Votre programme de sécurité est-il axé sur la réponse aux incidents ? Vous faites fausse route.
Une version de cet article a été publiée dans le cadre d'un article de fond pour le Conseil technologique de Forbes. Elle a été mise à jour et publiée ici.
Il n'y a rien de tel que de se trouver du mauvais côté d'une violation de données. Au début, il peut y avoir du déni, puis de la panique. Une fois que tous les jurons ont été prononcés et que le RSSI a dû organiser une conférence téléphonique avec les relations publiques à 2 heures du matin, il est temps de se retrousser les manches et de se mettre au travail pour sécuriser les terminaux et les systèmes, et éliminer rapidement tous les vecteurs d'attaque potentiels. Le moins que l'on puisse dire, c'est que ce n'est pas une partie de plaisir.
Il s'agit pourtant d'une réalité à laquelle de nombreuses organisations seront confrontées à l'avenir et à laquelle il faut absolument se préparer au moyen d'un plan complet de réponse aux incidents de cybersécurité. Le problème, cependant, c'est que c'est sur cette stratégie réactive que se concentre une grande partie du temps, des ressources et des efforts, au lieu de travailler à prévenir ou à réduire la gravité potentielle des cyberattaques en amont. C'est un peu comme appeler une ambulance pour une crise cardiaque présumée ; les résultats sont souvent beaucoup moins positifs - pour ne pas dire plus dommageables - que si des mesures sanitaires préventives avaient été mises en place avant qu'il ne soit trop tard.
À cette fin, à quoi ressemble un plan de prévention ? Voyons comment les professionnels de la sécurité peuvent utiliser tous les outils à leur disposition pour atténuer les cyberrisques qui ne cessent d'augmenter, chaque jour :
Comprendre l'ampleur du travail à accomplir
Cela semble évident, mais le "bon" plan pour atténuer les cyberrisques présente des nuances selon les secteurs, et il est important de comprendre ce qui est nécessaire en amont pour atteindre le résultat souhaité.
Quels sont les problèmes de sécurité actuels ? Quels sont le temps et les ressources qu'ils requièrent ? Combien d'entre eux sont récurrents ? Ces facteurs sont importants et vous donneront un point de départ fondamental. Tenez compte des rôles à pourvoir, des lacunes dans les outils et de ce qui est nécessaire du point de vue de l'expertise et des outils pour sécuriser les points finaux et réduire la surface d'attaque, tout en évitant d'autres domaines de risque potentiel.
Un rapport récent a révélé que onze secteurs d'activité ont constaté une vulnérabilité grave, dans au moins la moitié de leurs applications, chaque jour au cours de l'année écoulée. En particulier, les secteurs des services publics, de l'administration publique et des services professionnels ont mis en moyenne 288 jours pour corriger les vulnérabilités connues. C'est incroyablement lent, ce qui laisse à un attaquant plus de temps qu'il n'en faut pour causer de graves dommages si ces vulnérabilités sont découvertes avant qu'un correctif ne puisse être appliqué. Cette situation, associée au fait que la probabilité que les organisations subissent une violation de données approche les 30 %, nous rappelle que la réaction aux incidents ne suffit pas et que les enjeux sont tout simplement trop importants pour se préparer à l'impact d'une cyberattaque à grande échelle et espérer que tout ira pour le mieux.
Préparez-vous à obtenir l'adhésion au changement culturel
Bousculer le statu quo a tendance à faire froncer les sourcils, mais la vérité est que les programmes de sécurité devraient être dans un état constant d'amélioration continue. Chaque composante doit rester pertinente et les nouveaux développements doivent être évalués et pris en compte.
Mettre l'accent sur une approche préventive - par opposition à une approche réactive - peut ne pas être largement compris en dehors de l'équipe de sécurité, en particulier si un incident de sécurité important et grave n'a pas eu lieu. Cela peut être perçu comme quelque chose qui n'est pas cassé et qui n'a pas besoin d'être réparé. Dans ce cas, il est essentiel d'obtenir l'adhésion de la direction. Voici quelques-uns des points les plus pertinents à prendre en compte :
- Les économies de temps et d'argent réalisées grâce à des mesures préventives, telles que la formation basée sur les rôles et les outils connexes, par rapport au coût potentiel d'un incident critique.
- Comment la recherche et la correction des vulnérabilités permettent désormais de respecter les délais de publication, avec moins d'interruptions de la part de l'équipe chargée de la sécurité.
- Pourquoi la préparation et l'anticipation des risques de sécurité potentiels, depuis l'équipe de développement jusqu'à la publication, permettent de gagner du temps (sans parler de l'argent) dans l'ensemble. Pour mettre les choses en perspective, les vulnérabilités tardives découvertes lors de la phase de test - ou pire, après la production - peuvent augmenter les coûts jusqu'à 3000 % en moyenne.
Il est essentiel que les changements culturels proposés soient alignés sur les objectifs de l'entreprise, même s'ils semblent inconfortables au départ.
La sensibilisation à la sécurité est une chose, les compétences en matière de sécurité sont tout
En tant qu'industrie, nous parlons fréquemment de l'importance de la sensibilisation à la sécurité, et il s'agit d'un élément de plus en plus critique pour chaque membre du personnel d'une organisation. Cependant, il ne suffit pas de se contenter d'un discours et d'une formation passive, en particulier pour les personnes occupant des postes techniques.
En d'autres termes, toute personne qui touche au code présente un risque potentiel pour la sécurité si elle ne possède pas les compétences nécessaires pour coder de manière sécurisée. Une sensibilisation générale aux paramètres de sécurité de base est un bon début, mais sans une connaissance contextuelle des bons modèles de codage sécurisé, les mauvaises habitudes prévalent, et c'est sur ce manque de compétences en matière de développement de qualité que les attaquants s'appuient pour faire leur sale boulot.
Ne faites pas une croix sur vos développeurs.
Bien que l'attitude évolue, de nombreuses organisations sont structurées de telle sorte que les développeurs sont rarement pris en compte dans les plans d'atténuation de la sécurité. Certains secteurs, comme la banque et la finance, ont des exigences strictes en matière de conformité et de réglementation qui se traduisent par des pratiques et des formations renforcées en matière de sécurité pour l'ensemble du personnel. Bien qu'elles soient certainement en avance sur d'autres secteurs, presque toutes les organisations de la planète pourraient bénéficier d'une armée interne de développeurs sensibilisés à la sécurité, tous dotés d'une capacité de base à détecter les bogues de sécurité les plus courants avant qu'ils ne soient commis. La plupart d'entre elles sont loin d'avoir réalisé cette pièce essentielle du puzzle du programme de sécurité - et c'est nécessaire si nous avons un jour l'espoir de sécuriser le déluge de code qui augmente en volume d'une année sur l'autre.
La sécurité préventive devrait commencer dès que les doigts touchent le clavier pour créer un logiciel, mais on ne peut pas attendre des développeurs qu'ils comblent seuls le fossé des compétences en matière de sécurité. Ils ont besoin des bons outils et d'une orientation contextuelle pour atteindre un niveau plus élevé de qualité du code, et les meilleurs résultats sont toujours obtenus lorsque cela fait partie de leur travail quotidien, et non pas d'une réflexion après coup qui est sporadiquement mise en œuvre lorsque les exigences de conformité annuelles se présentent.
L'accent mis sur une approche préventive - par opposition à une approche réactive - peut ne pas être largement compris en dehors de l'équipe de sécurité, en particulier si un incident de sécurité important et grave n'a pas eu lieu.
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationDirecteur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été publiée dans le cadre d'un article de fond pour le Conseil technologique de Forbes. Elle a été mise à jour et publiée ici.
Il n'y a rien de tel que de se trouver du mauvais côté d'une violation de données. Au début, il peut y avoir du déni, puis de la panique. Une fois que tous les jurons ont été prononcés et que le RSSI a dû organiser une conférence téléphonique avec les relations publiques à 2 heures du matin, il est temps de se retrousser les manches et de se mettre au travail pour sécuriser les terminaux et les systèmes, et éliminer rapidement tous les vecteurs d'attaque potentiels. Le moins que l'on puisse dire, c'est que ce n'est pas une partie de plaisir.
Il s'agit pourtant d'une réalité à laquelle de nombreuses organisations seront confrontées à l'avenir et à laquelle il faut absolument se préparer au moyen d'un plan complet de réponse aux incidents de cybersécurité. Le problème, cependant, c'est que c'est sur cette stratégie réactive que se concentre une grande partie du temps, des ressources et des efforts, au lieu de travailler à prévenir ou à réduire la gravité potentielle des cyberattaques en amont. C'est un peu comme appeler une ambulance pour une crise cardiaque présumée ; les résultats sont souvent beaucoup moins positifs - pour ne pas dire plus dommageables - que si des mesures sanitaires préventives avaient été mises en place avant qu'il ne soit trop tard.
À cette fin, à quoi ressemble un plan de prévention ? Voyons comment les professionnels de la sécurité peuvent utiliser tous les outils à leur disposition pour atténuer les cyberrisques qui ne cessent d'augmenter, chaque jour :
Comprendre l'ampleur du travail à accomplir
Cela semble évident, mais le "bon" plan pour atténuer les cyberrisques présente des nuances selon les secteurs, et il est important de comprendre ce qui est nécessaire en amont pour atteindre le résultat souhaité.
Quels sont les problèmes de sécurité actuels ? Quels sont le temps et les ressources qu'ils requièrent ? Combien d'entre eux sont récurrents ? Ces facteurs sont importants et vous donneront un point de départ fondamental. Tenez compte des rôles à pourvoir, des lacunes dans les outils et de ce qui est nécessaire du point de vue de l'expertise et des outils pour sécuriser les points finaux et réduire la surface d'attaque, tout en évitant d'autres domaines de risque potentiel.
Un rapport récent a révélé que onze secteurs d'activité ont constaté une vulnérabilité grave, dans au moins la moitié de leurs applications, chaque jour au cours de l'année écoulée. En particulier, les secteurs des services publics, de l'administration publique et des services professionnels ont mis en moyenne 288 jours pour corriger les vulnérabilités connues. C'est incroyablement lent, ce qui laisse à un attaquant plus de temps qu'il n'en faut pour causer de graves dommages si ces vulnérabilités sont découvertes avant qu'un correctif ne puisse être appliqué. Cette situation, associée au fait que la probabilité que les organisations subissent une violation de données approche les 30 %, nous rappelle que la réaction aux incidents ne suffit pas et que les enjeux sont tout simplement trop importants pour se préparer à l'impact d'une cyberattaque à grande échelle et espérer que tout ira pour le mieux.
Préparez-vous à obtenir l'adhésion au changement culturel
Bousculer le statu quo a tendance à faire froncer les sourcils, mais la vérité est que les programmes de sécurité devraient être dans un état constant d'amélioration continue. Chaque composante doit rester pertinente et les nouveaux développements doivent être évalués et pris en compte.
Mettre l'accent sur une approche préventive - par opposition à une approche réactive - peut ne pas être largement compris en dehors de l'équipe de sécurité, en particulier si un incident de sécurité important et grave n'a pas eu lieu. Cela peut être perçu comme quelque chose qui n'est pas cassé et qui n'a pas besoin d'être réparé. Dans ce cas, il est essentiel d'obtenir l'adhésion de la direction. Voici quelques-uns des points les plus pertinents à prendre en compte :
- Les économies de temps et d'argent réalisées grâce à des mesures préventives, telles que la formation basée sur les rôles et les outils connexes, par rapport au coût potentiel d'un incident critique.
- Comment la recherche et la correction des vulnérabilités permettent désormais de respecter les délais de publication, avec moins d'interruptions de la part de l'équipe chargée de la sécurité.
- Pourquoi la préparation et l'anticipation des risques de sécurité potentiels, depuis l'équipe de développement jusqu'à la publication, permettent de gagner du temps (sans parler de l'argent) dans l'ensemble. Pour mettre les choses en perspective, les vulnérabilités tardives découvertes lors de la phase de test - ou pire, après la production - peuvent augmenter les coûts jusqu'à 3000 % en moyenne.
Il est essentiel que les changements culturels proposés soient alignés sur les objectifs de l'entreprise, même s'ils semblent inconfortables au départ.
La sensibilisation à la sécurité est une chose, les compétences en matière de sécurité sont tout
En tant qu'industrie, nous parlons fréquemment de l'importance de la sensibilisation à la sécurité, et il s'agit d'un élément de plus en plus critique pour chaque membre du personnel d'une organisation. Cependant, il ne suffit pas de se contenter d'un discours et d'une formation passive, en particulier pour les personnes occupant des postes techniques.
En d'autres termes, toute personne qui touche au code présente un risque potentiel pour la sécurité si elle ne possède pas les compétences nécessaires pour coder de manière sécurisée. Une sensibilisation générale aux paramètres de sécurité de base est un bon début, mais sans une connaissance contextuelle des bons modèles de codage sécurisé, les mauvaises habitudes prévalent, et c'est sur ce manque de compétences en matière de développement de qualité que les attaquants s'appuient pour faire leur sale boulot.
Ne faites pas une croix sur vos développeurs.
Bien que l'attitude évolue, de nombreuses organisations sont structurées de telle sorte que les développeurs sont rarement pris en compte dans les plans d'atténuation de la sécurité. Certains secteurs, comme la banque et la finance, ont des exigences strictes en matière de conformité et de réglementation qui se traduisent par des pratiques et des formations renforcées en matière de sécurité pour l'ensemble du personnel. Bien qu'elles soient certainement en avance sur d'autres secteurs, presque toutes les organisations de la planète pourraient bénéficier d'une armée interne de développeurs sensibilisés à la sécurité, tous dotés d'une capacité de base à détecter les bogues de sécurité les plus courants avant qu'ils ne soient commis. La plupart d'entre elles sont loin d'avoir réalisé cette pièce essentielle du puzzle du programme de sécurité - et c'est nécessaire si nous avons un jour l'espoir de sécuriser le déluge de code qui augmente en volume d'une année sur l'autre.
La sécurité préventive devrait commencer dès que les doigts touchent le clavier pour créer un logiciel, mais on ne peut pas attendre des développeurs qu'ils comblent seuls le fossé des compétences en matière de sécurité. Ils ont besoin des bons outils et d'une orientation contextuelle pour atteindre un niveau plus élevé de qualité du code, et les meilleurs résultats sont toujours obtenus lorsque cela fait partie de leur travail quotidien, et non pas d'une réflexion après coup qui est sporadiquement mise en œuvre lorsque les exigences de conformité annuelles se présentent.
Une version de cet article a été publiée dans le cadre d'un article de fond pour le Conseil technologique de Forbes. Elle a été mise à jour et publiée ici.
Il n'y a rien de tel que de se trouver du mauvais côté d'une violation de données. Au début, il peut y avoir du déni, puis de la panique. Une fois que tous les jurons ont été prononcés et que le RSSI a dû organiser une conférence téléphonique avec les relations publiques à 2 heures du matin, il est temps de se retrousser les manches et de se mettre au travail pour sécuriser les terminaux et les systèmes, et éliminer rapidement tous les vecteurs d'attaque potentiels. Le moins que l'on puisse dire, c'est que ce n'est pas une partie de plaisir.
Il s'agit pourtant d'une réalité à laquelle de nombreuses organisations seront confrontées à l'avenir et à laquelle il faut absolument se préparer au moyen d'un plan complet de réponse aux incidents de cybersécurité. Le problème, cependant, c'est que c'est sur cette stratégie réactive que se concentre une grande partie du temps, des ressources et des efforts, au lieu de travailler à prévenir ou à réduire la gravité potentielle des cyberattaques en amont. C'est un peu comme appeler une ambulance pour une crise cardiaque présumée ; les résultats sont souvent beaucoup moins positifs - pour ne pas dire plus dommageables - que si des mesures sanitaires préventives avaient été mises en place avant qu'il ne soit trop tard.
À cette fin, à quoi ressemble un plan de prévention ? Voyons comment les professionnels de la sécurité peuvent utiliser tous les outils à leur disposition pour atténuer les cyberrisques qui ne cessent d'augmenter, chaque jour :
Comprendre l'ampleur du travail à accomplir
Cela semble évident, mais le "bon" plan pour atténuer les cyberrisques présente des nuances selon les secteurs, et il est important de comprendre ce qui est nécessaire en amont pour atteindre le résultat souhaité.
Quels sont les problèmes de sécurité actuels ? Quels sont le temps et les ressources qu'ils requièrent ? Combien d'entre eux sont récurrents ? Ces facteurs sont importants et vous donneront un point de départ fondamental. Tenez compte des rôles à pourvoir, des lacunes dans les outils et de ce qui est nécessaire du point de vue de l'expertise et des outils pour sécuriser les points finaux et réduire la surface d'attaque, tout en évitant d'autres domaines de risque potentiel.
Un rapport récent a révélé que onze secteurs d'activité ont constaté une vulnérabilité grave, dans au moins la moitié de leurs applications, chaque jour au cours de l'année écoulée. En particulier, les secteurs des services publics, de l'administration publique et des services professionnels ont mis en moyenne 288 jours pour corriger les vulnérabilités connues. C'est incroyablement lent, ce qui laisse à un attaquant plus de temps qu'il n'en faut pour causer de graves dommages si ces vulnérabilités sont découvertes avant qu'un correctif ne puisse être appliqué. Cette situation, associée au fait que la probabilité que les organisations subissent une violation de données approche les 30 %, nous rappelle que la réaction aux incidents ne suffit pas et que les enjeux sont tout simplement trop importants pour se préparer à l'impact d'une cyberattaque à grande échelle et espérer que tout ira pour le mieux.
Préparez-vous à obtenir l'adhésion au changement culturel
Bousculer le statu quo a tendance à faire froncer les sourcils, mais la vérité est que les programmes de sécurité devraient être dans un état constant d'amélioration continue. Chaque composante doit rester pertinente et les nouveaux développements doivent être évalués et pris en compte.
Mettre l'accent sur une approche préventive - par opposition à une approche réactive - peut ne pas être largement compris en dehors de l'équipe de sécurité, en particulier si un incident de sécurité important et grave n'a pas eu lieu. Cela peut être perçu comme quelque chose qui n'est pas cassé et qui n'a pas besoin d'être réparé. Dans ce cas, il est essentiel d'obtenir l'adhésion de la direction. Voici quelques-uns des points les plus pertinents à prendre en compte :
- Les économies de temps et d'argent réalisées grâce à des mesures préventives, telles que la formation basée sur les rôles et les outils connexes, par rapport au coût potentiel d'un incident critique.
- Comment la recherche et la correction des vulnérabilités permettent désormais de respecter les délais de publication, avec moins d'interruptions de la part de l'équipe chargée de la sécurité.
- Pourquoi la préparation et l'anticipation des risques de sécurité potentiels, depuis l'équipe de développement jusqu'à la publication, permettent de gagner du temps (sans parler de l'argent) dans l'ensemble. Pour mettre les choses en perspective, les vulnérabilités tardives découvertes lors de la phase de test - ou pire, après la production - peuvent augmenter les coûts jusqu'à 3000 % en moyenne.
Il est essentiel que les changements culturels proposés soient alignés sur les objectifs de l'entreprise, même s'ils semblent inconfortables au départ.
La sensibilisation à la sécurité est une chose, les compétences en matière de sécurité sont tout
En tant qu'industrie, nous parlons fréquemment de l'importance de la sensibilisation à la sécurité, et il s'agit d'un élément de plus en plus critique pour chaque membre du personnel d'une organisation. Cependant, il ne suffit pas de se contenter d'un discours et d'une formation passive, en particulier pour les personnes occupant des postes techniques.
En d'autres termes, toute personne qui touche au code présente un risque potentiel pour la sécurité si elle ne possède pas les compétences nécessaires pour coder de manière sécurisée. Une sensibilisation générale aux paramètres de sécurité de base est un bon début, mais sans une connaissance contextuelle des bons modèles de codage sécurisé, les mauvaises habitudes prévalent, et c'est sur ce manque de compétences en matière de développement de qualité que les attaquants s'appuient pour faire leur sale boulot.
Ne faites pas une croix sur vos développeurs.
Bien que l'attitude évolue, de nombreuses organisations sont structurées de telle sorte que les développeurs sont rarement pris en compte dans les plans d'atténuation de la sécurité. Certains secteurs, comme la banque et la finance, ont des exigences strictes en matière de conformité et de réglementation qui se traduisent par des pratiques et des formations renforcées en matière de sécurité pour l'ensemble du personnel. Bien qu'elles soient certainement en avance sur d'autres secteurs, presque toutes les organisations de la planète pourraient bénéficier d'une armée interne de développeurs sensibilisés à la sécurité, tous dotés d'une capacité de base à détecter les bogues de sécurité les plus courants avant qu'ils ne soient commis. La plupart d'entre elles sont loin d'avoir réalisé cette pièce essentielle du puzzle du programme de sécurité - et c'est nécessaire si nous avons un jour l'espoir de sécuriser le déluge de code qui augmente en volume d'une année sur l'autre.
La sécurité préventive devrait commencer dès que les doigts touchent le clavier pour créer un logiciel, mais on ne peut pas attendre des développeurs qu'ils comblent seuls le fossé des compétences en matière de sécurité. Ils ont besoin des bons outils et d'une orientation contextuelle pour atteindre un niveau plus élevé de qualité du code, et les meilleurs résultats sont toujours obtenus lorsque cela fait partie de leur travail quotidien, et non pas d'une réflexion après coup qui est sporadiquement mise en œuvre lorsque les exigences de conformité annuelles se présentent.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationDirecteur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été publiée dans le cadre d'un article de fond pour le Conseil technologique de Forbes. Elle a été mise à jour et publiée ici.
Il n'y a rien de tel que de se trouver du mauvais côté d'une violation de données. Au début, il peut y avoir du déni, puis de la panique. Une fois que tous les jurons ont été prononcés et que le RSSI a dû organiser une conférence téléphonique avec les relations publiques à 2 heures du matin, il est temps de se retrousser les manches et de se mettre au travail pour sécuriser les terminaux et les systèmes, et éliminer rapidement tous les vecteurs d'attaque potentiels. Le moins que l'on puisse dire, c'est que ce n'est pas une partie de plaisir.
Il s'agit pourtant d'une réalité à laquelle de nombreuses organisations seront confrontées à l'avenir et à laquelle il faut absolument se préparer au moyen d'un plan complet de réponse aux incidents de cybersécurité. Le problème, cependant, c'est que c'est sur cette stratégie réactive que se concentre une grande partie du temps, des ressources et des efforts, au lieu de travailler à prévenir ou à réduire la gravité potentielle des cyberattaques en amont. C'est un peu comme appeler une ambulance pour une crise cardiaque présumée ; les résultats sont souvent beaucoup moins positifs - pour ne pas dire plus dommageables - que si des mesures sanitaires préventives avaient été mises en place avant qu'il ne soit trop tard.
À cette fin, à quoi ressemble un plan de prévention ? Voyons comment les professionnels de la sécurité peuvent utiliser tous les outils à leur disposition pour atténuer les cyberrisques qui ne cessent d'augmenter, chaque jour :
Comprendre l'ampleur du travail à accomplir
Cela semble évident, mais le "bon" plan pour atténuer les cyberrisques présente des nuances selon les secteurs, et il est important de comprendre ce qui est nécessaire en amont pour atteindre le résultat souhaité.
Quels sont les problèmes de sécurité actuels ? Quels sont le temps et les ressources qu'ils requièrent ? Combien d'entre eux sont récurrents ? Ces facteurs sont importants et vous donneront un point de départ fondamental. Tenez compte des rôles à pourvoir, des lacunes dans les outils et de ce qui est nécessaire du point de vue de l'expertise et des outils pour sécuriser les points finaux et réduire la surface d'attaque, tout en évitant d'autres domaines de risque potentiel.
Un rapport récent a révélé que onze secteurs d'activité ont constaté une vulnérabilité grave, dans au moins la moitié de leurs applications, chaque jour au cours de l'année écoulée. En particulier, les secteurs des services publics, de l'administration publique et des services professionnels ont mis en moyenne 288 jours pour corriger les vulnérabilités connues. C'est incroyablement lent, ce qui laisse à un attaquant plus de temps qu'il n'en faut pour causer de graves dommages si ces vulnérabilités sont découvertes avant qu'un correctif ne puisse être appliqué. Cette situation, associée au fait que la probabilité que les organisations subissent une violation de données approche les 30 %, nous rappelle que la réaction aux incidents ne suffit pas et que les enjeux sont tout simplement trop importants pour se préparer à l'impact d'une cyberattaque à grande échelle et espérer que tout ira pour le mieux.
Préparez-vous à obtenir l'adhésion au changement culturel
Bousculer le statu quo a tendance à faire froncer les sourcils, mais la vérité est que les programmes de sécurité devraient être dans un état constant d'amélioration continue. Chaque composante doit rester pertinente et les nouveaux développements doivent être évalués et pris en compte.
Mettre l'accent sur une approche préventive - par opposition à une approche réactive - peut ne pas être largement compris en dehors de l'équipe de sécurité, en particulier si un incident de sécurité important et grave n'a pas eu lieu. Cela peut être perçu comme quelque chose qui n'est pas cassé et qui n'a pas besoin d'être réparé. Dans ce cas, il est essentiel d'obtenir l'adhésion de la direction. Voici quelques-uns des points les plus pertinents à prendre en compte :
- Les économies de temps et d'argent réalisées grâce à des mesures préventives, telles que la formation basée sur les rôles et les outils connexes, par rapport au coût potentiel d'un incident critique.
- Comment la recherche et la correction des vulnérabilités permettent désormais de respecter les délais de publication, avec moins d'interruptions de la part de l'équipe chargée de la sécurité.
- Pourquoi la préparation et l'anticipation des risques de sécurité potentiels, depuis l'équipe de développement jusqu'à la publication, permettent de gagner du temps (sans parler de l'argent) dans l'ensemble. Pour mettre les choses en perspective, les vulnérabilités tardives découvertes lors de la phase de test - ou pire, après la production - peuvent augmenter les coûts jusqu'à 3000 % en moyenne.
Il est essentiel que les changements culturels proposés soient alignés sur les objectifs de l'entreprise, même s'ils semblent inconfortables au départ.
La sensibilisation à la sécurité est une chose, les compétences en matière de sécurité sont tout
En tant qu'industrie, nous parlons fréquemment de l'importance de la sensibilisation à la sécurité, et il s'agit d'un élément de plus en plus critique pour chaque membre du personnel d'une organisation. Cependant, il ne suffit pas de se contenter d'un discours et d'une formation passive, en particulier pour les personnes occupant des postes techniques.
En d'autres termes, toute personne qui touche au code présente un risque potentiel pour la sécurité si elle ne possède pas les compétences nécessaires pour coder de manière sécurisée. Une sensibilisation générale aux paramètres de sécurité de base est un bon début, mais sans une connaissance contextuelle des bons modèles de codage sécurisé, les mauvaises habitudes prévalent, et c'est sur ce manque de compétences en matière de développement de qualité que les attaquants s'appuient pour faire leur sale boulot.
Ne faites pas une croix sur vos développeurs.
Bien que l'attitude évolue, de nombreuses organisations sont structurées de telle sorte que les développeurs sont rarement pris en compte dans les plans d'atténuation de la sécurité. Certains secteurs, comme la banque et la finance, ont des exigences strictes en matière de conformité et de réglementation qui se traduisent par des pratiques et des formations renforcées en matière de sécurité pour l'ensemble du personnel. Bien qu'elles soient certainement en avance sur d'autres secteurs, presque toutes les organisations de la planète pourraient bénéficier d'une armée interne de développeurs sensibilisés à la sécurité, tous dotés d'une capacité de base à détecter les bogues de sécurité les plus courants avant qu'ils ne soient commis. La plupart d'entre elles sont loin d'avoir réalisé cette pièce essentielle du puzzle du programme de sécurité - et c'est nécessaire si nous avons un jour l'espoir de sécuriser le déluge de code qui augmente en volume d'une année sur l'autre.
La sécurité préventive devrait commencer dès que les doigts touchent le clavier pour créer un logiciel, mais on ne peut pas attendre des développeurs qu'ils comblent seuls le fossé des compétences en matière de sécurité. Ils ont besoin des bons outils et d'une orientation contextuelle pour atteindre un niveau plus élevé de qualité du code, et les meilleurs résultats sont toujours obtenus lorsque cela fait partie de leur travail quotidien, et non pas d'une réflexion après coup qui est sporadiquement mise en œuvre lorsque les exigences de conformité annuelles se présentent.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
La puissance d'OpenText Fortify + Secure Code Warrior
OpenText Fortify et Secure Code Warrior unissent leurs forces pour aider les entreprises à réduire les risques, à transformer les développeurs en champions de la sécurité et à renforcer la confiance des clients. Pour en savoir plus, cliquez ici.
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
Ressources pour vous aider à démarrer
10 prédictions clés : Secure Code Warrior sur l'influence de l'IA et de la conception sécurisée en 2025
Les organisations sont confrontées à des décisions difficiles sur l'utilisation de l'IA pour soutenir la productivité à long terme, la durabilité et le retour sur investissement de la sécurité. Au cours des dernières années, il nous est apparu clairement que l'IA ne remplacera jamais complètement le rôle du développeur. Des partenariats IA + développeurs aux pressions croissantes (et à la confusion) autour des attentes en matière de conception sécurisée, examinons de plus près ce à quoi nous pouvons nous attendre au cours de l'année prochaine.
OWASP Top 10 pour les applications LLM : Ce qui est nouveau, ce qui a changé et comment rester en sécurité
Gardez une longueur d'avance dans la sécurisation des applications LLM avec les dernières mises à jour du Top 10 de l'OWASP. Découvrez ce qui est nouveau, ce qui a changé et comment Secure Code Warrior vous fournit des ressources d'apprentissage actualisées pour atténuer les risques dans l'IA générative.
La note de confiance révèle la valeur des initiatives d'amélioration de la sécurité par la conception
Nos recherches ont montré que la formation au code sécurisé fonctionne. Le Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité à réduire les vulnérabilités et la manière de rendre l'initiative encore plus efficace.
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.