Faire de l'ennuyeuse conformité à la norme PCI-DSS un exercice utile pour tout le monde : Partie 2 - Les RSSI et la sensibilisation des développeurs
Voici la deuxième partie d'une mini-série sur la conformité PCI-DSS au sein d'une organisation. Dans ce dernier chapitre, nous expliquons en détail comment les directeurs techniques et les responsables de la sécurité des systèmes d'information peuvent prendre l'initiative de réduire les cyber-risques et de rendre le processus transparent, réussi... et peut-être même un peu amusant pour les développeurs. (Vous avez manqué la première partie ? Consultez-la ici et découvrez comment les spécialistes AppSec peuvent saisir cette opportunité pour obtenir de meilleurs résultats en matière de sécurité).
Les meilleures pratiques PCI-DSS sont sans aucun doute une responsabilité partagée, mais les RSSI et les directeurs techniques peuvent exploiter leur influence considérable pour créer un programme de sécurité prospère et positif depuis le sommet. Ils sont la figure de proue de la confiance en la cybersécurité et du sentiment qui en découle chez les utilisateurs finaux, et l'accent mis sur la sensibilisation dès le début a un puissant effet d'entraînement, aidant les développeurs et les professionnels de l'AppSec à obtenir les connaissances, les outils et le soutien dont ils ont besoin pour contribuer à une posture de sécurité solide au sein de l'entreprise.
Il est important de rester en conformité, mais lorsque tout le monde est d'accord avec le "pourquoi", voit des résultats et est soutenu de la bonne manière, un programme peut transcender la législation et devenir une seconde nature.
Les directeurs techniques et les RSSI ont un rôle à jouer dans l'instauration d'une confiance mutuelle
Avez-vous récemment visité un site et réfléchi à deux fois avant de donner les détails de votre carte de crédit ? À moins qu'il ne s'agisse de l'application web à l'aspect douteux qui gère la commande en ligne de votre pizzeria locale, ce n'est probablement pas quelque chose que vous rencontrez très souvent, en particulier avec les grandes entreprises et les grands noms de la vente en ligne.
À moins qu'ils ne divulguent une violation de données, bien sûr.
Le géant mondial de l'hébergement, Marriott, vient de révéler sa deuxième faille en l'espace de trois ans, celle-ci ayant entraîné le vol de 5,2 millions d'enregistrements de clients. Cette fois-ci, il ne semble pas que les informations de paiement aient fait partie du vol, bien que la faille catastrophique de 2018 s'en soit chargée ; 383 millions de clients ont été compromis, 5 millions de numéros de passeport non cryptés ont été volés, ainsi que 8 millions de numéros de cartes de crédit.
Si la confiance des clients dans la marque Marriott n'était pas déjà au plus bas, je dirais qu'elle va bientôt toucher le fond. C'est le genre de choses qui empêchent les RSSI de dormir, car ils ont l'impression d'être des cibles faciles dans la guerre contre les cybermenaces. Il suffit de penser à Equifax, Yahoo, Sony, Target - ce ne sont là que quelques grands noms qui ont subi des violations à grande échelle, représentant des milliards d'enregistrements de données volées, des centaines de milliards de dollars de dommages, et des trous en forme de clients percés en plein cœur de leur économie. C'est un désastre pour l'entreprise (Target a enregistré une chute de 440 millions de dollars de ses bénéfices au cours du trimestre qui a suivi la violation de 2014), et bien que les individus ne soient généralement pas tenus pour responsables - après tout, la sécurité des logiciels devrait être une responsabilité partagée - c'est quelque chose que vous ne voulez pas voir figurer sur un CV par ailleurs élogieux si vous avez travaillé pour ces organisations à l'époque.
Renoncer à un programme de sécurité solide pour assurer la conformité d'une organisation qui traite des paiements, des données sensibles et de l'or intangible que représente le sentiment positif des clients, est un indicateur d'une entreprise qui n'est pas seulement à risque, mais qui est sérieusement à la traîne en matière d'innovation.
Tout le monde devrait se préoccuper des questions de confiance dans la relation client/organisation.
Outre le stress et les désastres auxquels sont confrontés les services informatiques, de développement et de sécurité après une violation, le facteur de confiance est un élément majeur du succès à long terme d'une nouvelle entreprise ou de la croissance continue d'une entreprise bien établie. La chose évidente que vous risquez de perdre est votre emploi, si l'entreprise est confrontée à une récession économique à la suite d'une perte de confiance.
Les réglementations PCI-DSS responsabilisent les entreprises - et comme nous l'avons vu plus haut, ignorer ces plans bien conçus a d'énormes conséquences - mais elles ne valent que ce que valent le programme de sécurité mis en place et les personnes qui y travaillent. Si vous les prenez au sérieux, si vous restez informé et si vous montrez l'exemple aux autres, vous vous distinguerez de manière très positive.
La prise de conscience est essentielle.
Un programme de sensibilisation à la sécurité défaillant rendra la plupart des tentatives de mise en conformité avec la norme PCI presque inutiles. La sensibilisation à la sécurité à l'échelle de l'organisation constitue la partie la plus critique des lignes directrices sur les meilleures pratiques ; elles proposent même leurs propres modules de formation sur la manière dont cette sensibilisation peut être mise en œuvre dans les rôles interfonctionnels, et sur ce à quoi cela ressemble dans les entreprises qui le font correctement.
Alors que nous nous dirigeons vers DevSecOps en tant qu'étalon-or actuel du développement de logiciels sécurisés - dans lequel la sécurité en tant que responsabilité partagée est fondamentale - les entreprises doivent consacrer du temps, de l'argent et des efforts pour s'assurer que tout le monde, y compris les fournisseurs et les sous-traitants, est sensibilisé à la sécurité et suit les meilleures pratiques.
Un développeur sensibilisé à la sécurité est un développeur respectueux des règles (et il n'est pas nécessaire de s'ennuyer pour y parvenir).
Lorsqu'il s'agit de devenir un développeur "certifié" conforme à la norme PCI-DSS, il n'y a pas beaucoup d'options évidentes. Pourquoi ? Probablement parce qu'il ne s'agit pas d'un exercice "one and done".
L'organisation OWASP est l'une des meilleures de la planète lorsqu'il s'agit d'apprendre à déjouer les vulnérabilités courantes, et son Top 10 figure officiellement dans les lignes directrices PCI-DSS pour les développeurs. Cependant, garder la sécurité à l'esprit et perfectionner ses compétences demande du temps et des efforts continus. Et personne ne souhaite que ces efforts ne soient pas inspirants et qu'ils soient gaspillés.
Une culture positive de la sécurité n'est pas une "bonne chose" dans une organisation ; si elle prend la sécurité au sérieux, elle doit faire partie du fonctionnement quotidien de l'entreprise.
Les développeurs sont en première ligne lorsqu'il s'agit d'éliminer les vulnérabilités. Bénéficient-ils du soutien, des outils et de la formation nécessaires pour remplir leur part du contrat de sécurité dans le cadre de la conformité à la norme PCI-DSS ?
En réalité, la bonne formation est plus transparente ; elle ne doit pas ressembler à un cours magistral et doit être très pertinente par rapport au travail effectué chaque jour. Ce type de formation pratique est une opportunité de perfectionnement - une évolution de carrière qui n'a que des avantages pour les développeurs qui veulent vraiment éliminer les vulnérabilités et travailler avec le reste de l'équipe pour produire un code de meilleure qualité.
Vous voulez tester vos compétences en matière de codage sécurisé dès maintenant ? Choisissez votre mission.
Voici la deuxième partie d'une mini-série sur la conformité PCI-DSS au sein d'une organisation. Dans ce dernier chapitre, nous expliquons en détail comment les directeurs techniques et les responsables de la sécurité des systèmes d'information peuvent prendre l'initiative de réduire les cyber-risques et de rendre le processus transparent, réussi... et peut-être même un peu amusant pour les développeurs.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationMatias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Voici la deuxième partie d'une mini-série sur la conformité PCI-DSS au sein d'une organisation. Dans ce dernier chapitre, nous expliquons en détail comment les directeurs techniques et les responsables de la sécurité des systèmes d'information peuvent prendre l'initiative de réduire les cyber-risques et de rendre le processus transparent, réussi... et peut-être même un peu amusant pour les développeurs. (Vous avez manqué la première partie ? Consultez-la ici et découvrez comment les spécialistes AppSec peuvent saisir cette opportunité pour obtenir de meilleurs résultats en matière de sécurité).
Les meilleures pratiques PCI-DSS sont sans aucun doute une responsabilité partagée, mais les RSSI et les directeurs techniques peuvent exploiter leur influence considérable pour créer un programme de sécurité prospère et positif depuis le sommet. Ils sont la figure de proue de la confiance en la cybersécurité et du sentiment qui en découle chez les utilisateurs finaux, et l'accent mis sur la sensibilisation dès le début a un puissant effet d'entraînement, aidant les développeurs et les professionnels de l'AppSec à obtenir les connaissances, les outils et le soutien dont ils ont besoin pour contribuer à une posture de sécurité solide au sein de l'entreprise.
Il est important de rester en conformité, mais lorsque tout le monde est d'accord avec le "pourquoi", voit des résultats et est soutenu de la bonne manière, un programme peut transcender la législation et devenir une seconde nature.
Les directeurs techniques et les RSSI ont un rôle à jouer dans l'instauration d'une confiance mutuelle
Avez-vous récemment visité un site et réfléchi à deux fois avant de donner les détails de votre carte de crédit ? À moins qu'il ne s'agisse de l'application web à l'aspect douteux qui gère la commande en ligne de votre pizzeria locale, ce n'est probablement pas quelque chose que vous rencontrez très souvent, en particulier avec les grandes entreprises et les grands noms de la vente en ligne.
À moins qu'ils ne divulguent une violation de données, bien sûr.
Le géant mondial de l'hébergement, Marriott, vient de révéler sa deuxième faille en l'espace de trois ans, celle-ci ayant entraîné le vol de 5,2 millions d'enregistrements de clients. Cette fois-ci, il ne semble pas que les informations de paiement aient fait partie du vol, bien que la faille catastrophique de 2018 s'en soit chargée ; 383 millions de clients ont été compromis, 5 millions de numéros de passeport non cryptés ont été volés, ainsi que 8 millions de numéros de cartes de crédit.
Si la confiance des clients dans la marque Marriott n'était pas déjà au plus bas, je dirais qu'elle va bientôt toucher le fond. C'est le genre de choses qui empêchent les RSSI de dormir, car ils ont l'impression d'être des cibles faciles dans la guerre contre les cybermenaces. Il suffit de penser à Equifax, Yahoo, Sony, Target - ce ne sont là que quelques grands noms qui ont subi des violations à grande échelle, représentant des milliards d'enregistrements de données volées, des centaines de milliards de dollars de dommages, et des trous en forme de clients percés en plein cœur de leur économie. C'est un désastre pour l'entreprise (Target a enregistré une chute de 440 millions de dollars de ses bénéfices au cours du trimestre qui a suivi la violation de 2014), et bien que les individus ne soient généralement pas tenus pour responsables - après tout, la sécurité des logiciels devrait être une responsabilité partagée - c'est quelque chose que vous ne voulez pas voir figurer sur un CV par ailleurs élogieux si vous avez travaillé pour ces organisations à l'époque.
Renoncer à un programme de sécurité solide pour assurer la conformité d'une organisation qui traite des paiements, des données sensibles et de l'or intangible que représente le sentiment positif des clients, est un indicateur d'une entreprise qui n'est pas seulement à risque, mais qui est sérieusement à la traîne en matière d'innovation.
Tout le monde devrait se préoccuper des questions de confiance dans la relation client/organisation.
Outre le stress et les désastres auxquels sont confrontés les services informatiques, de développement et de sécurité après une violation, le facteur de confiance est un élément majeur du succès à long terme d'une nouvelle entreprise ou de la croissance continue d'une entreprise bien établie. La chose évidente que vous risquez de perdre est votre emploi, si l'entreprise est confrontée à une récession économique à la suite d'une perte de confiance.
Les réglementations PCI-DSS responsabilisent les entreprises - et comme nous l'avons vu plus haut, ignorer ces plans bien conçus a d'énormes conséquences - mais elles ne valent que ce que valent le programme de sécurité mis en place et les personnes qui y travaillent. Si vous les prenez au sérieux, si vous restez informé et si vous montrez l'exemple aux autres, vous vous distinguerez de manière très positive.
La prise de conscience est essentielle.
Un programme de sensibilisation à la sécurité défaillant rendra la plupart des tentatives de mise en conformité avec la norme PCI presque inutiles. La sensibilisation à la sécurité à l'échelle de l'organisation constitue la partie la plus critique des lignes directrices sur les meilleures pratiques ; elles proposent même leurs propres modules de formation sur la manière dont cette sensibilisation peut être mise en œuvre dans les rôles interfonctionnels, et sur ce à quoi cela ressemble dans les entreprises qui le font correctement.
Alors que nous nous dirigeons vers DevSecOps en tant qu'étalon-or actuel du développement de logiciels sécurisés - dans lequel la sécurité en tant que responsabilité partagée est fondamentale - les entreprises doivent consacrer du temps, de l'argent et des efforts pour s'assurer que tout le monde, y compris les fournisseurs et les sous-traitants, est sensibilisé à la sécurité et suit les meilleures pratiques.
Un développeur sensibilisé à la sécurité est un développeur respectueux des règles (et il n'est pas nécessaire de s'ennuyer pour y parvenir).
Lorsqu'il s'agit de devenir un développeur "certifié" conforme à la norme PCI-DSS, il n'y a pas beaucoup d'options évidentes. Pourquoi ? Probablement parce qu'il ne s'agit pas d'un exercice "one and done".
L'organisation OWASP est l'une des meilleures de la planète lorsqu'il s'agit d'apprendre à déjouer les vulnérabilités courantes, et son Top 10 figure officiellement dans les lignes directrices PCI-DSS pour les développeurs. Cependant, garder la sécurité à l'esprit et perfectionner ses compétences demande du temps et des efforts continus. Et personne ne souhaite que ces efforts ne soient pas inspirants et qu'ils soient gaspillés.
Une culture positive de la sécurité n'est pas une "bonne chose" dans une organisation ; si elle prend la sécurité au sérieux, elle doit faire partie du fonctionnement quotidien de l'entreprise.
Les développeurs sont en première ligne lorsqu'il s'agit d'éliminer les vulnérabilités. Bénéficient-ils du soutien, des outils et de la formation nécessaires pour remplir leur part du contrat de sécurité dans le cadre de la conformité à la norme PCI-DSS ?
En réalité, la bonne formation est plus transparente ; elle ne doit pas ressembler à un cours magistral et doit être très pertinente par rapport au travail effectué chaque jour. Ce type de formation pratique est une opportunité de perfectionnement - une évolution de carrière qui n'a que des avantages pour les développeurs qui veulent vraiment éliminer les vulnérabilités et travailler avec le reste de l'équipe pour produire un code de meilleure qualité.
Vous voulez tester vos compétences en matière de codage sécurisé dès maintenant ? Choisissez votre mission.
Voici la deuxième partie d'une mini-série sur la conformité PCI-DSS au sein d'une organisation. Dans ce dernier chapitre, nous expliquons en détail comment les directeurs techniques et les responsables de la sécurité des systèmes d'information peuvent prendre l'initiative de réduire les cyber-risques et de rendre le processus transparent, réussi... et peut-être même un peu amusant pour les développeurs. (Vous avez manqué la première partie ? Consultez-la ici et découvrez comment les spécialistes AppSec peuvent saisir cette opportunité pour obtenir de meilleurs résultats en matière de sécurité).
Les meilleures pratiques PCI-DSS sont sans aucun doute une responsabilité partagée, mais les RSSI et les directeurs techniques peuvent exploiter leur influence considérable pour créer un programme de sécurité prospère et positif depuis le sommet. Ils sont la figure de proue de la confiance en la cybersécurité et du sentiment qui en découle chez les utilisateurs finaux, et l'accent mis sur la sensibilisation dès le début a un puissant effet d'entraînement, aidant les développeurs et les professionnels de l'AppSec à obtenir les connaissances, les outils et le soutien dont ils ont besoin pour contribuer à une posture de sécurité solide au sein de l'entreprise.
Il est important de rester en conformité, mais lorsque tout le monde est d'accord avec le "pourquoi", voit des résultats et est soutenu de la bonne manière, un programme peut transcender la législation et devenir une seconde nature.
Les directeurs techniques et les RSSI ont un rôle à jouer dans l'instauration d'une confiance mutuelle
Avez-vous récemment visité un site et réfléchi à deux fois avant de donner les détails de votre carte de crédit ? À moins qu'il ne s'agisse de l'application web à l'aspect douteux qui gère la commande en ligne de votre pizzeria locale, ce n'est probablement pas quelque chose que vous rencontrez très souvent, en particulier avec les grandes entreprises et les grands noms de la vente en ligne.
À moins qu'ils ne divulguent une violation de données, bien sûr.
Le géant mondial de l'hébergement, Marriott, vient de révéler sa deuxième faille en l'espace de trois ans, celle-ci ayant entraîné le vol de 5,2 millions d'enregistrements de clients. Cette fois-ci, il ne semble pas que les informations de paiement aient fait partie du vol, bien que la faille catastrophique de 2018 s'en soit chargée ; 383 millions de clients ont été compromis, 5 millions de numéros de passeport non cryptés ont été volés, ainsi que 8 millions de numéros de cartes de crédit.
Si la confiance des clients dans la marque Marriott n'était pas déjà au plus bas, je dirais qu'elle va bientôt toucher le fond. C'est le genre de choses qui empêchent les RSSI de dormir, car ils ont l'impression d'être des cibles faciles dans la guerre contre les cybermenaces. Il suffit de penser à Equifax, Yahoo, Sony, Target - ce ne sont là que quelques grands noms qui ont subi des violations à grande échelle, représentant des milliards d'enregistrements de données volées, des centaines de milliards de dollars de dommages, et des trous en forme de clients percés en plein cœur de leur économie. C'est un désastre pour l'entreprise (Target a enregistré une chute de 440 millions de dollars de ses bénéfices au cours du trimestre qui a suivi la violation de 2014), et bien que les individus ne soient généralement pas tenus pour responsables - après tout, la sécurité des logiciels devrait être une responsabilité partagée - c'est quelque chose que vous ne voulez pas voir figurer sur un CV par ailleurs élogieux si vous avez travaillé pour ces organisations à l'époque.
Renoncer à un programme de sécurité solide pour assurer la conformité d'une organisation qui traite des paiements, des données sensibles et de l'or intangible que représente le sentiment positif des clients, est un indicateur d'une entreprise qui n'est pas seulement à risque, mais qui est sérieusement à la traîne en matière d'innovation.
Tout le monde devrait se préoccuper des questions de confiance dans la relation client/organisation.
Outre le stress et les désastres auxquels sont confrontés les services informatiques, de développement et de sécurité après une violation, le facteur de confiance est un élément majeur du succès à long terme d'une nouvelle entreprise ou de la croissance continue d'une entreprise bien établie. La chose évidente que vous risquez de perdre est votre emploi, si l'entreprise est confrontée à une récession économique à la suite d'une perte de confiance.
Les réglementations PCI-DSS responsabilisent les entreprises - et comme nous l'avons vu plus haut, ignorer ces plans bien conçus a d'énormes conséquences - mais elles ne valent que ce que valent le programme de sécurité mis en place et les personnes qui y travaillent. Si vous les prenez au sérieux, si vous restez informé et si vous montrez l'exemple aux autres, vous vous distinguerez de manière très positive.
La prise de conscience est essentielle.
Un programme de sensibilisation à la sécurité défaillant rendra la plupart des tentatives de mise en conformité avec la norme PCI presque inutiles. La sensibilisation à la sécurité à l'échelle de l'organisation constitue la partie la plus critique des lignes directrices sur les meilleures pratiques ; elles proposent même leurs propres modules de formation sur la manière dont cette sensibilisation peut être mise en œuvre dans les rôles interfonctionnels, et sur ce à quoi cela ressemble dans les entreprises qui le font correctement.
Alors que nous nous dirigeons vers DevSecOps en tant qu'étalon-or actuel du développement de logiciels sécurisés - dans lequel la sécurité en tant que responsabilité partagée est fondamentale - les entreprises doivent consacrer du temps, de l'argent et des efforts pour s'assurer que tout le monde, y compris les fournisseurs et les sous-traitants, est sensibilisé à la sécurité et suit les meilleures pratiques.
Un développeur sensibilisé à la sécurité est un développeur respectueux des règles (et il n'est pas nécessaire de s'ennuyer pour y parvenir).
Lorsqu'il s'agit de devenir un développeur "certifié" conforme à la norme PCI-DSS, il n'y a pas beaucoup d'options évidentes. Pourquoi ? Probablement parce qu'il ne s'agit pas d'un exercice "one and done".
L'organisation OWASP est l'une des meilleures de la planète lorsqu'il s'agit d'apprendre à déjouer les vulnérabilités courantes, et son Top 10 figure officiellement dans les lignes directrices PCI-DSS pour les développeurs. Cependant, garder la sécurité à l'esprit et perfectionner ses compétences demande du temps et des efforts continus. Et personne ne souhaite que ces efforts ne soient pas inspirants et qu'ils soient gaspillés.
Une culture positive de la sécurité n'est pas une "bonne chose" dans une organisation ; si elle prend la sécurité au sérieux, elle doit faire partie du fonctionnement quotidien de l'entreprise.
Les développeurs sont en première ligne lorsqu'il s'agit d'éliminer les vulnérabilités. Bénéficient-ils du soutien, des outils et de la formation nécessaires pour remplir leur part du contrat de sécurité dans le cadre de la conformité à la norme PCI-DSS ?
En réalité, la bonne formation est plus transparente ; elle ne doit pas ressembler à un cours magistral et doit être très pertinente par rapport au travail effectué chaque jour. Ce type de formation pratique est une opportunité de perfectionnement - une évolution de carrière qui n'a que des avantages pour les développeurs qui veulent vraiment éliminer les vulnérabilités et travailler avec le reste de l'équipe pour produire un code de meilleure qualité.
Vous voulez tester vos compétences en matière de codage sécurisé dès maintenant ? Choisissez votre mission.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationMatias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Voici la deuxième partie d'une mini-série sur la conformité PCI-DSS au sein d'une organisation. Dans ce dernier chapitre, nous expliquons en détail comment les directeurs techniques et les responsables de la sécurité des systèmes d'information peuvent prendre l'initiative de réduire les cyber-risques et de rendre le processus transparent, réussi... et peut-être même un peu amusant pour les développeurs. (Vous avez manqué la première partie ? Consultez-la ici et découvrez comment les spécialistes AppSec peuvent saisir cette opportunité pour obtenir de meilleurs résultats en matière de sécurité).
Les meilleures pratiques PCI-DSS sont sans aucun doute une responsabilité partagée, mais les RSSI et les directeurs techniques peuvent exploiter leur influence considérable pour créer un programme de sécurité prospère et positif depuis le sommet. Ils sont la figure de proue de la confiance en la cybersécurité et du sentiment qui en découle chez les utilisateurs finaux, et l'accent mis sur la sensibilisation dès le début a un puissant effet d'entraînement, aidant les développeurs et les professionnels de l'AppSec à obtenir les connaissances, les outils et le soutien dont ils ont besoin pour contribuer à une posture de sécurité solide au sein de l'entreprise.
Il est important de rester en conformité, mais lorsque tout le monde est d'accord avec le "pourquoi", voit des résultats et est soutenu de la bonne manière, un programme peut transcender la législation et devenir une seconde nature.
Les directeurs techniques et les RSSI ont un rôle à jouer dans l'instauration d'une confiance mutuelle
Avez-vous récemment visité un site et réfléchi à deux fois avant de donner les détails de votre carte de crédit ? À moins qu'il ne s'agisse de l'application web à l'aspect douteux qui gère la commande en ligne de votre pizzeria locale, ce n'est probablement pas quelque chose que vous rencontrez très souvent, en particulier avec les grandes entreprises et les grands noms de la vente en ligne.
À moins qu'ils ne divulguent une violation de données, bien sûr.
Le géant mondial de l'hébergement, Marriott, vient de révéler sa deuxième faille en l'espace de trois ans, celle-ci ayant entraîné le vol de 5,2 millions d'enregistrements de clients. Cette fois-ci, il ne semble pas que les informations de paiement aient fait partie du vol, bien que la faille catastrophique de 2018 s'en soit chargée ; 383 millions de clients ont été compromis, 5 millions de numéros de passeport non cryptés ont été volés, ainsi que 8 millions de numéros de cartes de crédit.
Si la confiance des clients dans la marque Marriott n'était pas déjà au plus bas, je dirais qu'elle va bientôt toucher le fond. C'est le genre de choses qui empêchent les RSSI de dormir, car ils ont l'impression d'être des cibles faciles dans la guerre contre les cybermenaces. Il suffit de penser à Equifax, Yahoo, Sony, Target - ce ne sont là que quelques grands noms qui ont subi des violations à grande échelle, représentant des milliards d'enregistrements de données volées, des centaines de milliards de dollars de dommages, et des trous en forme de clients percés en plein cœur de leur économie. C'est un désastre pour l'entreprise (Target a enregistré une chute de 440 millions de dollars de ses bénéfices au cours du trimestre qui a suivi la violation de 2014), et bien que les individus ne soient généralement pas tenus pour responsables - après tout, la sécurité des logiciels devrait être une responsabilité partagée - c'est quelque chose que vous ne voulez pas voir figurer sur un CV par ailleurs élogieux si vous avez travaillé pour ces organisations à l'époque.
Renoncer à un programme de sécurité solide pour assurer la conformité d'une organisation qui traite des paiements, des données sensibles et de l'or intangible que représente le sentiment positif des clients, est un indicateur d'une entreprise qui n'est pas seulement à risque, mais qui est sérieusement à la traîne en matière d'innovation.
Tout le monde devrait se préoccuper des questions de confiance dans la relation client/organisation.
Outre le stress et les désastres auxquels sont confrontés les services informatiques, de développement et de sécurité après une violation, le facteur de confiance est un élément majeur du succès à long terme d'une nouvelle entreprise ou de la croissance continue d'une entreprise bien établie. La chose évidente que vous risquez de perdre est votre emploi, si l'entreprise est confrontée à une récession économique à la suite d'une perte de confiance.
Les réglementations PCI-DSS responsabilisent les entreprises - et comme nous l'avons vu plus haut, ignorer ces plans bien conçus a d'énormes conséquences - mais elles ne valent que ce que valent le programme de sécurité mis en place et les personnes qui y travaillent. Si vous les prenez au sérieux, si vous restez informé et si vous montrez l'exemple aux autres, vous vous distinguerez de manière très positive.
La prise de conscience est essentielle.
Un programme de sensibilisation à la sécurité défaillant rendra la plupart des tentatives de mise en conformité avec la norme PCI presque inutiles. La sensibilisation à la sécurité à l'échelle de l'organisation constitue la partie la plus critique des lignes directrices sur les meilleures pratiques ; elles proposent même leurs propres modules de formation sur la manière dont cette sensibilisation peut être mise en œuvre dans les rôles interfonctionnels, et sur ce à quoi cela ressemble dans les entreprises qui le font correctement.
Alors que nous nous dirigeons vers DevSecOps en tant qu'étalon-or actuel du développement de logiciels sécurisés - dans lequel la sécurité en tant que responsabilité partagée est fondamentale - les entreprises doivent consacrer du temps, de l'argent et des efforts pour s'assurer que tout le monde, y compris les fournisseurs et les sous-traitants, est sensibilisé à la sécurité et suit les meilleures pratiques.
Un développeur sensibilisé à la sécurité est un développeur respectueux des règles (et il n'est pas nécessaire de s'ennuyer pour y parvenir).
Lorsqu'il s'agit de devenir un développeur "certifié" conforme à la norme PCI-DSS, il n'y a pas beaucoup d'options évidentes. Pourquoi ? Probablement parce qu'il ne s'agit pas d'un exercice "one and done".
L'organisation OWASP est l'une des meilleures de la planète lorsqu'il s'agit d'apprendre à déjouer les vulnérabilités courantes, et son Top 10 figure officiellement dans les lignes directrices PCI-DSS pour les développeurs. Cependant, garder la sécurité à l'esprit et perfectionner ses compétences demande du temps et des efforts continus. Et personne ne souhaite que ces efforts ne soient pas inspirants et qu'ils soient gaspillés.
Une culture positive de la sécurité n'est pas une "bonne chose" dans une organisation ; si elle prend la sécurité au sérieux, elle doit faire partie du fonctionnement quotidien de l'entreprise.
Les développeurs sont en première ligne lorsqu'il s'agit d'éliminer les vulnérabilités. Bénéficient-ils du soutien, des outils et de la formation nécessaires pour remplir leur part du contrat de sécurité dans le cadre de la conformité à la norme PCI-DSS ?
En réalité, la bonne formation est plus transparente ; elle ne doit pas ressembler à un cours magistral et doit être très pertinente par rapport au travail effectué chaque jour. Ce type de formation pratique est une opportunité de perfectionnement - une évolution de carrière qui n'a que des avantages pour les développeurs qui veulent vraiment éliminer les vulnérabilités et travailler avec le reste de l'équipe pour produire un code de meilleure qualité.
Vous voulez tester vos compétences en matière de codage sécurisé dès maintenant ? Choisissez votre mission.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
La note de confiance révèle la valeur des initiatives d'amélioration de la sécurité par la conception
Nos recherches ont montré que la formation au code sécurisé fonctionne. Le Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité à réduire les vulnérabilités et la manière de rendre l'initiative encore plus efficace.
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.