Votre programme de sécurité est-il prêt pour le plan stratégique de cybersécurité de la CISA ?
Une version de cet article a été publiée dans Forbes. Il a été mis à jour et publié ici.
Leplan stratégique pour la cybersécurité propose des changements majeurs dans la manière dont la plupart des organisations abordent la cybersécurité, et les développeurs sont dans une position unique pour aider à atteindre ces nouveaux objectifs.
L'Agence pour la cybersécurité et la sécurité des infrastructures(CISA) a non seulement joué un rôle déterminant dans la protection des infrastructures critiques et des réseaux informatiques des États-Unis depuis sa création en 2018, mais son influence et son expertise se sont également répercutées à l'échelle mondiale. Les conseils exhaustifs de l'agence, ses avis de sécurité, ses rapports sur les vulnérabilités et ses programmes de cybersécurité ont établi une référence mondiale pour les meilleures pratiques exploitables, soulignant l'importance du plan stratégique CISA 2023-2025 récemment publié dans le domaine de la cybersécurité mondiale.
L'influence et les réalisations de la CISA sont allées bien au-delà de ce que la plupart des agences gouvernementales ont pu accomplir, surtout si l'on considère qu'elle n'existe que depuis quelques années. Cela s'explique en grande partie par la croissance exponentielle du paysage des menaces et par le fait que les attaquants deviennent de plus en plus habiles dans leurs tentatives d'intrusion et d'exploitation. La CISA joue un rôle de premier plan dans la lutte contre les cybercriminels et autres acteurs dits "menaçants", en suivant méthodiquement les tendances et en prodiguant des conseils sur les meilleures pratiques en matière de cybersécurité.
Toutefois, malgré tous les conseils et orientations utiles de l'agence, celle-ci n'a jamais publié de plan stratégique global destiné à définir l'orientation générale des efforts en matière de cybersécurité au cours des prochaines années. Il ne s'agit pas d'un plan comme les autres , mais d' une étape importante que de nombreuses organisations voudront étudier et, à terme, mettre en œuvre. Le fait que le plan appelle à des changements majeurs dans la manière d'aborder la cybersécurité pourrait rendre difficile le suivi de ces orientations, bien que la communauté des développeurs soit dans une position unique pour aider si elle bénéficie du soutien, des outils et des parcours de montée en compétences adéquats.
Les meilleures pratiques mondiales en matière de cybersécurité sont en train de changer
À première vue, il serait facile de percevoir un certain niveau de frustration dans le plan stratégique de la CISA, mais la CISA reconnaît simplement le fait que si nous continuons à faire les mêmes choses qu'aujourd'hui, nous continuerons à voir les mêmes résultats. Pour que la cybersécurité s'améliore, il faudra des changements majeurs dans tous les domaines, y compris de la part des entreprises qui fabriquent les logiciels et les applications utilisés aujourd'hui.
Pointer du doigt les logiciels, du moins en partie, est un concept qui a été introduit précédemment. En fait, la stratégie de sécurité nationale des États-Unis indique spécifiquement que "la mauvaise sécurité des logiciels augmente considérablement le risque systémique dans l'ensemble de l'écosystème numérique". Le plan stratégique de la CISA définit une nouvelle stratégie pour aborder et résoudre ce problème.
Le changement le plus important en matière de cybersécurité préconisé par la CISA consiste à inciter les concepteurs de logiciels à livrer des produits sécurisés. Si les meilleures pratiques en matière de codage sécurisé sont établies et mises en place, il y aura beaucoup moins de vulnérabilités, en particulier des vulnérabilités majeures, cachées dans les logiciels pour que les attaquants puissent les exploiter. Il est vrai qu'un élément ici ou là pourrait encore être négligé et qu'il faudra faire preuve de diligence pour le trouver et le corriger, mais il s'agit d'une proposition gérable par rapport au statu quo actuel : des centaines de vulnérabilités détectées chaque jour, qui surchargent les défenseurs de la cybersécurité. La CISA indique très clairement dans son plan que les concepteurs de logiciels et d'autres technologies doivent être responsables de la sécurité de leurs propres produits.
"En tant que société, nous ne pouvons plus accepter un modèle dans lequel chaque produit technologique est vulnérable dès sa sortie et où la charge de la sécurité repose sur les organisations et les utilisateurs individuels", indique le plan stratégique de la CISA. "Les technologies doivent être conçues, développées et testées de manière à minimiser le nombre de failles exploitables avant d'être mises sur le marché.
Le plan poursuit en suggérant qu'à terme, cette nouvelle approche pourrait être plus que suggestive, affirmant que la CISA utilisera "tous les leviers disponibles pour influencer les décisions des dirigeants d'organisations en matière de risques". Il laisse également entendre que des lois telles que le Cyber Incident Reporting for Critical Infrastructure Act of 2022(CIRCIA), qui régit actuellement la déclaration des cyberincidents, pourraient servir de modèle pour que la conformité volontaire à ces nouvelles réglementations devienne plus obligatoire. Quoi qu'il en soit, la plupart des entreprises qui fabriquent aujourd'hui des logiciels et d'autres technologies auraient tout intérêt à s'inspirer de ces nouvelles orientations.
Les orientations de la CISA représentent une opportunité clé
Au lieu d'appréhender la perspective d'un plus grand nombre de réglementations potentielles, les organisations devraient plutôt saisir l'occasion d'utiliser le plan stratégique CISA pour s'efforcer d'obtenir des logiciels meilleurs et de meilleure qualité. Il ne s'agit pas seulement d'un appel à la conformité, mais d'une chance pour les développeurs d'affiner leurs compétences et de contribuer à un paysage numérique plus sûr. En fin de compte, la production de logiciels sécurisés profite à tout le monde, y compris à l'entreprise qui les fabrique, aux utilisateurs qui en dépendent et aux personnes dont les données sont consultées ou stockées par ce logiciel ou cette application. Seuls les attaquants se retrouvent les mains vides si le code qui compose la majorité des logiciels et des applications est rendu aussi sûr que possible avant d'être transféré dans un environnement de production.
Compte tenu de cette nouvelle orientation, il est logique que les développeurs d'une organisation, qui écrivent ou génèrent tout le code, constituent un point de départ idéal pour la mise en œuvre d'un codage plus sûr et pour les efforts visant à se conformer au plan CISA. Mais les développeurs ne peuvent y parvenir seuls, sans le soutien du reste de l'organisation, en particulier de la direction. Le fait que les développeurs comprennent les vulnérabilités, la manière d'écrire du code sécurisé et de reconnaître les problèmes bien avant qu'ils n'atteignent un environnement de production sera la clé pour que les organisations assument finalement la responsabilité de l'expédition du code et, comme le dit la CISA, "veillent à ce que les vulnérabilités soient découvertes et corrigées avant que des adversaires puissent les utiliser pour causer des dommages".
Il convient de noter que les développeurs ont besoin d'une formation assez poussée. C'est un véritable défi pour quelqu'un de devenir compétent dans l'écriture de codes sécurisés, et les mesures de conformité "check-the-box" ne sont tout simplement pas à la hauteur de cette tâche. Les développeurs auront besoin de méthodes d'apprentissage agiles de haut niveau qui offrent des résultats pratiques, digestes et continus dans le cadre d'un programme global de sensibilisation à la sécurité afin de s'assurer qu'ils possèdent les compétences nécessaires pour maintenir le niveau de sécurité requis par le nouveau plan CISA.
Idéalement, la formation continue pour se préparer au plan CISA devrait également intégrer un grand nombre de méthodes et de programmes avancés que les développeurs utilisent tous les jours, tels que les principes du développement Agile. Par exemple, dans le développement Agile, le travail est divisé en morceaux gérables, en superposant des sprints dans un cycle continu. Un bon programme de formation qui intègre les pratiques agiles peut aider les développeurs à acquérir rapidement les compétences nécessaires pour soutenir le plan CISA, ce qui leur permet de commencer à en voir les avantages et à coder de manière plus sûre presque immédiatement.
La bonne nouvelle est que la plupart des développeurs soutiennent les pratiques de codage sécurisé et sont désireux d'aider leurs organisations à se conformer à la nouvelle directive CISA. Dans une enquête menée auprès de plus de 1 200 développeurs professionnels travaillant activement dans le monde entier, l'écrasante majorité d'entre eux ont déclaré qu'ils étaient favorables au concept de création de code sécurisé et à l'instauration d'une meilleure culture de la sécurité au sein de leur organisation.
Les développeurs ont besoin de parcours de formation précis et d'un soutien adéquat. Si les organisations sont en mesure de le faire, non seulement leur code deviendra plus sûr, mais elles prendront de l'avance dans leurs efforts pour se conformer aux orientations définies dans le nouveau plan stratégique de la CISA en matière de cybersécurité, voire les surpasser.
Ce changement proposé dans la culture de la sécurité sera un défi, mais c'est aussi une occasion incroyable de changer la nature de la cybersécurité et de créer un monde où la technologie qui améliore notre vie à tous n'est pas également en proie à des attaquants qui tentent constamment de l'exploiter à leurs propres fins néfastes. Nous avons le pouvoir de les arrêter, et le plan CISA montre une voie prometteuse vers cet objectif remarquable et finalement réalisable.
Le plan stratégique pour la cybersécurité prévoit des changements majeurs dans la manière dont la plupart des organisations abordent la cybersécurité, et les développeurs sont dans une position unique pour aider à atteindre ces nouveaux objectifs.
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été publiée dans Forbes. Il a été mis à jour et publié ici.
Leplan stratégique pour la cybersécurité propose des changements majeurs dans la manière dont la plupart des organisations abordent la cybersécurité, et les développeurs sont dans une position unique pour aider à atteindre ces nouveaux objectifs.
L'Agence pour la cybersécurité et la sécurité des infrastructures(CISA) a non seulement joué un rôle déterminant dans la protection des infrastructures critiques et des réseaux informatiques des États-Unis depuis sa création en 2018, mais son influence et son expertise se sont également répercutées à l'échelle mondiale. Les conseils exhaustifs de l'agence, ses avis de sécurité, ses rapports sur les vulnérabilités et ses programmes de cybersécurité ont établi une référence mondiale pour les meilleures pratiques exploitables, soulignant l'importance du plan stratégique CISA 2023-2025 récemment publié dans le domaine de la cybersécurité mondiale.
L'influence et les réalisations de la CISA sont allées bien au-delà de ce que la plupart des agences gouvernementales ont pu accomplir, surtout si l'on considère qu'elle n'existe que depuis quelques années. Cela s'explique en grande partie par la croissance exponentielle du paysage des menaces et par le fait que les attaquants deviennent de plus en plus habiles dans leurs tentatives d'intrusion et d'exploitation. La CISA joue un rôle de premier plan dans la lutte contre les cybercriminels et autres acteurs dits "menaçants", en suivant méthodiquement les tendances et en prodiguant des conseils sur les meilleures pratiques en matière de cybersécurité.
Toutefois, malgré tous les conseils et orientations utiles de l'agence, celle-ci n'a jamais publié de plan stratégique global destiné à définir l'orientation générale des efforts en matière de cybersécurité au cours des prochaines années. Il ne s'agit pas d'un plan comme les autres , mais d' une étape importante que de nombreuses organisations voudront étudier et, à terme, mettre en œuvre. Le fait que le plan appelle à des changements majeurs dans la manière d'aborder la cybersécurité pourrait rendre difficile le suivi de ces orientations, bien que la communauté des développeurs soit dans une position unique pour aider si elle bénéficie du soutien, des outils et des parcours de montée en compétences adéquats.
Les meilleures pratiques mondiales en matière de cybersécurité sont en train de changer
À première vue, il serait facile de percevoir un certain niveau de frustration dans le plan stratégique de la CISA, mais la CISA reconnaît simplement le fait que si nous continuons à faire les mêmes choses qu'aujourd'hui, nous continuerons à voir les mêmes résultats. Pour que la cybersécurité s'améliore, il faudra des changements majeurs dans tous les domaines, y compris de la part des entreprises qui fabriquent les logiciels et les applications utilisés aujourd'hui.
Pointer du doigt les logiciels, du moins en partie, est un concept qui a été introduit précédemment. En fait, la stratégie de sécurité nationale des États-Unis indique spécifiquement que "la mauvaise sécurité des logiciels augmente considérablement le risque systémique dans l'ensemble de l'écosystème numérique". Le plan stratégique de la CISA définit une nouvelle stratégie pour aborder et résoudre ce problème.
Le changement le plus important en matière de cybersécurité préconisé par la CISA consiste à inciter les concepteurs de logiciels à livrer des produits sécurisés. Si les meilleures pratiques en matière de codage sécurisé sont établies et mises en place, il y aura beaucoup moins de vulnérabilités, en particulier des vulnérabilités majeures, cachées dans les logiciels pour que les attaquants puissent les exploiter. Il est vrai qu'un élément ici ou là pourrait encore être négligé et qu'il faudra faire preuve de diligence pour le trouver et le corriger, mais il s'agit d'une proposition gérable par rapport au statu quo actuel : des centaines de vulnérabilités détectées chaque jour, qui surchargent les défenseurs de la cybersécurité. La CISA indique très clairement dans son plan que les concepteurs de logiciels et d'autres technologies doivent être responsables de la sécurité de leurs propres produits.
"En tant que société, nous ne pouvons plus accepter un modèle dans lequel chaque produit technologique est vulnérable dès sa sortie et où la charge de la sécurité repose sur les organisations et les utilisateurs individuels", indique le plan stratégique de la CISA. "Les technologies doivent être conçues, développées et testées de manière à minimiser le nombre de failles exploitables avant d'être mises sur le marché.
Le plan poursuit en suggérant qu'à terme, cette nouvelle approche pourrait être plus que suggestive, affirmant que la CISA utilisera "tous les leviers disponibles pour influencer les décisions des dirigeants d'organisations en matière de risques". Il laisse également entendre que des lois telles que le Cyber Incident Reporting for Critical Infrastructure Act of 2022(CIRCIA), qui régit actuellement la déclaration des cyberincidents, pourraient servir de modèle pour que la conformité volontaire à ces nouvelles réglementations devienne plus obligatoire. Quoi qu'il en soit, la plupart des entreprises qui fabriquent aujourd'hui des logiciels et d'autres technologies auraient tout intérêt à s'inspirer de ces nouvelles orientations.
Les orientations de la CISA représentent une opportunité clé
Au lieu d'appréhender la perspective d'un plus grand nombre de réglementations potentielles, les organisations devraient plutôt saisir l'occasion d'utiliser le plan stratégique CISA pour s'efforcer d'obtenir des logiciels meilleurs et de meilleure qualité. Il ne s'agit pas seulement d'un appel à la conformité, mais d'une chance pour les développeurs d'affiner leurs compétences et de contribuer à un paysage numérique plus sûr. En fin de compte, la production de logiciels sécurisés profite à tout le monde, y compris à l'entreprise qui les fabrique, aux utilisateurs qui en dépendent et aux personnes dont les données sont consultées ou stockées par ce logiciel ou cette application. Seuls les attaquants se retrouvent les mains vides si le code qui compose la majorité des logiciels et des applications est rendu aussi sûr que possible avant d'être transféré dans un environnement de production.
Compte tenu de cette nouvelle orientation, il est logique que les développeurs d'une organisation, qui écrivent ou génèrent tout le code, constituent un point de départ idéal pour la mise en œuvre d'un codage plus sûr et pour les efforts visant à se conformer au plan CISA. Mais les développeurs ne peuvent y parvenir seuls, sans le soutien du reste de l'organisation, en particulier de la direction. Le fait que les développeurs comprennent les vulnérabilités, la manière d'écrire du code sécurisé et de reconnaître les problèmes bien avant qu'ils n'atteignent un environnement de production sera la clé pour que les organisations assument finalement la responsabilité de l'expédition du code et, comme le dit la CISA, "veillent à ce que les vulnérabilités soient découvertes et corrigées avant que des adversaires puissent les utiliser pour causer des dommages".
Il convient de noter que les développeurs ont besoin d'une formation assez poussée. C'est un véritable défi pour quelqu'un de devenir compétent dans l'écriture de codes sécurisés, et les mesures de conformité "check-the-box" ne sont tout simplement pas à la hauteur de cette tâche. Les développeurs auront besoin de méthodes d'apprentissage agiles de haut niveau qui offrent des résultats pratiques, digestes et continus dans le cadre d'un programme global de sensibilisation à la sécurité afin de s'assurer qu'ils possèdent les compétences nécessaires pour maintenir le niveau de sécurité requis par le nouveau plan CISA.
Idéalement, la formation continue pour se préparer au plan CISA devrait également intégrer un grand nombre de méthodes et de programmes avancés que les développeurs utilisent tous les jours, tels que les principes du développement Agile. Par exemple, dans le développement Agile, le travail est divisé en morceaux gérables, en superposant des sprints dans un cycle continu. Un bon programme de formation qui intègre les pratiques agiles peut aider les développeurs à acquérir rapidement les compétences nécessaires pour soutenir le plan CISA, ce qui leur permet de commencer à en voir les avantages et à coder de manière plus sûre presque immédiatement.
La bonne nouvelle est que la plupart des développeurs soutiennent les pratiques de codage sécurisé et sont désireux d'aider leurs organisations à se conformer à la nouvelle directive CISA. Dans une enquête menée auprès de plus de 1 200 développeurs professionnels travaillant activement dans le monde entier, l'écrasante majorité d'entre eux ont déclaré qu'ils étaient favorables au concept de création de code sécurisé et à l'instauration d'une meilleure culture de la sécurité au sein de leur organisation.
Les développeurs ont besoin de parcours de formation précis et d'un soutien adéquat. Si les organisations sont en mesure de le faire, non seulement leur code deviendra plus sûr, mais elles prendront de l'avance dans leurs efforts pour se conformer aux orientations définies dans le nouveau plan stratégique de la CISA en matière de cybersécurité, voire les surpasser.
Ce changement proposé dans la culture de la sécurité sera un défi, mais c'est aussi une occasion incroyable de changer la nature de la cybersécurité et de créer un monde où la technologie qui améliore notre vie à tous n'est pas également en proie à des attaquants qui tentent constamment de l'exploiter à leurs propres fins néfastes. Nous avons le pouvoir de les arrêter, et le plan CISA montre une voie prometteuse vers cet objectif remarquable et finalement réalisable.
Une version de cet article a été publiée dans Forbes. Il a été mis à jour et publié ici.
Leplan stratégique pour la cybersécurité propose des changements majeurs dans la manière dont la plupart des organisations abordent la cybersécurité, et les développeurs sont dans une position unique pour aider à atteindre ces nouveaux objectifs.
L'Agence pour la cybersécurité et la sécurité des infrastructures(CISA) a non seulement joué un rôle déterminant dans la protection des infrastructures critiques et des réseaux informatiques des États-Unis depuis sa création en 2018, mais son influence et son expertise se sont également répercutées à l'échelle mondiale. Les conseils exhaustifs de l'agence, ses avis de sécurité, ses rapports sur les vulnérabilités et ses programmes de cybersécurité ont établi une référence mondiale pour les meilleures pratiques exploitables, soulignant l'importance du plan stratégique CISA 2023-2025 récemment publié dans le domaine de la cybersécurité mondiale.
L'influence et les réalisations de la CISA sont allées bien au-delà de ce que la plupart des agences gouvernementales ont pu accomplir, surtout si l'on considère qu'elle n'existe que depuis quelques années. Cela s'explique en grande partie par la croissance exponentielle du paysage des menaces et par le fait que les attaquants deviennent de plus en plus habiles dans leurs tentatives d'intrusion et d'exploitation. La CISA joue un rôle de premier plan dans la lutte contre les cybercriminels et autres acteurs dits "menaçants", en suivant méthodiquement les tendances et en prodiguant des conseils sur les meilleures pratiques en matière de cybersécurité.
Toutefois, malgré tous les conseils et orientations utiles de l'agence, celle-ci n'a jamais publié de plan stratégique global destiné à définir l'orientation générale des efforts en matière de cybersécurité au cours des prochaines années. Il ne s'agit pas d'un plan comme les autres , mais d' une étape importante que de nombreuses organisations voudront étudier et, à terme, mettre en œuvre. Le fait que le plan appelle à des changements majeurs dans la manière d'aborder la cybersécurité pourrait rendre difficile le suivi de ces orientations, bien que la communauté des développeurs soit dans une position unique pour aider si elle bénéficie du soutien, des outils et des parcours de montée en compétences adéquats.
Les meilleures pratiques mondiales en matière de cybersécurité sont en train de changer
À première vue, il serait facile de percevoir un certain niveau de frustration dans le plan stratégique de la CISA, mais la CISA reconnaît simplement le fait que si nous continuons à faire les mêmes choses qu'aujourd'hui, nous continuerons à voir les mêmes résultats. Pour que la cybersécurité s'améliore, il faudra des changements majeurs dans tous les domaines, y compris de la part des entreprises qui fabriquent les logiciels et les applications utilisés aujourd'hui.
Pointer du doigt les logiciels, du moins en partie, est un concept qui a été introduit précédemment. En fait, la stratégie de sécurité nationale des États-Unis indique spécifiquement que "la mauvaise sécurité des logiciels augmente considérablement le risque systémique dans l'ensemble de l'écosystème numérique". Le plan stratégique de la CISA définit une nouvelle stratégie pour aborder et résoudre ce problème.
Le changement le plus important en matière de cybersécurité préconisé par la CISA consiste à inciter les concepteurs de logiciels à livrer des produits sécurisés. Si les meilleures pratiques en matière de codage sécurisé sont établies et mises en place, il y aura beaucoup moins de vulnérabilités, en particulier des vulnérabilités majeures, cachées dans les logiciels pour que les attaquants puissent les exploiter. Il est vrai qu'un élément ici ou là pourrait encore être négligé et qu'il faudra faire preuve de diligence pour le trouver et le corriger, mais il s'agit d'une proposition gérable par rapport au statu quo actuel : des centaines de vulnérabilités détectées chaque jour, qui surchargent les défenseurs de la cybersécurité. La CISA indique très clairement dans son plan que les concepteurs de logiciels et d'autres technologies doivent être responsables de la sécurité de leurs propres produits.
"En tant que société, nous ne pouvons plus accepter un modèle dans lequel chaque produit technologique est vulnérable dès sa sortie et où la charge de la sécurité repose sur les organisations et les utilisateurs individuels", indique le plan stratégique de la CISA. "Les technologies doivent être conçues, développées et testées de manière à minimiser le nombre de failles exploitables avant d'être mises sur le marché.
Le plan poursuit en suggérant qu'à terme, cette nouvelle approche pourrait être plus que suggestive, affirmant que la CISA utilisera "tous les leviers disponibles pour influencer les décisions des dirigeants d'organisations en matière de risques". Il laisse également entendre que des lois telles que le Cyber Incident Reporting for Critical Infrastructure Act of 2022(CIRCIA), qui régit actuellement la déclaration des cyberincidents, pourraient servir de modèle pour que la conformité volontaire à ces nouvelles réglementations devienne plus obligatoire. Quoi qu'il en soit, la plupart des entreprises qui fabriquent aujourd'hui des logiciels et d'autres technologies auraient tout intérêt à s'inspirer de ces nouvelles orientations.
Les orientations de la CISA représentent une opportunité clé
Au lieu d'appréhender la perspective d'un plus grand nombre de réglementations potentielles, les organisations devraient plutôt saisir l'occasion d'utiliser le plan stratégique CISA pour s'efforcer d'obtenir des logiciels meilleurs et de meilleure qualité. Il ne s'agit pas seulement d'un appel à la conformité, mais d'une chance pour les développeurs d'affiner leurs compétences et de contribuer à un paysage numérique plus sûr. En fin de compte, la production de logiciels sécurisés profite à tout le monde, y compris à l'entreprise qui les fabrique, aux utilisateurs qui en dépendent et aux personnes dont les données sont consultées ou stockées par ce logiciel ou cette application. Seuls les attaquants se retrouvent les mains vides si le code qui compose la majorité des logiciels et des applications est rendu aussi sûr que possible avant d'être transféré dans un environnement de production.
Compte tenu de cette nouvelle orientation, il est logique que les développeurs d'une organisation, qui écrivent ou génèrent tout le code, constituent un point de départ idéal pour la mise en œuvre d'un codage plus sûr et pour les efforts visant à se conformer au plan CISA. Mais les développeurs ne peuvent y parvenir seuls, sans le soutien du reste de l'organisation, en particulier de la direction. Le fait que les développeurs comprennent les vulnérabilités, la manière d'écrire du code sécurisé et de reconnaître les problèmes bien avant qu'ils n'atteignent un environnement de production sera la clé pour que les organisations assument finalement la responsabilité de l'expédition du code et, comme le dit la CISA, "veillent à ce que les vulnérabilités soient découvertes et corrigées avant que des adversaires puissent les utiliser pour causer des dommages".
Il convient de noter que les développeurs ont besoin d'une formation assez poussée. C'est un véritable défi pour quelqu'un de devenir compétent dans l'écriture de codes sécurisés, et les mesures de conformité "check-the-box" ne sont tout simplement pas à la hauteur de cette tâche. Les développeurs auront besoin de méthodes d'apprentissage agiles de haut niveau qui offrent des résultats pratiques, digestes et continus dans le cadre d'un programme global de sensibilisation à la sécurité afin de s'assurer qu'ils possèdent les compétences nécessaires pour maintenir le niveau de sécurité requis par le nouveau plan CISA.
Idéalement, la formation continue pour se préparer au plan CISA devrait également intégrer un grand nombre de méthodes et de programmes avancés que les développeurs utilisent tous les jours, tels que les principes du développement Agile. Par exemple, dans le développement Agile, le travail est divisé en morceaux gérables, en superposant des sprints dans un cycle continu. Un bon programme de formation qui intègre les pratiques agiles peut aider les développeurs à acquérir rapidement les compétences nécessaires pour soutenir le plan CISA, ce qui leur permet de commencer à en voir les avantages et à coder de manière plus sûre presque immédiatement.
La bonne nouvelle est que la plupart des développeurs soutiennent les pratiques de codage sécurisé et sont désireux d'aider leurs organisations à se conformer à la nouvelle directive CISA. Dans une enquête menée auprès de plus de 1 200 développeurs professionnels travaillant activement dans le monde entier, l'écrasante majorité d'entre eux ont déclaré qu'ils étaient favorables au concept de création de code sécurisé et à l'instauration d'une meilleure culture de la sécurité au sein de leur organisation.
Les développeurs ont besoin de parcours de formation précis et d'un soutien adéquat. Si les organisations sont en mesure de le faire, non seulement leur code deviendra plus sûr, mais elles prendront de l'avance dans leurs efforts pour se conformer aux orientations définies dans le nouveau plan stratégique de la CISA en matière de cybersécurité, voire les surpasser.
Ce changement proposé dans la culture de la sécurité sera un défi, mais c'est aussi une occasion incroyable de changer la nature de la cybersécurité et de créer un monde où la technologie qui améliore notre vie à tous n'est pas également en proie à des attaquants qui tentent constamment de l'exploiter à leurs propres fins néfastes. Nous avons le pouvoir de les arrêter, et le plan CISA montre une voie prometteuse vers cet objectif remarquable et finalement réalisable.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été publiée dans Forbes. Il a été mis à jour et publié ici.
Leplan stratégique pour la cybersécurité propose des changements majeurs dans la manière dont la plupart des organisations abordent la cybersécurité, et les développeurs sont dans une position unique pour aider à atteindre ces nouveaux objectifs.
L'Agence pour la cybersécurité et la sécurité des infrastructures(CISA) a non seulement joué un rôle déterminant dans la protection des infrastructures critiques et des réseaux informatiques des États-Unis depuis sa création en 2018, mais son influence et son expertise se sont également répercutées à l'échelle mondiale. Les conseils exhaustifs de l'agence, ses avis de sécurité, ses rapports sur les vulnérabilités et ses programmes de cybersécurité ont établi une référence mondiale pour les meilleures pratiques exploitables, soulignant l'importance du plan stratégique CISA 2023-2025 récemment publié dans le domaine de la cybersécurité mondiale.
L'influence et les réalisations de la CISA sont allées bien au-delà de ce que la plupart des agences gouvernementales ont pu accomplir, surtout si l'on considère qu'elle n'existe que depuis quelques années. Cela s'explique en grande partie par la croissance exponentielle du paysage des menaces et par le fait que les attaquants deviennent de plus en plus habiles dans leurs tentatives d'intrusion et d'exploitation. La CISA joue un rôle de premier plan dans la lutte contre les cybercriminels et autres acteurs dits "menaçants", en suivant méthodiquement les tendances et en prodiguant des conseils sur les meilleures pratiques en matière de cybersécurité.
Toutefois, malgré tous les conseils et orientations utiles de l'agence, celle-ci n'a jamais publié de plan stratégique global destiné à définir l'orientation générale des efforts en matière de cybersécurité au cours des prochaines années. Il ne s'agit pas d'un plan comme les autres , mais d' une étape importante que de nombreuses organisations voudront étudier et, à terme, mettre en œuvre. Le fait que le plan appelle à des changements majeurs dans la manière d'aborder la cybersécurité pourrait rendre difficile le suivi de ces orientations, bien que la communauté des développeurs soit dans une position unique pour aider si elle bénéficie du soutien, des outils et des parcours de montée en compétences adéquats.
Les meilleures pratiques mondiales en matière de cybersécurité sont en train de changer
À première vue, il serait facile de percevoir un certain niveau de frustration dans le plan stratégique de la CISA, mais la CISA reconnaît simplement le fait que si nous continuons à faire les mêmes choses qu'aujourd'hui, nous continuerons à voir les mêmes résultats. Pour que la cybersécurité s'améliore, il faudra des changements majeurs dans tous les domaines, y compris de la part des entreprises qui fabriquent les logiciels et les applications utilisés aujourd'hui.
Pointer du doigt les logiciels, du moins en partie, est un concept qui a été introduit précédemment. En fait, la stratégie de sécurité nationale des États-Unis indique spécifiquement que "la mauvaise sécurité des logiciels augmente considérablement le risque systémique dans l'ensemble de l'écosystème numérique". Le plan stratégique de la CISA définit une nouvelle stratégie pour aborder et résoudre ce problème.
Le changement le plus important en matière de cybersécurité préconisé par la CISA consiste à inciter les concepteurs de logiciels à livrer des produits sécurisés. Si les meilleures pratiques en matière de codage sécurisé sont établies et mises en place, il y aura beaucoup moins de vulnérabilités, en particulier des vulnérabilités majeures, cachées dans les logiciels pour que les attaquants puissent les exploiter. Il est vrai qu'un élément ici ou là pourrait encore être négligé et qu'il faudra faire preuve de diligence pour le trouver et le corriger, mais il s'agit d'une proposition gérable par rapport au statu quo actuel : des centaines de vulnérabilités détectées chaque jour, qui surchargent les défenseurs de la cybersécurité. La CISA indique très clairement dans son plan que les concepteurs de logiciels et d'autres technologies doivent être responsables de la sécurité de leurs propres produits.
"En tant que société, nous ne pouvons plus accepter un modèle dans lequel chaque produit technologique est vulnérable dès sa sortie et où la charge de la sécurité repose sur les organisations et les utilisateurs individuels", indique le plan stratégique de la CISA. "Les technologies doivent être conçues, développées et testées de manière à minimiser le nombre de failles exploitables avant d'être mises sur le marché.
Le plan poursuit en suggérant qu'à terme, cette nouvelle approche pourrait être plus que suggestive, affirmant que la CISA utilisera "tous les leviers disponibles pour influencer les décisions des dirigeants d'organisations en matière de risques". Il laisse également entendre que des lois telles que le Cyber Incident Reporting for Critical Infrastructure Act of 2022(CIRCIA), qui régit actuellement la déclaration des cyberincidents, pourraient servir de modèle pour que la conformité volontaire à ces nouvelles réglementations devienne plus obligatoire. Quoi qu'il en soit, la plupart des entreprises qui fabriquent aujourd'hui des logiciels et d'autres technologies auraient tout intérêt à s'inspirer de ces nouvelles orientations.
Les orientations de la CISA représentent une opportunité clé
Au lieu d'appréhender la perspective d'un plus grand nombre de réglementations potentielles, les organisations devraient plutôt saisir l'occasion d'utiliser le plan stratégique CISA pour s'efforcer d'obtenir des logiciels meilleurs et de meilleure qualité. Il ne s'agit pas seulement d'un appel à la conformité, mais d'une chance pour les développeurs d'affiner leurs compétences et de contribuer à un paysage numérique plus sûr. En fin de compte, la production de logiciels sécurisés profite à tout le monde, y compris à l'entreprise qui les fabrique, aux utilisateurs qui en dépendent et aux personnes dont les données sont consultées ou stockées par ce logiciel ou cette application. Seuls les attaquants se retrouvent les mains vides si le code qui compose la majorité des logiciels et des applications est rendu aussi sûr que possible avant d'être transféré dans un environnement de production.
Compte tenu de cette nouvelle orientation, il est logique que les développeurs d'une organisation, qui écrivent ou génèrent tout le code, constituent un point de départ idéal pour la mise en œuvre d'un codage plus sûr et pour les efforts visant à se conformer au plan CISA. Mais les développeurs ne peuvent y parvenir seuls, sans le soutien du reste de l'organisation, en particulier de la direction. Le fait que les développeurs comprennent les vulnérabilités, la manière d'écrire du code sécurisé et de reconnaître les problèmes bien avant qu'ils n'atteignent un environnement de production sera la clé pour que les organisations assument finalement la responsabilité de l'expédition du code et, comme le dit la CISA, "veillent à ce que les vulnérabilités soient découvertes et corrigées avant que des adversaires puissent les utiliser pour causer des dommages".
Il convient de noter que les développeurs ont besoin d'une formation assez poussée. C'est un véritable défi pour quelqu'un de devenir compétent dans l'écriture de codes sécurisés, et les mesures de conformité "check-the-box" ne sont tout simplement pas à la hauteur de cette tâche. Les développeurs auront besoin de méthodes d'apprentissage agiles de haut niveau qui offrent des résultats pratiques, digestes et continus dans le cadre d'un programme global de sensibilisation à la sécurité afin de s'assurer qu'ils possèdent les compétences nécessaires pour maintenir le niveau de sécurité requis par le nouveau plan CISA.
Idéalement, la formation continue pour se préparer au plan CISA devrait également intégrer un grand nombre de méthodes et de programmes avancés que les développeurs utilisent tous les jours, tels que les principes du développement Agile. Par exemple, dans le développement Agile, le travail est divisé en morceaux gérables, en superposant des sprints dans un cycle continu. Un bon programme de formation qui intègre les pratiques agiles peut aider les développeurs à acquérir rapidement les compétences nécessaires pour soutenir le plan CISA, ce qui leur permet de commencer à en voir les avantages et à coder de manière plus sûre presque immédiatement.
La bonne nouvelle est que la plupart des développeurs soutiennent les pratiques de codage sécurisé et sont désireux d'aider leurs organisations à se conformer à la nouvelle directive CISA. Dans une enquête menée auprès de plus de 1 200 développeurs professionnels travaillant activement dans le monde entier, l'écrasante majorité d'entre eux ont déclaré qu'ils étaient favorables au concept de création de code sécurisé et à l'instauration d'une meilleure culture de la sécurité au sein de leur organisation.
Les développeurs ont besoin de parcours de formation précis et d'un soutien adéquat. Si les organisations sont en mesure de le faire, non seulement leur code deviendra plus sûr, mais elles prendront de l'avance dans leurs efforts pour se conformer aux orientations définies dans le nouveau plan stratégique de la CISA en matière de cybersécurité, voire les surpasser.
Ce changement proposé dans la culture de la sécurité sera un défi, mais c'est aussi une occasion incroyable de changer la nature de la cybersécurité et de créer un monde où la technologie qui améliore notre vie à tous n'est pas également en proie à des attaquants qui tentent constamment de l'exploiter à leurs propres fins néfastes. Nous avons le pouvoir de les arrêter, et le plan CISA montre une voie prometteuse vers cet objectif remarquable et finalement réalisable.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Il est notoirement difficile de trouver des données significatives sur le succès des initiatives Secure-by-Design. Les RSSI sont souvent confrontés à des difficultés lorsqu'ils tentent de prouver le retour sur investissement (ROI) et la valeur commerciale des activités du programme de sécurité, tant au niveau des personnes que de l'entreprise. De plus, il est particulièrement difficile pour les entreprises d'obtenir des informations sur la façon dont leurs organisations sont comparées aux normes actuelles du secteur. La stratégie nationale de cybersécurité du président a mis les parties prenantes au défi d'"adopter la sécurité et la résilience dès la conception". Pour que les initiatives de conception sécurisée fonctionnent, il faut non seulement donner aux développeurs les compétences nécessaires pour assurer la sécurité du code, mais aussi garantir aux régulateurs que ces compétences sont en place. Dans cette présentation, nous partageons une myriade de données qualitatives et quantitatives, dérivées de sources primaires multiples, y compris des points de données internes collectés auprès de plus de 250 000 développeurs, des informations sur les clients basées sur des données, et des études publiques. En nous appuyant sur cette agrégation de points de données, nous visons à communiquer une vision de l'état actuel des initiatives Secure-by-Design dans de multiples secteurs verticaux. Le rapport explique en détail pourquoi cet espace est actuellement sous-utilisé, l'impact significatif qu'un programme de perfectionnement réussi peut avoir sur l'atténuation des risques de cybersécurité, et le potentiel d'élimination des catégories de vulnérabilités d'une base de code.
Passez de la sensibilisation à l'action en ce mois de la cyber-sensibilisation
En octobre, passez de la sensibilisation à l'action. Rendez le Mois de la sensibilisation à la cybernétique mémorable pour vos développeurs grâce à une expérience à fort impact et à forte participation, dirigée par l'équipe des services professionnels de Secure Code Warrior.
Services professionnels - Accélérer grâce à l'expertise
L'équipe des services de stratégie de programme (PSS) de Secure Code Warriorvous aide à construire, améliorer et optimiser votre programme de codage sécurisé. Que vous partiez de zéro ou que vous affiniez votre approche, nos experts vous fournissent des conseils sur mesure.
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu, à la pointe de l'industrie, évolue constamment pour s'adapter au paysage du développement logiciel en constante évolution, tout en gardant votre rôle à l'esprit. Les sujets abordés vont de l'IA à l'injection XQuery, et sont proposés pour une variété de rôles, des architectes et ingénieurs aux gestionnaires de produits et à l'assurance qualité. Découvrez en avant-première ce que notre catalogue de contenu a à offrir par sujet et par rôle.
Ressources pour vous aider à démarrer
Vibe Coding va-t-il transformer votre base de code en une fête de fraternité ?
Le codage vibratoire est comme une fête de fraternité universitaire, et l'IA est la pièce maîtresse de toutes les festivités, le tonneau. C'est très amusant de se laisser aller, d'être créatif et de voir où votre imagination peut vous mener, mais après quelques barils, boire (ou utiliser l'IA) avec modération est sans aucun doute la solution la plus sûre à long terme.
La décennie des défenseurs : Secure Code Warrior Dixième anniversaire
Secure Code WarriorL'équipe fondatrice de SCW est restée soudée, dirigeant le navire à travers chaque leçon, chaque triomphe et chaque revers pendant une décennie entière. Nous nous développons et sommes prêts à affronter notre prochain chapitre, SCW 2.0, en tant que leaders de la gestion des risques pour les développeurs.
Codage axé sur le développeur.
En toute sécurité.
Contactez-nous dès aujourd'hui et faites de la sécurité des logiciels une partie intrinsèque de votre processus de développement.
