La conformité à FinServ dépend de la sécurité des logiciels
Les institutions de services financiers ont de bonnes raisons de s'assurer que le code logiciel qu'elles utilisent est sécurisé. Une motivation évidente, bien sûr, est la nécessité de protéger leurs données contre une violation, qui peut être coûteuse en termes de fuites d'informations personnelles, de frais de nettoyage, d'amendes et de dédommagements, et d'atteinte à la réputation d'une organisation. Une autre raison permanente est la nécessité de rester en conformité avec toute une série de réglementations sectorielles et gouvernementales.
Parce qu'ils traitent une grande quantité d'informations sensibles, personnelles et financières, ainsi que l'argent des gens, les services financiers sont un secteur très réglementé. Selon les services qu'elles fournissent, les entreprises doivent se conformer à un ensemble de règles et d'exigences.
La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est bien connue pour ses règles de protection des données des titulaires de cartes, par exemple. Les exigences de la loi Sarbanes-Oxely régissent la gestion des documents financiers. Les entreprises qui opèrent à l'échelle internationale connaissent le Digital Operational Resilience Act (DORA), qui est un cadre contraignant de gestion des risques, et les normes mondiales pour les transferts de fonds établies par la Society for Worldwide Interbank Financial Telecommunication, connue sous le nom de Swift.
Et des lois telles que le California Consumer Privacy Act (CCPA) et le Règlement général sur la protection des données (RGPD) de l'UE fixent des exigences en matière de protection de la vie privée et des informations personnelles des clients. Il en existe d'autres, comme les réglementations établies par l'Office of the Comptroller of the Currency (OCC) des États-Unis et la Banque centrale européenne (BCE).
Si cela ne suffit pas, la stratégie nationale de cybersécurité stipule, entre autres, que les fabricants de logiciels devraient être tenus pour responsables de l'inefficacité de la sécurité des logiciels. L'Agence pour la cybersécurité et la sécurité des infrastructures (CISA), en collaboration avec 17 partenaires américains et internationaux, a publié des orientations sur les principes de la sécurité par la conception pour le développement de logiciels.
Pour les entreprises de services financiers, la sécurité du code est un élément essentiel pour atteindre les objectifs de ces réglementations et faciliter la démonstration de leur conformité. Cela souligne également pourquoi les développeurs ont besoin de formation et de perfectionnement pour s'assurer que la sécurité est appliquée au code dès le début du processus de développement.
Pour illustrer ce fonctionnement, examinons la dernière version de la norme PCI DSS.
Le codage sécurisé (et la formation des développeurs) est au cœur de la norme PCI DSS 4.0
La norme PCI DSS 4.0, qui est devenue obligatoire à partir du 1er avril 2024, comprend plusieurs mises à jour substantielles de la norme PCI DSS 3.2.1, dont la moindre n'est pas l'accent mis sur le rôle que jouent les développeurs dans la sécurisation du code logiciel.
La norme PCI reconnaît depuis longtemps l'importance des logiciels sécurisés. La version 2.0, qui a été publiée en 2017, comprenait des conseils pour les développeurs sur la garantie de transactions sécurisées sur les appareils mobiles. Les orientations de la version 4.0 mettent désormais l'accent sur l'application des meilleures pratiques de sécurité au développement de logiciels et comprennent certaines orientations spécifiques sur la formation des développeurs.
Les exigences sont souvent énoncées de manière générale, mais les entreprises peuvent souhaiter mettre en œuvre une approche plus approfondie.
Par exemple, l'une des exigences de la version 4.0 stipule que "les processus et les mécanismes de développement et de maintenance de systèmes et de logiciels sécurisés sont définis et compris". Un bon moyen de s'assurer que cela est vrai est que les développeurs reçoivent une formation précise dans les langages de programmation et les cadres qu'ils utilisent afin de combler toute lacune dans leurs connaissances.
Une autre exigence stipule que les développeurs travaillant sur des logiciels sur mesure et personnalisés doivent recevoir une formation au moins une fois tous les 12 mois :
- la sécurité des logiciels en rapport avec leur fonction et les langages de développement.
- Techniques de conception et de codage de logiciels sécurisés.
- Comment utiliser les outils de test de sécurité - s'ils sont utilisés - pour détecter les vulnérabilités dans les logiciels.
En réalité, une fois par an n'est pas assez fréquente pour aborder les questions de sécurité essentielles et rompre avec les mauvaises habitudes de codage. La formation doit être continue et mesurée, avec un processus de vérification des compétences pour s'assurer qu'elle est utilisée à bon escient.
La norme PCI DSS 4.0 comprend plus d'une demi-douzaine d'autres exigences portant sur des domaines tels que la prévention et l'atténuation de divers types d'attaques, la documentation des composants logiciels tiers, l'identification et la gestion des vulnérabilités, ainsi que d'autres mesures de sécurité. Dans tous les cas, les organisations seraient bien avisées de mettre en œuvre ces mesures de manière approfondie. Les formations sur les vecteurs d'attaque devraient être fréquentes, plutôt qu'annuelles. Les composants tiers, qui sont souvent une source de vulnérabilité, devraient être soigneusement inventoriés dans le cadre d'un programme de nomenclature des logiciels (SBOM). Enfin, les organisations devraient s'assurer que les rôles sont clairement définis pour la gestion des vulnérabilités.
La nouvelle version donne également aux organisations une certaine flexibilité pour répondre à ses exigences, en se concentrant sur les résultats plutôt que sur les cases à cocher, tout en ajoutant de nouvelles exigences pour les contrôles d'authentification, la longueur des mots de passe, les comptes partagés et d'autres facteurs.
La conformité commence dès le début du cycle de développement durable (SDLC)
Le point commun de ces réglementations est qu'elles tentent de fixer des normes élevées pour la protection des données et des transactions dans le secteur des services financiers. Et, comme dans le cas de la dernière version de la norme PCI DSS, elles mettent de plus en plus l'accent sur l'importance d'un code sécurisé dès le début du cycle de développement des logiciels (SDLC). La stratégie nationale de cybersécurité et les principes Secure by Design de la CISA confient également la responsabilité de la sécurité aux fabricants de logiciels - avant leur livraison - de sorte que même les entreprises qui ne sont pas directement régies par les réglementations relatives aux services financiers doivent s'y conformer.
Les organisations doivent combler le fossé qui existe entre les équipes DevOps (qui se concentrent sur la vitesse de développement) et les équipes AppSec (qui se dépêchent d'intégrer la sécurité dans le processus) en formant les développeurs à rendre la sécurité inhérente à leur approche. Cependant, cela nécessite un ensemble complexe de compétences qui vont au-delà des sessions de formation annuelles ou des programmes éducatifs standards et stagnants. La formation doit être continue et agile, conçue pour impliquer les apprenants dans des scénarios actifs et réels, et dispensée en petites sessions adaptées à leur emploi du temps.
Les entreprises de services financiers doivent garantir la sécurité pour se protéger contre les violations et rester en conformité avec des réglementations de plus en plus strictes. Les coûts de la non-conformité peuvent être aussi préjudiciables qu'une violation en termes d'impact sur la réputation d'une entreprise et de coûts monétaires. Le rapport 2023 d'IBM sur le coût d'une violation de données (Cost of a Data Breach Report 2023), par exemple, a révélé que les organisations ayant un niveau élevé de non-conformité s'exposaient, en moyenne, à des amendes et à d'autres coûts totalisant 5,05 millions de dollars, soit un demi-million de dollars de plus que le coût moyen d'une véritable violation de données.
La croissance continue des environnements basés sur le cloud et des transactions numériques a rendu la sécurité des logiciels dans le secteur des services financiers d'une importance capitale, ce que des réglementations telles que PCI DSS reconnaissent. La meilleure façon de garantir la sécurité des logiciels est de sécuriser le codage dès le début du cycle de développement durable. Et le moyen d'y parvenir est de former efficacement les développeurs aux pratiques de codage sécurisé.
Pour un aperçu complet de la manière dont le codage sécurisé peut contribuer à assurer le succès, la sécurité et les profits des entreprises de services financiers, vous pouvez lire l'e-book Secure Code Warrior qui vient de paraître : Le guide ultime des tendances en matière de sécurité dans les services financiers.
Consultez les pages du Secure Code Warrior pour en savoir plus sur la cybersécurité, sur les menaces de plus en plus dangereuses et sur la manière dont vous pouvez utiliser des technologies et des formations innovantes pour mieux protéger votre organisation et vos clients.
Les réglementations régissant le secteur des services financiers, telles que la norme PCI DSS, soulignent l'importance d'un code sécurisé et la nécessité de former les développeurs aux meilleures pratiques en matière de sécurité.
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationSecure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior crée une culture de développeurs axés sur la sécurité en leur donnant les compétences nécessaires pour coder de manière sécurisée. Notre programme phare Agile Learning Platform propose des parcours pertinents basés sur les compétences, des exercices pratiques missions et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé.
Les institutions de services financiers ont de bonnes raisons de s'assurer que le code logiciel qu'elles utilisent est sécurisé. Une motivation évidente, bien sûr, est la nécessité de protéger leurs données contre une violation, qui peut être coûteuse en termes de fuites d'informations personnelles, de frais de nettoyage, d'amendes et de dédommagements, et d'atteinte à la réputation d'une organisation. Une autre raison permanente est la nécessité de rester en conformité avec toute une série de réglementations sectorielles et gouvernementales.
Parce qu'ils traitent une grande quantité d'informations sensibles, personnelles et financières, ainsi que l'argent des gens, les services financiers sont un secteur très réglementé. Selon les services qu'elles fournissent, les entreprises doivent se conformer à un ensemble de règles et d'exigences.
La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est bien connue pour ses règles de protection des données des titulaires de cartes, par exemple. Les exigences de la loi Sarbanes-Oxely régissent la gestion des documents financiers. Les entreprises qui opèrent à l'échelle internationale connaissent le Digital Operational Resilience Act (DORA), qui est un cadre contraignant de gestion des risques, et les normes mondiales pour les transferts de fonds établies par la Society for Worldwide Interbank Financial Telecommunication, connue sous le nom de Swift.
Et des lois telles que le California Consumer Privacy Act (CCPA) et le Règlement général sur la protection des données (RGPD) de l'UE fixent des exigences en matière de protection de la vie privée et des informations personnelles des clients. Il en existe d'autres, comme les réglementations établies par l'Office of the Comptroller of the Currency (OCC) des États-Unis et la Banque centrale européenne (BCE).
Si cela ne suffit pas, la stratégie nationale de cybersécurité stipule, entre autres, que les fabricants de logiciels devraient être tenus pour responsables de l'inefficacité de la sécurité des logiciels. L'Agence pour la cybersécurité et la sécurité des infrastructures (CISA), en collaboration avec 17 partenaires américains et internationaux, a publié des orientations sur les principes de la sécurité par la conception pour le développement de logiciels.
Pour les entreprises de services financiers, la sécurité du code est un élément essentiel pour atteindre les objectifs de ces réglementations et faciliter la démonstration de leur conformité. Cela souligne également pourquoi les développeurs ont besoin de formation et de perfectionnement pour s'assurer que la sécurité est appliquée au code dès le début du processus de développement.
Pour illustrer ce fonctionnement, examinons la dernière version de la norme PCI DSS.
Le codage sécurisé (et la formation des développeurs) est au cœur de la norme PCI DSS 4.0
La norme PCI DSS 4.0, qui est devenue obligatoire à partir du 1er avril 2024, comprend plusieurs mises à jour substantielles de la norme PCI DSS 3.2.1, dont la moindre n'est pas l'accent mis sur le rôle que jouent les développeurs dans la sécurisation du code logiciel.
La norme PCI reconnaît depuis longtemps l'importance des logiciels sécurisés. La version 2.0, qui a été publiée en 2017, comprenait des conseils pour les développeurs sur la garantie de transactions sécurisées sur les appareils mobiles. Les orientations de la version 4.0 mettent désormais l'accent sur l'application des meilleures pratiques de sécurité au développement de logiciels et comprennent certaines orientations spécifiques sur la formation des développeurs.
Les exigences sont souvent énoncées de manière générale, mais les entreprises peuvent souhaiter mettre en œuvre une approche plus approfondie.
Par exemple, l'une des exigences de la version 4.0 stipule que "les processus et les mécanismes de développement et de maintenance de systèmes et de logiciels sécurisés sont définis et compris". Un bon moyen de s'assurer que cela est vrai est que les développeurs reçoivent une formation précise dans les langages de programmation et les cadres qu'ils utilisent afin de combler toute lacune dans leurs connaissances.
Une autre exigence stipule que les développeurs travaillant sur des logiciels sur mesure et personnalisés doivent recevoir une formation au moins une fois tous les 12 mois :
- la sécurité des logiciels en rapport avec leur fonction et les langages de développement.
- Techniques de conception et de codage de logiciels sécurisés.
- Comment utiliser les outils de test de sécurité - s'ils sont utilisés - pour détecter les vulnérabilités dans les logiciels.
En réalité, une fois par an n'est pas assez fréquente pour aborder les questions de sécurité essentielles et rompre avec les mauvaises habitudes de codage. La formation doit être continue et mesurée, avec un processus de vérification des compétences pour s'assurer qu'elle est utilisée à bon escient.
La norme PCI DSS 4.0 comprend plus d'une demi-douzaine d'autres exigences portant sur des domaines tels que la prévention et l'atténuation de divers types d'attaques, la documentation des composants logiciels tiers, l'identification et la gestion des vulnérabilités, ainsi que d'autres mesures de sécurité. Dans tous les cas, les organisations seraient bien avisées de mettre en œuvre ces mesures de manière approfondie. Les formations sur les vecteurs d'attaque devraient être fréquentes, plutôt qu'annuelles. Les composants tiers, qui sont souvent une source de vulnérabilité, devraient être soigneusement inventoriés dans le cadre d'un programme de nomenclature des logiciels (SBOM). Enfin, les organisations devraient s'assurer que les rôles sont clairement définis pour la gestion des vulnérabilités.
La nouvelle version donne également aux organisations une certaine flexibilité pour répondre à ses exigences, en se concentrant sur les résultats plutôt que sur les cases à cocher, tout en ajoutant de nouvelles exigences pour les contrôles d'authentification, la longueur des mots de passe, les comptes partagés et d'autres facteurs.
La conformité commence dès le début du cycle de développement durable (SDLC)
Le point commun de ces réglementations est qu'elles tentent de fixer des normes élevées pour la protection des données et des transactions dans le secteur des services financiers. Et, comme dans le cas de la dernière version de la norme PCI DSS, elles mettent de plus en plus l'accent sur l'importance d'un code sécurisé dès le début du cycle de développement des logiciels (SDLC). La stratégie nationale de cybersécurité et les principes Secure by Design de la CISA confient également la responsabilité de la sécurité aux fabricants de logiciels - avant leur livraison - de sorte que même les entreprises qui ne sont pas directement régies par les réglementations relatives aux services financiers doivent s'y conformer.
Les organisations doivent combler le fossé qui existe entre les équipes DevOps (qui se concentrent sur la vitesse de développement) et les équipes AppSec (qui se dépêchent d'intégrer la sécurité dans le processus) en formant les développeurs à rendre la sécurité inhérente à leur approche. Cependant, cela nécessite un ensemble complexe de compétences qui vont au-delà des sessions de formation annuelles ou des programmes éducatifs standards et stagnants. La formation doit être continue et agile, conçue pour impliquer les apprenants dans des scénarios actifs et réels, et dispensée en petites sessions adaptées à leur emploi du temps.
Les entreprises de services financiers doivent garantir la sécurité pour se protéger contre les violations et rester en conformité avec des réglementations de plus en plus strictes. Les coûts de la non-conformité peuvent être aussi préjudiciables qu'une violation en termes d'impact sur la réputation d'une entreprise et de coûts monétaires. Le rapport 2023 d'IBM sur le coût d'une violation de données (Cost of a Data Breach Report 2023), par exemple, a révélé que les organisations ayant un niveau élevé de non-conformité s'exposaient, en moyenne, à des amendes et à d'autres coûts totalisant 5,05 millions de dollars, soit un demi-million de dollars de plus que le coût moyen d'une véritable violation de données.
La croissance continue des environnements basés sur le cloud et des transactions numériques a rendu la sécurité des logiciels dans le secteur des services financiers d'une importance capitale, ce que des réglementations telles que PCI DSS reconnaissent. La meilleure façon de garantir la sécurité des logiciels est de sécuriser le codage dès le début du cycle de développement durable. Et le moyen d'y parvenir est de former efficacement les développeurs aux pratiques de codage sécurisé.
Pour un aperçu complet de la manière dont le codage sécurisé peut contribuer à assurer le succès, la sécurité et les profits des entreprises de services financiers, vous pouvez lire l'e-book Secure Code Warrior qui vient de paraître : Le guide ultime des tendances en matière de sécurité dans les services financiers.
Consultez les pages du Secure Code Warrior pour en savoir plus sur la cybersécurité, sur les menaces de plus en plus dangereuses et sur la manière dont vous pouvez utiliser des technologies et des formations innovantes pour mieux protéger votre organisation et vos clients.
Les institutions de services financiers ont de bonnes raisons de s'assurer que le code logiciel qu'elles utilisent est sécurisé. Une motivation évidente, bien sûr, est la nécessité de protéger leurs données contre une violation, qui peut être coûteuse en termes de fuites d'informations personnelles, de frais de nettoyage, d'amendes et de dédommagements, et d'atteinte à la réputation d'une organisation. Une autre raison permanente est la nécessité de rester en conformité avec toute une série de réglementations sectorielles et gouvernementales.
Parce qu'ils traitent une grande quantité d'informations sensibles, personnelles et financières, ainsi que l'argent des gens, les services financiers sont un secteur très réglementé. Selon les services qu'elles fournissent, les entreprises doivent se conformer à un ensemble de règles et d'exigences.
La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est bien connue pour ses règles de protection des données des titulaires de cartes, par exemple. Les exigences de la loi Sarbanes-Oxely régissent la gestion des documents financiers. Les entreprises qui opèrent à l'échelle internationale connaissent le Digital Operational Resilience Act (DORA), qui est un cadre contraignant de gestion des risques, et les normes mondiales pour les transferts de fonds établies par la Society for Worldwide Interbank Financial Telecommunication, connue sous le nom de Swift.
Et des lois telles que le California Consumer Privacy Act (CCPA) et le Règlement général sur la protection des données (RGPD) de l'UE fixent des exigences en matière de protection de la vie privée et des informations personnelles des clients. Il en existe d'autres, comme les réglementations établies par l'Office of the Comptroller of the Currency (OCC) des États-Unis et la Banque centrale européenne (BCE).
Si cela ne suffit pas, la stratégie nationale de cybersécurité stipule, entre autres, que les fabricants de logiciels devraient être tenus pour responsables de l'inefficacité de la sécurité des logiciels. L'Agence pour la cybersécurité et la sécurité des infrastructures (CISA), en collaboration avec 17 partenaires américains et internationaux, a publié des orientations sur les principes de la sécurité par la conception pour le développement de logiciels.
Pour les entreprises de services financiers, la sécurité du code est un élément essentiel pour atteindre les objectifs de ces réglementations et faciliter la démonstration de leur conformité. Cela souligne également pourquoi les développeurs ont besoin de formation et de perfectionnement pour s'assurer que la sécurité est appliquée au code dès le début du processus de développement.
Pour illustrer ce fonctionnement, examinons la dernière version de la norme PCI DSS.
Le codage sécurisé (et la formation des développeurs) est au cœur de la norme PCI DSS 4.0
La norme PCI DSS 4.0, qui est devenue obligatoire à partir du 1er avril 2024, comprend plusieurs mises à jour substantielles de la norme PCI DSS 3.2.1, dont la moindre n'est pas l'accent mis sur le rôle que jouent les développeurs dans la sécurisation du code logiciel.
La norme PCI reconnaît depuis longtemps l'importance des logiciels sécurisés. La version 2.0, qui a été publiée en 2017, comprenait des conseils pour les développeurs sur la garantie de transactions sécurisées sur les appareils mobiles. Les orientations de la version 4.0 mettent désormais l'accent sur l'application des meilleures pratiques de sécurité au développement de logiciels et comprennent certaines orientations spécifiques sur la formation des développeurs.
Les exigences sont souvent énoncées de manière générale, mais les entreprises peuvent souhaiter mettre en œuvre une approche plus approfondie.
Par exemple, l'une des exigences de la version 4.0 stipule que "les processus et les mécanismes de développement et de maintenance de systèmes et de logiciels sécurisés sont définis et compris". Un bon moyen de s'assurer que cela est vrai est que les développeurs reçoivent une formation précise dans les langages de programmation et les cadres qu'ils utilisent afin de combler toute lacune dans leurs connaissances.
Une autre exigence stipule que les développeurs travaillant sur des logiciels sur mesure et personnalisés doivent recevoir une formation au moins une fois tous les 12 mois :
- la sécurité des logiciels en rapport avec leur fonction et les langages de développement.
- Techniques de conception et de codage de logiciels sécurisés.
- Comment utiliser les outils de test de sécurité - s'ils sont utilisés - pour détecter les vulnérabilités dans les logiciels.
En réalité, une fois par an n'est pas assez fréquente pour aborder les questions de sécurité essentielles et rompre avec les mauvaises habitudes de codage. La formation doit être continue et mesurée, avec un processus de vérification des compétences pour s'assurer qu'elle est utilisée à bon escient.
La norme PCI DSS 4.0 comprend plus d'une demi-douzaine d'autres exigences portant sur des domaines tels que la prévention et l'atténuation de divers types d'attaques, la documentation des composants logiciels tiers, l'identification et la gestion des vulnérabilités, ainsi que d'autres mesures de sécurité. Dans tous les cas, les organisations seraient bien avisées de mettre en œuvre ces mesures de manière approfondie. Les formations sur les vecteurs d'attaque devraient être fréquentes, plutôt qu'annuelles. Les composants tiers, qui sont souvent une source de vulnérabilité, devraient être soigneusement inventoriés dans le cadre d'un programme de nomenclature des logiciels (SBOM). Enfin, les organisations devraient s'assurer que les rôles sont clairement définis pour la gestion des vulnérabilités.
La nouvelle version donne également aux organisations une certaine flexibilité pour répondre à ses exigences, en se concentrant sur les résultats plutôt que sur les cases à cocher, tout en ajoutant de nouvelles exigences pour les contrôles d'authentification, la longueur des mots de passe, les comptes partagés et d'autres facteurs.
La conformité commence dès le début du cycle de développement durable (SDLC)
Le point commun de ces réglementations est qu'elles tentent de fixer des normes élevées pour la protection des données et des transactions dans le secteur des services financiers. Et, comme dans le cas de la dernière version de la norme PCI DSS, elles mettent de plus en plus l'accent sur l'importance d'un code sécurisé dès le début du cycle de développement des logiciels (SDLC). La stratégie nationale de cybersécurité et les principes Secure by Design de la CISA confient également la responsabilité de la sécurité aux fabricants de logiciels - avant leur livraison - de sorte que même les entreprises qui ne sont pas directement régies par les réglementations relatives aux services financiers doivent s'y conformer.
Les organisations doivent combler le fossé qui existe entre les équipes DevOps (qui se concentrent sur la vitesse de développement) et les équipes AppSec (qui se dépêchent d'intégrer la sécurité dans le processus) en formant les développeurs à rendre la sécurité inhérente à leur approche. Cependant, cela nécessite un ensemble complexe de compétences qui vont au-delà des sessions de formation annuelles ou des programmes éducatifs standards et stagnants. La formation doit être continue et agile, conçue pour impliquer les apprenants dans des scénarios actifs et réels, et dispensée en petites sessions adaptées à leur emploi du temps.
Les entreprises de services financiers doivent garantir la sécurité pour se protéger contre les violations et rester en conformité avec des réglementations de plus en plus strictes. Les coûts de la non-conformité peuvent être aussi préjudiciables qu'une violation en termes d'impact sur la réputation d'une entreprise et de coûts monétaires. Le rapport 2023 d'IBM sur le coût d'une violation de données (Cost of a Data Breach Report 2023), par exemple, a révélé que les organisations ayant un niveau élevé de non-conformité s'exposaient, en moyenne, à des amendes et à d'autres coûts totalisant 5,05 millions de dollars, soit un demi-million de dollars de plus que le coût moyen d'une véritable violation de données.
La croissance continue des environnements basés sur le cloud et des transactions numériques a rendu la sécurité des logiciels dans le secteur des services financiers d'une importance capitale, ce que des réglementations telles que PCI DSS reconnaissent. La meilleure façon de garantir la sécurité des logiciels est de sécuriser le codage dès le début du cycle de développement durable. Et le moyen d'y parvenir est de former efficacement les développeurs aux pratiques de codage sécurisé.
Pour un aperçu complet de la manière dont le codage sécurisé peut contribuer à assurer le succès, la sécurité et les profits des entreprises de services financiers, vous pouvez lire l'e-book Secure Code Warrior qui vient de paraître : Le guide ultime des tendances en matière de sécurité dans les services financiers.
Consultez les pages du Secure Code Warrior pour en savoir plus sur la cybersécurité, sur les menaces de plus en plus dangereuses et sur la manière dont vous pouvez utiliser des technologies et des formations innovantes pour mieux protéger votre organisation et vos clients.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationSecure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior crée une culture de développeurs axés sur la sécurité en leur donnant les compétences nécessaires pour coder de manière sécurisée. Notre programme phare Agile Learning Platform propose des parcours pertinents basés sur les compétences, des exercices pratiques missions et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé.
Les institutions de services financiers ont de bonnes raisons de s'assurer que le code logiciel qu'elles utilisent est sécurisé. Une motivation évidente, bien sûr, est la nécessité de protéger leurs données contre une violation, qui peut être coûteuse en termes de fuites d'informations personnelles, de frais de nettoyage, d'amendes et de dédommagements, et d'atteinte à la réputation d'une organisation. Une autre raison permanente est la nécessité de rester en conformité avec toute une série de réglementations sectorielles et gouvernementales.
Parce qu'ils traitent une grande quantité d'informations sensibles, personnelles et financières, ainsi que l'argent des gens, les services financiers sont un secteur très réglementé. Selon les services qu'elles fournissent, les entreprises doivent se conformer à un ensemble de règles et d'exigences.
La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est bien connue pour ses règles de protection des données des titulaires de cartes, par exemple. Les exigences de la loi Sarbanes-Oxely régissent la gestion des documents financiers. Les entreprises qui opèrent à l'échelle internationale connaissent le Digital Operational Resilience Act (DORA), qui est un cadre contraignant de gestion des risques, et les normes mondiales pour les transferts de fonds établies par la Society for Worldwide Interbank Financial Telecommunication, connue sous le nom de Swift.
Et des lois telles que le California Consumer Privacy Act (CCPA) et le Règlement général sur la protection des données (RGPD) de l'UE fixent des exigences en matière de protection de la vie privée et des informations personnelles des clients. Il en existe d'autres, comme les réglementations établies par l'Office of the Comptroller of the Currency (OCC) des États-Unis et la Banque centrale européenne (BCE).
Si cela ne suffit pas, la stratégie nationale de cybersécurité stipule, entre autres, que les fabricants de logiciels devraient être tenus pour responsables de l'inefficacité de la sécurité des logiciels. L'Agence pour la cybersécurité et la sécurité des infrastructures (CISA), en collaboration avec 17 partenaires américains et internationaux, a publié des orientations sur les principes de la sécurité par la conception pour le développement de logiciels.
Pour les entreprises de services financiers, la sécurité du code est un élément essentiel pour atteindre les objectifs de ces réglementations et faciliter la démonstration de leur conformité. Cela souligne également pourquoi les développeurs ont besoin de formation et de perfectionnement pour s'assurer que la sécurité est appliquée au code dès le début du processus de développement.
Pour illustrer ce fonctionnement, examinons la dernière version de la norme PCI DSS.
Le codage sécurisé (et la formation des développeurs) est au cœur de la norme PCI DSS 4.0
La norme PCI DSS 4.0, qui est devenue obligatoire à partir du 1er avril 2024, comprend plusieurs mises à jour substantielles de la norme PCI DSS 3.2.1, dont la moindre n'est pas l'accent mis sur le rôle que jouent les développeurs dans la sécurisation du code logiciel.
La norme PCI reconnaît depuis longtemps l'importance des logiciels sécurisés. La version 2.0, qui a été publiée en 2017, comprenait des conseils pour les développeurs sur la garantie de transactions sécurisées sur les appareils mobiles. Les orientations de la version 4.0 mettent désormais l'accent sur l'application des meilleures pratiques de sécurité au développement de logiciels et comprennent certaines orientations spécifiques sur la formation des développeurs.
Les exigences sont souvent énoncées de manière générale, mais les entreprises peuvent souhaiter mettre en œuvre une approche plus approfondie.
Par exemple, l'une des exigences de la version 4.0 stipule que "les processus et les mécanismes de développement et de maintenance de systèmes et de logiciels sécurisés sont définis et compris". Un bon moyen de s'assurer que cela est vrai est que les développeurs reçoivent une formation précise dans les langages de programmation et les cadres qu'ils utilisent afin de combler toute lacune dans leurs connaissances.
Une autre exigence stipule que les développeurs travaillant sur des logiciels sur mesure et personnalisés doivent recevoir une formation au moins une fois tous les 12 mois :
- la sécurité des logiciels en rapport avec leur fonction et les langages de développement.
- Techniques de conception et de codage de logiciels sécurisés.
- Comment utiliser les outils de test de sécurité - s'ils sont utilisés - pour détecter les vulnérabilités dans les logiciels.
En réalité, une fois par an n'est pas assez fréquente pour aborder les questions de sécurité essentielles et rompre avec les mauvaises habitudes de codage. La formation doit être continue et mesurée, avec un processus de vérification des compétences pour s'assurer qu'elle est utilisée à bon escient.
La norme PCI DSS 4.0 comprend plus d'une demi-douzaine d'autres exigences portant sur des domaines tels que la prévention et l'atténuation de divers types d'attaques, la documentation des composants logiciels tiers, l'identification et la gestion des vulnérabilités, ainsi que d'autres mesures de sécurité. Dans tous les cas, les organisations seraient bien avisées de mettre en œuvre ces mesures de manière approfondie. Les formations sur les vecteurs d'attaque devraient être fréquentes, plutôt qu'annuelles. Les composants tiers, qui sont souvent une source de vulnérabilité, devraient être soigneusement inventoriés dans le cadre d'un programme de nomenclature des logiciels (SBOM). Enfin, les organisations devraient s'assurer que les rôles sont clairement définis pour la gestion des vulnérabilités.
La nouvelle version donne également aux organisations une certaine flexibilité pour répondre à ses exigences, en se concentrant sur les résultats plutôt que sur les cases à cocher, tout en ajoutant de nouvelles exigences pour les contrôles d'authentification, la longueur des mots de passe, les comptes partagés et d'autres facteurs.
La conformité commence dès le début du cycle de développement durable (SDLC)
Le point commun de ces réglementations est qu'elles tentent de fixer des normes élevées pour la protection des données et des transactions dans le secteur des services financiers. Et, comme dans le cas de la dernière version de la norme PCI DSS, elles mettent de plus en plus l'accent sur l'importance d'un code sécurisé dès le début du cycle de développement des logiciels (SDLC). La stratégie nationale de cybersécurité et les principes Secure by Design de la CISA confient également la responsabilité de la sécurité aux fabricants de logiciels - avant leur livraison - de sorte que même les entreprises qui ne sont pas directement régies par les réglementations relatives aux services financiers doivent s'y conformer.
Les organisations doivent combler le fossé qui existe entre les équipes DevOps (qui se concentrent sur la vitesse de développement) et les équipes AppSec (qui se dépêchent d'intégrer la sécurité dans le processus) en formant les développeurs à rendre la sécurité inhérente à leur approche. Cependant, cela nécessite un ensemble complexe de compétences qui vont au-delà des sessions de formation annuelles ou des programmes éducatifs standards et stagnants. La formation doit être continue et agile, conçue pour impliquer les apprenants dans des scénarios actifs et réels, et dispensée en petites sessions adaptées à leur emploi du temps.
Les entreprises de services financiers doivent garantir la sécurité pour se protéger contre les violations et rester en conformité avec des réglementations de plus en plus strictes. Les coûts de la non-conformité peuvent être aussi préjudiciables qu'une violation en termes d'impact sur la réputation d'une entreprise et de coûts monétaires. Le rapport 2023 d'IBM sur le coût d'une violation de données (Cost of a Data Breach Report 2023), par exemple, a révélé que les organisations ayant un niveau élevé de non-conformité s'exposaient, en moyenne, à des amendes et à d'autres coûts totalisant 5,05 millions de dollars, soit un demi-million de dollars de plus que le coût moyen d'une véritable violation de données.
La croissance continue des environnements basés sur le cloud et des transactions numériques a rendu la sécurité des logiciels dans le secteur des services financiers d'une importance capitale, ce que des réglementations telles que PCI DSS reconnaissent. La meilleure façon de garantir la sécurité des logiciels est de sécuriser le codage dès le début du cycle de développement durable. Et le moyen d'y parvenir est de former efficacement les développeurs aux pratiques de codage sécurisé.
Pour un aperçu complet de la manière dont le codage sécurisé peut contribuer à assurer le succès, la sécurité et les profits des entreprises de services financiers, vous pouvez lire l'e-book Secure Code Warrior qui vient de paraître : Le guide ultime des tendances en matière de sécurité dans les services financiers.
Consultez les pages du Secure Code Warrior pour en savoir plus sur la cybersécurité, sur les menaces de plus en plus dangereuses et sur la manière dont vous pouvez utiliser des technologies et des formations innovantes pour mieux protéger votre organisation et vos clients.
Table des matières
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.
Plongée en profondeur : Naviguer dans la vulnérabilité critique de CUPS dans les systèmes GNU-Linux
Découvrez les derniers défis de sécurité auxquels sont confrontés les utilisateurs de Linux en explorant les récentes vulnérabilités de haute sévérité dans le système d'impression commun d'UNIX (CUPS). Apprenez comment ces problèmes peuvent conduire à une potentielle exécution de code à distance (RCE) et ce que vous pouvez faire pour protéger vos systèmes.