Une version de cet article a été publiée dans Lecture sombre . Elle a été mise à jour pour être publiée ici.
Dans notre secteur, de nombreux experts en sécurité ont pris l'habitude de prédire les sujets brûlants de l'année à venir (et je ne fais pas exception), mais avec plus de cinq milliards d'enregistrements de données sensibles volés en 2019 , j'ai pensé qu'il serait plus précis de prédire ce qui ne se passera pas en matière de cybersécurité en 2020, voire dans un avenir prévisible.
Je me suis assis avec mon cofondateur, Matias Madou, et nous avons bien ri en dressant cette liste. Elle se veut quelque peu légère, mais elle vous fait réfléchir au long chemin qui reste à parcourir pour protéger chaque organisation contre les cyberattaques malveillantes.
Maintenant, regardons dans notre boule de cristal et révélons nos prédictions. Nous ne verrons rien :
Les injections SQL éradiquées de tous les logiciels Je pense que tous les professionnels de la sécurité de la planète attendent le jour où ils ne seront plus obligés d'identifier des bogues d'injection SQL, ad nauseam.
Malheureusement, nous attendons ce jour depuis plus de vingt ans, et nous continuerons à l'attendre au moins une fois de plus. C'est la vulnérabilité qui, telle une blatte , a survécu à toutes les tactiques mises en œuvre jusqu'à présent pour l'éradiquer définitivement.
C'est pour le moins frustrant, car le remède est connu depuis à peu près le même temps. Cependant, la priorité accordée aux meilleures pratiques de sécurité à chaque étape du développement de logiciels (en particulier dès le début) reste trop faible, et certainement inadéquate à la lumière de l'augmentation considérable de la production de code depuis la découverte de l'injection SQL.
(Vous voulez en savoir plus sur les schémas de codage qui peuvent conduire à une injection SQL ? Relevez le défi ici ).
Les développeurs et l'AppSec deviennent les meilleurs amis du monde Ah, les développeurs et l'équipe AppSec. Parviendront-ils un jour à s'entendre ou sont-ils destinés à une vie de rivalité comme Rocky contre Apollo ? La réponse courte est oui, ils peuvent s'entendre, mais à l'heure actuelle, leurs priorités sont souvent très différentes.
Lorsqu'ils se rencontrent dans le cadre d'un projet, ils sont sur des pages opposées et s'affrontent au moment du dernier obstacle : lorsque les spécialistes de l'AppSec examinent le code d'un développeur. Le développeur a construit de belles fonctionnalités fonctionnelles (ce qui est sa priorité absolue) qui sont mises en pièces si des vulnérabilités de sécurité sont découvertes. Le gourou de la sécurité des logiciels a, en effet, qualifié leur bébé de laid et a forcé le développeur à revenir en arrière et à corriger les bogues, ce qui retarde souvent le déploiement.
Dans l'état actuel des choses, ce problème ne sera pas résolu tant que les développeurs et les équipes AppSec ne travailleront pas à un objectif commun, à savoir la création de logiciels sécurisés. Cela ne se produira pas comme un processus par défaut en 2020 (et pour de nombreuses entreprises, pas mal d'années après), mais avec l'avènement du mouvement DevSecOps et au-delà, les développeurs reconnaissent la nécessité de se perfectionner en matière de sécurité et de travailler selon une norme plus élevée ; une norme qui inclut des objectifs de sécurité dès le début.
Une offre excédentaire de professionnels de la sécurité En 2020, 2025, 2030... il est presque garanti que nous manquerons de personnel au niveau mondial en ce qui concerne l'expertise en matière de sécurité.
Selon un rapport de l'ISC(2), environ 2,93 millions de postes dans le domaine de la cybersécurité sont actuellement vacants. Il est presque certain que la situation va empirer avant de s'améliorer, et il n'y a pas d'armée cachée de la sécurité qui attende de venir à notre secours dans les prochaines années.
Dans l'immédiat, notre meilleure chance de remédier à cette pénurie de compétences est de faire de la sécurité une priorité organisationnelle et d'améliorer les compétences de notre main-d'œuvre existante, ce qui signifie donner aux développeurs la formation et les outils nécessaires pour coder en toute sécurité, ainsi que créer une culture de la sécurité à l'échelle de l'entreprise. La plupart des équipes AppSec actuelles luttent probablement contre des bogues de sécurité bien connus et anciens (voir le point 1 ci-dessus). Si nous veillons à ce qu'elles n'aient pas à consacrer du temps et des efforts précieux à la résolution de ces problèmes courants, elles auront plus de marge de manœuvre pour se concentrer sur les problèmes de sécurité les plus difficiles (pour l'instant, il s'agit probablement de problèmes liés aux API, ainsi que de la construction d'outils qui peuvent s'adapter aux pipelines de développement).
Moins de code produit Le monde se numérise à une vitesse stupéfiante et la demande sociétale ne va pas faiblir. Environ 111 milliards de lignes de code sont écrites chaque année, et ce chiffre ne fera qu'augmenter et devenir de plus en plus terrifiant (pour les équipes AppSec déjà à bout de souffle, en tout cas). L'augmentation du volume de code accroît inévitablement les vulnérabilités potentielles en matière de sécurité, de sorte que toute idée selon laquelle 2020 serait une année plus lente pour la production de logiciels et les violations est à peu près aussi réaliste qu'une course de licornes au Grand National.
Une réduction des vols de données Comme je l'ai dit, plus de code signifie plus de vulnérabilités, ce qui offre plus de possibilités aux attaquants de trouver un moyen de voler des données.
Au moins 5,3 milliards d'enregistrements ont été volés dans le monde en 2019 , et la défense contre les attaquants est toujours un peu une course désespérée et réactive. Ce chiffre ne doublera peut-être pas au cours des douze prochains mois, mais je pense qu'il s'en approchera.
À titre d'exemple, examinons les tendances historiques des données volées signalées aux États-Unis d'une année sur l'autre :
Source : Statista Si l'on considère la période 2005-2010, on constate une augmentation régulière avec un léger flux et reflux entre les années. C'est intéressant, mais il est important de souligner qu'en 2009, le nombre de violations signalées a fortement diminué par rapport à 2008. Toutefois, le nombre d'enregistrements volés a nettement augmenté malgré la diminution du nombre de violations.
Les enregistrements de données sont le nouvel or ; ils ont de la valeur pour un attaquant. Le graphique reflète une tendance générale à la hausse des violations et du nombre d'enregistrements volés, avec un pic énorme en 2017. Le nombre d'attaques a eu tendance à diminuer en 2018, peut-être en raison de mesures de sécurité plus strictes, mais le nombre d'enregistrements obtenus n'a jamais été aussi élevé. Les cyberattaques vont devenir de plus en plus sophistiquées, de plus en plus volumineuses et ne sont pas près de disparaître. À l'échelle mondiale, il est peu probable que nous assistions à un ralentissement en 2020, car les entreprises produisent plus de logiciels que jamais auparavant. Elles sont les gardiennes de nos données et doivent travailler plus intelligemment pour protéger notre vie privée.
Les développeurs demandent des formations à la sécurité par vidéo plus longues et plus fréquentes S'il est une chose que les développeurs adorent, c'est bien de regarder des heures et des heures de vidéos de formation assistée par ordinateur (CBT). En fait, la demande pour ce contenu captivant est telle que Netflix va annoncer une toute nouvelle sous-catégorie consacrée aux vidéos génériques de formation à la sécurité.
Euh, non. Ni maintenant, ni en 2020, ni jamais.
Pour les développeurs, l'introduction à la sécurité se fait souvent par le biais d'une formation à la conformité sur le lieu de travail. Le codage sécurisé fait rarement partie de leur formation tertiaire, et la formation sur le tas peut être leur tout premier contact avec la sécurité des logiciels. Et, comme on peut s'y attendre, ils n'aiment pas cela.
Pour que les développeurs prennent la sécurité au sérieux - et pour que la formation soit utile - elle doit être pertinente, attrayante et contextuelle par rapport à leur travail. Une formation ponctuelle à la conformité - ou un flot ininterrompu de vidéos ennuyeuses - n'est pas le moyen de gagner le cœur d'un développeur, et cela ne réduira pas les vulnérabilités.
Si vous voulez que la cohorte de développeurs ait une chance de devenir une force défensive sensibilisée à la sécurité contre les vulnérabilités courantes, faites-les travailler avec de vrais exemples de code - ceux qu'ils rencontrent dans leurs tâches quotidiennes. Faites en sorte que l'apprentissage se fasse par petites touches, qu'il soit facile d'en tirer parti et qu'il soit motivé par un sentiment de plaisir. Pour qu'une culture de la sécurité prospère, elle doit être positive, engageante et développer des compétences et des solutions réelles dans l'ensemble de l'organisation.
Qui sait ? Avec la bonne formation, un développeur pourrait reconnaître le champion de la sécurité qui sommeille en lui et diffuser largement les avantages du codage sécurisé.
Aucun décès dû à un incident lié à la cybersécurité D'accord, il ne s'agit pas d'un sujet de plaisanterie. J'ai dit à plusieurs reprises que le monde ne s'intéresserait pas à la cybersécurité tant que des personnes ne mourraient pas des suites d'un incident lié à une cyberattaque.
Le problème, c'est que cela s'est déjà produit et que cela est passé largement inaperçu.
Des cyberattaques contre des hôpitaux américains ont été liées à une augmentation du nombre de décès par crise cardiaque en 2019. Bien sûr, les attaquants n'ont pas provoqué d'événements cardiaques mortels chez les patients, mais leurs attaques par ransomware sur les systèmes et équipements hospitaliers ont ralenti les délais de traitement pour les soins critiques.
Cette étude de l'université de Floride centrale a analysé 3 000 hôpitaux, dont 311 avaient subi une violation de données. Dans les hôpitaux touchés par un incident de sécurité, il fallait en moyenne 2,7 minutes de plus pour faire passer un ECG aux victimes présumées d'une crise cardiaque, probablement en raison des changements de procédure, des mesures de sécurité nouvellement mises en œuvre et des problèmes d'assistance informatique qui prenaient plus de temps qu'auparavant. L'identification et le traitement d'une crise cardiaque sont une course contre la montre, et ces hôpitaux ont enregistré en moyenne 36 décès supplémentaires pour 10 000 crises cardiaques par an.
C'est choquant et, malheureusement, je pense que la situation va empirer avant de s'améliorer. Cela devrait nous rappeler brutalement que nous devons tous faire davantage pour améliorer la sécurité des logiciels et faire en sorte qu'elle soit au centre des préoccupations de chaque entreprise.
Moins d'images d'archives de "hackers cagoulés" Si vous tapez "hacker" dans une recherche d'images, vous découvrirez inévitablement des milliers d'images d'un personnage cagoulé, sans visage, tapant sur un ordinateur portable, ou d'un personnage similaire portant un masque de Guy Fawkes.
L'image stéréotypée du pirate informatique est de plus en plus fatiguée et fait passer tout le monde pour un méchant. Il y a beaucoup de bons gars et de bonnes filles dans le domaine de la sécurité, et les connotations négatives autour de l'image du "hacker" ne rendent pas service à tout le monde. Est-ce que je pense que cela va changer bientôt ? Probablement pas, mais il est agréable de rêver. Pour l'instant, il est important de se rappeler que la sécurité n'a pas à être effrayante .