Le changement dont nous avons besoin dans les badlands de l'AppSec : Mes prévisions pour 2019
L'année 2018 a été une année record pour les professionnels de la cybersécurité. Malgré les avertissements invitant à prendre la sécurité plus au sérieux, la presse constante entourant la formation d'un plus grand nombre de talents dans le secteur de la sécurité et les tentatives générales visant à sensibiliser davantage les organisations à la cybersécurité, nous restons les yeux fixés sur les cratères fumants laissés par des centaines de cyberattaques, représentant des violations de données à grande échelle et la méfiance des consommateurs à l'égard de certains noms de famille très connus. Rien qu'au premier semestre 2018, 4,5 milliards d'enregistrements de données ont été compromis dans 945 incidents distincts.
Je l'ai déjà dit à maintes reprises : nous pouvons faire mieux. Cependant, la véritable bataille à laquelle nous sommes confrontés n'est pas celle contre les script kiddies, les dangereux syndicats de la cybercriminalité organisée ou les mystérieux personnages vêtus de capuches qui tapent sur des ordinateurs portables - la bataille consiste à faire en sorte que davantage de personnes se soucient du fait que ces brèches se produisent.
La conformité au GDPR est un bon début, mais elle n'aura pas d'effet considérable à court terme.
Le règlement général sur la protection des données (RGPD) de l'Union européenne bat désormais son plein ; une menace plane sur les organisations qui ne prennent pas la protection des données au sérieux. Avec des amendes considérables pour ceux qui ne respectent pas les règles, ce règlement devait inciter les entreprises à renforcer leurs pratiques de sécurité, à traiter les données de leurs clients avec plus de respect et à élaborer une stratégie pour atténuer les effets des cyberattaques.
Certaines organisations ont été averties d'amendes colossales à venir, mais nous n'avons pas encore vu de véritables retombées suite à la non-conformité au GDPR. Pas de sanctions entraînant la faillite, mais un grand nombre de fenêtres contextuelles sur lesquelles cliquer pour les internautes. Cela s'explique en partie par le fait que les procédures juridiques prennent beaucoup de temps, avec de nombreuses possibilités d'appel - toutes les entreprises qui ont pu être prises en exemple sont probablement engagées dans une bataille juridique qui durera des mois, voire des années. Au terme d'une année cauchemardesque, Facebook a récemment fait état d'une nouvelle violation de données : un bogue d'API exposant les photos privées de 6,8 millions d'utilisateurs à 1500 applications non autorisées. Le problème a été découvert et corrigé en l'espace de deux semaines, mais les agences de protection des données et le public n'ont été informés de la violation que plusieurs mois plus tard. Les lois du GDPR exigent la notification d'une violation dans les 72 heures, ce qui soulève de nombreuses questions sur l'influence et l'efficacité de ces lois à l'heure actuelle.
Et bien sûr, les brèches n'ont pas cessé ailleurs : En novembre, Marriott a révélé que 500 millions de données avaient été compromises et, ce qui est peut-être encore plus inquiétant, que les attaquants avaient accédé à leurs systèmes pendant quatre ans avant d'être découverts. Il convient toutefois de noter que Marriott semble s 'efforcer de limiter les dégâts : l'entreprise a offert aux victimes un abonnement gratuit de 12 mois à WebWatcher, un outil de surveillance du crédit... mais avec 500 millions d'enregistrements que les pirates peuvent passer au crible, il reste à voir si un an suffira pour surveiller quoi que ce soit de significatif pour la plupart des gens ; après tout, il peut s'écouler quelques années avant que vos données ne soient mises en évidence pour un usage peu scrupuleux.
À long terme, les réglementations telles que le GDPR entraîneront des changements positifs si elles sont appliquées. Lorsque les entreprises seront frappées par une pénalité financière importante (ou, en effet, par des recours collectifs de clients dont les données ont été compromises) ou par une baisse des bénéfices sur une échelle suffisamment longue, je pense que la plupart des entreprises se concentreront frénétiquement sur la fortification des bases de données en ligne.
Les institutions financières continueront à montrer la voie du changement positif à court terme.
Il n'est sans doute pas surprenant que les institutions financières, en tant que gardiennes de l'argent durement gagné dans le monde, aient des politiques de meilleures pratiques en matière de cybersécurité parmi les plus rigoureuses, ainsi que des processus de bout en bout pour réduire leurs risques.
L'un des principaux moteurs de cette conformité est le Conseil des normes de sécurité PCI, qui s'est engagé à aider les organisations financières à mettre en œuvre une politique de sécurité viable et à respecter les lignes directrices dans tous les domaines. Il a contribué à ce que ce secteur vertical atteigne les normes de sécurité les plus élevées dans le domaine des logiciels de paiement.
Qu'est-ce qui différencie les institutions financières des autres ? D'après mon expérience, elles sont généralement plus sensibilisées à la sécurité, consacrant des ressources à des programmes de formation holistiques destinés non seulement aux professionnels de l'AppSec et aux pen-testers, mais aussi à leurs équipes de développement (généralement très importantes et dispersées dans le monde entier). Elles veillent à ce que les décideurs de haut niveau comprennent que les processus de sécurité ne sont pas des mesures "fixes et oubliables" ; ils doivent évoluer aussi rapidement que la technologie utilisée et s'adapter aux risques variables.
Davantage d'organisations vont transformer leur pipeline de sécurité.
Comparé à d'autres branches de l'informatique, l'AppSec est relativement jeune. Il n'est pas facile d'être le petit nouveau : vous êtes facilement incompris et vous n'avez peut-être pas encore noué les relations clés dont vous avez besoin. Cependant, je pense qu'avec chaque année qui passe, il est de plus en plus facile pour l'AppSec de trouver sa place, même dans les organisations les plus désuètes et les plus résistantes au changement.
Il est devenu plus évident que les entreprises ne peuvent pas faire de la conformité en matière de sécurité une étape finale, de dernière minute, dans leurs processus logiciels. Il doit y avoir des contrôles et des mesures d'un point à l'autre, avec une plus grande concentration sur l'agrégation des données et la fourniture d'une plus grande visibilité aux niveaux exécutifs de l'entreprise. Sans cela, la sécurité restera hors de vue et hors d'esprit pour la plupart des entreprises. Et dans ce scénario, il est pratiquement impossible de rassembler les ressources nécessaires pour planifier les risques.
La bonne nouvelle, c'est que les organisations sont plus nombreuses que jamais à repérer leurs propres cyberattaques et à s'efforcer d'y remédier. La mauvaise nouvelle ? Ce processus prend en moyenne quatre-vingt-cinq jours.
Les outils de test de pénétration et l'examen manuel du code sont ardus, coûteux et lents à une époque où l'innovation rapide et la production de fonctionnalités sont indispensables dans la sphère technologique. La sensibilisation à la sécurité doit se faire dès le début : dès qu'un développeur écrit le code.
Notre industrie reconnaîtra le problème principal : nous avons besoin que les gens se soucient davantage des autres.
Voici ce qu'il en est : je pourrais compter vingt personnes dans mon réseau qui ont séjourné dans un hôtel Marriott à un moment ou à un autre au cours des quatre dernières années. Étant donné que 500 millions d'enregistrements ont été volés au cours de cette période, il y a de fortes chances que leurs données fassent partie de ce vol. Tout, des coordonnées actuelles aux numéros de carte de crédit encore valides en passant par les informations de passeport, pourrait être mis en vente en ce moment même sur le dark web. Cependant, leur facteur de sécurité est pratiquement nul.
Et il est facile de se reposer sur ses lauriers lorsque, dans le cadre d'un vol de données à si grande échelle, vous n'êtes qu'une aiguille dans une botte de foin.
Mais le vrai problème ? Les entreprises qui n'ont pas assuré la sécurité des données de leurs propres clients ne subissent que très peu de répercussions. Le cours de leurs actions est-il touché immédiatement après l'incident ? Bien sûr. Target, Equifax et maintenant Marriott peuvent en témoigner. Toutefois, un aperçu sur douze mois montre que le retour à la normale est assez rapide. Quelques années plus tard, tout est pardonné sur le plan financier.
Tant qu'il n'y aura pas de graves répercussions : amendes considérables, réglementations plus strictes et pertes d'activité importantes, l'AppSec sera un secteur qui devra constamment se battre pour faire comprendre la gravité des cyber-risques croissants auxquels une entreprise est exposée.
Je crains que la situation n'empire avant de s'améliorer, c'est pourquoi il est de la plus haute importance que nous nous efforcions de mettre en place des développeurs sensibilisés à la sécurité et des cultures de sécurité solides en première ligne des équipes techniques d'une organisation. Gardez cela à l'esprit et continuez à vous efforcer d'atteindre des normes plus élevées en matière de sécurité des logiciels.
La véritable bataille à laquelle nous sommes confrontés n'est pas celle contre les "script kiddies" ou les dangereux syndicats de la cybercriminalité organisée... il s'agit de faire en sorte que davantage de personnes se soucient du fait que des violations de données se produisent.
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationDirecteur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
L'année 2018 a été une année record pour les professionnels de la cybersécurité. Malgré les avertissements invitant à prendre la sécurité plus au sérieux, la presse constante entourant la formation d'un plus grand nombre de talents dans le secteur de la sécurité et les tentatives générales visant à sensibiliser davantage les organisations à la cybersécurité, nous restons les yeux fixés sur les cratères fumants laissés par des centaines de cyberattaques, représentant des violations de données à grande échelle et la méfiance des consommateurs à l'égard de certains noms de famille très connus. Rien qu'au premier semestre 2018, 4,5 milliards d'enregistrements de données ont été compromis dans 945 incidents distincts.
Je l'ai déjà dit à maintes reprises : nous pouvons faire mieux. Cependant, la véritable bataille à laquelle nous sommes confrontés n'est pas celle contre les script kiddies, les dangereux syndicats de la cybercriminalité organisée ou les mystérieux personnages vêtus de capuches qui tapent sur des ordinateurs portables - la bataille consiste à faire en sorte que davantage de personnes se soucient du fait que ces brèches se produisent.
La conformité au GDPR est un bon début, mais elle n'aura pas d'effet considérable à court terme.
Le règlement général sur la protection des données (RGPD) de l'Union européenne bat désormais son plein ; une menace plane sur les organisations qui ne prennent pas la protection des données au sérieux. Avec des amendes considérables pour ceux qui ne respectent pas les règles, ce règlement devait inciter les entreprises à renforcer leurs pratiques de sécurité, à traiter les données de leurs clients avec plus de respect et à élaborer une stratégie pour atténuer les effets des cyberattaques.
Certaines organisations ont été averties d'amendes colossales à venir, mais nous n'avons pas encore vu de véritables retombées suite à la non-conformité au GDPR. Pas de sanctions entraînant la faillite, mais un grand nombre de fenêtres contextuelles sur lesquelles cliquer pour les internautes. Cela s'explique en partie par le fait que les procédures juridiques prennent beaucoup de temps, avec de nombreuses possibilités d'appel - toutes les entreprises qui ont pu être prises en exemple sont probablement engagées dans une bataille juridique qui durera des mois, voire des années. Au terme d'une année cauchemardesque, Facebook a récemment fait état d'une nouvelle violation de données : un bogue d'API exposant les photos privées de 6,8 millions d'utilisateurs à 1500 applications non autorisées. Le problème a été découvert et corrigé en l'espace de deux semaines, mais les agences de protection des données et le public n'ont été informés de la violation que plusieurs mois plus tard. Les lois du GDPR exigent la notification d'une violation dans les 72 heures, ce qui soulève de nombreuses questions sur l'influence et l'efficacité de ces lois à l'heure actuelle.
Et bien sûr, les brèches n'ont pas cessé ailleurs : En novembre, Marriott a révélé que 500 millions de données avaient été compromises et, ce qui est peut-être encore plus inquiétant, que les attaquants avaient accédé à leurs systèmes pendant quatre ans avant d'être découverts. Il convient toutefois de noter que Marriott semble s 'efforcer de limiter les dégâts : l'entreprise a offert aux victimes un abonnement gratuit de 12 mois à WebWatcher, un outil de surveillance du crédit... mais avec 500 millions d'enregistrements que les pirates peuvent passer au crible, il reste à voir si un an suffira pour surveiller quoi que ce soit de significatif pour la plupart des gens ; après tout, il peut s'écouler quelques années avant que vos données ne soient mises en évidence pour un usage peu scrupuleux.
À long terme, les réglementations telles que le GDPR entraîneront des changements positifs si elles sont appliquées. Lorsque les entreprises seront frappées par une pénalité financière importante (ou, en effet, par des recours collectifs de clients dont les données ont été compromises) ou par une baisse des bénéfices sur une échelle suffisamment longue, je pense que la plupart des entreprises se concentreront frénétiquement sur la fortification des bases de données en ligne.
Les institutions financières continueront à montrer la voie du changement positif à court terme.
Il n'est sans doute pas surprenant que les institutions financières, en tant que gardiennes de l'argent durement gagné dans le monde, aient des politiques de meilleures pratiques en matière de cybersécurité parmi les plus rigoureuses, ainsi que des processus de bout en bout pour réduire leurs risques.
L'un des principaux moteurs de cette conformité est le Conseil des normes de sécurité PCI, qui s'est engagé à aider les organisations financières à mettre en œuvre une politique de sécurité viable et à respecter les lignes directrices dans tous les domaines. Il a contribué à ce que ce secteur vertical atteigne les normes de sécurité les plus élevées dans le domaine des logiciels de paiement.
Qu'est-ce qui différencie les institutions financières des autres ? D'après mon expérience, elles sont généralement plus sensibilisées à la sécurité, consacrant des ressources à des programmes de formation holistiques destinés non seulement aux professionnels de l'AppSec et aux pen-testers, mais aussi à leurs équipes de développement (généralement très importantes et dispersées dans le monde entier). Elles veillent à ce que les décideurs de haut niveau comprennent que les processus de sécurité ne sont pas des mesures "fixes et oubliables" ; ils doivent évoluer aussi rapidement que la technologie utilisée et s'adapter aux risques variables.
Davantage d'organisations vont transformer leur pipeline de sécurité.
Comparé à d'autres branches de l'informatique, l'AppSec est relativement jeune. Il n'est pas facile d'être le petit nouveau : vous êtes facilement incompris et vous n'avez peut-être pas encore noué les relations clés dont vous avez besoin. Cependant, je pense qu'avec chaque année qui passe, il est de plus en plus facile pour l'AppSec de trouver sa place, même dans les organisations les plus désuètes et les plus résistantes au changement.
Il est devenu plus évident que les entreprises ne peuvent pas faire de la conformité en matière de sécurité une étape finale, de dernière minute, dans leurs processus logiciels. Il doit y avoir des contrôles et des mesures d'un point à l'autre, avec une plus grande concentration sur l'agrégation des données et la fourniture d'une plus grande visibilité aux niveaux exécutifs de l'entreprise. Sans cela, la sécurité restera hors de vue et hors d'esprit pour la plupart des entreprises. Et dans ce scénario, il est pratiquement impossible de rassembler les ressources nécessaires pour planifier les risques.
La bonne nouvelle, c'est que les organisations sont plus nombreuses que jamais à repérer leurs propres cyberattaques et à s'efforcer d'y remédier. La mauvaise nouvelle ? Ce processus prend en moyenne quatre-vingt-cinq jours.
Les outils de test de pénétration et l'examen manuel du code sont ardus, coûteux et lents à une époque où l'innovation rapide et la production de fonctionnalités sont indispensables dans la sphère technologique. La sensibilisation à la sécurité doit se faire dès le début : dès qu'un développeur écrit le code.
Notre industrie reconnaîtra le problème principal : nous avons besoin que les gens se soucient davantage des autres.
Voici ce qu'il en est : je pourrais compter vingt personnes dans mon réseau qui ont séjourné dans un hôtel Marriott à un moment ou à un autre au cours des quatre dernières années. Étant donné que 500 millions d'enregistrements ont été volés au cours de cette période, il y a de fortes chances que leurs données fassent partie de ce vol. Tout, des coordonnées actuelles aux numéros de carte de crédit encore valides en passant par les informations de passeport, pourrait être mis en vente en ce moment même sur le dark web. Cependant, leur facteur de sécurité est pratiquement nul.
Et il est facile de se reposer sur ses lauriers lorsque, dans le cadre d'un vol de données à si grande échelle, vous n'êtes qu'une aiguille dans une botte de foin.
Mais le vrai problème ? Les entreprises qui n'ont pas assuré la sécurité des données de leurs propres clients ne subissent que très peu de répercussions. Le cours de leurs actions est-il touché immédiatement après l'incident ? Bien sûr. Target, Equifax et maintenant Marriott peuvent en témoigner. Toutefois, un aperçu sur douze mois montre que le retour à la normale est assez rapide. Quelques années plus tard, tout est pardonné sur le plan financier.
Tant qu'il n'y aura pas de graves répercussions : amendes considérables, réglementations plus strictes et pertes d'activité importantes, l'AppSec sera un secteur qui devra constamment se battre pour faire comprendre la gravité des cyber-risques croissants auxquels une entreprise est exposée.
Je crains que la situation n'empire avant de s'améliorer, c'est pourquoi il est de la plus haute importance que nous nous efforcions de mettre en place des développeurs sensibilisés à la sécurité et des cultures de sécurité solides en première ligne des équipes techniques d'une organisation. Gardez cela à l'esprit et continuez à vous efforcer d'atteindre des normes plus élevées en matière de sécurité des logiciels.
L'année 2018 a été une année record pour les professionnels de la cybersécurité. Malgré les avertissements invitant à prendre la sécurité plus au sérieux, la presse constante entourant la formation d'un plus grand nombre de talents dans le secteur de la sécurité et les tentatives générales visant à sensibiliser davantage les organisations à la cybersécurité, nous restons les yeux fixés sur les cratères fumants laissés par des centaines de cyberattaques, représentant des violations de données à grande échelle et la méfiance des consommateurs à l'égard de certains noms de famille très connus. Rien qu'au premier semestre 2018, 4,5 milliards d'enregistrements de données ont été compromis dans 945 incidents distincts.
Je l'ai déjà dit à maintes reprises : nous pouvons faire mieux. Cependant, la véritable bataille à laquelle nous sommes confrontés n'est pas celle contre les script kiddies, les dangereux syndicats de la cybercriminalité organisée ou les mystérieux personnages vêtus de capuches qui tapent sur des ordinateurs portables - la bataille consiste à faire en sorte que davantage de personnes se soucient du fait que ces brèches se produisent.
La conformité au GDPR est un bon début, mais elle n'aura pas d'effet considérable à court terme.
Le règlement général sur la protection des données (RGPD) de l'Union européenne bat désormais son plein ; une menace plane sur les organisations qui ne prennent pas la protection des données au sérieux. Avec des amendes considérables pour ceux qui ne respectent pas les règles, ce règlement devait inciter les entreprises à renforcer leurs pratiques de sécurité, à traiter les données de leurs clients avec plus de respect et à élaborer une stratégie pour atténuer les effets des cyberattaques.
Certaines organisations ont été averties d'amendes colossales à venir, mais nous n'avons pas encore vu de véritables retombées suite à la non-conformité au GDPR. Pas de sanctions entraînant la faillite, mais un grand nombre de fenêtres contextuelles sur lesquelles cliquer pour les internautes. Cela s'explique en partie par le fait que les procédures juridiques prennent beaucoup de temps, avec de nombreuses possibilités d'appel - toutes les entreprises qui ont pu être prises en exemple sont probablement engagées dans une bataille juridique qui durera des mois, voire des années. Au terme d'une année cauchemardesque, Facebook a récemment fait état d'une nouvelle violation de données : un bogue d'API exposant les photos privées de 6,8 millions d'utilisateurs à 1500 applications non autorisées. Le problème a été découvert et corrigé en l'espace de deux semaines, mais les agences de protection des données et le public n'ont été informés de la violation que plusieurs mois plus tard. Les lois du GDPR exigent la notification d'une violation dans les 72 heures, ce qui soulève de nombreuses questions sur l'influence et l'efficacité de ces lois à l'heure actuelle.
Et bien sûr, les brèches n'ont pas cessé ailleurs : En novembre, Marriott a révélé que 500 millions de données avaient été compromises et, ce qui est peut-être encore plus inquiétant, que les attaquants avaient accédé à leurs systèmes pendant quatre ans avant d'être découverts. Il convient toutefois de noter que Marriott semble s 'efforcer de limiter les dégâts : l'entreprise a offert aux victimes un abonnement gratuit de 12 mois à WebWatcher, un outil de surveillance du crédit... mais avec 500 millions d'enregistrements que les pirates peuvent passer au crible, il reste à voir si un an suffira pour surveiller quoi que ce soit de significatif pour la plupart des gens ; après tout, il peut s'écouler quelques années avant que vos données ne soient mises en évidence pour un usage peu scrupuleux.
À long terme, les réglementations telles que le GDPR entraîneront des changements positifs si elles sont appliquées. Lorsque les entreprises seront frappées par une pénalité financière importante (ou, en effet, par des recours collectifs de clients dont les données ont été compromises) ou par une baisse des bénéfices sur une échelle suffisamment longue, je pense que la plupart des entreprises se concentreront frénétiquement sur la fortification des bases de données en ligne.
Les institutions financières continueront à montrer la voie du changement positif à court terme.
Il n'est sans doute pas surprenant que les institutions financières, en tant que gardiennes de l'argent durement gagné dans le monde, aient des politiques de meilleures pratiques en matière de cybersécurité parmi les plus rigoureuses, ainsi que des processus de bout en bout pour réduire leurs risques.
L'un des principaux moteurs de cette conformité est le Conseil des normes de sécurité PCI, qui s'est engagé à aider les organisations financières à mettre en œuvre une politique de sécurité viable et à respecter les lignes directrices dans tous les domaines. Il a contribué à ce que ce secteur vertical atteigne les normes de sécurité les plus élevées dans le domaine des logiciels de paiement.
Qu'est-ce qui différencie les institutions financières des autres ? D'après mon expérience, elles sont généralement plus sensibilisées à la sécurité, consacrant des ressources à des programmes de formation holistiques destinés non seulement aux professionnels de l'AppSec et aux pen-testers, mais aussi à leurs équipes de développement (généralement très importantes et dispersées dans le monde entier). Elles veillent à ce que les décideurs de haut niveau comprennent que les processus de sécurité ne sont pas des mesures "fixes et oubliables" ; ils doivent évoluer aussi rapidement que la technologie utilisée et s'adapter aux risques variables.
Davantage d'organisations vont transformer leur pipeline de sécurité.
Comparé à d'autres branches de l'informatique, l'AppSec est relativement jeune. Il n'est pas facile d'être le petit nouveau : vous êtes facilement incompris et vous n'avez peut-être pas encore noué les relations clés dont vous avez besoin. Cependant, je pense qu'avec chaque année qui passe, il est de plus en plus facile pour l'AppSec de trouver sa place, même dans les organisations les plus désuètes et les plus résistantes au changement.
Il est devenu plus évident que les entreprises ne peuvent pas faire de la conformité en matière de sécurité une étape finale, de dernière minute, dans leurs processus logiciels. Il doit y avoir des contrôles et des mesures d'un point à l'autre, avec une plus grande concentration sur l'agrégation des données et la fourniture d'une plus grande visibilité aux niveaux exécutifs de l'entreprise. Sans cela, la sécurité restera hors de vue et hors d'esprit pour la plupart des entreprises. Et dans ce scénario, il est pratiquement impossible de rassembler les ressources nécessaires pour planifier les risques.
La bonne nouvelle, c'est que les organisations sont plus nombreuses que jamais à repérer leurs propres cyberattaques et à s'efforcer d'y remédier. La mauvaise nouvelle ? Ce processus prend en moyenne quatre-vingt-cinq jours.
Les outils de test de pénétration et l'examen manuel du code sont ardus, coûteux et lents à une époque où l'innovation rapide et la production de fonctionnalités sont indispensables dans la sphère technologique. La sensibilisation à la sécurité doit se faire dès le début : dès qu'un développeur écrit le code.
Notre industrie reconnaîtra le problème principal : nous avons besoin que les gens se soucient davantage des autres.
Voici ce qu'il en est : je pourrais compter vingt personnes dans mon réseau qui ont séjourné dans un hôtel Marriott à un moment ou à un autre au cours des quatre dernières années. Étant donné que 500 millions d'enregistrements ont été volés au cours de cette période, il y a de fortes chances que leurs données fassent partie de ce vol. Tout, des coordonnées actuelles aux numéros de carte de crédit encore valides en passant par les informations de passeport, pourrait être mis en vente en ce moment même sur le dark web. Cependant, leur facteur de sécurité est pratiquement nul.
Et il est facile de se reposer sur ses lauriers lorsque, dans le cadre d'un vol de données à si grande échelle, vous n'êtes qu'une aiguille dans une botte de foin.
Mais le vrai problème ? Les entreprises qui n'ont pas assuré la sécurité des données de leurs propres clients ne subissent que très peu de répercussions. Le cours de leurs actions est-il touché immédiatement après l'incident ? Bien sûr. Target, Equifax et maintenant Marriott peuvent en témoigner. Toutefois, un aperçu sur douze mois montre que le retour à la normale est assez rapide. Quelques années plus tard, tout est pardonné sur le plan financier.
Tant qu'il n'y aura pas de graves répercussions : amendes considérables, réglementations plus strictes et pertes d'activité importantes, l'AppSec sera un secteur qui devra constamment se battre pour faire comprendre la gravité des cyber-risques croissants auxquels une entreprise est exposée.
Je crains que la situation n'empire avant de s'améliorer, c'est pourquoi il est de la plus haute importance que nous nous efforcions de mettre en place des développeurs sensibilisés à la sécurité et des cultures de sécurité solides en première ligne des équipes techniques d'une organisation. Gardez cela à l'esprit et continuez à vous efforcer d'atteindre des normes plus élevées en matière de sécurité des logiciels.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationDirecteur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
L'année 2018 a été une année record pour les professionnels de la cybersécurité. Malgré les avertissements invitant à prendre la sécurité plus au sérieux, la presse constante entourant la formation d'un plus grand nombre de talents dans le secteur de la sécurité et les tentatives générales visant à sensibiliser davantage les organisations à la cybersécurité, nous restons les yeux fixés sur les cratères fumants laissés par des centaines de cyberattaques, représentant des violations de données à grande échelle et la méfiance des consommateurs à l'égard de certains noms de famille très connus. Rien qu'au premier semestre 2018, 4,5 milliards d'enregistrements de données ont été compromis dans 945 incidents distincts.
Je l'ai déjà dit à maintes reprises : nous pouvons faire mieux. Cependant, la véritable bataille à laquelle nous sommes confrontés n'est pas celle contre les script kiddies, les dangereux syndicats de la cybercriminalité organisée ou les mystérieux personnages vêtus de capuches qui tapent sur des ordinateurs portables - la bataille consiste à faire en sorte que davantage de personnes se soucient du fait que ces brèches se produisent.
La conformité au GDPR est un bon début, mais elle n'aura pas d'effet considérable à court terme.
Le règlement général sur la protection des données (RGPD) de l'Union européenne bat désormais son plein ; une menace plane sur les organisations qui ne prennent pas la protection des données au sérieux. Avec des amendes considérables pour ceux qui ne respectent pas les règles, ce règlement devait inciter les entreprises à renforcer leurs pratiques de sécurité, à traiter les données de leurs clients avec plus de respect et à élaborer une stratégie pour atténuer les effets des cyberattaques.
Certaines organisations ont été averties d'amendes colossales à venir, mais nous n'avons pas encore vu de véritables retombées suite à la non-conformité au GDPR. Pas de sanctions entraînant la faillite, mais un grand nombre de fenêtres contextuelles sur lesquelles cliquer pour les internautes. Cela s'explique en partie par le fait que les procédures juridiques prennent beaucoup de temps, avec de nombreuses possibilités d'appel - toutes les entreprises qui ont pu être prises en exemple sont probablement engagées dans une bataille juridique qui durera des mois, voire des années. Au terme d'une année cauchemardesque, Facebook a récemment fait état d'une nouvelle violation de données : un bogue d'API exposant les photos privées de 6,8 millions d'utilisateurs à 1500 applications non autorisées. Le problème a été découvert et corrigé en l'espace de deux semaines, mais les agences de protection des données et le public n'ont été informés de la violation que plusieurs mois plus tard. Les lois du GDPR exigent la notification d'une violation dans les 72 heures, ce qui soulève de nombreuses questions sur l'influence et l'efficacité de ces lois à l'heure actuelle.
Et bien sûr, les brèches n'ont pas cessé ailleurs : En novembre, Marriott a révélé que 500 millions de données avaient été compromises et, ce qui est peut-être encore plus inquiétant, que les attaquants avaient accédé à leurs systèmes pendant quatre ans avant d'être découverts. Il convient toutefois de noter que Marriott semble s 'efforcer de limiter les dégâts : l'entreprise a offert aux victimes un abonnement gratuit de 12 mois à WebWatcher, un outil de surveillance du crédit... mais avec 500 millions d'enregistrements que les pirates peuvent passer au crible, il reste à voir si un an suffira pour surveiller quoi que ce soit de significatif pour la plupart des gens ; après tout, il peut s'écouler quelques années avant que vos données ne soient mises en évidence pour un usage peu scrupuleux.
À long terme, les réglementations telles que le GDPR entraîneront des changements positifs si elles sont appliquées. Lorsque les entreprises seront frappées par une pénalité financière importante (ou, en effet, par des recours collectifs de clients dont les données ont été compromises) ou par une baisse des bénéfices sur une échelle suffisamment longue, je pense que la plupart des entreprises se concentreront frénétiquement sur la fortification des bases de données en ligne.
Les institutions financières continueront à montrer la voie du changement positif à court terme.
Il n'est sans doute pas surprenant que les institutions financières, en tant que gardiennes de l'argent durement gagné dans le monde, aient des politiques de meilleures pratiques en matière de cybersécurité parmi les plus rigoureuses, ainsi que des processus de bout en bout pour réduire leurs risques.
L'un des principaux moteurs de cette conformité est le Conseil des normes de sécurité PCI, qui s'est engagé à aider les organisations financières à mettre en œuvre une politique de sécurité viable et à respecter les lignes directrices dans tous les domaines. Il a contribué à ce que ce secteur vertical atteigne les normes de sécurité les plus élevées dans le domaine des logiciels de paiement.
Qu'est-ce qui différencie les institutions financières des autres ? D'après mon expérience, elles sont généralement plus sensibilisées à la sécurité, consacrant des ressources à des programmes de formation holistiques destinés non seulement aux professionnels de l'AppSec et aux pen-testers, mais aussi à leurs équipes de développement (généralement très importantes et dispersées dans le monde entier). Elles veillent à ce que les décideurs de haut niveau comprennent que les processus de sécurité ne sont pas des mesures "fixes et oubliables" ; ils doivent évoluer aussi rapidement que la technologie utilisée et s'adapter aux risques variables.
Davantage d'organisations vont transformer leur pipeline de sécurité.
Comparé à d'autres branches de l'informatique, l'AppSec est relativement jeune. Il n'est pas facile d'être le petit nouveau : vous êtes facilement incompris et vous n'avez peut-être pas encore noué les relations clés dont vous avez besoin. Cependant, je pense qu'avec chaque année qui passe, il est de plus en plus facile pour l'AppSec de trouver sa place, même dans les organisations les plus désuètes et les plus résistantes au changement.
Il est devenu plus évident que les entreprises ne peuvent pas faire de la conformité en matière de sécurité une étape finale, de dernière minute, dans leurs processus logiciels. Il doit y avoir des contrôles et des mesures d'un point à l'autre, avec une plus grande concentration sur l'agrégation des données et la fourniture d'une plus grande visibilité aux niveaux exécutifs de l'entreprise. Sans cela, la sécurité restera hors de vue et hors d'esprit pour la plupart des entreprises. Et dans ce scénario, il est pratiquement impossible de rassembler les ressources nécessaires pour planifier les risques.
La bonne nouvelle, c'est que les organisations sont plus nombreuses que jamais à repérer leurs propres cyberattaques et à s'efforcer d'y remédier. La mauvaise nouvelle ? Ce processus prend en moyenne quatre-vingt-cinq jours.
Les outils de test de pénétration et l'examen manuel du code sont ardus, coûteux et lents à une époque où l'innovation rapide et la production de fonctionnalités sont indispensables dans la sphère technologique. La sensibilisation à la sécurité doit se faire dès le début : dès qu'un développeur écrit le code.
Notre industrie reconnaîtra le problème principal : nous avons besoin que les gens se soucient davantage des autres.
Voici ce qu'il en est : je pourrais compter vingt personnes dans mon réseau qui ont séjourné dans un hôtel Marriott à un moment ou à un autre au cours des quatre dernières années. Étant donné que 500 millions d'enregistrements ont été volés au cours de cette période, il y a de fortes chances que leurs données fassent partie de ce vol. Tout, des coordonnées actuelles aux numéros de carte de crédit encore valides en passant par les informations de passeport, pourrait être mis en vente en ce moment même sur le dark web. Cependant, leur facteur de sécurité est pratiquement nul.
Et il est facile de se reposer sur ses lauriers lorsque, dans le cadre d'un vol de données à si grande échelle, vous n'êtes qu'une aiguille dans une botte de foin.
Mais le vrai problème ? Les entreprises qui n'ont pas assuré la sécurité des données de leurs propres clients ne subissent que très peu de répercussions. Le cours de leurs actions est-il touché immédiatement après l'incident ? Bien sûr. Target, Equifax et maintenant Marriott peuvent en témoigner. Toutefois, un aperçu sur douze mois montre que le retour à la normale est assez rapide. Quelques années plus tard, tout est pardonné sur le plan financier.
Tant qu'il n'y aura pas de graves répercussions : amendes considérables, réglementations plus strictes et pertes d'activité importantes, l'AppSec sera un secteur qui devra constamment se battre pour faire comprendre la gravité des cyber-risques croissants auxquels une entreprise est exposée.
Je crains que la situation n'empire avant de s'améliorer, c'est pourquoi il est de la plus haute importance que nous nous efforcions de mettre en place des développeurs sensibilisés à la sécurité et des cultures de sécurité solides en première ligne des équipes techniques d'une organisation. Gardez cela à l'esprit et continuez à vous efforcer d'atteindre des normes plus élevées en matière de sécurité des logiciels.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
La note de confiance révèle la valeur des initiatives d'amélioration de la sécurité par la conception
Nos recherches ont montré que la formation au code sécurisé fonctionne. Le Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité à réduire les vulnérabilités et la manière de rendre l'initiative encore plus efficace.
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.