Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
Les équipes de sécurité ont du mal à suivre le raz-de-marée de nouvelles innovations dans le monde DevOps d'aujourd'hui, axé sur le cloud. Il est donc logique qu'elles soient également incapables de suivre le rythme de la myriade de façons dont les attaquants exploitent les faiblesses qui découlent inévitablement d'une telle quantité de code générée en permanence.
Pourtant, malgré l'accélération du rythme des failles de sécurité importantes - depuis la violation des données d'Equifax et l'attaque de la chaîne d'approvisionnement de SolarWinds jusqu'aux incidents de ces dernières années, tels que les attaques réussies contre Change Healthcare, AT&T et d'autres - de nombreuses organisations continuent de se concentrer sur une approche réactive de la sécurité. Elles consacrent la majeure partie de leurs ressources en matière de sécurité à la recherche et à la correction des vulnérabilités, ainsi qu'à la réaction aux incidents au fur et à mesure qu'ils se produisent. Cette approche aurait pu convenir à une autre époque, mais l'évolution rapide des logiciels, des capacités technologiques et de l'infrastructure informatique est trop importante pour que des équipes de sécurité en sous-effectif et surchargées de travail puissent la suivre.
Pour éviter d'être continuellement désavantagées, elles doivent cesser de courir après les menaces de sécurité qui évoluent trop vite pour elles ou d'attendre que le cheval de la violation de données soit sorti de l'écurie. Au lieu de cela, elles doivent s'attaquer au problème en adoptant une approche préventive plutôt que réactive. L'amélioration de la sécurité des applications existantes et des nouvelles applications nécessite une approche "Secure-by-Design", soutenue par une formation efficace des développeurs, afin de garantir que les meilleures pratiques de sécurité sont utilisées dès le début du cycle de développement logiciel (SDLC) et que les vulnérabilités sont corrigées avant qu'elles ne soient mises en production.
Jusqu'à présent, cela s'est avéré beaucoup plus facile à dire qu'à faire.
Les codeurs sécurisés sont rares
L'agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a tenté de faire de la prévention une politique clé avec son initiative Secure-by-Design, qui promeut le codage sécurisé ainsi que d'autres bonnes pratiques - allant de l'authentification multifactorielle à la réduction des catégories de vulnérabilités - et encourage les organisations à prendre l'engagement Secure-by-Design Pledge (Engagement pour la sécurité par la conception). D'autres pays, dont l'Australie, le Canada, l'Allemagne et le Royaume-Uni, ont lancé des programmes similaires. Néanmoins, nos recherches montrent que très peu d'organisations se sont ralliées à ce programme jusqu'à présent.
Si nous combinons tous les développeurs sur Secure Code Warrior's Learning Platform avec ceux des concurrents de SCW travaillant dans la veine Secure-by-Design, il y a entre 500 000 et 1 million de développeurs qui adoptent cette approche. Selon l'estimation la plus généreuse, cela représente environ 3,5 % du nombre total de développeurs dans le monde, qui devrait atteindre 28,7 millions d' ici à la fin de 2024. Cela fait beaucoup de développeurs qui produisent plus de code que jamais auparavant, en particulier avec les programmes d'intelligence artificielle générative qui accélèrent considérablement le rythme de développement, et très peu qui apprennent à commencer par un code sécurisé.
Les ingénieurs en logiciel n'apprennent généralement pas la cybersécurité parce que le modèle traditionnel veut que les développeurs et les professionnels de la sécurité travaillent comme des entités séparées, les équipes de sécurité s'occupant des problèmes de sécurité après la création du logiciel. Mais les professionnels de la sécurité sont terriblement moins nombreux dans l'environnement actuel. Le dernier rapport Building Security in Maturity Model ( BSIMM14) montre qu'il y a, en moyenne, 3,87 professionnels de l'AppSec pour 100 développeurs dans le monde. Avoir moins de quatre spécialistes formés qui tentent de sécuriser la production de 100 développeurs travaillant à une vitesse vertigineuse n'est pas une recette pour un code sécurisé.
La négligence de la sécurité des applications est tout aussi évidente lorsque l'on compare la taille de son marché à celle d'autres secteurs de la sécurité. Les éléments qui composent une approche Secure-by-Design relèvent du marché de la sécurité des applications, qui devrait passer de 6,08 milliards de dollars en 2023 à 17,51 milliards de dollars d'ici à 2031. Cela ressemble à une croissance rapide, mais c'est bien peu comparé à l'argent dépensé pour la sécurité des réseaux, qui devrait passer de 23,57 milliards de dollars en 2023 à 67,33 milliards de dollars d'ici 2032, ou pour la sécurité des technologies opérationnelles, qui devrait passer de 18,03 milliards de dollars en 2023 à 57,51 milliards de dollars d'ici 2031.
Compte tenu de l'importance croissante de la sécurité du code et des applications, ce domaine est sous-financé. En fait, si les entreprises investissent davantage dans la sécurité des applications et dans une approche "Secure-by-Design", elles peuvent être en mesure d'économiser dans d'autres domaines de la sécurité.
Un certain nombre d'autres facteurs contribuent à l'idée que la sécurité préventive est plus difficile à mettre en œuvre, et donc plus difficile à vendre aux cadres supérieurs. D'une part, les entreprises qui existent depuis longtemps, comme celles du secteur des services financiers, sont encombrées de vieux systèmes, dont certains datent du milieu du siècle dernier, lorsque le COBOL était le langage de programmation de prédilection.
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Construire une culture de la prévention
La transition vers une approche préventive de la sécurité démarre peut-être lentement, mais la pression en faveur de l'adoption de pratiques de conception sécurisée (Secure-by-Design) ne faiblit pas, car le besoin pressant d'une telle approche dans l'environnement actuel des cybermenaces ne disparaît pas non plus. L'industrie automobile serait critiquée si elle décidait d'investir dans un plus grand nombre d'ambulances et de secouristes au lieu de rendre les voitures plus sûres, mais de nombreuses organisations suivent ce modèle en matière de cybersécurité.
Les organisations doivent adopter une approche préventive et proactive pour réduire les risques. Elles doivent mettre en place des programmes pour former les développeurs à l'écriture de codes sécurisés et à la correction des erreurs (telles que celles introduites par les assistants d'IA ou les codes tiers) dès le début du cycle de développement durable. Ces programmes devraient inclure des programmes de formation agiles et interactifs qui s'adaptent aux horaires des développeurs et peuvent être adaptés à leurs environnements de travail et aux langages de programmation qu'ils utilisent. La formation continue devrait comprendre une formation pratique qui aborde des problèmes du monde réel.
Il est important qu'il comprenne un moyen de mesurer leurs progrès pour s'assurer qu'ils ont fait des meilleures pratiques de sécurité une partie vitale de leurs routines quotidiennes. Un outil tel que le Trust Score de SCW utilise des points de référence pour évaluer les progrès réalisés en interne et par rapport aux normes du secteur, tout en identifiant les domaines qui doivent être améliorés.
Une approche "Secure-by-Design" serait holistique, reflétant un état d'esprit axé sur la sécurité au sein de l'organisation, où la sécurité est une priorité pour l'entreprise. La réaction et la récupération sont des éléments essentiels de la posture de sécurité globale d'une organisation, certes. Mais en se concentrant sur la prévention, les entreprises peuvent faire de grands progrès dans la réduction des risques et peut-être éviter le type de violations majeures qui peuvent menacer la viabilité d'une entreprise.
Découvrez comment Secure Code Warrior peut vous aider à mettre en œuvre une initiative Secure-by-Design viable dès aujourd'hui.
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationMatias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Les équipes de sécurité ont du mal à suivre le raz-de-marée de nouvelles innovations dans le monde DevOps d'aujourd'hui, axé sur le cloud. Il est donc logique qu'elles soient également incapables de suivre le rythme de la myriade de façons dont les attaquants exploitent les faiblesses qui découlent inévitablement d'une telle quantité de code générée en permanence.
Pourtant, malgré l'accélération du rythme des failles de sécurité importantes - depuis la violation des données d'Equifax et l'attaque de la chaîne d'approvisionnement de SolarWinds jusqu'aux incidents de ces dernières années, tels que les attaques réussies contre Change Healthcare, AT&T et d'autres - de nombreuses organisations continuent de se concentrer sur une approche réactive de la sécurité. Elles consacrent la majeure partie de leurs ressources en matière de sécurité à la recherche et à la correction des vulnérabilités, ainsi qu'à la réaction aux incidents au fur et à mesure qu'ils se produisent. Cette approche aurait pu convenir à une autre époque, mais l'évolution rapide des logiciels, des capacités technologiques et de l'infrastructure informatique est trop importante pour que des équipes de sécurité en sous-effectif et surchargées de travail puissent la suivre.
Pour éviter d'être continuellement désavantagées, elles doivent cesser de courir après les menaces de sécurité qui évoluent trop vite pour elles ou d'attendre que le cheval de la violation de données soit sorti de l'écurie. Au lieu de cela, elles doivent s'attaquer au problème en adoptant une approche préventive plutôt que réactive. L'amélioration de la sécurité des applications existantes et des nouvelles applications nécessite une approche "Secure-by-Design", soutenue par une formation efficace des développeurs, afin de garantir que les meilleures pratiques de sécurité sont utilisées dès le début du cycle de développement logiciel (SDLC) et que les vulnérabilités sont corrigées avant qu'elles ne soient mises en production.
Jusqu'à présent, cela s'est avéré beaucoup plus facile à dire qu'à faire.
Les codeurs sécurisés sont rares
L'agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a tenté de faire de la prévention une politique clé avec son initiative Secure-by-Design, qui promeut le codage sécurisé ainsi que d'autres bonnes pratiques - allant de l'authentification multifactorielle à la réduction des catégories de vulnérabilités - et encourage les organisations à prendre l'engagement Secure-by-Design Pledge (Engagement pour la sécurité par la conception). D'autres pays, dont l'Australie, le Canada, l'Allemagne et le Royaume-Uni, ont lancé des programmes similaires. Néanmoins, nos recherches montrent que très peu d'organisations se sont ralliées à ce programme jusqu'à présent.
Si nous combinons tous les développeurs sur Secure Code Warrior's Learning Platform avec ceux des concurrents de SCW travaillant dans la veine Secure-by-Design, il y a entre 500 000 et 1 million de développeurs qui adoptent cette approche. Selon l'estimation la plus généreuse, cela représente environ 3,5 % du nombre total de développeurs dans le monde, qui devrait atteindre 28,7 millions d' ici à la fin de 2024. Cela fait beaucoup de développeurs qui produisent plus de code que jamais auparavant, en particulier avec les programmes d'intelligence artificielle générative qui accélèrent considérablement le rythme de développement, et très peu qui apprennent à commencer par un code sécurisé.
Les ingénieurs en logiciel n'apprennent généralement pas la cybersécurité parce que le modèle traditionnel veut que les développeurs et les professionnels de la sécurité travaillent comme des entités séparées, les équipes de sécurité s'occupant des problèmes de sécurité après la création du logiciel. Mais les professionnels de la sécurité sont terriblement moins nombreux dans l'environnement actuel. Le dernier rapport Building Security in Maturity Model ( BSIMM14) montre qu'il y a, en moyenne, 3,87 professionnels de l'AppSec pour 100 développeurs dans le monde. Avoir moins de quatre spécialistes formés qui tentent de sécuriser la production de 100 développeurs travaillant à une vitesse vertigineuse n'est pas une recette pour un code sécurisé.
La négligence de la sécurité des applications est tout aussi évidente lorsque l'on compare la taille de son marché à celle d'autres secteurs de la sécurité. Les éléments qui composent une approche Secure-by-Design relèvent du marché de la sécurité des applications, qui devrait passer de 6,08 milliards de dollars en 2023 à 17,51 milliards de dollars d'ici à 2031. Cela ressemble à une croissance rapide, mais c'est bien peu comparé à l'argent dépensé pour la sécurité des réseaux, qui devrait passer de 23,57 milliards de dollars en 2023 à 67,33 milliards de dollars d'ici 2032, ou pour la sécurité des technologies opérationnelles, qui devrait passer de 18,03 milliards de dollars en 2023 à 57,51 milliards de dollars d'ici 2031.
Compte tenu de l'importance croissante de la sécurité du code et des applications, ce domaine est sous-financé. En fait, si les entreprises investissent davantage dans la sécurité des applications et dans une approche "Secure-by-Design", elles peuvent être en mesure d'économiser dans d'autres domaines de la sécurité.
Un certain nombre d'autres facteurs contribuent à l'idée que la sécurité préventive est plus difficile à mettre en œuvre, et donc plus difficile à vendre aux cadres supérieurs. D'une part, les entreprises qui existent depuis longtemps, comme celles du secteur des services financiers, sont encombrées de vieux systèmes, dont certains datent du milieu du siècle dernier, lorsque le COBOL était le langage de programmation de prédilection.
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Construire une culture de la prévention
La transition vers une approche préventive de la sécurité démarre peut-être lentement, mais la pression en faveur de l'adoption de pratiques de conception sécurisée (Secure-by-Design) ne faiblit pas, car le besoin pressant d'une telle approche dans l'environnement actuel des cybermenaces ne disparaît pas non plus. L'industrie automobile serait critiquée si elle décidait d'investir dans un plus grand nombre d'ambulances et de secouristes au lieu de rendre les voitures plus sûres, mais de nombreuses organisations suivent ce modèle en matière de cybersécurité.
Les organisations doivent adopter une approche préventive et proactive pour réduire les risques. Elles doivent mettre en place des programmes pour former les développeurs à l'écriture de codes sécurisés et à la correction des erreurs (telles que celles introduites par les assistants d'IA ou les codes tiers) dès le début du cycle de développement durable. Ces programmes devraient inclure des programmes de formation agiles et interactifs qui s'adaptent aux horaires des développeurs et peuvent être adaptés à leurs environnements de travail et aux langages de programmation qu'ils utilisent. La formation continue devrait comprendre une formation pratique qui aborde des problèmes du monde réel.
Il est important qu'il comprenne un moyen de mesurer leurs progrès pour s'assurer qu'ils ont fait des meilleures pratiques de sécurité une partie vitale de leurs routines quotidiennes. Un outil tel que le Trust Score de SCW utilise des points de référence pour évaluer les progrès réalisés en interne et par rapport aux normes du secteur, tout en identifiant les domaines qui doivent être améliorés.
Une approche "Secure-by-Design" serait holistique, reflétant un état d'esprit axé sur la sécurité au sein de l'organisation, où la sécurité est une priorité pour l'entreprise. La réaction et la récupération sont des éléments essentiels de la posture de sécurité globale d'une organisation, certes. Mais en se concentrant sur la prévention, les entreprises peuvent faire de grands progrès dans la réduction des risques et peut-être éviter le type de violations majeures qui peuvent menacer la viabilité d'une entreprise.
Découvrez comment Secure Code Warrior peut vous aider à mettre en œuvre une initiative Secure-by-Design viable dès aujourd'hui.
Les équipes de sécurité ont du mal à suivre le raz-de-marée de nouvelles innovations dans le monde DevOps d'aujourd'hui, axé sur le cloud. Il est donc logique qu'elles soient également incapables de suivre le rythme de la myriade de façons dont les attaquants exploitent les faiblesses qui découlent inévitablement d'une telle quantité de code générée en permanence.
Pourtant, malgré l'accélération du rythme des failles de sécurité importantes - depuis la violation des données d'Equifax et l'attaque de la chaîne d'approvisionnement de SolarWinds jusqu'aux incidents de ces dernières années, tels que les attaques réussies contre Change Healthcare, AT&T et d'autres - de nombreuses organisations continuent de se concentrer sur une approche réactive de la sécurité. Elles consacrent la majeure partie de leurs ressources en matière de sécurité à la recherche et à la correction des vulnérabilités, ainsi qu'à la réaction aux incidents au fur et à mesure qu'ils se produisent. Cette approche aurait pu convenir à une autre époque, mais l'évolution rapide des logiciels, des capacités technologiques et de l'infrastructure informatique est trop importante pour que des équipes de sécurité en sous-effectif et surchargées de travail puissent la suivre.
Pour éviter d'être continuellement désavantagées, elles doivent cesser de courir après les menaces de sécurité qui évoluent trop vite pour elles ou d'attendre que le cheval de la violation de données soit sorti de l'écurie. Au lieu de cela, elles doivent s'attaquer au problème en adoptant une approche préventive plutôt que réactive. L'amélioration de la sécurité des applications existantes et des nouvelles applications nécessite une approche "Secure-by-Design", soutenue par une formation efficace des développeurs, afin de garantir que les meilleures pratiques de sécurité sont utilisées dès le début du cycle de développement logiciel (SDLC) et que les vulnérabilités sont corrigées avant qu'elles ne soient mises en production.
Jusqu'à présent, cela s'est avéré beaucoup plus facile à dire qu'à faire.
Les codeurs sécurisés sont rares
L'agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a tenté de faire de la prévention une politique clé avec son initiative Secure-by-Design, qui promeut le codage sécurisé ainsi que d'autres bonnes pratiques - allant de l'authentification multifactorielle à la réduction des catégories de vulnérabilités - et encourage les organisations à prendre l'engagement Secure-by-Design Pledge (Engagement pour la sécurité par la conception). D'autres pays, dont l'Australie, le Canada, l'Allemagne et le Royaume-Uni, ont lancé des programmes similaires. Néanmoins, nos recherches montrent que très peu d'organisations se sont ralliées à ce programme jusqu'à présent.
Si nous combinons tous les développeurs sur Secure Code Warrior's Learning Platform avec ceux des concurrents de SCW travaillant dans la veine Secure-by-Design, il y a entre 500 000 et 1 million de développeurs qui adoptent cette approche. Selon l'estimation la plus généreuse, cela représente environ 3,5 % du nombre total de développeurs dans le monde, qui devrait atteindre 28,7 millions d' ici à la fin de 2024. Cela fait beaucoup de développeurs qui produisent plus de code que jamais auparavant, en particulier avec les programmes d'intelligence artificielle générative qui accélèrent considérablement le rythme de développement, et très peu qui apprennent à commencer par un code sécurisé.
Les ingénieurs en logiciel n'apprennent généralement pas la cybersécurité parce que le modèle traditionnel veut que les développeurs et les professionnels de la sécurité travaillent comme des entités séparées, les équipes de sécurité s'occupant des problèmes de sécurité après la création du logiciel. Mais les professionnels de la sécurité sont terriblement moins nombreux dans l'environnement actuel. Le dernier rapport Building Security in Maturity Model ( BSIMM14) montre qu'il y a, en moyenne, 3,87 professionnels de l'AppSec pour 100 développeurs dans le monde. Avoir moins de quatre spécialistes formés qui tentent de sécuriser la production de 100 développeurs travaillant à une vitesse vertigineuse n'est pas une recette pour un code sécurisé.
La négligence de la sécurité des applications est tout aussi évidente lorsque l'on compare la taille de son marché à celle d'autres secteurs de la sécurité. Les éléments qui composent une approche Secure-by-Design relèvent du marché de la sécurité des applications, qui devrait passer de 6,08 milliards de dollars en 2023 à 17,51 milliards de dollars d'ici à 2031. Cela ressemble à une croissance rapide, mais c'est bien peu comparé à l'argent dépensé pour la sécurité des réseaux, qui devrait passer de 23,57 milliards de dollars en 2023 à 67,33 milliards de dollars d'ici 2032, ou pour la sécurité des technologies opérationnelles, qui devrait passer de 18,03 milliards de dollars en 2023 à 57,51 milliards de dollars d'ici 2031.
Compte tenu de l'importance croissante de la sécurité du code et des applications, ce domaine est sous-financé. En fait, si les entreprises investissent davantage dans la sécurité des applications et dans une approche "Secure-by-Design", elles peuvent être en mesure d'économiser dans d'autres domaines de la sécurité.
Un certain nombre d'autres facteurs contribuent à l'idée que la sécurité préventive est plus difficile à mettre en œuvre, et donc plus difficile à vendre aux cadres supérieurs. D'une part, les entreprises qui existent depuis longtemps, comme celles du secteur des services financiers, sont encombrées de vieux systèmes, dont certains datent du milieu du siècle dernier, lorsque le COBOL était le langage de programmation de prédilection.
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Construire une culture de la prévention
La transition vers une approche préventive de la sécurité démarre peut-être lentement, mais la pression en faveur de l'adoption de pratiques de conception sécurisée (Secure-by-Design) ne faiblit pas, car le besoin pressant d'une telle approche dans l'environnement actuel des cybermenaces ne disparaît pas non plus. L'industrie automobile serait critiquée si elle décidait d'investir dans un plus grand nombre d'ambulances et de secouristes au lieu de rendre les voitures plus sûres, mais de nombreuses organisations suivent ce modèle en matière de cybersécurité.
Les organisations doivent adopter une approche préventive et proactive pour réduire les risques. Elles doivent mettre en place des programmes pour former les développeurs à l'écriture de codes sécurisés et à la correction des erreurs (telles que celles introduites par les assistants d'IA ou les codes tiers) dès le début du cycle de développement durable. Ces programmes devraient inclure des programmes de formation agiles et interactifs qui s'adaptent aux horaires des développeurs et peuvent être adaptés à leurs environnements de travail et aux langages de programmation qu'ils utilisent. La formation continue devrait comprendre une formation pratique qui aborde des problèmes du monde réel.
Il est important qu'il comprenne un moyen de mesurer leurs progrès pour s'assurer qu'ils ont fait des meilleures pratiques de sécurité une partie vitale de leurs routines quotidiennes. Un outil tel que le Trust Score de SCW utilise des points de référence pour évaluer les progrès réalisés en interne et par rapport aux normes du secteur, tout en identifiant les domaines qui doivent être améliorés.
Une approche "Secure-by-Design" serait holistique, reflétant un état d'esprit axé sur la sécurité au sein de l'organisation, où la sécurité est une priorité pour l'entreprise. La réaction et la récupération sont des éléments essentiels de la posture de sécurité globale d'une organisation, certes. Mais en se concentrant sur la prévention, les entreprises peuvent faire de grands progrès dans la réduction des risques et peut-être éviter le type de violations majeures qui peuvent menacer la viabilité d'une entreprise.
Découvrez comment Secure Code Warrior peut vous aider à mettre en œuvre une initiative Secure-by-Design viable dès aujourd'hui.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationMatias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Les équipes de sécurité ont du mal à suivre le raz-de-marée de nouvelles innovations dans le monde DevOps d'aujourd'hui, axé sur le cloud. Il est donc logique qu'elles soient également incapables de suivre le rythme de la myriade de façons dont les attaquants exploitent les faiblesses qui découlent inévitablement d'une telle quantité de code générée en permanence.
Pourtant, malgré l'accélération du rythme des failles de sécurité importantes - depuis la violation des données d'Equifax et l'attaque de la chaîne d'approvisionnement de SolarWinds jusqu'aux incidents de ces dernières années, tels que les attaques réussies contre Change Healthcare, AT&T et d'autres - de nombreuses organisations continuent de se concentrer sur une approche réactive de la sécurité. Elles consacrent la majeure partie de leurs ressources en matière de sécurité à la recherche et à la correction des vulnérabilités, ainsi qu'à la réaction aux incidents au fur et à mesure qu'ils se produisent. Cette approche aurait pu convenir à une autre époque, mais l'évolution rapide des logiciels, des capacités technologiques et de l'infrastructure informatique est trop importante pour que des équipes de sécurité en sous-effectif et surchargées de travail puissent la suivre.
Pour éviter d'être continuellement désavantagées, elles doivent cesser de courir après les menaces de sécurité qui évoluent trop vite pour elles ou d'attendre que le cheval de la violation de données soit sorti de l'écurie. Au lieu de cela, elles doivent s'attaquer au problème en adoptant une approche préventive plutôt que réactive. L'amélioration de la sécurité des applications existantes et des nouvelles applications nécessite une approche "Secure-by-Design", soutenue par une formation efficace des développeurs, afin de garantir que les meilleures pratiques de sécurité sont utilisées dès le début du cycle de développement logiciel (SDLC) et que les vulnérabilités sont corrigées avant qu'elles ne soient mises en production.
Jusqu'à présent, cela s'est avéré beaucoup plus facile à dire qu'à faire.
Les codeurs sécurisés sont rares
L'agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a tenté de faire de la prévention une politique clé avec son initiative Secure-by-Design, qui promeut le codage sécurisé ainsi que d'autres bonnes pratiques - allant de l'authentification multifactorielle à la réduction des catégories de vulnérabilités - et encourage les organisations à prendre l'engagement Secure-by-Design Pledge (Engagement pour la sécurité par la conception). D'autres pays, dont l'Australie, le Canada, l'Allemagne et le Royaume-Uni, ont lancé des programmes similaires. Néanmoins, nos recherches montrent que très peu d'organisations se sont ralliées à ce programme jusqu'à présent.
Si nous combinons tous les développeurs sur Secure Code Warrior's Learning Platform avec ceux des concurrents de SCW travaillant dans la veine Secure-by-Design, il y a entre 500 000 et 1 million de développeurs qui adoptent cette approche. Selon l'estimation la plus généreuse, cela représente environ 3,5 % du nombre total de développeurs dans le monde, qui devrait atteindre 28,7 millions d' ici à la fin de 2024. Cela fait beaucoup de développeurs qui produisent plus de code que jamais auparavant, en particulier avec les programmes d'intelligence artificielle générative qui accélèrent considérablement le rythme de développement, et très peu qui apprennent à commencer par un code sécurisé.
Les ingénieurs en logiciel n'apprennent généralement pas la cybersécurité parce que le modèle traditionnel veut que les développeurs et les professionnels de la sécurité travaillent comme des entités séparées, les équipes de sécurité s'occupant des problèmes de sécurité après la création du logiciel. Mais les professionnels de la sécurité sont terriblement moins nombreux dans l'environnement actuel. Le dernier rapport Building Security in Maturity Model ( BSIMM14) montre qu'il y a, en moyenne, 3,87 professionnels de l'AppSec pour 100 développeurs dans le monde. Avoir moins de quatre spécialistes formés qui tentent de sécuriser la production de 100 développeurs travaillant à une vitesse vertigineuse n'est pas une recette pour un code sécurisé.
La négligence de la sécurité des applications est tout aussi évidente lorsque l'on compare la taille de son marché à celle d'autres secteurs de la sécurité. Les éléments qui composent une approche Secure-by-Design relèvent du marché de la sécurité des applications, qui devrait passer de 6,08 milliards de dollars en 2023 à 17,51 milliards de dollars d'ici à 2031. Cela ressemble à une croissance rapide, mais c'est bien peu comparé à l'argent dépensé pour la sécurité des réseaux, qui devrait passer de 23,57 milliards de dollars en 2023 à 67,33 milliards de dollars d'ici 2032, ou pour la sécurité des technologies opérationnelles, qui devrait passer de 18,03 milliards de dollars en 2023 à 57,51 milliards de dollars d'ici 2031.
Compte tenu de l'importance croissante de la sécurité du code et des applications, ce domaine est sous-financé. En fait, si les entreprises investissent davantage dans la sécurité des applications et dans une approche "Secure-by-Design", elles peuvent être en mesure d'économiser dans d'autres domaines de la sécurité.
Un certain nombre d'autres facteurs contribuent à l'idée que la sécurité préventive est plus difficile à mettre en œuvre, et donc plus difficile à vendre aux cadres supérieurs. D'une part, les entreprises qui existent depuis longtemps, comme celles du secteur des services financiers, sont encombrées de vieux systèmes, dont certains datent du milieu du siècle dernier, lorsque le COBOL était le langage de programmation de prédilection.
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Construire une culture de la prévention
La transition vers une approche préventive de la sécurité démarre peut-être lentement, mais la pression en faveur de l'adoption de pratiques de conception sécurisée (Secure-by-Design) ne faiblit pas, car le besoin pressant d'une telle approche dans l'environnement actuel des cybermenaces ne disparaît pas non plus. L'industrie automobile serait critiquée si elle décidait d'investir dans un plus grand nombre d'ambulances et de secouristes au lieu de rendre les voitures plus sûres, mais de nombreuses organisations suivent ce modèle en matière de cybersécurité.
Les organisations doivent adopter une approche préventive et proactive pour réduire les risques. Elles doivent mettre en place des programmes pour former les développeurs à l'écriture de codes sécurisés et à la correction des erreurs (telles que celles introduites par les assistants d'IA ou les codes tiers) dès le début du cycle de développement durable. Ces programmes devraient inclure des programmes de formation agiles et interactifs qui s'adaptent aux horaires des développeurs et peuvent être adaptés à leurs environnements de travail et aux langages de programmation qu'ils utilisent. La formation continue devrait comprendre une formation pratique qui aborde des problèmes du monde réel.
Il est important qu'il comprenne un moyen de mesurer leurs progrès pour s'assurer qu'ils ont fait des meilleures pratiques de sécurité une partie vitale de leurs routines quotidiennes. Un outil tel que le Trust Score de SCW utilise des points de référence pour évaluer les progrès réalisés en interne et par rapport aux normes du secteur, tout en identifiant les domaines qui doivent être améliorés.
Une approche "Secure-by-Design" serait holistique, reflétant un état d'esprit axé sur la sécurité au sein de l'organisation, où la sécurité est une priorité pour l'entreprise. La réaction et la récupération sont des éléments essentiels de la posture de sécurité globale d'une organisation, certes. Mais en se concentrant sur la prévention, les entreprises peuvent faire de grands progrès dans la réduction des risques et peut-être éviter le type de violations majeures qui peuvent menacer la viabilité d'une entreprise.
Découvrez comment Secure Code Warrior peut vous aider à mettre en œuvre une initiative Secure-by-Design viable dès aujourd'hui.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.
Plongée en profondeur : Naviguer dans la vulnérabilité critique de CUPS dans les systèmes GNU-Linux
Découvrez les derniers défis de sécurité auxquels sont confrontés les utilisateurs de Linux en explorant les récentes vulnérabilités de haute sévérité dans le système d'impression commun d'UNIX (CUPS). Apprenez comment ces problèmes peuvent conduire à une potentielle exécution de code à distance (RCE) et ce que vous pouvez faire pour protéger vos systèmes.
Les codeurs à la conquête de la sécurité : Partager et apprendre - Cross-Site Scripting (XSS)
Les scripts intersites (XSS) profitent de la confiance des navigateurs et de l'ignorance des utilisateurs pour voler des données, s'emparer de comptes et défigurer des sites web ; il s'agit d'une vulnérabilité qui peut rapidement devenir très gênante. Voyons comment fonctionne le XSS, quels sont les dommages qu'il peut causer et comment s'en prémunir.