Publié à l'origine dans Réglementation Asie.
Avec l'augmentation des cyberattaques, qui touchent tous les types d'organisations et tous les secteurs d'activité, la menace d'une violation de données coûteuse, embarrassante et préjudiciable aux résultats est bien réelle. Le problème ne se réduit pas, il se développe comme une tumeur.
On me demande souvent de donner des exemples d'organisations qui luttent contre ce problème, en naviguant dans le "Far West" des meilleures pratiques en matière de cybersécurité et d'AppSec avec une finesse et une maîtrise particulières. Une réponse me revient plus souvent que les autres : c'est le secteur de la finance qui s'en sort le mieux.
La réglementation : Un facteur déterminant dans le leadership du secteur financier en matière de cybersécurité
L'une des raisons pour lesquelles le secteur financier joue si bien dans l'espace AppSec est qu'il est (au moins en partie) motivé par les préoccupations des régulateurs mondiaux, régionaux et nationaux concernant les impacts universels (pour ne pas dire catastrophiques) qui pourraient résulter d'une attaque de cybersécurité réussie ou d'un vol de données.
Le Comité de Bâle sur le contrôle bancaire (BCBS) a publié en décembre un rapport détaillant l'éventail des pratiques observées en matière de cyber-résilience des banques, des autorités de réglementation et des autorités de contrôle dans de nombreuses juridictions. Parmi les principales conclusions de ce rapport figure le problème de la pénurie de compétences en matière de cybersécurité, un facteur auquel seules quelques rares juridictions ont tenté de remédier en mettant en place des certifications spécifiques en matière de cybersécurité.
"Certaines juridictions disposent de normes spécifiques aux technologies de l'information qui traitent des responsabilités du personnel informatique et des fonctions de sécurité de l'information, en accordant une attention particulière à la formation et aux compétences du personnel en matière de cybersécurité", indique le rapport. Mais la plupart des juridictions n'en sont qu'aux "premiers stades" de la mise en œuvre de pratiques prudentielles visant à contrôler les compétences et les ressources du personnel de cybersécurité des banques.
Dans l'ensemble, les dispositifs réglementaires exigent des entités réglementées qu'elles gèrent les risques, mais il est rare qu'elles disposent d'une voie claire pour réussir à atténuer ces risques. Ils ne fixent pas d'exigences spécifiques (ni d'ailleurs de critères de référence) concernant les compétences et les ressources du personnel chargé de la cybersécurité. La plupart des régulateurs évaluent le personnel de cybersécurité des institutions par des inspections sur place, où les questionnaires d'auto-évaluationassessment sont monnaie courante, et les processus de formation sont particulièrement examinés, mais ce n'est que dans quelques juridictions que les réglementations traitent spécifiquement des rôles et des responsabilités du personnel informatique. En d'autres termes, la marge d'erreur est grande et l'accent mis sur une formation adéquate et sur l'acquisition ultérieure de compétences ( assessment ) est plutôt faible.
Au Japon et en Corée du Sud, les pouvoirs publics ont établi des lignes directrices sur la gestion appropriée du personnel de cybersécurité. Dans la plupart des autres juridictions, cependant, les exigences réglementaires en matière de gestion des effectifs en cybersécurité se limitent aux attentes des autorités de surveillance, qui n'ont souvent pas accès au site assessment pour vérifier les compétences en cybersécurité et la formation du personnel dans les organismes réglementés.
Seuls Hong Kong, Singapour et le Royaume-Uni ont publié des cadres spécifiques pour certifier les aptitudes et les compétences de la main-d'œuvre informatique. Alors que les mots "conformité" et "certification" ont tendance à faire frissonner le développeur créatif moyen, chargé de résoudre les problèmes et de créer de superbes fonctionnalités logicielles (pour eux, la sécurité est souvent considérée comme le problème de quelqu'un d'autre, à savoir l'équipe de sécurité), les quantités massives de données sensibles détenues par de nombreuses entités réglementées sont tout simplement trop précieuses pour être laissées entre les mains de ceux dont les compétences sont "présumées" plutôt que vérifiées correctement.
Heureusement, de nombreuses institutions bancaires et financières reconnaissent ce fait sans nécessairement s'appuyer sur une voie réglementaire évidente. La réglementation donne certes un aperçu des attentes en matière de résultat final (c'est-à-dire des logiciels sécurisés), mais elle a permis d'identifier que pour y parvenir, il faut contourner la pénurie de compétences en cybersécurité en formant les développeurs, en entretenant leurs relations avec les professionnels de l'AppSec existants et en instaurant une culture positive de la sécurité qui engendre la responsabilité et l'appropriation.
Pourquoi le secteur financier a-t-il un "facteur X" en matière de cybersécurité ?
Les entreprises des secteurs de la banque, des services financiers et de l'assurance sont confrontées à plusieurs éléments qui constituent autant de piliers sur lesquels repose leur position de leader dans le domaine de la cybersécurité.
Naturellement, en tant que gardiennes des finances mondiales (sans parler des millions d'enregistrements de données hautement sensibles), elles sont généralement des organisations très axées sur la conformité et la réglementation " des lignes directrices, des réglementations et des exigences mises à jour sont attendues et planifiées de manière significative. Par conséquent, elles se sont adaptées comme des gouttes d'eau à l'évolution des besoins en matière d'atténuation des risques cybernétiques, se targuant de disposer de politiques de meilleures pratiques en matière de cybersécurité parmi les plus rigoureuses, ainsi que de processus de bout en bout visant à réduire leur exposition à des attaques potentielles.
Que font donc les institutions financières différemment des autres ? D'après mon expérience, elles ont jeté les bases d'une plus grande sensibilisation à la sécurité que les autres, en identifiant un besoin et en consacrant des ressources à des programmes de formation holistiques, non seulement pour les professionnels de l'AppSec et les testeurs de pénétration, mais aussi pour leurs équipes de développement (généralement très importantes et dispersées dans le monde entier).
La cybersécurité étant relativement nouvelle dans la plupart des organisations, il est rafraîchissant de constater que les institutions financières font preuve d'ouverture d'esprit et d'innovation dans leur quête pour fournir des logiciels sûrs et sécurisés. Nombre d'entre elles ont compris l'intérêt de renforcer les compétences de leur cohorte de développeurs grâce à une formation attrayante qui les fait sortir de la salle de classe pour les plonger dans une expérience d'apprentissage pratique et pertinente qui les aide non seulement à résoudre les problèmes, mais aussi à comprendre l'importance d'un codage sécurisé en général.
Après tout, le codage sécurisé est un ingrédient clé pour forger une relation solide et fonctionnelle entre les développeurs et l'équipe AppSec, ainsi que pour maintenir une solide culture de la sécurité au sein de l'entreprise. Un autre facteur clé de la réussite d'un programme de sécurité consiste à s'assurer que les principales parties prenantes adhèrent au projet et en perçoivent les avantages, même si elles ne sont pas elles-mêmes des professionnels de la sécurité.
Les institutions financières ont tendance à bien communiquer avec la direction générale, en veillant à ce que les décideurs de haut niveau comprennent que les processus de sécurité ne sont pas des mesures "à mettre en place et à oublier" ; ils doivent évoluer aussi rapidement que la technologie utilisée et s'adapter à des risques variables.
Cela peut coûter du temps et de l'argent aujourd'hui, mais les vulnérabilités étant trente fois plus coûteuses à corriger dans un code déjà écrit, un programme de sécurité bien conçu, qui comprend une formation de base, permet d'économiser de l'argent à long terme : il est bien moins coûteux de corriger les problèmes de sécurité au fur et à mesure qu'ils sont écrits par des développeurs sensibilisés à la sécurité.
Les normes de sécurité commencent à suivre le rythme des risques croissants
L'un des principaux moteurs de la cyberconformité pour le secteur financier est le Conseil des normes de sécurité PCI, qui s'engage à aider les organisations financières à mettre en œuvre des politiques de sécurité viables et à respecter les lignes directrices dans tous les domaines. Il a contribué à ce que ce secteur vertical atteigne les normes de sécurité les plus élevées dans le domaine des logiciels de paiement.
Cependant, il faut dire que bon nombre de nos clients du secteur financier ont dépassé les lignes directrices actuelles du Conseil des normes de sécurité PCI. Bien que ces lignes directrices recommandent la formation des développeurs (comme mentionné précédemment avec d'autres exemples d'informations réglementaires), elles ne spécifient pas un type particulier ou un certain niveau de référence à atteindre pour indiquer que la formation a été efficace.
Avec de nombreuses vulnérabilités comme l'injection SQL et le cross-site scripting (XSS) qui traînent depuis plus de vingt ans (et qui causent encore des problèmes en 2019), il est clair que toutes les formations ne sont pas égales ou efficaces. En adoptant une formation sécurisée pratique et gamifiée, les banques et autres entreprises de services financiers obtiennent de bien meilleurs résultats et une réelle réduction des vulnérabilités qui peuvent faire des ravages si elles sont exploitées.
Un bon exemple est la façon dont l'institution bancaire américaine Capital One a utilisé des techniques de formation gamifiées dans le cadre de son Tech College innovant et de son système de certification. Selon Russell Wolfe, son directeur de la formation en cybersécurité et en informatique dématérialisée, lors d'un récent webinaire, les programmes de formation volontaires et le site de codage tournaments ont très vite suscité une demande sans précédent et une motivation organique de la part des pairs pour obtenir une certification et contribuer à la montée en compétences d'autres personnes.
Que peuvent faire les régulateurs pour s'assurer que le personnel chargé de la cybersécurité est correctement formé ?
Les régulateurs du monde entier peuvent vraiment "faire mieux" en ce qui concerne leurs politiques et lignes directrices existantes en matière de cyber-réglementation, simplement en définissant des méthodologies et des normes de formation acceptées que les personnes chargées de la protection de nos données doivent respecter. À l'heure actuelle, il semble que la plupart des politiques réglementaires fassent référence à une exigence de formation, mais qu'il y ait peu de suivi pour s'assurer que les personnes qui suivent la formation prescrite assimilent le contenu et les techniques nécessaires pour contribuer réellement à la lutte contre les cybermenaces.
La récente décision de la MAS (Monetary Authority of Singapore) d'inclure l'adoption de programmes de formation à la sensibilisation à la sécurité et de meilleures pratiques de développement de logiciels sécurisés dans la dernière version de ses lignes directrices sur les risques technologiques est toutefois encourageante. Lorsque ces lignes directrices entreront en vigueur, elles obligeront les institutions financières à s'assurer que leurs développeurs de logiciels sont formés à l'application de normes de codage sécurisé, d'examen du code source et de tests AppSec lors du développement de logiciels, ce qui devrait contribuer grandement à réduire les bogues et les vulnérabilités.
Pour moi, former la cohorte de développement à l'aide de techniques pratiques et concrètes est de loin le moyen le plus engageant et le plus pertinent pour leur travail, tout en jetant les bases d'une solide culture de la sécurité que chaque organisation doit créer avant qu'il ne soit trop tard.