à jour et publiée ici.
J'ai passé ma carrière à trouver, corriger, discuter et décomposer les vulnérabilités des logiciels, d'une manière ou d'une autre. Je sais qu'en ce qui concerne certains bogues de sécurité courants, bien qu'ils soient dans notre orbite depuis les années 90, ils continuent d'infester nos logiciels et de causer des problèmes majeurs, même si la solution (souvent simple) est connue depuis presque aussi longtemps. Nous avons vraiment l'impression de vivre le jour de la marmotte, où l'industrie semble faire la même chose encore et encore et s'attendre à un résultat différent.
Mais il y a un autre petit problème. Nous ne recevons pas de conseils réalistes, ni les solutions les plus rapides, pour lutter contre les assauts incessants de la cybersécurité moderne. Bien sûr, chaque violation est différente à sa manière, et il existe de nombreux vecteurs d'attaque qui peuvent être exploités dans les logiciels vulnérables. Les conseils génériques réalisables seront limités, mais l'approche des meilleures pratiques semble plus défectueuse d'heure en heure.
À cette fin, je me demande pourquoi tant de commentaires et d'analyses sur la cybersécurité ont omis les solutions qui s'attaquent vraiment à la cause profonde de tant de vulnérabilités : les humains. Le dernier Hype Cycle de Gartner pour la sécurité des applications et The State of Application Security 2021 de Forrester, deux bibles pour les experts en sécurité qui contribuent sans aucun doute à façonner leur programme et l'adoption potentielle de produits, sont presque entièrement axés sur les outils. Un rapport d'Aberdeen datant de 2017 montrait à quel point la pile technologique de sécurité moyenne était devenue indisciplinée, les RSSI gérant des centaines de produits dans le cadre de leurs stratégies de sécurité ; quatre ans plus tard, nous sommes aux prises avec plus de risques, plus de vulnérabilités et plus d'ajouts à des bêtes de pile technologique en pleine croissance.
Les outils de sécurité sont indispensables, mais nous devons voir plus loin et rétablir l'équilibre de la composante humaine de la défense de la sécurité.
L'automatisation est l'avenir. Pourquoi devrions-nous nous préoccuper de l'aspect humain de la cybersécurité ?
Pratiquement tout dans nos vies est alimenté par des logiciels, et il est vrai que l'automatisation remplace les éléments humains qui étaient autrefois présents dans tant d'industries. C'est un signe de progrès dans un monde qui se numérise à grande vitesse, l'IA et l'apprentissage automatique étant des sujets d'actualité qui permettent à de nombreuses organisations de rester tournées vers l'avenir.
Alors pourquoi une approche de la cybersécurité axée sur l'être humain serait-elle autre chose qu'une solution dépassée à un problème technologiquement avancé ? Le fait que des milliards d'enregistrements de données aient été volés dans des brèches au cours de l'année écoulée, y compris la brèche la plus récente dans Facebook qui a touché plus d'un demi-milliard de comptes, devrait indiquer que nous n'en faisons pas assez (ou que nous n'adoptons pas la bonne approche) pour contrer sérieusement les acteurs de la menace.
L'outillage de cybersécurité est un élément indispensable de la cyberdéfense, et les outils auront toujours leur place. Les analystes ont toujours eu raison de recommander les outils les plus récents dans le cadre d'une approche d'atténuation des risques pour les entreprises, et cela ne changera pas. Cependant, la qualité du code (et, par définition, la sécurité) étant difficile à gérer au vu du volume de production de code, les outils ne peuvent pas faire le travail à eux seuls. À ce jour, il n'existe pas d'outil unique qui puisse le faire :
- Recherchez toutes les vulnérabilités, dans tous les langages:framework
- Numériser à la vitesse
- Minimiser la double manipulation causée par les faux positifs et les faux négatifs
Les outils peuvent être lents, encombrants et difficiles à manier. Mais surtout, ils ne font que détecter les problèmes - ils ne les résolvent pas et ne recommandent pas de solutions. Ces dernières exigent des experts en sécurité, qui sont peu nombreux et surchargés de travail, qu'ils fouillent dans les poubelles pour trouver des trésors dans les résultats interminables de pentesting et d'analyse.
Le fait est que, selon le rapport IBM Cyber Security Intelligence Index, l'erreur humaine joue un rôle dans 95 % de toutes les violations de données réussies. Près de la moitié d'entre elles sont directement liées à des vulnérabilités logicielles, dont beaucoup pourraient être atténuées si l'on adhérait davantage au codage sécurisé et à la sensibilisation dès les premiers stades du cycle de développement logiciel (SDLC). Toutefois, pour que cela se produise, il est essentiel de mettre l'accent sur la formation des développeurs et de l'intégrer dans leur flux de travail.
Que nous le voulions ou non, l'être humain est profondément ancré dans le processus de développement des logiciels, et la cybersécurité est avant tout un problème humain. Les outils ne seront pas la panacée pour corriger une faille fondamentale dans notre approche, mais ils peuvent jouer un rôle de soutien essentiel pour remodeler les solutions humaines.
Et si nous construisions de meilleurs outils (et beaucoup d'outils) ?
Les outils de sécurité ne cessent de s'améliorer. Les outils SAST/DAST/IAST ont parcouru un long chemin, gagnant en rapidité et en intelligence, et le RASP devrait être une considération défensive sérieuse dans de nombreux environnements d'application. Les pare-feu, les gestionnaires de secrets, les applications de sécurité en nuage et en réseau sont autant d'éléments qui ne posent pas de problème.
Les humains peuvent toujours s'efforcer de créer de meilleurs outils, mais l'innovation ne suit pas les besoins de sécurité et de protection des données du monde numérique dans lequel nous vivons. Les outils sont, pour la plupart, conçus pour les robots. Ils peuvent aider les développeurs et l'équipe de sécurité à analyser, surveiller ou protéger le code, mais l'interaction est très limitée, et très peu de solutions visent à sensibiliser à la sécurité ou à améliorer les compétences de base qui peuvent conduire à de meilleurs résultats en matière de sécurité.
En fait, plus de la moitié des entreprises ne savent même pas si les outils fonctionnent pour elles, et elles ne sont pas sûres de pouvoir éviter une violation de données dévastatrice. Il s'agit là d'un sentiment très médiocre qui, dans un secteur obsédé par les outils et peu enclin à adopter une approche différente, tend à consolider le statu quo et les problèmes qui en découlent.
Comment une organisation peut-elle tirer parti d'une approche humaine de la sécurité ?
Il ne fait aucun doute qu'il est bénéfique de rester à l'avant-garde des tendances en matière de technologie de sécurité des applications, et que cela peut même aider à prioriser les mises à niveau ou les consolidations dans une pile technologique surchargée, mais ne pas cibler la cause première des logiciels vulnérables - nous, simples humains - nous maintiendra du côté perdant du front de bataille de la cybersécurité.
Si nous voulons sérieusement réduire le nombre de failles de sécurité au niveau du code, il faut donner aux développeurs les bases nécessaires pour réussir à partager la responsabilité de la sécurité. Ils ont besoin d'une formation pertinente et pratique, d'un perfectionnement en cours d'emploi et d'outils fonctionnels qui ne perturbent pas leur flux de travail et ne font pas de la sécurité une corvée à développer. Idéalement, certains outils devraient être centrés sur les développeurs et conçus en pensant avant tout à l'expérience des utilisateurs.
À ce jour, il n'existe pas de programme officiel de certification de la sécurité pour les développeurs, mais chaque entreprise peut tirer profit de l'évaluation comparative et de l'amélioration des compétences en matière de codage sécurisé, en éliminant les vulnérabilités courantes de manière précoce et fréquente, avant que la grosse pile technologique n'entre en action et ne ralentisse tout.
Une équipe de développeurs sensibilisés à la sécurité est un trésor caché pour toute organisation, mais comme toute chose qui en vaut la peine, il faudra du temps et des efforts pour mettre en place une équipe de rêve efficace. Pour convaincre les développeurs de se préoccuper de la sécurité et de considérer le codage sécurisé comme le fondement de la qualité du code, il faut que l'ensemble de l'organisation s'engage à placer la sécurité au premier plan. Et lorsque des équipes entières sont sensibilisées à l'impact positif qu'elles peuvent avoir en éliminant les vulnérabilités courantes au fur et à mesure de l'écriture du code, aucun outil sur Terre ne peut rivaliser.
Une version de cet article a été publiée dans Help Net Security. Elle a été mise à jour et publiée ici.
J'ai passé ma carrière à trouver, corriger, discuter et décomposer les vulnérabilités des logiciels, d'une manière ou d'une autre. Je sais qu'en ce qui concerne certains bogues de sécurité courants, bien qu'ils soient dans notre orbite depuis les années 90, ils continuent d'infester nos logiciels et de causer des problèmes majeurs, même si la solution (souvent simple) est connue depuis presque aussi longtemps. Nous avons vraiment l'impression de vivre le jour de la marmotte, où l'industrie semble faire la même chose encore et encore et s'attendre à un résultat différent.
Mais il y a un autre petit problème. Nous ne recevons pas de conseils réalistes, ni les solutions les plus rapides, pour lutter contre les assauts incessants de la cybersécurité moderne. Bien sûr, chaque violation est différente à sa manière, et il existe de nombreux vecteurs d'attaque qui peuvent être exploités dans les logiciels vulnérables. Les conseils génériques réalisables seront limités, mais l'approche des meilleures pratiques semble plus défectueuse d'heure en heure.
À cette fin, je me demande pourquoi tant de commentaires et d'analyses sur la cybersécurité ont omis les solutions qui s'attaquent vraiment à la cause profonde de tant de vulnérabilités : les humains. Le dernier Hype Cycle de Gartner pour la sécurité des applications et The State of Application Security 2021 de Forrester, deux bibles pour les experts en sécurité qui contribuent sans aucun doute à façonner leur programme et l'adoption potentielle de produits, sont presque entièrement axés sur les outils. Un rapport d'Aberdeen datant de 2017 montrait à quel point la pile technologique de sécurité moyenne était devenue indisciplinée, les RSSI gérant des centaines de produits dans le cadre de leurs stratégies de sécurité ; quatre ans plus tard, nous sommes aux prises avec plus de risques, plus de vulnérabilités et plus d'ajouts à des bêtes de pile technologique en pleine croissance.
Les outils de sécurité sont indispensables, mais nous devons voir plus loin et rétablir l'équilibre de la composante humaine de la défense de la sécurité.
L'automatisation est l'avenir. Pourquoi devrions-nous nous préoccuper de l'aspect humain de la cybersécurité ?
Pratiquement tout dans nos vies est alimenté par des logiciels, et il est vrai que l'automatisation remplace les éléments humains qui étaient autrefois présents dans tant d'industries. C'est un signe de progrès dans un monde qui se numérise à grande vitesse, l'IA et l'apprentissage automatique étant des sujets d'actualité qui permettent à de nombreuses organisations de rester tournées vers l'avenir.
Alors pourquoi une approche de la cybersécurité axée sur l'être humain serait-elle autre chose qu'une solution dépassée à un problème technologiquement avancé ? Le fait que des milliards d'enregistrements de données aient été volés dans des brèches au cours de l'année écoulée, y compris la brèche la plus récente dans Facebook qui a touché plus d'un demi-milliard de comptes, devrait indiquer que nous n'en faisons pas assez (ou que nous n'adoptons pas la bonne approche) pour contrer sérieusement les acteurs de la menace.
L'outillage de cybersécurité est un élément indispensable de la cyberdéfense, et les outils auront toujours leur place. Les analystes ont toujours eu raison de recommander les outils les plus récents dans le cadre d'une approche d'atténuation des risques pour les entreprises, et cela ne changera pas. Cependant, la qualité du code (et, par définition, la sécurité) étant difficile à gérer au vu du volume de production de code, les outils ne peuvent pas faire le travail à eux seuls. À ce jour, il n'existe pas d'outil unique qui puisse le faire :
- Recherchez toutes les vulnérabilités, dans tous les langages:framework
- Numériser à la vitesse
- Minimiser la double manipulation causée par les faux positifs et les faux négatifs
Les outils peuvent être lents, encombrants et difficiles à manier. Mais surtout, ils ne font que détecter les problèmes - ils ne les résolvent pas et ne recommandent pas de solutions. Ces dernières exigent des experts en sécurité, qui sont peu nombreux et surchargés de travail, qu'ils fouillent dans les poubelles pour trouver des trésors dans les résultats interminables de pentesting et d'analyse.
Le fait est que, selon le rapport IBM Cyber Security Intelligence Index, l'erreur humaine joue un rôle dans 95 % de toutes les violations de données réussies. Près de la moitié d'entre elles sont directement liées à des vulnérabilités logicielles, dont beaucoup pourraient être atténuées si l'on adhérait davantage au codage sécurisé et à la sensibilisation dès les premiers stades du cycle de développement logiciel (SDLC). Toutefois, pour que cela se produise, il est essentiel de mettre l'accent sur la formation des développeurs et de l'intégrer dans leur flux de travail.
Que nous le voulions ou non, l'être humain est profondément ancré dans le processus de développement des logiciels, et la cybersécurité est avant tout un problème humain. Les outils ne seront pas la panacée pour corriger une faille fondamentale dans notre approche, mais ils peuvent jouer un rôle de soutien essentiel pour remodeler les solutions humaines.
Et si nous construisions de meilleurs outils (et beaucoup d'outils) ?
Les outils de sécurité ne cessent de s'améliorer. Les outils SAST/DAST/IAST ont parcouru un long chemin, gagnant en rapidité et en intelligence, et le RASP devrait être une considération défensive sérieuse dans de nombreux environnements d'application. Les pare-feu, les gestionnaires de secrets, les applications de sécurité en nuage et en réseau sont autant d'éléments qui ne posent pas de problème.
Les humains peuvent toujours s'efforcer de créer de meilleurs outils, mais l'innovation ne suit pas les besoins de sécurité et de protection des données du monde numérique dans lequel nous vivons. Les outils sont, pour la plupart, conçus pour les robots. Ils peuvent aider les développeurs et l'équipe de sécurité à analyser, surveiller ou protéger le code, mais l'interaction est très limitée, et très peu de solutions visent à sensibiliser à la sécurité ou à améliorer les compétences de base qui peuvent conduire à de meilleurs résultats en matière de sécurité.
En fait, plus de la moitié des entreprises ne savent même pas si les outils fonctionnent pour elles, et elles ne sont pas sûres de pouvoir éviter une violation de données dévastatrice. Il s'agit là d'un sentiment très médiocre qui, dans un secteur obsédé par les outils et peu enclin à adopter une approche différente, tend à consolider le statu quo et les problèmes qui en découlent.
Comment une organisation peut-elle tirer parti d'une approche humaine de la sécurité ?
Il ne fait aucun doute qu'il est bénéfique de rester à l'avant-garde des tendances en matière de technologie de sécurité des applications, et que cela peut même aider à prioriser les mises à niveau ou les consolidations dans une pile technologique surchargée, mais ne pas cibler la cause première des logiciels vulnérables - nous, simples humains - nous maintiendra du côté perdant du front de bataille de la cybersécurité.
Si nous voulons sérieusement réduire le nombre de failles de sécurité au niveau du code, il faut donner aux développeurs les bases nécessaires pour réussir à partager la responsabilité de la sécurité. Ils ont besoin d'une formation pertinente et pratique, d'un perfectionnement en cours d'emploi et d'outils fonctionnels qui ne perturbent pas leur flux de travail et ne font pas de la sécurité une corvée à développer. Idéalement, certains outils devraient être centrés sur les développeurs et conçus en pensant avant tout à l'expérience des utilisateurs.
À ce jour, il n'existe pas de programme officiel de certification de la sécurité pour les développeurs, mais chaque entreprise peut tirer profit de l'évaluation comparative et de l'amélioration des compétences en matière de codage sécurisé, en éliminant les vulnérabilités courantes de manière précoce et fréquente, avant que la grosse pile technologique n'entre en action et ne ralentisse tout.
Une équipe de développeurs sensibilisés à la sécurité est un trésor caché pour toute organisation, mais comme toute chose qui en vaut la peine, il faudra du temps et des efforts pour mettre en place une équipe de rêve efficace. Pour convaincre les développeurs de se préoccuper de la sécurité et de considérer le codage sécurisé comme le fondement de la qualité du code, il faut que l'ensemble de l'organisation s'engage à placer la sécurité au premier plan. Et lorsque des équipes entières sont sensibilisées à l'impact positif qu'elles peuvent avoir en éliminant les vulnérabilités courantes au fur et à mesure de l'écriture du code, aucun outil sur Terre ne peut rivaliser.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationDirecteur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été publiée dans Help Net Security. Elle a été mise à jour et publiée ici.
J'ai passé ma carrière à trouver, corriger, discuter et décomposer les vulnérabilités des logiciels, d'une manière ou d'une autre. Je sais qu'en ce qui concerne certains bogues de sécurité courants, bien qu'ils soient dans notre orbite depuis les années 90, ils continuent d'infester nos logiciels et de causer des problèmes majeurs, même si la solution (souvent simple) est connue depuis presque aussi longtemps. Nous avons vraiment l'impression de vivre le jour de la marmotte, où l'industrie semble faire la même chose encore et encore et s'attendre à un résultat différent.
Mais il y a un autre petit problème. Nous ne recevons pas de conseils réalistes, ni les solutions les plus rapides, pour lutter contre les assauts incessants de la cybersécurité moderne. Bien sûr, chaque violation est différente à sa manière, et il existe de nombreux vecteurs d'attaque qui peuvent être exploités dans les logiciels vulnérables. Les conseils génériques réalisables seront limités, mais l'approche des meilleures pratiques semble plus défectueuse d'heure en heure.
À cette fin, je me demande pourquoi tant de commentaires et d'analyses sur la cybersécurité ont omis les solutions qui s'attaquent vraiment à la cause profonde de tant de vulnérabilités : les humains. Le dernier Hype Cycle de Gartner pour la sécurité des applications et The State of Application Security 2021 de Forrester, deux bibles pour les experts en sécurité qui contribuent sans aucun doute à façonner leur programme et l'adoption potentielle de produits, sont presque entièrement axés sur les outils. Un rapport d'Aberdeen datant de 2017 montrait à quel point la pile technologique de sécurité moyenne était devenue indisciplinée, les RSSI gérant des centaines de produits dans le cadre de leurs stratégies de sécurité ; quatre ans plus tard, nous sommes aux prises avec plus de risques, plus de vulnérabilités et plus d'ajouts à des bêtes de pile technologique en pleine croissance.
Les outils de sécurité sont indispensables, mais nous devons voir plus loin et rétablir l'équilibre de la composante humaine de la défense de la sécurité.
L'automatisation est l'avenir. Pourquoi devrions-nous nous préoccuper de l'aspect humain de la cybersécurité ?
Pratiquement tout dans nos vies est alimenté par des logiciels, et il est vrai que l'automatisation remplace les éléments humains qui étaient autrefois présents dans tant d'industries. C'est un signe de progrès dans un monde qui se numérise à grande vitesse, l'IA et l'apprentissage automatique étant des sujets d'actualité qui permettent à de nombreuses organisations de rester tournées vers l'avenir.
Alors pourquoi une approche de la cybersécurité axée sur l'être humain serait-elle autre chose qu'une solution dépassée à un problème technologiquement avancé ? Le fait que des milliards d'enregistrements de données aient été volés dans des brèches au cours de l'année écoulée, y compris la brèche la plus récente dans Facebook qui a touché plus d'un demi-milliard de comptes, devrait indiquer que nous n'en faisons pas assez (ou que nous n'adoptons pas la bonne approche) pour contrer sérieusement les acteurs de la menace.
L'outillage de cybersécurité est un élément indispensable de la cyberdéfense, et les outils auront toujours leur place. Les analystes ont toujours eu raison de recommander les outils les plus récents dans le cadre d'une approche d'atténuation des risques pour les entreprises, et cela ne changera pas. Cependant, la qualité du code (et, par définition, la sécurité) étant difficile à gérer au vu du volume de production de code, les outils ne peuvent pas faire le travail à eux seuls. À ce jour, il n'existe pas d'outil unique qui puisse le faire :
- Recherchez toutes les vulnérabilités, dans tous les langages:framework
- Numériser à la vitesse
- Minimiser la double manipulation causée par les faux positifs et les faux négatifs
Les outils peuvent être lents, encombrants et difficiles à manier. Mais surtout, ils ne font que détecter les problèmes - ils ne les résolvent pas et ne recommandent pas de solutions. Ces dernières exigent des experts en sécurité, qui sont peu nombreux et surchargés de travail, qu'ils fouillent dans les poubelles pour trouver des trésors dans les résultats interminables de pentesting et d'analyse.
Le fait est que, selon le rapport IBM Cyber Security Intelligence Index, l'erreur humaine joue un rôle dans 95 % de toutes les violations de données réussies. Près de la moitié d'entre elles sont directement liées à des vulnérabilités logicielles, dont beaucoup pourraient être atténuées si l'on adhérait davantage au codage sécurisé et à la sensibilisation dès les premiers stades du cycle de développement logiciel (SDLC). Toutefois, pour que cela se produise, il est essentiel de mettre l'accent sur la formation des développeurs et de l'intégrer dans leur flux de travail.
Que nous le voulions ou non, l'être humain est profondément ancré dans le processus de développement des logiciels, et la cybersécurité est avant tout un problème humain. Les outils ne seront pas la panacée pour corriger une faille fondamentale dans notre approche, mais ils peuvent jouer un rôle de soutien essentiel pour remodeler les solutions humaines.
Et si nous construisions de meilleurs outils (et beaucoup d'outils) ?
Les outils de sécurité ne cessent de s'améliorer. Les outils SAST/DAST/IAST ont parcouru un long chemin, gagnant en rapidité et en intelligence, et le RASP devrait être une considération défensive sérieuse dans de nombreux environnements d'application. Les pare-feu, les gestionnaires de secrets, les applications de sécurité en nuage et en réseau sont autant d'éléments qui ne posent pas de problème.
Les humains peuvent toujours s'efforcer de créer de meilleurs outils, mais l'innovation ne suit pas les besoins de sécurité et de protection des données du monde numérique dans lequel nous vivons. Les outils sont, pour la plupart, conçus pour les robots. Ils peuvent aider les développeurs et l'équipe de sécurité à analyser, surveiller ou protéger le code, mais l'interaction est très limitée, et très peu de solutions visent à sensibiliser à la sécurité ou à améliorer les compétences de base qui peuvent conduire à de meilleurs résultats en matière de sécurité.
En fait, plus de la moitié des entreprises ne savent même pas si les outils fonctionnent pour elles, et elles ne sont pas sûres de pouvoir éviter une violation de données dévastatrice. Il s'agit là d'un sentiment très médiocre qui, dans un secteur obsédé par les outils et peu enclin à adopter une approche différente, tend à consolider le statu quo et les problèmes qui en découlent.
Comment une organisation peut-elle tirer parti d'une approche humaine de la sécurité ?
Il ne fait aucun doute qu'il est bénéfique de rester à l'avant-garde des tendances en matière de technologie de sécurité des applications, et que cela peut même aider à prioriser les mises à niveau ou les consolidations dans une pile technologique surchargée, mais ne pas cibler la cause première des logiciels vulnérables - nous, simples humains - nous maintiendra du côté perdant du front de bataille de la cybersécurité.
Si nous voulons sérieusement réduire le nombre de failles de sécurité au niveau du code, il faut donner aux développeurs les bases nécessaires pour réussir à partager la responsabilité de la sécurité. Ils ont besoin d'une formation pertinente et pratique, d'un perfectionnement en cours d'emploi et d'outils fonctionnels qui ne perturbent pas leur flux de travail et ne font pas de la sécurité une corvée à développer. Idéalement, certains outils devraient être centrés sur les développeurs et conçus en pensant avant tout à l'expérience des utilisateurs.
À ce jour, il n'existe pas de programme officiel de certification de la sécurité pour les développeurs, mais chaque entreprise peut tirer profit de l'évaluation comparative et de l'amélioration des compétences en matière de codage sécurisé, en éliminant les vulnérabilités courantes de manière précoce et fréquente, avant que la grosse pile technologique n'entre en action et ne ralentisse tout.
Une équipe de développeurs sensibilisés à la sécurité est un trésor caché pour toute organisation, mais comme toute chose qui en vaut la peine, il faudra du temps et des efforts pour mettre en place une équipe de rêve efficace. Pour convaincre les développeurs de se préoccuper de la sécurité et de considérer le codage sécurisé comme le fondement de la qualité du code, il faut que l'ensemble de l'organisation s'engage à placer la sécurité au premier plan. Et lorsque des équipes entières sont sensibilisées à l'impact positif qu'elles peuvent avoir en éliminant les vulnérabilités courantes au fur et à mesure de l'écriture du code, aucun outil sur Terre ne peut rivaliser.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.
Plongée en profondeur : Naviguer dans la vulnérabilité critique de CUPS dans les systèmes GNU-Linux
Découvrez les derniers défis de sécurité auxquels sont confrontés les utilisateurs de Linux en explorant les récentes vulnérabilités de haute sévérité dans le système d'impression commun d'UNIX (CUPS). Apprenez comment ces problèmes peuvent conduire à une potentielle exécution de code à distance (RCE) et ce que vous pouvez faire pour protéger vos systèmes.