La sécurité des logiciels est au Far West (et elle va nous tuer)
Publié à l'origine dans CSO Online
En tant que hacker éthique (semi-retraité), professionnel de la sécurité et féru d'informatique, on peut dire que je m'intéresse beaucoup à la technologie. Je m'intéresse à la façon dont elle a été conçue, à ce qu'elle fait et à la manière dont elle va améliorer certains aspects de notre vie ou la rendre plus efficace. Je regarde constamment "sous le capot" des appareils, découvrant certains des meilleurs (et des pires) exemples de code qui existent. Récemment, j'ai examiné comment mon système de climatisation pouvait être contrôlé à distance à l'aide d'une application Android (imaginez ma surprise lorsque j'ai découvert que n'importe qui sur le réseau WiFi pouvait contrôler cet appareil sans aucune authentification).
La sécurité des logiciels est toujours au centre de mes préoccupations, tout comme le danger très réel que représente notre mode de vie de plus en plus numérique et axé sur le partage d'informations personnelles. Après tout, nous nous trouvons dans un territoire largement non réglementé, non supervisé et ignoré. Nous sommes dans le Far West.
En tant que société collective, nous ne regardons pas sous le capot de la technologie que nous utilisons tous les jours. En fait, la plupart d'entre nous n'ont aucune idée du degré de sécurité des logiciels utilisés dans la myriade d'applications, de services et d'objets de plus en plus connectés que nous achetons et utilisons. Ce n'est même pas que nous leur fassions intrinsèquement confiance, nous n'y pensons tout simplement pas du tout.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo !, Facebook, Target : chacune de ces entreprises largement répandues a été victime d'une violation de données. Les vulnérabilités de leurs logiciels ont été exploitées et des millions et des millions d'enregistrements de clients ont été exposés. Ces exemples ne représentent qu'une fraction des violations mondiales qui ont eu lieu au cours des dix dernières années. Elles sont la conséquence coûteuse d'une mauvaise sécurité logicielle qui permet aux malfaiteurs de voler nos précieuses informations.
Lorsque la plupart des gens pensent aux violations de données, ils pensent aux violations de la sécurité de l'information. Elles sont certes un cauchemar pour l'entreprise victime de la violation et un inconvénient pour les personnes dont les données personnelles ont été affectées, mais sérieusement, quel est le problème ? Si la sécurité continue d'être ignorée, les conséquences sont-elles vraiment si graves ? Jusqu'à présent, rien de bien grave ne s'est produit : les violations de données ont de graves conséquences pour les entreprises qui en sont responsables, mais c'est leur problème, n'est-ce pas ? Elles perdent des marchés, elles perdent la confiance des consommateurs ; en fin de compte, c'est à elles qu'il incombe de régler le problème et de payer les dégâts.
La sécurité des logiciels devrait être une priorité pour toutes les organisations.
Il y a une raison assez simple pour laquelle la sécurité des logiciels n'est pas la préoccupation numéro un de toutes les organisations disposant d'une équipe de développement : il n'y a pas encore eu assez de victimes et les risques ne sont pas suffisamment connus.
Morbide ? Peut-être. Mais c'est la vérité. La réglementation, les normes de construction et l'attention portée à la modification des lois sont prises en compte (par exemple par les agences gouvernementales) lorsqu'il y a un coût humain réel.
Prenons l'exemple d'un pont. Les ingénieurs civils (un métier vieux de plusieurs centaines d'années) considèrent la sécurité comme un élément essentiel de la construction d'un pont. Leur approche va bien au-delà de l'esthétique et de la fonctionnalité de base. Chaque pont construit doit respecter des règles de sécurité strictes, la profession d'ingénieur civil et la société dans son ensemble ayant appris au fil du temps à exiger un niveau de sécurité élevé. Aujourd'hui, un pont qui ne répond pas aux exigences de sécurité est considéré comme dangereux et inutilisable. C'est une évolution à laquelle nous devons encore parvenir dans le domaine de l'ingénierie logicielle.
Prenons un exemple plus moderne, celui de l'industrie du jouet. Dans les années 1950, la production et les ventes de jouets ont connu un essor considérable grâce au baby-boom de l'après-guerre. Il est intéressant de noter que le nombre de visites aux urgences pour des incidents liés aux jouets a également augmenté au cours de cette période. Les flèches des jouets provoquaient des blessures aux yeux, les petits jouets (et les pièces détachables des jouets plus grands) étaient ingérés, et les fours à jouets commercialisés pour les petites filles étaient capables de chauffer à des températures plus élevées que les fours domestiques ordinaires.
C'était un peu le Far West, avec peu de réglementation, à l'exception de quelques interdictions isolées et de rappels de produits dans les circonstances les plus désastreuses. Les fabricants de jouets étaient essentiellement libres de produire les jouets qu'ils souhaitaient, les problèmes de sécurité étant généralement signalés après que plusieurs incidents aient été signalés. Ce n'est qu'après l'adoption de lois telles que la loi de 1969 sur la sécurité des jouets de Richard Nixon que les tests et l'interdiction subséquente des jouets dangereux sont devenus la norme, aux États-Unis et dans le monde entier. Bien que des accidents puissent toujours se produire, le processus général de fabrication des jouets adopte aujourd'hui une politique de "sécurité d'abord", et nos enfants courent beaucoup moins de dangers potentiels.
Dans le domaine de la sécurité des logiciels, nous sommes actuellement au Far West. Hormis les lois et réglementations évidentes relatives à la protection de la vie privée (en particulier récemment avec le GDPR) et à la protection des données des clients, ainsi que la législation sur le signalement obligatoire des violations dans certains pays, très peu de choses sont dites et faites dans le monde des affaires ou dans la communauté en général sur le niveau de sécurité intégré dans les logiciels. Même ces lois concernent davantage la responsabilité de l'entreprise que le logiciel lui-même qui est réglementé ou qui doit répondre à une norme de sécurité obligatoire.
Nous y parviendrons, mais il faudra peut-être d'abord emprunter la voie de la destruction.
Gartner estime que 8,4 milliards d'appareils connectés à l'internet seront utilisés d'ici 2020, ce qui représente une augmentation de 31 % par rapport à 2016. Ce chiffre inclut l'électronique grand public, ainsi que des appareils médicaux et des équipements spécifiques à l'industrie. Cela fait beaucoup d'opportunités pour un pirate informatique.
Imaginez que le logiciel du stimulateur cardiaque d'une personne ne soit pas sécurisé. Un pirate informatique pourrait s'y introduire et potentiellement arrêter le cœur de sa victime (vous trouvez cela ridicule ? Les médecins ont désactivé le WiFi du pacemaker de Dick Cheney pour éviter qu'il ne soit assassiné par piratage). Un four à micro-ondes ou une bouilloire connectés pourraient exploser à distance (ainsi que tous les appareils de l'internet des objets dont nous bénéficions dans nos maisons), ou les freins d'une voiture électrique connectée pourraient être désactivés. Cela peut sembler un film d'action hollywoodien tiré par les cheveux, mais si le logiciel de l'un de ces éléments avancés de la technologie connectée peut être violé, nous avons vraiment une catastrophe potentielle sur les bras - tout comme les menaces que nous avons déjà couvertes avec les ramifications explosives des cyberattaques dans l'industrie du pétrole et du gaz.
Nous pouvons anticiper les conséquences désastreuses des piratages malveillants à mesure que nos vies deviennent de plus en plus dépendantes du numérique. Tout commence par l'enthousiasme des développeurs pour le codage sécurisé et par la volonté de développer une culture et un état d'esprit solides en matière de sécurité au sein des équipes de développement.
Votre révolution logicielle commence ici. Le secteur bancaire est le premier à adopter la formation par le jeu dans la lutte contre le mauvais code, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (ennuyeuse). En fait, chacune des six plus grandes banques d'Australie fait actuellement participer ses développeurs de cette manière, en stimulant leur esprit de sécurité. Découvrez ce que notre client, IAG Group, a fait avec son prochain niveau tournament.
La sécurité des logiciels est toujours au centre de mes préoccupations, tout comme le danger très réel que représente notre mode de vie de plus en plus numérique et axé sur le partage d'informations personnelles. Après tout, nous nous trouvons dans un territoire largement non réglementé, non supervisé et ignoré. Nous sommes dans le Far West.
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationDirecteur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Publié à l'origine dans CSO Online
En tant que hacker éthique (semi-retraité), professionnel de la sécurité et féru d'informatique, on peut dire que je m'intéresse beaucoup à la technologie. Je m'intéresse à la façon dont elle a été conçue, à ce qu'elle fait et à la manière dont elle va améliorer certains aspects de notre vie ou la rendre plus efficace. Je regarde constamment "sous le capot" des appareils, découvrant certains des meilleurs (et des pires) exemples de code qui existent. Récemment, j'ai examiné comment mon système de climatisation pouvait être contrôlé à distance à l'aide d'une application Android (imaginez ma surprise lorsque j'ai découvert que n'importe qui sur le réseau WiFi pouvait contrôler cet appareil sans aucune authentification).
La sécurité des logiciels est toujours au centre de mes préoccupations, tout comme le danger très réel que représente notre mode de vie de plus en plus numérique et axé sur le partage d'informations personnelles. Après tout, nous nous trouvons dans un territoire largement non réglementé, non supervisé et ignoré. Nous sommes dans le Far West.
En tant que société collective, nous ne regardons pas sous le capot de la technologie que nous utilisons tous les jours. En fait, la plupart d'entre nous n'ont aucune idée du degré de sécurité des logiciels utilisés dans la myriade d'applications, de services et d'objets de plus en plus connectés que nous achetons et utilisons. Ce n'est même pas que nous leur fassions intrinsèquement confiance, nous n'y pensons tout simplement pas du tout.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo !, Facebook, Target : chacune de ces entreprises largement répandues a été victime d'une violation de données. Les vulnérabilités de leurs logiciels ont été exploitées et des millions et des millions d'enregistrements de clients ont été exposés. Ces exemples ne représentent qu'une fraction des violations mondiales qui ont eu lieu au cours des dix dernières années. Elles sont la conséquence coûteuse d'une mauvaise sécurité logicielle qui permet aux malfaiteurs de voler nos précieuses informations.
Lorsque la plupart des gens pensent aux violations de données, ils pensent aux violations de la sécurité de l'information. Elles sont certes un cauchemar pour l'entreprise victime de la violation et un inconvénient pour les personnes dont les données personnelles ont été affectées, mais sérieusement, quel est le problème ? Si la sécurité continue d'être ignorée, les conséquences sont-elles vraiment si graves ? Jusqu'à présent, rien de bien grave ne s'est produit : les violations de données ont de graves conséquences pour les entreprises qui en sont responsables, mais c'est leur problème, n'est-ce pas ? Elles perdent des marchés, elles perdent la confiance des consommateurs ; en fin de compte, c'est à elles qu'il incombe de régler le problème et de payer les dégâts.
La sécurité des logiciels devrait être une priorité pour toutes les organisations.
Il y a une raison assez simple pour laquelle la sécurité des logiciels n'est pas la préoccupation numéro un de toutes les organisations disposant d'une équipe de développement : il n'y a pas encore eu assez de victimes et les risques ne sont pas suffisamment connus.
Morbide ? Peut-être. Mais c'est la vérité. La réglementation, les normes de construction et l'attention portée à la modification des lois sont prises en compte (par exemple par les agences gouvernementales) lorsqu'il y a un coût humain réel.
Prenons l'exemple d'un pont. Les ingénieurs civils (un métier vieux de plusieurs centaines d'années) considèrent la sécurité comme un élément essentiel de la construction d'un pont. Leur approche va bien au-delà de l'esthétique et de la fonctionnalité de base. Chaque pont construit doit respecter des règles de sécurité strictes, la profession d'ingénieur civil et la société dans son ensemble ayant appris au fil du temps à exiger un niveau de sécurité élevé. Aujourd'hui, un pont qui ne répond pas aux exigences de sécurité est considéré comme dangereux et inutilisable. C'est une évolution à laquelle nous devons encore parvenir dans le domaine de l'ingénierie logicielle.
Prenons un exemple plus moderne, celui de l'industrie du jouet. Dans les années 1950, la production et les ventes de jouets ont connu un essor considérable grâce au baby-boom de l'après-guerre. Il est intéressant de noter que le nombre de visites aux urgences pour des incidents liés aux jouets a également augmenté au cours de cette période. Les flèches des jouets provoquaient des blessures aux yeux, les petits jouets (et les pièces détachables des jouets plus grands) étaient ingérés, et les fours à jouets commercialisés pour les petites filles étaient capables de chauffer à des températures plus élevées que les fours domestiques ordinaires.
C'était un peu le Far West, avec peu de réglementation, à l'exception de quelques interdictions isolées et de rappels de produits dans les circonstances les plus désastreuses. Les fabricants de jouets étaient essentiellement libres de produire les jouets qu'ils souhaitaient, les problèmes de sécurité étant généralement signalés après que plusieurs incidents aient été signalés. Ce n'est qu'après l'adoption de lois telles que la loi de 1969 sur la sécurité des jouets de Richard Nixon que les tests et l'interdiction subséquente des jouets dangereux sont devenus la norme, aux États-Unis et dans le monde entier. Bien que des accidents puissent toujours se produire, le processus général de fabrication des jouets adopte aujourd'hui une politique de "sécurité d'abord", et nos enfants courent beaucoup moins de dangers potentiels.
Dans le domaine de la sécurité des logiciels, nous sommes actuellement au Far West. Hormis les lois et réglementations évidentes relatives à la protection de la vie privée (en particulier récemment avec le GDPR) et à la protection des données des clients, ainsi que la législation sur le signalement obligatoire des violations dans certains pays, très peu de choses sont dites et faites dans le monde des affaires ou dans la communauté en général sur le niveau de sécurité intégré dans les logiciels. Même ces lois concernent davantage la responsabilité de l'entreprise que le logiciel lui-même qui est réglementé ou qui doit répondre à une norme de sécurité obligatoire.
Nous y parviendrons, mais il faudra peut-être d'abord emprunter la voie de la destruction.
Gartner estime que 8,4 milliards d'appareils connectés à l'internet seront utilisés d'ici 2020, ce qui représente une augmentation de 31 % par rapport à 2016. Ce chiffre inclut l'électronique grand public, ainsi que des appareils médicaux et des équipements spécifiques à l'industrie. Cela fait beaucoup d'opportunités pour un pirate informatique.
Imaginez que le logiciel du stimulateur cardiaque d'une personne ne soit pas sécurisé. Un pirate informatique pourrait s'y introduire et potentiellement arrêter le cœur de sa victime (vous trouvez cela ridicule ? Les médecins ont désactivé le WiFi du pacemaker de Dick Cheney pour éviter qu'il ne soit assassiné par piratage). Un four à micro-ondes ou une bouilloire connectés pourraient exploser à distance (ainsi que tous les appareils de l'internet des objets dont nous bénéficions dans nos maisons), ou les freins d'une voiture électrique connectée pourraient être désactivés. Cela peut sembler un film d'action hollywoodien tiré par les cheveux, mais si le logiciel de l'un de ces éléments avancés de la technologie connectée peut être violé, nous avons vraiment une catastrophe potentielle sur les bras - tout comme les menaces que nous avons déjà couvertes avec les ramifications explosives des cyberattaques dans l'industrie du pétrole et du gaz.
Nous pouvons anticiper les conséquences désastreuses des piratages malveillants à mesure que nos vies deviennent de plus en plus dépendantes du numérique. Tout commence par l'enthousiasme des développeurs pour le codage sécurisé et par la volonté de développer une culture et un état d'esprit solides en matière de sécurité au sein des équipes de développement.
Votre révolution logicielle commence ici. Le secteur bancaire est le premier à adopter la formation par le jeu dans la lutte contre le mauvais code, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (ennuyeuse). En fait, chacune des six plus grandes banques d'Australie fait actuellement participer ses développeurs de cette manière, en stimulant leur esprit de sécurité. Découvrez ce que notre client, IAG Group, a fait avec son prochain niveau tournament.
Publié à l'origine dans CSO Online
En tant que hacker éthique (semi-retraité), professionnel de la sécurité et féru d'informatique, on peut dire que je m'intéresse beaucoup à la technologie. Je m'intéresse à la façon dont elle a été conçue, à ce qu'elle fait et à la manière dont elle va améliorer certains aspects de notre vie ou la rendre plus efficace. Je regarde constamment "sous le capot" des appareils, découvrant certains des meilleurs (et des pires) exemples de code qui existent. Récemment, j'ai examiné comment mon système de climatisation pouvait être contrôlé à distance à l'aide d'une application Android (imaginez ma surprise lorsque j'ai découvert que n'importe qui sur le réseau WiFi pouvait contrôler cet appareil sans aucune authentification).
La sécurité des logiciels est toujours au centre de mes préoccupations, tout comme le danger très réel que représente notre mode de vie de plus en plus numérique et axé sur le partage d'informations personnelles. Après tout, nous nous trouvons dans un territoire largement non réglementé, non supervisé et ignoré. Nous sommes dans le Far West.
En tant que société collective, nous ne regardons pas sous le capot de la technologie que nous utilisons tous les jours. En fait, la plupart d'entre nous n'ont aucune idée du degré de sécurité des logiciels utilisés dans la myriade d'applications, de services et d'objets de plus en plus connectés que nous achetons et utilisons. Ce n'est même pas que nous leur fassions intrinsèquement confiance, nous n'y pensons tout simplement pas du tout.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo !, Facebook, Target : chacune de ces entreprises largement répandues a été victime d'une violation de données. Les vulnérabilités de leurs logiciels ont été exploitées et des millions et des millions d'enregistrements de clients ont été exposés. Ces exemples ne représentent qu'une fraction des violations mondiales qui ont eu lieu au cours des dix dernières années. Elles sont la conséquence coûteuse d'une mauvaise sécurité logicielle qui permet aux malfaiteurs de voler nos précieuses informations.
Lorsque la plupart des gens pensent aux violations de données, ils pensent aux violations de la sécurité de l'information. Elles sont certes un cauchemar pour l'entreprise victime de la violation et un inconvénient pour les personnes dont les données personnelles ont été affectées, mais sérieusement, quel est le problème ? Si la sécurité continue d'être ignorée, les conséquences sont-elles vraiment si graves ? Jusqu'à présent, rien de bien grave ne s'est produit : les violations de données ont de graves conséquences pour les entreprises qui en sont responsables, mais c'est leur problème, n'est-ce pas ? Elles perdent des marchés, elles perdent la confiance des consommateurs ; en fin de compte, c'est à elles qu'il incombe de régler le problème et de payer les dégâts.
La sécurité des logiciels devrait être une priorité pour toutes les organisations.
Il y a une raison assez simple pour laquelle la sécurité des logiciels n'est pas la préoccupation numéro un de toutes les organisations disposant d'une équipe de développement : il n'y a pas encore eu assez de victimes et les risques ne sont pas suffisamment connus.
Morbide ? Peut-être. Mais c'est la vérité. La réglementation, les normes de construction et l'attention portée à la modification des lois sont prises en compte (par exemple par les agences gouvernementales) lorsqu'il y a un coût humain réel.
Prenons l'exemple d'un pont. Les ingénieurs civils (un métier vieux de plusieurs centaines d'années) considèrent la sécurité comme un élément essentiel de la construction d'un pont. Leur approche va bien au-delà de l'esthétique et de la fonctionnalité de base. Chaque pont construit doit respecter des règles de sécurité strictes, la profession d'ingénieur civil et la société dans son ensemble ayant appris au fil du temps à exiger un niveau de sécurité élevé. Aujourd'hui, un pont qui ne répond pas aux exigences de sécurité est considéré comme dangereux et inutilisable. C'est une évolution à laquelle nous devons encore parvenir dans le domaine de l'ingénierie logicielle.
Prenons un exemple plus moderne, celui de l'industrie du jouet. Dans les années 1950, la production et les ventes de jouets ont connu un essor considérable grâce au baby-boom de l'après-guerre. Il est intéressant de noter que le nombre de visites aux urgences pour des incidents liés aux jouets a également augmenté au cours de cette période. Les flèches des jouets provoquaient des blessures aux yeux, les petits jouets (et les pièces détachables des jouets plus grands) étaient ingérés, et les fours à jouets commercialisés pour les petites filles étaient capables de chauffer à des températures plus élevées que les fours domestiques ordinaires.
C'était un peu le Far West, avec peu de réglementation, à l'exception de quelques interdictions isolées et de rappels de produits dans les circonstances les plus désastreuses. Les fabricants de jouets étaient essentiellement libres de produire les jouets qu'ils souhaitaient, les problèmes de sécurité étant généralement signalés après que plusieurs incidents aient été signalés. Ce n'est qu'après l'adoption de lois telles que la loi de 1969 sur la sécurité des jouets de Richard Nixon que les tests et l'interdiction subséquente des jouets dangereux sont devenus la norme, aux États-Unis et dans le monde entier. Bien que des accidents puissent toujours se produire, le processus général de fabrication des jouets adopte aujourd'hui une politique de "sécurité d'abord", et nos enfants courent beaucoup moins de dangers potentiels.
Dans le domaine de la sécurité des logiciels, nous sommes actuellement au Far West. Hormis les lois et réglementations évidentes relatives à la protection de la vie privée (en particulier récemment avec le GDPR) et à la protection des données des clients, ainsi que la législation sur le signalement obligatoire des violations dans certains pays, très peu de choses sont dites et faites dans le monde des affaires ou dans la communauté en général sur le niveau de sécurité intégré dans les logiciels. Même ces lois concernent davantage la responsabilité de l'entreprise que le logiciel lui-même qui est réglementé ou qui doit répondre à une norme de sécurité obligatoire.
Nous y parviendrons, mais il faudra peut-être d'abord emprunter la voie de la destruction.
Gartner estime que 8,4 milliards d'appareils connectés à l'internet seront utilisés d'ici 2020, ce qui représente une augmentation de 31 % par rapport à 2016. Ce chiffre inclut l'électronique grand public, ainsi que des appareils médicaux et des équipements spécifiques à l'industrie. Cela fait beaucoup d'opportunités pour un pirate informatique.
Imaginez que le logiciel du stimulateur cardiaque d'une personne ne soit pas sécurisé. Un pirate informatique pourrait s'y introduire et potentiellement arrêter le cœur de sa victime (vous trouvez cela ridicule ? Les médecins ont désactivé le WiFi du pacemaker de Dick Cheney pour éviter qu'il ne soit assassiné par piratage). Un four à micro-ondes ou une bouilloire connectés pourraient exploser à distance (ainsi que tous les appareils de l'internet des objets dont nous bénéficions dans nos maisons), ou les freins d'une voiture électrique connectée pourraient être désactivés. Cela peut sembler un film d'action hollywoodien tiré par les cheveux, mais si le logiciel de l'un de ces éléments avancés de la technologie connectée peut être violé, nous avons vraiment une catastrophe potentielle sur les bras - tout comme les menaces que nous avons déjà couvertes avec les ramifications explosives des cyberattaques dans l'industrie du pétrole et du gaz.
Nous pouvons anticiper les conséquences désastreuses des piratages malveillants à mesure que nos vies deviennent de plus en plus dépendantes du numérique. Tout commence par l'enthousiasme des développeurs pour le codage sécurisé et par la volonté de développer une culture et un état d'esprit solides en matière de sécurité au sein des équipes de développement.
Votre révolution logicielle commence ici. Le secteur bancaire est le premier à adopter la formation par le jeu dans la lutte contre le mauvais code, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (ennuyeuse). En fait, chacune des six plus grandes banques d'Australie fait actuellement participer ses développeurs de cette manière, en stimulant leur esprit de sécurité. Découvrez ce que notre client, IAG Group, a fait avec son prochain niveau tournament.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationDirecteur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Publié à l'origine dans CSO Online
En tant que hacker éthique (semi-retraité), professionnel de la sécurité et féru d'informatique, on peut dire que je m'intéresse beaucoup à la technologie. Je m'intéresse à la façon dont elle a été conçue, à ce qu'elle fait et à la manière dont elle va améliorer certains aspects de notre vie ou la rendre plus efficace. Je regarde constamment "sous le capot" des appareils, découvrant certains des meilleurs (et des pires) exemples de code qui existent. Récemment, j'ai examiné comment mon système de climatisation pouvait être contrôlé à distance à l'aide d'une application Android (imaginez ma surprise lorsque j'ai découvert que n'importe qui sur le réseau WiFi pouvait contrôler cet appareil sans aucune authentification).
La sécurité des logiciels est toujours au centre de mes préoccupations, tout comme le danger très réel que représente notre mode de vie de plus en plus numérique et axé sur le partage d'informations personnelles. Après tout, nous nous trouvons dans un territoire largement non réglementé, non supervisé et ignoré. Nous sommes dans le Far West.
En tant que société collective, nous ne regardons pas sous le capot de la technologie que nous utilisons tous les jours. En fait, la plupart d'entre nous n'ont aucune idée du degré de sécurité des logiciels utilisés dans la myriade d'applications, de services et d'objets de plus en plus connectés que nous achetons et utilisons. Ce n'est même pas que nous leur fassions intrinsèquement confiance, nous n'y pensons tout simplement pas du tout.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo !, Facebook, Target : chacune de ces entreprises largement répandues a été victime d'une violation de données. Les vulnérabilités de leurs logiciels ont été exploitées et des millions et des millions d'enregistrements de clients ont été exposés. Ces exemples ne représentent qu'une fraction des violations mondiales qui ont eu lieu au cours des dix dernières années. Elles sont la conséquence coûteuse d'une mauvaise sécurité logicielle qui permet aux malfaiteurs de voler nos précieuses informations.
Lorsque la plupart des gens pensent aux violations de données, ils pensent aux violations de la sécurité de l'information. Elles sont certes un cauchemar pour l'entreprise victime de la violation et un inconvénient pour les personnes dont les données personnelles ont été affectées, mais sérieusement, quel est le problème ? Si la sécurité continue d'être ignorée, les conséquences sont-elles vraiment si graves ? Jusqu'à présent, rien de bien grave ne s'est produit : les violations de données ont de graves conséquences pour les entreprises qui en sont responsables, mais c'est leur problème, n'est-ce pas ? Elles perdent des marchés, elles perdent la confiance des consommateurs ; en fin de compte, c'est à elles qu'il incombe de régler le problème et de payer les dégâts.
La sécurité des logiciels devrait être une priorité pour toutes les organisations.
Il y a une raison assez simple pour laquelle la sécurité des logiciels n'est pas la préoccupation numéro un de toutes les organisations disposant d'une équipe de développement : il n'y a pas encore eu assez de victimes et les risques ne sont pas suffisamment connus.
Morbide ? Peut-être. Mais c'est la vérité. La réglementation, les normes de construction et l'attention portée à la modification des lois sont prises en compte (par exemple par les agences gouvernementales) lorsqu'il y a un coût humain réel.
Prenons l'exemple d'un pont. Les ingénieurs civils (un métier vieux de plusieurs centaines d'années) considèrent la sécurité comme un élément essentiel de la construction d'un pont. Leur approche va bien au-delà de l'esthétique et de la fonctionnalité de base. Chaque pont construit doit respecter des règles de sécurité strictes, la profession d'ingénieur civil et la société dans son ensemble ayant appris au fil du temps à exiger un niveau de sécurité élevé. Aujourd'hui, un pont qui ne répond pas aux exigences de sécurité est considéré comme dangereux et inutilisable. C'est une évolution à laquelle nous devons encore parvenir dans le domaine de l'ingénierie logicielle.
Prenons un exemple plus moderne, celui de l'industrie du jouet. Dans les années 1950, la production et les ventes de jouets ont connu un essor considérable grâce au baby-boom de l'après-guerre. Il est intéressant de noter que le nombre de visites aux urgences pour des incidents liés aux jouets a également augmenté au cours de cette période. Les flèches des jouets provoquaient des blessures aux yeux, les petits jouets (et les pièces détachables des jouets plus grands) étaient ingérés, et les fours à jouets commercialisés pour les petites filles étaient capables de chauffer à des températures plus élevées que les fours domestiques ordinaires.
C'était un peu le Far West, avec peu de réglementation, à l'exception de quelques interdictions isolées et de rappels de produits dans les circonstances les plus désastreuses. Les fabricants de jouets étaient essentiellement libres de produire les jouets qu'ils souhaitaient, les problèmes de sécurité étant généralement signalés après que plusieurs incidents aient été signalés. Ce n'est qu'après l'adoption de lois telles que la loi de 1969 sur la sécurité des jouets de Richard Nixon que les tests et l'interdiction subséquente des jouets dangereux sont devenus la norme, aux États-Unis et dans le monde entier. Bien que des accidents puissent toujours se produire, le processus général de fabrication des jouets adopte aujourd'hui une politique de "sécurité d'abord", et nos enfants courent beaucoup moins de dangers potentiels.
Dans le domaine de la sécurité des logiciels, nous sommes actuellement au Far West. Hormis les lois et réglementations évidentes relatives à la protection de la vie privée (en particulier récemment avec le GDPR) et à la protection des données des clients, ainsi que la législation sur le signalement obligatoire des violations dans certains pays, très peu de choses sont dites et faites dans le monde des affaires ou dans la communauté en général sur le niveau de sécurité intégré dans les logiciels. Même ces lois concernent davantage la responsabilité de l'entreprise que le logiciel lui-même qui est réglementé ou qui doit répondre à une norme de sécurité obligatoire.
Nous y parviendrons, mais il faudra peut-être d'abord emprunter la voie de la destruction.
Gartner estime que 8,4 milliards d'appareils connectés à l'internet seront utilisés d'ici 2020, ce qui représente une augmentation de 31 % par rapport à 2016. Ce chiffre inclut l'électronique grand public, ainsi que des appareils médicaux et des équipements spécifiques à l'industrie. Cela fait beaucoup d'opportunités pour un pirate informatique.
Imaginez que le logiciel du stimulateur cardiaque d'une personne ne soit pas sécurisé. Un pirate informatique pourrait s'y introduire et potentiellement arrêter le cœur de sa victime (vous trouvez cela ridicule ? Les médecins ont désactivé le WiFi du pacemaker de Dick Cheney pour éviter qu'il ne soit assassiné par piratage). Un four à micro-ondes ou une bouilloire connectés pourraient exploser à distance (ainsi que tous les appareils de l'internet des objets dont nous bénéficions dans nos maisons), ou les freins d'une voiture électrique connectée pourraient être désactivés. Cela peut sembler un film d'action hollywoodien tiré par les cheveux, mais si le logiciel de l'un de ces éléments avancés de la technologie connectée peut être violé, nous avons vraiment une catastrophe potentielle sur les bras - tout comme les menaces que nous avons déjà couvertes avec les ramifications explosives des cyberattaques dans l'industrie du pétrole et du gaz.
Nous pouvons anticiper les conséquences désastreuses des piratages malveillants à mesure que nos vies deviennent de plus en plus dépendantes du numérique. Tout commence par l'enthousiasme des développeurs pour le codage sécurisé et par la volonté de développer une culture et un état d'esprit solides en matière de sécurité au sein des équipes de développement.
Votre révolution logicielle commence ici. Le secteur bancaire est le premier à adopter la formation par le jeu dans la lutte contre le mauvais code, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (ennuyeuse). En fait, chacune des six plus grandes banques d'Australie fait actuellement participer ses développeurs de cette manière, en stimulant leur esprit de sécurité. Découvrez ce que notre client, IAG Group, a fait avec son prochain niveau tournament.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.
Plongée en profondeur : Naviguer dans la vulnérabilité critique de CUPS dans les systèmes GNU-Linux
Découvrez les derniers défis de sécurité auxquels sont confrontés les utilisateurs de Linux en explorant les récentes vulnérabilités de haute sévérité dans le système d'impression commun d'UNIX (CUPS). Apprenez comment ces problèmes peuvent conduire à une potentielle exécution de code à distance (RCE) et ce que vous pouvez faire pour protéger vos systèmes.