Votre programme de sécurité est-il axé sur la réponse aux incidents ? Vous faites fausse route.
Une version de cet article a été publiée dans le cadre d'un article de fond pour le Conseil technologique de Forbes. Elle a été mise à jour et publiée ici.
Il n'y a rien de tel que de se trouver du mauvais côté d'une violation de données. Au début, il peut y avoir du déni, puis de la panique. Une fois que tous les jurons ont été prononcés et que le RSSI a dû organiser une conférence téléphonique avec les relations publiques à 2 heures du matin, il est temps de se retrousser les manches et de se mettre au travail pour sécuriser les terminaux et les systèmes, et éliminer rapidement tous les vecteurs d'attaque potentiels. Le moins que l'on puisse dire, c'est que ce n'est pas une partie de plaisir.
Il s'agit pourtant d'une réalité à laquelle de nombreuses organisations seront confrontées à l'avenir et à laquelle il faut absolument se préparer au moyen d'un plan complet de réponse aux incidents de cybersécurité. Le problème, cependant, c'est que c'est sur cette stratégie réactive que se concentre une grande partie du temps, des ressources et des efforts, au lieu de travailler à prévenir ou à réduire la gravité potentielle des cyberattaques en amont. C'est un peu comme appeler une ambulance pour une crise cardiaque présumée ; les résultats sont souvent beaucoup moins positifs - pour ne pas dire plus dommageables - que si des mesures sanitaires préventives avaient été mises en place avant qu'il ne soit trop tard.
À cette fin, à quoi ressemble un plan de prévention ? Voyons comment les professionnels de la sécurité peuvent utiliser tous les outils à leur disposition pour atténuer les cyberrisques qui ne cessent d'augmenter, chaque jour :
Comprendre l'ampleur du travail à accomplir
Cela semble évident, mais le "bon" plan pour atténuer les cyberrisques présente des nuances selon les secteurs, et il est important de comprendre ce qui est nécessaire en amont pour atteindre le résultat souhaité.
Quels sont les problèmes de sécurité actuels ? Quels sont le temps et les ressources qu'ils requièrent ? Combien d'entre eux sont récurrents ? Ces facteurs sont importants et vous donneront un point de départ fondamental. Tenez compte des rôles à pourvoir, des lacunes dans les outils et de ce qui est nécessaire du point de vue de l'expertise et des outils pour sécuriser les points finaux et réduire la surface d'attaque, tout en évitant d'autres domaines de risque potentiel.
Un rapport récent a révélé que onze secteurs d'activité ont constaté une vulnérabilité grave, dans au moins la moitié de leurs applications, chaque jour au cours de l'année écoulée. En particulier, les secteurs des services publics, de l'administration publique et des services professionnels ont mis en moyenne 288 jours pour corriger les vulnérabilités connues. C'est incroyablement lent, ce qui laisse à un attaquant plus de temps qu'il n'en faut pour causer de graves dommages si ces vulnérabilités sont découvertes avant qu'un correctif ne puisse être appliqué. Cette situation, associée au fait que la probabilité que les organisations subissent une violation de données approche les 30 %, nous rappelle que la réaction aux incidents ne suffit pas et que les enjeux sont tout simplement trop importants pour se préparer à l'impact d'une cyberattaque à grande échelle et espérer que tout ira pour le mieux.
Préparez-vous à obtenir l'adhésion au changement culturel
Bousculer le statu quo a tendance à faire froncer les sourcils, mais la vérité est que les programmes de sécurité devraient être dans un état constant d'amélioration continue. Chaque composante doit rester pertinente et les nouveaux développements doivent être évalués et pris en compte.
Mettre l'accent sur une approche préventive - par opposition à une approche réactive - peut ne pas être largement compris en dehors de l'équipe de sécurité, en particulier si un incident de sécurité important et grave n'a pas eu lieu. Cela peut être perçu comme quelque chose qui n'est pas cassé et qui n'a pas besoin d'être réparé. Dans ce cas, il est essentiel d'obtenir l'adhésion de la direction. Voici quelques-uns des points les plus pertinents à prendre en compte :
- Les économies de temps et d'argent réalisées grâce à des mesures préventives, telles que la formation basée sur les rôles et les outils connexes, par rapport au coût potentiel d'un incident critique.
- Comment la recherche et la correction des vulnérabilités permettent désormais de respecter les délais de publication, avec moins d'interruptions de la part de l'équipe chargée de la sécurité.
- Pourquoi la préparation et l'anticipation des risques de sécurité potentiels, depuis l'équipe de développement jusqu'à la publication, permettent de gagner du temps (sans parler de l'argent) dans l'ensemble. Pour mettre les choses en perspective, les vulnérabilités tardives découvertes lors de la phase de test - ou pire, après la production - peuvent augmenter les coûts jusqu'à 3000 % en moyenne.
Il est essentiel que les changements culturels proposés soient alignés sur les objectifs de l'entreprise, même s'ils semblent inconfortables au départ.
La sensibilisation à la sécurité est une chose, les compétences en matière de sécurité sont tout
En tant qu'industrie, nous parlons fréquemment de l'importance de la sensibilisation à la sécurité, et il s'agit d'un élément de plus en plus critique pour chaque membre du personnel d'une organisation. Cependant, il ne suffit pas de se contenter d'un discours et d'une formation passive, en particulier pour les personnes occupant des postes techniques.
En d'autres termes, toute personne qui touche au code présente un risque potentiel pour la sécurité si elle ne possède pas les compétences nécessaires pour coder de manière sécurisée. Une sensibilisation générale aux paramètres de sécurité de base est un bon début, mais sans une connaissance contextuelle des bons modèles de codage sécurisé, les mauvaises habitudes prévalent, et c'est sur ce manque de compétences en matière de développement de qualité que les attaquants s'appuient pour faire leur sale boulot.
Ne faites pas une croix sur vos développeurs.
Bien que l'attitude évolue, de nombreuses organisations sont structurées de telle sorte que les développeurs sont rarement pris en compte dans les plans d'atténuation de la sécurité. Certains secteurs, comme la banque et la finance, ont des exigences strictes en matière de conformité et de réglementation qui se traduisent par des pratiques et des formations renforcées en matière de sécurité pour l'ensemble du personnel. Bien qu'elles soient certainement en avance sur d'autres secteurs, presque toutes les organisations de la planète pourraient bénéficier d'une armée interne de développeurs sensibilisés à la sécurité, tous dotés d'une capacité de base à détecter les bogues de sécurité les plus courants avant qu'ils ne soient commis. La plupart d'entre elles sont loin d'avoir réalisé cette pièce essentielle du puzzle du programme de sécurité - et c'est nécessaire si nous avons un jour l'espoir de sécuriser le déluge de code qui augmente en volume d'une année sur l'autre.
La sécurité préventive devrait commencer dès que les doigts touchent le clavier pour créer un logiciel, mais on ne peut pas attendre des développeurs qu'ils comblent seuls le fossé des compétences en matière de sécurité. Ils ont besoin des bons outils et d'une orientation contextuelle pour atteindre un niveau plus élevé de qualité du code, et les meilleurs résultats sont toujours obtenus lorsque cela fait partie de leur travail quotidien, et non pas d'une réflexion après coup qui est sporadiquement mise en œuvre lorsque les exigences de conformité annuelles se présentent.
L'accent mis sur une approche préventive - par opposition à une approche réactive - peut ne pas être largement compris en dehors de l'équipe de sécurité, en particulier si un incident de sécurité important et grave n'a pas eu lieu.
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationDirecteur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été publiée dans le cadre d'un article de fond pour le Conseil technologique de Forbes. Elle a été mise à jour et publiée ici.
Il n'y a rien de tel que de se trouver du mauvais côté d'une violation de données. Au début, il peut y avoir du déni, puis de la panique. Une fois que tous les jurons ont été prononcés et que le RSSI a dû organiser une conférence téléphonique avec les relations publiques à 2 heures du matin, il est temps de se retrousser les manches et de se mettre au travail pour sécuriser les terminaux et les systèmes, et éliminer rapidement tous les vecteurs d'attaque potentiels. Le moins que l'on puisse dire, c'est que ce n'est pas une partie de plaisir.
Il s'agit pourtant d'une réalité à laquelle de nombreuses organisations seront confrontées à l'avenir et à laquelle il faut absolument se préparer au moyen d'un plan complet de réponse aux incidents de cybersécurité. Le problème, cependant, c'est que c'est sur cette stratégie réactive que se concentre une grande partie du temps, des ressources et des efforts, au lieu de travailler à prévenir ou à réduire la gravité potentielle des cyberattaques en amont. C'est un peu comme appeler une ambulance pour une crise cardiaque présumée ; les résultats sont souvent beaucoup moins positifs - pour ne pas dire plus dommageables - que si des mesures sanitaires préventives avaient été mises en place avant qu'il ne soit trop tard.
À cette fin, à quoi ressemble un plan de prévention ? Voyons comment les professionnels de la sécurité peuvent utiliser tous les outils à leur disposition pour atténuer les cyberrisques qui ne cessent d'augmenter, chaque jour :
Comprendre l'ampleur du travail à accomplir
Cela semble évident, mais le "bon" plan pour atténuer les cyberrisques présente des nuances selon les secteurs, et il est important de comprendre ce qui est nécessaire en amont pour atteindre le résultat souhaité.
Quels sont les problèmes de sécurité actuels ? Quels sont le temps et les ressources qu'ils requièrent ? Combien d'entre eux sont récurrents ? Ces facteurs sont importants et vous donneront un point de départ fondamental. Tenez compte des rôles à pourvoir, des lacunes dans les outils et de ce qui est nécessaire du point de vue de l'expertise et des outils pour sécuriser les points finaux et réduire la surface d'attaque, tout en évitant d'autres domaines de risque potentiel.
Un rapport récent a révélé que onze secteurs d'activité ont constaté une vulnérabilité grave, dans au moins la moitié de leurs applications, chaque jour au cours de l'année écoulée. En particulier, les secteurs des services publics, de l'administration publique et des services professionnels ont mis en moyenne 288 jours pour corriger les vulnérabilités connues. C'est incroyablement lent, ce qui laisse à un attaquant plus de temps qu'il n'en faut pour causer de graves dommages si ces vulnérabilités sont découvertes avant qu'un correctif ne puisse être appliqué. Cette situation, associée au fait que la probabilité que les organisations subissent une violation de données approche les 30 %, nous rappelle que la réaction aux incidents ne suffit pas et que les enjeux sont tout simplement trop importants pour se préparer à l'impact d'une cyberattaque à grande échelle et espérer que tout ira pour le mieux.
Préparez-vous à obtenir l'adhésion au changement culturel
Bousculer le statu quo a tendance à faire froncer les sourcils, mais la vérité est que les programmes de sécurité devraient être dans un état constant d'amélioration continue. Chaque composante doit rester pertinente et les nouveaux développements doivent être évalués et pris en compte.
Mettre l'accent sur une approche préventive - par opposition à une approche réactive - peut ne pas être largement compris en dehors de l'équipe de sécurité, en particulier si un incident de sécurité important et grave n'a pas eu lieu. Cela peut être perçu comme quelque chose qui n'est pas cassé et qui n'a pas besoin d'être réparé. Dans ce cas, il est essentiel d'obtenir l'adhésion de la direction. Voici quelques-uns des points les plus pertinents à prendre en compte :
- Les économies de temps et d'argent réalisées grâce à des mesures préventives, telles que la formation basée sur les rôles et les outils connexes, par rapport au coût potentiel d'un incident critique.
- Comment la recherche et la correction des vulnérabilités permettent désormais de respecter les délais de publication, avec moins d'interruptions de la part de l'équipe chargée de la sécurité.
- Pourquoi la préparation et l'anticipation des risques de sécurité potentiels, depuis l'équipe de développement jusqu'à la publication, permettent de gagner du temps (sans parler de l'argent) dans l'ensemble. Pour mettre les choses en perspective, les vulnérabilités tardives découvertes lors de la phase de test - ou pire, après la production - peuvent augmenter les coûts jusqu'à 3000 % en moyenne.
Il est essentiel que les changements culturels proposés soient alignés sur les objectifs de l'entreprise, même s'ils semblent inconfortables au départ.
La sensibilisation à la sécurité est une chose, les compétences en matière de sécurité sont tout
En tant qu'industrie, nous parlons fréquemment de l'importance de la sensibilisation à la sécurité, et il s'agit d'un élément de plus en plus critique pour chaque membre du personnel d'une organisation. Cependant, il ne suffit pas de se contenter d'un discours et d'une formation passive, en particulier pour les personnes occupant des postes techniques.
En d'autres termes, toute personne qui touche au code présente un risque potentiel pour la sécurité si elle ne possède pas les compétences nécessaires pour coder de manière sécurisée. Une sensibilisation générale aux paramètres de sécurité de base est un bon début, mais sans une connaissance contextuelle des bons modèles de codage sécurisé, les mauvaises habitudes prévalent, et c'est sur ce manque de compétences en matière de développement de qualité que les attaquants s'appuient pour faire leur sale boulot.
Ne faites pas une croix sur vos développeurs.
Bien que l'attitude évolue, de nombreuses organisations sont structurées de telle sorte que les développeurs sont rarement pris en compte dans les plans d'atténuation de la sécurité. Certains secteurs, comme la banque et la finance, ont des exigences strictes en matière de conformité et de réglementation qui se traduisent par des pratiques et des formations renforcées en matière de sécurité pour l'ensemble du personnel. Bien qu'elles soient certainement en avance sur d'autres secteurs, presque toutes les organisations de la planète pourraient bénéficier d'une armée interne de développeurs sensibilisés à la sécurité, tous dotés d'une capacité de base à détecter les bogues de sécurité les plus courants avant qu'ils ne soient commis. La plupart d'entre elles sont loin d'avoir réalisé cette pièce essentielle du puzzle du programme de sécurité - et c'est nécessaire si nous avons un jour l'espoir de sécuriser le déluge de code qui augmente en volume d'une année sur l'autre.
La sécurité préventive devrait commencer dès que les doigts touchent le clavier pour créer un logiciel, mais on ne peut pas attendre des développeurs qu'ils comblent seuls le fossé des compétences en matière de sécurité. Ils ont besoin des bons outils et d'une orientation contextuelle pour atteindre un niveau plus élevé de qualité du code, et les meilleurs résultats sont toujours obtenus lorsque cela fait partie de leur travail quotidien, et non pas d'une réflexion après coup qui est sporadiquement mise en œuvre lorsque les exigences de conformité annuelles se présentent.
Une version de cet article a été publiée dans le cadre d'un article de fond pour le Conseil technologique de Forbes. Elle a été mise à jour et publiée ici.
Il n'y a rien de tel que de se trouver du mauvais côté d'une violation de données. Au début, il peut y avoir du déni, puis de la panique. Une fois que tous les jurons ont été prononcés et que le RSSI a dû organiser une conférence téléphonique avec les relations publiques à 2 heures du matin, il est temps de se retrousser les manches et de se mettre au travail pour sécuriser les terminaux et les systèmes, et éliminer rapidement tous les vecteurs d'attaque potentiels. Le moins que l'on puisse dire, c'est que ce n'est pas une partie de plaisir.
Il s'agit pourtant d'une réalité à laquelle de nombreuses organisations seront confrontées à l'avenir et à laquelle il faut absolument se préparer au moyen d'un plan complet de réponse aux incidents de cybersécurité. Le problème, cependant, c'est que c'est sur cette stratégie réactive que se concentre une grande partie du temps, des ressources et des efforts, au lieu de travailler à prévenir ou à réduire la gravité potentielle des cyberattaques en amont. C'est un peu comme appeler une ambulance pour une crise cardiaque présumée ; les résultats sont souvent beaucoup moins positifs - pour ne pas dire plus dommageables - que si des mesures sanitaires préventives avaient été mises en place avant qu'il ne soit trop tard.
À cette fin, à quoi ressemble un plan de prévention ? Voyons comment les professionnels de la sécurité peuvent utiliser tous les outils à leur disposition pour atténuer les cyberrisques qui ne cessent d'augmenter, chaque jour :
Comprendre l'ampleur du travail à accomplir
Cela semble évident, mais le "bon" plan pour atténuer les cyberrisques présente des nuances selon les secteurs, et il est important de comprendre ce qui est nécessaire en amont pour atteindre le résultat souhaité.
Quels sont les problèmes de sécurité actuels ? Quels sont le temps et les ressources qu'ils requièrent ? Combien d'entre eux sont récurrents ? Ces facteurs sont importants et vous donneront un point de départ fondamental. Tenez compte des rôles à pourvoir, des lacunes dans les outils et de ce qui est nécessaire du point de vue de l'expertise et des outils pour sécuriser les points finaux et réduire la surface d'attaque, tout en évitant d'autres domaines de risque potentiel.
Un rapport récent a révélé que onze secteurs d'activité ont constaté une vulnérabilité grave, dans au moins la moitié de leurs applications, chaque jour au cours de l'année écoulée. En particulier, les secteurs des services publics, de l'administration publique et des services professionnels ont mis en moyenne 288 jours pour corriger les vulnérabilités connues. C'est incroyablement lent, ce qui laisse à un attaquant plus de temps qu'il n'en faut pour causer de graves dommages si ces vulnérabilités sont découvertes avant qu'un correctif ne puisse être appliqué. Cette situation, associée au fait que la probabilité que les organisations subissent une violation de données approche les 30 %, nous rappelle que la réaction aux incidents ne suffit pas et que les enjeux sont tout simplement trop importants pour se préparer à l'impact d'une cyberattaque à grande échelle et espérer que tout ira pour le mieux.
Préparez-vous à obtenir l'adhésion au changement culturel
Bousculer le statu quo a tendance à faire froncer les sourcils, mais la vérité est que les programmes de sécurité devraient être dans un état constant d'amélioration continue. Chaque composante doit rester pertinente et les nouveaux développements doivent être évalués et pris en compte.
Mettre l'accent sur une approche préventive - par opposition à une approche réactive - peut ne pas être largement compris en dehors de l'équipe de sécurité, en particulier si un incident de sécurité important et grave n'a pas eu lieu. Cela peut être perçu comme quelque chose qui n'est pas cassé et qui n'a pas besoin d'être réparé. Dans ce cas, il est essentiel d'obtenir l'adhésion de la direction. Voici quelques-uns des points les plus pertinents à prendre en compte :
- Les économies de temps et d'argent réalisées grâce à des mesures préventives, telles que la formation basée sur les rôles et les outils connexes, par rapport au coût potentiel d'un incident critique.
- Comment la recherche et la correction des vulnérabilités permettent désormais de respecter les délais de publication, avec moins d'interruptions de la part de l'équipe chargée de la sécurité.
- Pourquoi la préparation et l'anticipation des risques de sécurité potentiels, depuis l'équipe de développement jusqu'à la publication, permettent de gagner du temps (sans parler de l'argent) dans l'ensemble. Pour mettre les choses en perspective, les vulnérabilités tardives découvertes lors de la phase de test - ou pire, après la production - peuvent augmenter les coûts jusqu'à 3000 % en moyenne.
Il est essentiel que les changements culturels proposés soient alignés sur les objectifs de l'entreprise, même s'ils semblent inconfortables au départ.
La sensibilisation à la sécurité est une chose, les compétences en matière de sécurité sont tout
En tant qu'industrie, nous parlons fréquemment de l'importance de la sensibilisation à la sécurité, et il s'agit d'un élément de plus en plus critique pour chaque membre du personnel d'une organisation. Cependant, il ne suffit pas de se contenter d'un discours et d'une formation passive, en particulier pour les personnes occupant des postes techniques.
En d'autres termes, toute personne qui touche au code présente un risque potentiel pour la sécurité si elle ne possède pas les compétences nécessaires pour coder de manière sécurisée. Une sensibilisation générale aux paramètres de sécurité de base est un bon début, mais sans une connaissance contextuelle des bons modèles de codage sécurisé, les mauvaises habitudes prévalent, et c'est sur ce manque de compétences en matière de développement de qualité que les attaquants s'appuient pour faire leur sale boulot.
Ne faites pas une croix sur vos développeurs.
Bien que l'attitude évolue, de nombreuses organisations sont structurées de telle sorte que les développeurs sont rarement pris en compte dans les plans d'atténuation de la sécurité. Certains secteurs, comme la banque et la finance, ont des exigences strictes en matière de conformité et de réglementation qui se traduisent par des pratiques et des formations renforcées en matière de sécurité pour l'ensemble du personnel. Bien qu'elles soient certainement en avance sur d'autres secteurs, presque toutes les organisations de la planète pourraient bénéficier d'une armée interne de développeurs sensibilisés à la sécurité, tous dotés d'une capacité de base à détecter les bogues de sécurité les plus courants avant qu'ils ne soient commis. La plupart d'entre elles sont loin d'avoir réalisé cette pièce essentielle du puzzle du programme de sécurité - et c'est nécessaire si nous avons un jour l'espoir de sécuriser le déluge de code qui augmente en volume d'une année sur l'autre.
La sécurité préventive devrait commencer dès que les doigts touchent le clavier pour créer un logiciel, mais on ne peut pas attendre des développeurs qu'ils comblent seuls le fossé des compétences en matière de sécurité. Ils ont besoin des bons outils et d'une orientation contextuelle pour atteindre un niveau plus élevé de qualité du code, et les meilleurs résultats sont toujours obtenus lorsque cela fait partie de leur travail quotidien, et non pas d'une réflexion après coup qui est sporadiquement mise en œuvre lorsque les exigences de conformité annuelles se présentent.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationDirecteur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été publiée dans le cadre d'un article de fond pour le Conseil technologique de Forbes. Elle a été mise à jour et publiée ici.
Il n'y a rien de tel que de se trouver du mauvais côté d'une violation de données. Au début, il peut y avoir du déni, puis de la panique. Une fois que tous les jurons ont été prononcés et que le RSSI a dû organiser une conférence téléphonique avec les relations publiques à 2 heures du matin, il est temps de se retrousser les manches et de se mettre au travail pour sécuriser les terminaux et les systèmes, et éliminer rapidement tous les vecteurs d'attaque potentiels. Le moins que l'on puisse dire, c'est que ce n'est pas une partie de plaisir.
Il s'agit pourtant d'une réalité à laquelle de nombreuses organisations seront confrontées à l'avenir et à laquelle il faut absolument se préparer au moyen d'un plan complet de réponse aux incidents de cybersécurité. Le problème, cependant, c'est que c'est sur cette stratégie réactive que se concentre une grande partie du temps, des ressources et des efforts, au lieu de travailler à prévenir ou à réduire la gravité potentielle des cyberattaques en amont. C'est un peu comme appeler une ambulance pour une crise cardiaque présumée ; les résultats sont souvent beaucoup moins positifs - pour ne pas dire plus dommageables - que si des mesures sanitaires préventives avaient été mises en place avant qu'il ne soit trop tard.
À cette fin, à quoi ressemble un plan de prévention ? Voyons comment les professionnels de la sécurité peuvent utiliser tous les outils à leur disposition pour atténuer les cyberrisques qui ne cessent d'augmenter, chaque jour :
Comprendre l'ampleur du travail à accomplir
Cela semble évident, mais le "bon" plan pour atténuer les cyberrisques présente des nuances selon les secteurs, et il est important de comprendre ce qui est nécessaire en amont pour atteindre le résultat souhaité.
Quels sont les problèmes de sécurité actuels ? Quels sont le temps et les ressources qu'ils requièrent ? Combien d'entre eux sont récurrents ? Ces facteurs sont importants et vous donneront un point de départ fondamental. Tenez compte des rôles à pourvoir, des lacunes dans les outils et de ce qui est nécessaire du point de vue de l'expertise et des outils pour sécuriser les points finaux et réduire la surface d'attaque, tout en évitant d'autres domaines de risque potentiel.
Un rapport récent a révélé que onze secteurs d'activité ont constaté une vulnérabilité grave, dans au moins la moitié de leurs applications, chaque jour au cours de l'année écoulée. En particulier, les secteurs des services publics, de l'administration publique et des services professionnels ont mis en moyenne 288 jours pour corriger les vulnérabilités connues. C'est incroyablement lent, ce qui laisse à un attaquant plus de temps qu'il n'en faut pour causer de graves dommages si ces vulnérabilités sont découvertes avant qu'un correctif ne puisse être appliqué. Cette situation, associée au fait que la probabilité que les organisations subissent une violation de données approche les 30 %, nous rappelle que la réaction aux incidents ne suffit pas et que les enjeux sont tout simplement trop importants pour se préparer à l'impact d'une cyberattaque à grande échelle et espérer que tout ira pour le mieux.
Préparez-vous à obtenir l'adhésion au changement culturel
Bousculer le statu quo a tendance à faire froncer les sourcils, mais la vérité est que les programmes de sécurité devraient être dans un état constant d'amélioration continue. Chaque composante doit rester pertinente et les nouveaux développements doivent être évalués et pris en compte.
Mettre l'accent sur une approche préventive - par opposition à une approche réactive - peut ne pas être largement compris en dehors de l'équipe de sécurité, en particulier si un incident de sécurité important et grave n'a pas eu lieu. Cela peut être perçu comme quelque chose qui n'est pas cassé et qui n'a pas besoin d'être réparé. Dans ce cas, il est essentiel d'obtenir l'adhésion de la direction. Voici quelques-uns des points les plus pertinents à prendre en compte :
- Les économies de temps et d'argent réalisées grâce à des mesures préventives, telles que la formation basée sur les rôles et les outils connexes, par rapport au coût potentiel d'un incident critique.
- Comment la recherche et la correction des vulnérabilités permettent désormais de respecter les délais de publication, avec moins d'interruptions de la part de l'équipe chargée de la sécurité.
- Pourquoi la préparation et l'anticipation des risques de sécurité potentiels, depuis l'équipe de développement jusqu'à la publication, permettent de gagner du temps (sans parler de l'argent) dans l'ensemble. Pour mettre les choses en perspective, les vulnérabilités tardives découvertes lors de la phase de test - ou pire, après la production - peuvent augmenter les coûts jusqu'à 3000 % en moyenne.
Il est essentiel que les changements culturels proposés soient alignés sur les objectifs de l'entreprise, même s'ils semblent inconfortables au départ.
La sensibilisation à la sécurité est une chose, les compétences en matière de sécurité sont tout
En tant qu'industrie, nous parlons fréquemment de l'importance de la sensibilisation à la sécurité, et il s'agit d'un élément de plus en plus critique pour chaque membre du personnel d'une organisation. Cependant, il ne suffit pas de se contenter d'un discours et d'une formation passive, en particulier pour les personnes occupant des postes techniques.
En d'autres termes, toute personne qui touche au code présente un risque potentiel pour la sécurité si elle ne possède pas les compétences nécessaires pour coder de manière sécurisée. Une sensibilisation générale aux paramètres de sécurité de base est un bon début, mais sans une connaissance contextuelle des bons modèles de codage sécurisé, les mauvaises habitudes prévalent, et c'est sur ce manque de compétences en matière de développement de qualité que les attaquants s'appuient pour faire leur sale boulot.
Ne faites pas une croix sur vos développeurs.
Bien que l'attitude évolue, de nombreuses organisations sont structurées de telle sorte que les développeurs sont rarement pris en compte dans les plans d'atténuation de la sécurité. Certains secteurs, comme la banque et la finance, ont des exigences strictes en matière de conformité et de réglementation qui se traduisent par des pratiques et des formations renforcées en matière de sécurité pour l'ensemble du personnel. Bien qu'elles soient certainement en avance sur d'autres secteurs, presque toutes les organisations de la planète pourraient bénéficier d'une armée interne de développeurs sensibilisés à la sécurité, tous dotés d'une capacité de base à détecter les bogues de sécurité les plus courants avant qu'ils ne soient commis. La plupart d'entre elles sont loin d'avoir réalisé cette pièce essentielle du puzzle du programme de sécurité - et c'est nécessaire si nous avons un jour l'espoir de sécuriser le déluge de code qui augmente en volume d'une année sur l'autre.
La sécurité préventive devrait commencer dès que les doigts touchent le clavier pour créer un logiciel, mais on ne peut pas attendre des développeurs qu'ils comblent seuls le fossé des compétences en matière de sécurité. Ils ont besoin des bons outils et d'une orientation contextuelle pour atteindre un niveau plus élevé de qualité du code, et les meilleurs résultats sont toujours obtenus lorsque cela fait partie de leur travail quotidien, et non pas d'une réflexion après coup qui est sporadiquement mise en œuvre lorsque les exigences de conformité annuelles se présentent.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.
Plongée en profondeur : Naviguer dans la vulnérabilité critique de CUPS dans les systèmes GNU-Linux
Découvrez les derniers défis de sécurité auxquels sont confrontés les utilisateurs de Linux en explorant les récentes vulnérabilités de haute sévérité dans le système d'impression commun d'UNIX (CUPS). Apprenez comment ces problèmes peuvent conduire à une potentielle exécution de code à distance (RCE) et ce que vous pouvez faire pour protéger vos systèmes.