Votre programme de sécurité est-il prêt pour le plan stratégique de cybersécurité de la CISA ?
Une version de cet article a été publiée dans Forbes. Il a été mis à jour et publié ici.
Leplan stratégique pour la cybersécurité propose des changements majeurs dans la manière dont la plupart des organisations abordent la cybersécurité, et les développeurs sont dans une position unique pour aider à atteindre ces nouveaux objectifs.
L'Agence pour la cybersécurité et la sécurité des infrastructures(CISA) a non seulement joué un rôle déterminant dans la protection des infrastructures critiques et des réseaux informatiques des États-Unis depuis sa création en 2018, mais son influence et son expertise se sont également répercutées à l'échelle mondiale. Les conseils exhaustifs de l'agence, ses avis de sécurité, ses rapports sur les vulnérabilités et ses programmes de cybersécurité ont établi une référence mondiale pour les meilleures pratiques exploitables, soulignant l'importance du plan stratégique CISA 2023-2025 récemment publié dans le domaine de la cybersécurité mondiale.
L'influence et les réalisations de la CISA sont allées bien au-delà de ce que la plupart des agences gouvernementales ont pu accomplir, surtout si l'on considère qu'elle n'existe que depuis quelques années. Cela s'explique en grande partie par la croissance exponentielle du paysage des menaces et par le fait que les attaquants deviennent de plus en plus habiles dans leurs tentatives d'intrusion et d'exploitation. La CISA joue un rôle de premier plan dans la lutte contre les cybercriminels et autres acteurs dits "menaçants", en suivant méthodiquement les tendances et en prodiguant des conseils sur les meilleures pratiques en matière de cybersécurité.
Toutefois, malgré tous les conseils et orientations utiles de l'agence, celle-ci n'a jamais publié de plan stratégique global destiné à définir l'orientation générale des efforts en matière de cybersécurité au cours des prochaines années. Il ne s'agit pas d'un plan comme les autres , mais d' une étape importante que de nombreuses organisations voudront étudier et, à terme, mettre en œuvre. Le fait que le plan appelle à des changements majeurs dans la manière d'aborder la cybersécurité pourrait rendre difficile le suivi de ces orientations, bien que la communauté des développeurs soit dans une position unique pour aider si elle bénéficie du soutien, des outils et des parcours de montée en compétences adéquats.
Les meilleures pratiques mondiales en matière de cybersécurité sont en train de changer
À première vue, il serait facile de percevoir un certain niveau de frustration dans le plan stratégique de la CISA, mais la CISA reconnaît simplement le fait que si nous continuons à faire les mêmes choses qu'aujourd'hui, nous continuerons à voir les mêmes résultats. Pour que la cybersécurité s'améliore, il faudra des changements majeurs dans tous les domaines, y compris de la part des entreprises qui fabriquent les logiciels et les applications utilisés aujourd'hui.
Pointer du doigt les logiciels, du moins en partie, est un concept qui a été introduit précédemment. En fait, la stratégie de sécurité nationale des États-Unis indique spécifiquement que "la mauvaise sécurité des logiciels augmente considérablement le risque systémique dans l'ensemble de l'écosystème numérique". Le plan stratégique de la CISA définit une nouvelle stratégie pour aborder et résoudre ce problème.
Le changement le plus important en matière de cybersécurité préconisé par la CISA consiste à inciter les concepteurs de logiciels à livrer des produits sécurisés. Si les meilleures pratiques en matière de codage sécurisé sont établies et mises en place, il y aura beaucoup moins de vulnérabilités, en particulier des vulnérabilités majeures, cachées dans les logiciels pour que les attaquants puissent les exploiter. Il est vrai qu'un élément ici ou là pourrait encore être négligé et qu'il faudra faire preuve de diligence pour le trouver et le corriger, mais il s'agit d'une proposition gérable par rapport au statu quo actuel : des centaines de vulnérabilités détectées chaque jour, qui surchargent les défenseurs de la cybersécurité. La CISA indique très clairement dans son plan que les concepteurs de logiciels et d'autres technologies doivent être responsables de la sécurité de leurs propres produits.
"En tant que société, nous ne pouvons plus accepter un modèle dans lequel chaque produit technologique est vulnérable dès sa sortie et où la charge de la sécurité repose sur les organisations et les utilisateurs individuels", indique le plan stratégique de la CISA. "Les technologies doivent être conçues, développées et testées de manière à minimiser le nombre de failles exploitables avant d'être mises sur le marché.
Le plan poursuit en suggérant qu'à terme, cette nouvelle approche pourrait être plus que suggestive, affirmant que la CISA utilisera "tous les leviers disponibles pour influencer les décisions des dirigeants d'organisations en matière de risques". Il laisse également entendre que des lois telles que le Cyber Incident Reporting for Critical Infrastructure Act of 2022(CIRCIA), qui régit actuellement la déclaration des cyberincidents, pourraient servir de modèle pour que la conformité volontaire à ces nouvelles réglementations devienne plus obligatoire. Quoi qu'il en soit, la plupart des entreprises qui fabriquent aujourd'hui des logiciels et d'autres technologies auraient tout intérêt à s'inspirer de ces nouvelles orientations.
Les orientations de la CISA représentent une opportunité clé
Au lieu d'appréhender la perspective d'un plus grand nombre de réglementations potentielles, les organisations devraient plutôt saisir l'occasion d'utiliser le plan stratégique CISA pour s'efforcer d'obtenir des logiciels meilleurs et de meilleure qualité. Il ne s'agit pas seulement d'un appel à la conformité, mais d'une chance pour les développeurs d'affiner leurs compétences et de contribuer à un paysage numérique plus sûr. En fin de compte, la production de logiciels sécurisés profite à tout le monde, y compris à l'entreprise qui les fabrique, aux utilisateurs qui en dépendent et aux personnes dont les données sont consultées ou stockées par ce logiciel ou cette application. Seuls les attaquants se retrouvent les mains vides si le code qui compose la majorité des logiciels et des applications est rendu aussi sûr que possible avant d'être transféré dans un environnement de production.
Compte tenu de cette nouvelle orientation, il est logique que les développeurs d'une organisation, qui écrivent ou génèrent tout le code, constituent un point de départ idéal pour la mise en œuvre d'un codage plus sûr et pour les efforts visant à se conformer au plan CISA. Mais les développeurs ne peuvent y parvenir seuls, sans le soutien du reste de l'organisation, en particulier de la direction. Le fait que les développeurs comprennent les vulnérabilités, la manière d'écrire du code sécurisé et de reconnaître les problèmes bien avant qu'ils n'atteignent un environnement de production sera la clé pour que les organisations assument finalement la responsabilité de l'expédition du code et, comme le dit la CISA, "veillent à ce que les vulnérabilités soient découvertes et corrigées avant que des adversaires puissent les utiliser pour causer des dommages".
Il convient de noter que les développeurs ont besoin d'une formation assez poussée. C'est un véritable défi pour quelqu'un de devenir compétent dans l'écriture de codes sécurisés, et les mesures de conformité "check-the-box" ne sont tout simplement pas à la hauteur de cette tâche. Les développeurs auront besoin de méthodes d'apprentissage agiles de haut niveau qui offrent des résultats pratiques, digestes et continus dans le cadre d'un programme global de sensibilisation à la sécurité afin de s'assurer qu'ils possèdent les compétences nécessaires pour maintenir le niveau de sécurité requis par le nouveau plan CISA.
Idéalement, la formation continue pour se préparer au plan CISA devrait également intégrer un grand nombre de méthodes et de programmes avancés que les développeurs utilisent tous les jours, tels que les principes du développement Agile. Par exemple, dans le développement Agile, le travail est divisé en morceaux gérables, en superposant des sprints dans un cycle continu. Un bon programme de formation qui intègre les pratiques agiles peut aider les développeurs à acquérir rapidement les compétences nécessaires pour soutenir le plan CISA, ce qui leur permet de commencer à en voir les avantages et à coder de manière plus sûre presque immédiatement.
La bonne nouvelle est que la plupart des développeurs soutiennent les pratiques de codage sécurisé et sont désireux d'aider leurs organisations à se conformer à la nouvelle directive CISA. Dans une enquête menée auprès de plus de 1 200 développeurs professionnels travaillant activement dans le monde entier, l'écrasante majorité d'entre eux ont déclaré qu'ils étaient favorables au concept de création de code sécurisé et à l'instauration d'une meilleure culture de la sécurité au sein de leur organisation.
Les développeurs ont besoin de parcours de formation précis et d'un soutien adéquat. Si les organisations sont en mesure de le faire, non seulement leur code deviendra plus sûr, mais elles prendront de l'avance dans leurs efforts pour se conformer aux orientations définies dans le nouveau plan stratégique de la CISA en matière de cybersécurité, voire les surpasser.
Ce changement proposé dans la culture de la sécurité sera un défi, mais c'est aussi une occasion incroyable de changer la nature de la cybersécurité et de créer un monde où la technologie qui améliore notre vie à tous n'est pas également en proie à des attaquants qui tentent constamment de l'exploiter à leurs propres fins néfastes. Nous avons le pouvoir de les arrêter, et le plan CISA montre une voie prometteuse vers cet objectif remarquable et finalement réalisable.
Le plan stratégique pour la cybersécurité prévoit des changements majeurs dans la manière dont la plupart des organisations abordent la cybersécurité, et les développeurs sont dans une position unique pour aider à atteindre ces nouveaux objectifs.
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationDirecteur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été publiée dans Forbes. Il a été mis à jour et publié ici.
Leplan stratégique pour la cybersécurité propose des changements majeurs dans la manière dont la plupart des organisations abordent la cybersécurité, et les développeurs sont dans une position unique pour aider à atteindre ces nouveaux objectifs.
L'Agence pour la cybersécurité et la sécurité des infrastructures(CISA) a non seulement joué un rôle déterminant dans la protection des infrastructures critiques et des réseaux informatiques des États-Unis depuis sa création en 2018, mais son influence et son expertise se sont également répercutées à l'échelle mondiale. Les conseils exhaustifs de l'agence, ses avis de sécurité, ses rapports sur les vulnérabilités et ses programmes de cybersécurité ont établi une référence mondiale pour les meilleures pratiques exploitables, soulignant l'importance du plan stratégique CISA 2023-2025 récemment publié dans le domaine de la cybersécurité mondiale.
L'influence et les réalisations de la CISA sont allées bien au-delà de ce que la plupart des agences gouvernementales ont pu accomplir, surtout si l'on considère qu'elle n'existe que depuis quelques années. Cela s'explique en grande partie par la croissance exponentielle du paysage des menaces et par le fait que les attaquants deviennent de plus en plus habiles dans leurs tentatives d'intrusion et d'exploitation. La CISA joue un rôle de premier plan dans la lutte contre les cybercriminels et autres acteurs dits "menaçants", en suivant méthodiquement les tendances et en prodiguant des conseils sur les meilleures pratiques en matière de cybersécurité.
Toutefois, malgré tous les conseils et orientations utiles de l'agence, celle-ci n'a jamais publié de plan stratégique global destiné à définir l'orientation générale des efforts en matière de cybersécurité au cours des prochaines années. Il ne s'agit pas d'un plan comme les autres , mais d' une étape importante que de nombreuses organisations voudront étudier et, à terme, mettre en œuvre. Le fait que le plan appelle à des changements majeurs dans la manière d'aborder la cybersécurité pourrait rendre difficile le suivi de ces orientations, bien que la communauté des développeurs soit dans une position unique pour aider si elle bénéficie du soutien, des outils et des parcours de montée en compétences adéquats.
Les meilleures pratiques mondiales en matière de cybersécurité sont en train de changer
À première vue, il serait facile de percevoir un certain niveau de frustration dans le plan stratégique de la CISA, mais la CISA reconnaît simplement le fait que si nous continuons à faire les mêmes choses qu'aujourd'hui, nous continuerons à voir les mêmes résultats. Pour que la cybersécurité s'améliore, il faudra des changements majeurs dans tous les domaines, y compris de la part des entreprises qui fabriquent les logiciels et les applications utilisés aujourd'hui.
Pointer du doigt les logiciels, du moins en partie, est un concept qui a été introduit précédemment. En fait, la stratégie de sécurité nationale des États-Unis indique spécifiquement que "la mauvaise sécurité des logiciels augmente considérablement le risque systémique dans l'ensemble de l'écosystème numérique". Le plan stratégique de la CISA définit une nouvelle stratégie pour aborder et résoudre ce problème.
Le changement le plus important en matière de cybersécurité préconisé par la CISA consiste à inciter les concepteurs de logiciels à livrer des produits sécurisés. Si les meilleures pratiques en matière de codage sécurisé sont établies et mises en place, il y aura beaucoup moins de vulnérabilités, en particulier des vulnérabilités majeures, cachées dans les logiciels pour que les attaquants puissent les exploiter. Il est vrai qu'un élément ici ou là pourrait encore être négligé et qu'il faudra faire preuve de diligence pour le trouver et le corriger, mais il s'agit d'une proposition gérable par rapport au statu quo actuel : des centaines de vulnérabilités détectées chaque jour, qui surchargent les défenseurs de la cybersécurité. La CISA indique très clairement dans son plan que les concepteurs de logiciels et d'autres technologies doivent être responsables de la sécurité de leurs propres produits.
"En tant que société, nous ne pouvons plus accepter un modèle dans lequel chaque produit technologique est vulnérable dès sa sortie et où la charge de la sécurité repose sur les organisations et les utilisateurs individuels", indique le plan stratégique de la CISA. "Les technologies doivent être conçues, développées et testées de manière à minimiser le nombre de failles exploitables avant d'être mises sur le marché.
Le plan poursuit en suggérant qu'à terme, cette nouvelle approche pourrait être plus que suggestive, affirmant que la CISA utilisera "tous les leviers disponibles pour influencer les décisions des dirigeants d'organisations en matière de risques". Il laisse également entendre que des lois telles que le Cyber Incident Reporting for Critical Infrastructure Act of 2022(CIRCIA), qui régit actuellement la déclaration des cyberincidents, pourraient servir de modèle pour que la conformité volontaire à ces nouvelles réglementations devienne plus obligatoire. Quoi qu'il en soit, la plupart des entreprises qui fabriquent aujourd'hui des logiciels et d'autres technologies auraient tout intérêt à s'inspirer de ces nouvelles orientations.
Les orientations de la CISA représentent une opportunité clé
Au lieu d'appréhender la perspective d'un plus grand nombre de réglementations potentielles, les organisations devraient plutôt saisir l'occasion d'utiliser le plan stratégique CISA pour s'efforcer d'obtenir des logiciels meilleurs et de meilleure qualité. Il ne s'agit pas seulement d'un appel à la conformité, mais d'une chance pour les développeurs d'affiner leurs compétences et de contribuer à un paysage numérique plus sûr. En fin de compte, la production de logiciels sécurisés profite à tout le monde, y compris à l'entreprise qui les fabrique, aux utilisateurs qui en dépendent et aux personnes dont les données sont consultées ou stockées par ce logiciel ou cette application. Seuls les attaquants se retrouvent les mains vides si le code qui compose la majorité des logiciels et des applications est rendu aussi sûr que possible avant d'être transféré dans un environnement de production.
Compte tenu de cette nouvelle orientation, il est logique que les développeurs d'une organisation, qui écrivent ou génèrent tout le code, constituent un point de départ idéal pour la mise en œuvre d'un codage plus sûr et pour les efforts visant à se conformer au plan CISA. Mais les développeurs ne peuvent y parvenir seuls, sans le soutien du reste de l'organisation, en particulier de la direction. Le fait que les développeurs comprennent les vulnérabilités, la manière d'écrire du code sécurisé et de reconnaître les problèmes bien avant qu'ils n'atteignent un environnement de production sera la clé pour que les organisations assument finalement la responsabilité de l'expédition du code et, comme le dit la CISA, "veillent à ce que les vulnérabilités soient découvertes et corrigées avant que des adversaires puissent les utiliser pour causer des dommages".
Il convient de noter que les développeurs ont besoin d'une formation assez poussée. C'est un véritable défi pour quelqu'un de devenir compétent dans l'écriture de codes sécurisés, et les mesures de conformité "check-the-box" ne sont tout simplement pas à la hauteur de cette tâche. Les développeurs auront besoin de méthodes d'apprentissage agiles de haut niveau qui offrent des résultats pratiques, digestes et continus dans le cadre d'un programme global de sensibilisation à la sécurité afin de s'assurer qu'ils possèdent les compétences nécessaires pour maintenir le niveau de sécurité requis par le nouveau plan CISA.
Idéalement, la formation continue pour se préparer au plan CISA devrait également intégrer un grand nombre de méthodes et de programmes avancés que les développeurs utilisent tous les jours, tels que les principes du développement Agile. Par exemple, dans le développement Agile, le travail est divisé en morceaux gérables, en superposant des sprints dans un cycle continu. Un bon programme de formation qui intègre les pratiques agiles peut aider les développeurs à acquérir rapidement les compétences nécessaires pour soutenir le plan CISA, ce qui leur permet de commencer à en voir les avantages et à coder de manière plus sûre presque immédiatement.
La bonne nouvelle est que la plupart des développeurs soutiennent les pratiques de codage sécurisé et sont désireux d'aider leurs organisations à se conformer à la nouvelle directive CISA. Dans une enquête menée auprès de plus de 1 200 développeurs professionnels travaillant activement dans le monde entier, l'écrasante majorité d'entre eux ont déclaré qu'ils étaient favorables au concept de création de code sécurisé et à l'instauration d'une meilleure culture de la sécurité au sein de leur organisation.
Les développeurs ont besoin de parcours de formation précis et d'un soutien adéquat. Si les organisations sont en mesure de le faire, non seulement leur code deviendra plus sûr, mais elles prendront de l'avance dans leurs efforts pour se conformer aux orientations définies dans le nouveau plan stratégique de la CISA en matière de cybersécurité, voire les surpasser.
Ce changement proposé dans la culture de la sécurité sera un défi, mais c'est aussi une occasion incroyable de changer la nature de la cybersécurité et de créer un monde où la technologie qui améliore notre vie à tous n'est pas également en proie à des attaquants qui tentent constamment de l'exploiter à leurs propres fins néfastes. Nous avons le pouvoir de les arrêter, et le plan CISA montre une voie prometteuse vers cet objectif remarquable et finalement réalisable.
Une version de cet article a été publiée dans Forbes. Il a été mis à jour et publié ici.
Leplan stratégique pour la cybersécurité propose des changements majeurs dans la manière dont la plupart des organisations abordent la cybersécurité, et les développeurs sont dans une position unique pour aider à atteindre ces nouveaux objectifs.
L'Agence pour la cybersécurité et la sécurité des infrastructures(CISA) a non seulement joué un rôle déterminant dans la protection des infrastructures critiques et des réseaux informatiques des États-Unis depuis sa création en 2018, mais son influence et son expertise se sont également répercutées à l'échelle mondiale. Les conseils exhaustifs de l'agence, ses avis de sécurité, ses rapports sur les vulnérabilités et ses programmes de cybersécurité ont établi une référence mondiale pour les meilleures pratiques exploitables, soulignant l'importance du plan stratégique CISA 2023-2025 récemment publié dans le domaine de la cybersécurité mondiale.
L'influence et les réalisations de la CISA sont allées bien au-delà de ce que la plupart des agences gouvernementales ont pu accomplir, surtout si l'on considère qu'elle n'existe que depuis quelques années. Cela s'explique en grande partie par la croissance exponentielle du paysage des menaces et par le fait que les attaquants deviennent de plus en plus habiles dans leurs tentatives d'intrusion et d'exploitation. La CISA joue un rôle de premier plan dans la lutte contre les cybercriminels et autres acteurs dits "menaçants", en suivant méthodiquement les tendances et en prodiguant des conseils sur les meilleures pratiques en matière de cybersécurité.
Toutefois, malgré tous les conseils et orientations utiles de l'agence, celle-ci n'a jamais publié de plan stratégique global destiné à définir l'orientation générale des efforts en matière de cybersécurité au cours des prochaines années. Il ne s'agit pas d'un plan comme les autres , mais d' une étape importante que de nombreuses organisations voudront étudier et, à terme, mettre en œuvre. Le fait que le plan appelle à des changements majeurs dans la manière d'aborder la cybersécurité pourrait rendre difficile le suivi de ces orientations, bien que la communauté des développeurs soit dans une position unique pour aider si elle bénéficie du soutien, des outils et des parcours de montée en compétences adéquats.
Les meilleures pratiques mondiales en matière de cybersécurité sont en train de changer
À première vue, il serait facile de percevoir un certain niveau de frustration dans le plan stratégique de la CISA, mais la CISA reconnaît simplement le fait que si nous continuons à faire les mêmes choses qu'aujourd'hui, nous continuerons à voir les mêmes résultats. Pour que la cybersécurité s'améliore, il faudra des changements majeurs dans tous les domaines, y compris de la part des entreprises qui fabriquent les logiciels et les applications utilisés aujourd'hui.
Pointer du doigt les logiciels, du moins en partie, est un concept qui a été introduit précédemment. En fait, la stratégie de sécurité nationale des États-Unis indique spécifiquement que "la mauvaise sécurité des logiciels augmente considérablement le risque systémique dans l'ensemble de l'écosystème numérique". Le plan stratégique de la CISA définit une nouvelle stratégie pour aborder et résoudre ce problème.
Le changement le plus important en matière de cybersécurité préconisé par la CISA consiste à inciter les concepteurs de logiciels à livrer des produits sécurisés. Si les meilleures pratiques en matière de codage sécurisé sont établies et mises en place, il y aura beaucoup moins de vulnérabilités, en particulier des vulnérabilités majeures, cachées dans les logiciels pour que les attaquants puissent les exploiter. Il est vrai qu'un élément ici ou là pourrait encore être négligé et qu'il faudra faire preuve de diligence pour le trouver et le corriger, mais il s'agit d'une proposition gérable par rapport au statu quo actuel : des centaines de vulnérabilités détectées chaque jour, qui surchargent les défenseurs de la cybersécurité. La CISA indique très clairement dans son plan que les concepteurs de logiciels et d'autres technologies doivent être responsables de la sécurité de leurs propres produits.
"En tant que société, nous ne pouvons plus accepter un modèle dans lequel chaque produit technologique est vulnérable dès sa sortie et où la charge de la sécurité repose sur les organisations et les utilisateurs individuels", indique le plan stratégique de la CISA. "Les technologies doivent être conçues, développées et testées de manière à minimiser le nombre de failles exploitables avant d'être mises sur le marché.
Le plan poursuit en suggérant qu'à terme, cette nouvelle approche pourrait être plus que suggestive, affirmant que la CISA utilisera "tous les leviers disponibles pour influencer les décisions des dirigeants d'organisations en matière de risques". Il laisse également entendre que des lois telles que le Cyber Incident Reporting for Critical Infrastructure Act of 2022(CIRCIA), qui régit actuellement la déclaration des cyberincidents, pourraient servir de modèle pour que la conformité volontaire à ces nouvelles réglementations devienne plus obligatoire. Quoi qu'il en soit, la plupart des entreprises qui fabriquent aujourd'hui des logiciels et d'autres technologies auraient tout intérêt à s'inspirer de ces nouvelles orientations.
Les orientations de la CISA représentent une opportunité clé
Au lieu d'appréhender la perspective d'un plus grand nombre de réglementations potentielles, les organisations devraient plutôt saisir l'occasion d'utiliser le plan stratégique CISA pour s'efforcer d'obtenir des logiciels meilleurs et de meilleure qualité. Il ne s'agit pas seulement d'un appel à la conformité, mais d'une chance pour les développeurs d'affiner leurs compétences et de contribuer à un paysage numérique plus sûr. En fin de compte, la production de logiciels sécurisés profite à tout le monde, y compris à l'entreprise qui les fabrique, aux utilisateurs qui en dépendent et aux personnes dont les données sont consultées ou stockées par ce logiciel ou cette application. Seuls les attaquants se retrouvent les mains vides si le code qui compose la majorité des logiciels et des applications est rendu aussi sûr que possible avant d'être transféré dans un environnement de production.
Compte tenu de cette nouvelle orientation, il est logique que les développeurs d'une organisation, qui écrivent ou génèrent tout le code, constituent un point de départ idéal pour la mise en œuvre d'un codage plus sûr et pour les efforts visant à se conformer au plan CISA. Mais les développeurs ne peuvent y parvenir seuls, sans le soutien du reste de l'organisation, en particulier de la direction. Le fait que les développeurs comprennent les vulnérabilités, la manière d'écrire du code sécurisé et de reconnaître les problèmes bien avant qu'ils n'atteignent un environnement de production sera la clé pour que les organisations assument finalement la responsabilité de l'expédition du code et, comme le dit la CISA, "veillent à ce que les vulnérabilités soient découvertes et corrigées avant que des adversaires puissent les utiliser pour causer des dommages".
Il convient de noter que les développeurs ont besoin d'une formation assez poussée. C'est un véritable défi pour quelqu'un de devenir compétent dans l'écriture de codes sécurisés, et les mesures de conformité "check-the-box" ne sont tout simplement pas à la hauteur de cette tâche. Les développeurs auront besoin de méthodes d'apprentissage agiles de haut niveau qui offrent des résultats pratiques, digestes et continus dans le cadre d'un programme global de sensibilisation à la sécurité afin de s'assurer qu'ils possèdent les compétences nécessaires pour maintenir le niveau de sécurité requis par le nouveau plan CISA.
Idéalement, la formation continue pour se préparer au plan CISA devrait également intégrer un grand nombre de méthodes et de programmes avancés que les développeurs utilisent tous les jours, tels que les principes du développement Agile. Par exemple, dans le développement Agile, le travail est divisé en morceaux gérables, en superposant des sprints dans un cycle continu. Un bon programme de formation qui intègre les pratiques agiles peut aider les développeurs à acquérir rapidement les compétences nécessaires pour soutenir le plan CISA, ce qui leur permet de commencer à en voir les avantages et à coder de manière plus sûre presque immédiatement.
La bonne nouvelle est que la plupart des développeurs soutiennent les pratiques de codage sécurisé et sont désireux d'aider leurs organisations à se conformer à la nouvelle directive CISA. Dans une enquête menée auprès de plus de 1 200 développeurs professionnels travaillant activement dans le monde entier, l'écrasante majorité d'entre eux ont déclaré qu'ils étaient favorables au concept de création de code sécurisé et à l'instauration d'une meilleure culture de la sécurité au sein de leur organisation.
Les développeurs ont besoin de parcours de formation précis et d'un soutien adéquat. Si les organisations sont en mesure de le faire, non seulement leur code deviendra plus sûr, mais elles prendront de l'avance dans leurs efforts pour se conformer aux orientations définies dans le nouveau plan stratégique de la CISA en matière de cybersécurité, voire les surpasser.
Ce changement proposé dans la culture de la sécurité sera un défi, mais c'est aussi une occasion incroyable de changer la nature de la cybersécurité et de créer un monde où la technologie qui améliore notre vie à tous n'est pas également en proie à des attaquants qui tentent constamment de l'exploiter à leurs propres fins néfastes. Nous avons le pouvoir de les arrêter, et le plan CISA montre une voie prometteuse vers cet objectif remarquable et finalement réalisable.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationDirecteur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été publiée dans Forbes. Il a été mis à jour et publié ici.
Leplan stratégique pour la cybersécurité propose des changements majeurs dans la manière dont la plupart des organisations abordent la cybersécurité, et les développeurs sont dans une position unique pour aider à atteindre ces nouveaux objectifs.
L'Agence pour la cybersécurité et la sécurité des infrastructures(CISA) a non seulement joué un rôle déterminant dans la protection des infrastructures critiques et des réseaux informatiques des États-Unis depuis sa création en 2018, mais son influence et son expertise se sont également répercutées à l'échelle mondiale. Les conseils exhaustifs de l'agence, ses avis de sécurité, ses rapports sur les vulnérabilités et ses programmes de cybersécurité ont établi une référence mondiale pour les meilleures pratiques exploitables, soulignant l'importance du plan stratégique CISA 2023-2025 récemment publié dans le domaine de la cybersécurité mondiale.
L'influence et les réalisations de la CISA sont allées bien au-delà de ce que la plupart des agences gouvernementales ont pu accomplir, surtout si l'on considère qu'elle n'existe que depuis quelques années. Cela s'explique en grande partie par la croissance exponentielle du paysage des menaces et par le fait que les attaquants deviennent de plus en plus habiles dans leurs tentatives d'intrusion et d'exploitation. La CISA joue un rôle de premier plan dans la lutte contre les cybercriminels et autres acteurs dits "menaçants", en suivant méthodiquement les tendances et en prodiguant des conseils sur les meilleures pratiques en matière de cybersécurité.
Toutefois, malgré tous les conseils et orientations utiles de l'agence, celle-ci n'a jamais publié de plan stratégique global destiné à définir l'orientation générale des efforts en matière de cybersécurité au cours des prochaines années. Il ne s'agit pas d'un plan comme les autres , mais d' une étape importante que de nombreuses organisations voudront étudier et, à terme, mettre en œuvre. Le fait que le plan appelle à des changements majeurs dans la manière d'aborder la cybersécurité pourrait rendre difficile le suivi de ces orientations, bien que la communauté des développeurs soit dans une position unique pour aider si elle bénéficie du soutien, des outils et des parcours de montée en compétences adéquats.
Les meilleures pratiques mondiales en matière de cybersécurité sont en train de changer
À première vue, il serait facile de percevoir un certain niveau de frustration dans le plan stratégique de la CISA, mais la CISA reconnaît simplement le fait que si nous continuons à faire les mêmes choses qu'aujourd'hui, nous continuerons à voir les mêmes résultats. Pour que la cybersécurité s'améliore, il faudra des changements majeurs dans tous les domaines, y compris de la part des entreprises qui fabriquent les logiciels et les applications utilisés aujourd'hui.
Pointer du doigt les logiciels, du moins en partie, est un concept qui a été introduit précédemment. En fait, la stratégie de sécurité nationale des États-Unis indique spécifiquement que "la mauvaise sécurité des logiciels augmente considérablement le risque systémique dans l'ensemble de l'écosystème numérique". Le plan stratégique de la CISA définit une nouvelle stratégie pour aborder et résoudre ce problème.
Le changement le plus important en matière de cybersécurité préconisé par la CISA consiste à inciter les concepteurs de logiciels à livrer des produits sécurisés. Si les meilleures pratiques en matière de codage sécurisé sont établies et mises en place, il y aura beaucoup moins de vulnérabilités, en particulier des vulnérabilités majeures, cachées dans les logiciels pour que les attaquants puissent les exploiter. Il est vrai qu'un élément ici ou là pourrait encore être négligé et qu'il faudra faire preuve de diligence pour le trouver et le corriger, mais il s'agit d'une proposition gérable par rapport au statu quo actuel : des centaines de vulnérabilités détectées chaque jour, qui surchargent les défenseurs de la cybersécurité. La CISA indique très clairement dans son plan que les concepteurs de logiciels et d'autres technologies doivent être responsables de la sécurité de leurs propres produits.
"En tant que société, nous ne pouvons plus accepter un modèle dans lequel chaque produit technologique est vulnérable dès sa sortie et où la charge de la sécurité repose sur les organisations et les utilisateurs individuels", indique le plan stratégique de la CISA. "Les technologies doivent être conçues, développées et testées de manière à minimiser le nombre de failles exploitables avant d'être mises sur le marché.
Le plan poursuit en suggérant qu'à terme, cette nouvelle approche pourrait être plus que suggestive, affirmant que la CISA utilisera "tous les leviers disponibles pour influencer les décisions des dirigeants d'organisations en matière de risques". Il laisse également entendre que des lois telles que le Cyber Incident Reporting for Critical Infrastructure Act of 2022(CIRCIA), qui régit actuellement la déclaration des cyberincidents, pourraient servir de modèle pour que la conformité volontaire à ces nouvelles réglementations devienne plus obligatoire. Quoi qu'il en soit, la plupart des entreprises qui fabriquent aujourd'hui des logiciels et d'autres technologies auraient tout intérêt à s'inspirer de ces nouvelles orientations.
Les orientations de la CISA représentent une opportunité clé
Au lieu d'appréhender la perspective d'un plus grand nombre de réglementations potentielles, les organisations devraient plutôt saisir l'occasion d'utiliser le plan stratégique CISA pour s'efforcer d'obtenir des logiciels meilleurs et de meilleure qualité. Il ne s'agit pas seulement d'un appel à la conformité, mais d'une chance pour les développeurs d'affiner leurs compétences et de contribuer à un paysage numérique plus sûr. En fin de compte, la production de logiciels sécurisés profite à tout le monde, y compris à l'entreprise qui les fabrique, aux utilisateurs qui en dépendent et aux personnes dont les données sont consultées ou stockées par ce logiciel ou cette application. Seuls les attaquants se retrouvent les mains vides si le code qui compose la majorité des logiciels et des applications est rendu aussi sûr que possible avant d'être transféré dans un environnement de production.
Compte tenu de cette nouvelle orientation, il est logique que les développeurs d'une organisation, qui écrivent ou génèrent tout le code, constituent un point de départ idéal pour la mise en œuvre d'un codage plus sûr et pour les efforts visant à se conformer au plan CISA. Mais les développeurs ne peuvent y parvenir seuls, sans le soutien du reste de l'organisation, en particulier de la direction. Le fait que les développeurs comprennent les vulnérabilités, la manière d'écrire du code sécurisé et de reconnaître les problèmes bien avant qu'ils n'atteignent un environnement de production sera la clé pour que les organisations assument finalement la responsabilité de l'expédition du code et, comme le dit la CISA, "veillent à ce que les vulnérabilités soient découvertes et corrigées avant que des adversaires puissent les utiliser pour causer des dommages".
Il convient de noter que les développeurs ont besoin d'une formation assez poussée. C'est un véritable défi pour quelqu'un de devenir compétent dans l'écriture de codes sécurisés, et les mesures de conformité "check-the-box" ne sont tout simplement pas à la hauteur de cette tâche. Les développeurs auront besoin de méthodes d'apprentissage agiles de haut niveau qui offrent des résultats pratiques, digestes et continus dans le cadre d'un programme global de sensibilisation à la sécurité afin de s'assurer qu'ils possèdent les compétences nécessaires pour maintenir le niveau de sécurité requis par le nouveau plan CISA.
Idéalement, la formation continue pour se préparer au plan CISA devrait également intégrer un grand nombre de méthodes et de programmes avancés que les développeurs utilisent tous les jours, tels que les principes du développement Agile. Par exemple, dans le développement Agile, le travail est divisé en morceaux gérables, en superposant des sprints dans un cycle continu. Un bon programme de formation qui intègre les pratiques agiles peut aider les développeurs à acquérir rapidement les compétences nécessaires pour soutenir le plan CISA, ce qui leur permet de commencer à en voir les avantages et à coder de manière plus sûre presque immédiatement.
La bonne nouvelle est que la plupart des développeurs soutiennent les pratiques de codage sécurisé et sont désireux d'aider leurs organisations à se conformer à la nouvelle directive CISA. Dans une enquête menée auprès de plus de 1 200 développeurs professionnels travaillant activement dans le monde entier, l'écrasante majorité d'entre eux ont déclaré qu'ils étaient favorables au concept de création de code sécurisé et à l'instauration d'une meilleure culture de la sécurité au sein de leur organisation.
Les développeurs ont besoin de parcours de formation précis et d'un soutien adéquat. Si les organisations sont en mesure de le faire, non seulement leur code deviendra plus sûr, mais elles prendront de l'avance dans leurs efforts pour se conformer aux orientations définies dans le nouveau plan stratégique de la CISA en matière de cybersécurité, voire les surpasser.
Ce changement proposé dans la culture de la sécurité sera un défi, mais c'est aussi une occasion incroyable de changer la nature de la cybersécurité et de créer un monde où la technologie qui améliore notre vie à tous n'est pas également en proie à des attaquants qui tentent constamment de l'exploiter à leurs propres fins néfastes. Nous avons le pouvoir de les arrêter, et le plan CISA montre une voie prometteuse vers cet objectif remarquable et finalement réalisable.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
La puissance d'OpenText Fortify + Secure Code Warrior
OpenText Fortify et Secure Code Warrior unissent leurs forces pour aider les entreprises à réduire les risques, à transformer les développeurs en champions de la sécurité et à renforcer la confiance des clients. Pour en savoir plus, cliquez ici.
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
Ressources pour vous aider à démarrer
10 prédictions clés : Secure Code Warrior sur l'influence de l'IA et de la conception sécurisée en 2025
Les organisations sont confrontées à des décisions difficiles sur l'utilisation de l'IA pour soutenir la productivité à long terme, la durabilité et le retour sur investissement de la sécurité. Au cours des dernières années, il nous est apparu clairement que l'IA ne remplacera jamais complètement le rôle du développeur. Des partenariats IA + développeurs aux pressions croissantes (et à la confusion) autour des attentes en matière de conception sécurisée, examinons de plus près ce à quoi nous pouvons nous attendre au cours de l'année prochaine.
OWASP Top 10 pour les applications LLM : Ce qui est nouveau, ce qui a changé et comment rester en sécurité
Gardez une longueur d'avance dans la sécurisation des applications LLM avec les dernières mises à jour du Top 10 de l'OWASP. Découvrez ce qui est nouveau, ce qui a changé et comment Secure Code Warrior vous fournit des ressources d'apprentissage actualisées pour atténuer les risques dans l'IA générative.
La note de confiance révèle la valeur des initiatives d'amélioration de la sécurité par la conception
Nos recherches ont montré que la formation au code sécurisé fonctionne. Le Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité à réduire les vulnérabilités et la manière de rendre l'initiative encore plus efficace.
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.