Aus langweiliger PCI-DSS-Konformität eine sinnvolle Übung für alle machen: Teil 1 — AppSec
Voici la première partie d'une série de deux articles sur la conformité PCI-DSS au sein d'une organisation. Dans ce chapitre, nous détaillons comment les spécialistes AppSec peuvent travailler en étroite collaboration avec les responsables du développement pour responsabiliser les développeurs, renforcer le SSDLC et obtenir des résultats spécifiques à partir de la législation générale.
Le mot "conformité" n'est pas très excitant. Il est formel, sec, directif... et même un peu restrictif dans son ton. S'il avait une couleur, ce serait le beige. Enfin, il semble en contradiction avec toute forme d'environnement créatif ou d'innovation.
En tant que développeur, mon expérience de la "conformité" consistait généralement à lire (verticalement) quelques lignes directrices ou à regarder une présentation, avant de retourner au codage des fonctionnalités et de me concentrer sur la création d'un logiciel que les clients utiliseront et aimeront. Chacun retient ce qu'il peut dans l'instant (et essaie de faire ce qu'il faut à tout moment), mais les directives de conformité - en particulier celles qui concernent les meilleures pratiques en matière de sécurité - ne sont généralement pas rédigées à l'intention des développeurs, et les actions requises peuvent manquer de clarté. Dans ce scénario, il est trop facile de se contenter de poursuivre les objectifs en cours.
Le fait est que le développement de logiciels sécurisés n'est plus un "avantage" pour une entreprise ; il est (ou devrait être) au centre des préoccupations de chaque organisation... et si elle détient de grandes quantités d'informations sensibles sur ses clients, elle est mûre pour les cyber-attaques. Les développeurs sont les premiers à manipuler le code et, à ce titre, ils devraient être tout aussi impliqués que le reste de l'équipe dans les mesures de conformité en matière de sécurité.
Mais, attendez... écoutez-moi. Cela ne signifie pas que tout le monde doit devenir l'esclave d'un développement et de résultats logiciels rigides et dépourvus de créativité. Cela signifie que l'entreprise a la possibilité et le pouvoir de créer ensemble une norme de code plus élevée. Lentement, le monde se rend compte que, jusqu'à présent, les développeurs n'ont pas vraiment eu les bons outils à leur disposition pour faire de la sécurité une priorité (et les spécialistes de la sécurité, cloisonnés, ne peuvent pas assumer seuls cette responsabilité). Cependant, alors que l'industrie évolue vers un avenir DevSecOps où la sécurité est une responsabilité partagée, ils peuvent contribuer à endiguer le flux de vulnérabilités récurrentes lorsqu'ils sont mis en place pour réussir.
Les lignes directrices PCI-DSS couvrent la conformité de la sécurité en ligne pour les passerelles de paiement par carte - un service que la plupart d'entre nous utilisent régulièrement. Ces lignes directrices sont applicables à l'échelle mondiale et décrivent en détail ce que les développeurs doivent faire pour maintenir des normes conformes à leurs mandats, ainsi que plusieurs documents de conformité concernant des aspects de l'activité de commerce électronique.
Les violations de données sont des risques effrayants et destructeurs de réputation que les entreprises ne peuvent pas se permettre, et avec Cyber Security Ventures qui prévoit que les violations de type "zero-day" atteindront une par jour en 2021, c'est quelque chose que tout le monde dans le processus de livraison de logiciels peut aider à combattre.
Décortiquons les recommandations PCI-DSS et voyons comment elles peuvent s'appliquer à l'ensemble de l'équipe :
Hé, équipes AppSec et Compliance : Toutes les formations pour développeurs ne sont pas égales
Les développeurs des grandes (ou même des petites) entreprises ont rarement leur mot à dire sur la formation qu'ils reçoivent en cours d'emploi. Afin de conserver leurs employés vedettes, certaines entreprises proposent des programmes complets, mais ceux-ci sont encore moins répandus qu'ils ne devraient l'être. Un besoin de formation en matière de sécurité représente une excellente occasion non seulement de lancer la conformité organisationnelle sans ennuyer tout le monde, mais aussi de commencer à réchauffer les relations glaciales avec l'équipe de développement.
En ce qui concerne la conformité PCI, vous pouvez constater que les lignes directrices sont spécifiques quant aux résultats qu'elles attendent de tout logiciel exécutant des passerelles de paiement ; entre autres objectifs, elles veulent que les applications soient renforcées (ce qui est vital pour contrecarrer l'injection de code malveillant ou la falsification), qu'il y ait des contrôles du moindre privilège et une sensibilisation à grande échelle aux vulnérabilités courantes... au minimum. Tout le personnel travaillant avec des données de titulaires de cartes doit être formé de manière adéquate, et pour les développeurs, cette formation peut faire la différence entre leur succès et l'écriture d'un code sécurisé dès le début de leur processus.
Le document officiel " Best Practices for Maintaining PCI-DSS Compliance" détaille certains concepts directs concernant la sensibilisation à la sécurité, les besoins des développeurs et la formation appropriée, par exemple :
Copyright © 2006 - 2020 Conseil des normes de sécurité PCILLC. Tous droits réservés.
Cela donne une idée de la formation spécifique et approfondie requise pour doter les développeurs des compétences nécessaires, mais n'indique toujours pas de type particulier de solutions éducatives plus efficaces que d'autres. Le guide PCI-DSS pour les développeurs est un peu plus direct, identifiant le Top 10 de l'OWASP comme une référence pour apprendre à trouver et à corriger les vulnérabilités les plus courantes, ainsi que certains programmes de certification.
Mais... c'est là que le bât blesse. Comme vous l'avez sans doute constaté à l'occasion de diverses initiatives de formation et de mise en conformité sur le lieu de travail, leur qualité et leur succès futur peuvent varier considérablement. En ce qui concerne les développeurs, de nombreux programmes de formation au codage sécurisé ne semblent pas répondre à nos besoins, à nos méthodes de travail ou même à nos tâches quotidiennes de manière significative. Dans ce scénario, toutes les formations ne se valent pas, et toutes les formations ne déboucheront pas sur des logiciels plus sûrs. C'est, bien sûr, exactement le contraire de ce que vous souhaitez et cela ne réduira pas le stress de votre propre travail de manière significative. Si vous voulez réduire le fardeau et empêcher les vulnérabilités courantes de provoquer des catastrophes potentielles, vous devrez construire un pont.
Combler le fossé des compétences en matière de sécurité avec l'aide des responsables de l'ingénierie
Travailler directement avec les responsables de l'ingénierie pour trouver une solution adaptée, tout en étant adoptée par les personnes qui doivent réellement s'en charger, est un moyen rapide d'obtenir des résultats positifs en matière de sécurité. Ils auront une vision plus immédiate de leur propre équipe et pourront parler de tous les obstacles qui ont rendu la formation à la conformité difficile (à part le fait qu'elle n'est pas une bonne expérience, la plupart du temps).
Les formations en salle de classe, les vidéos à la demande et les exercices ponctuels rendent très difficile le fait de rester à jour ; il s'agit de solutions statiques qui ne peuvent pas suivre le rythme de l'évolution constante du secteur de la cybersécurité. En fin de compte, le responsable de l'ingénierie voudra voir la valeur de l'engagement en temps, et il est important de travailler avec lui et de lui fournir des options viables qui permettent d'atteindre l'objectif commun de tous : un code plus sûr et plus conforme.
À quoi ressemble donc une bonne formation ? Il ne sert pas à grand-chose d'apprendre à coder en toute sécurité par le biais de grandes quantités d'informations ponctuelles. Un processus d'apprentissage graduel et par petites bouchées facilite grandement la mémorisation et l'application en contexte, et il doit absolument se faire dans les langages et les cadres utilisés au quotidien. Personnellement, je veux être stimulé et je veux que mes efforts soient récompensés - nous sommes déjà tous assez occupés, n'est-ce pas ?
Pour se conformer aux meilleures pratiques PCI-DSS décrites ci-dessus, en fonction de la solution choisie, les responsables peuvent se retrouver à devoir assembler un patchwork de différents sites courses pour couvrir tous les langages et cadres utilisés dans l'entreprise, et c'est là que les choses deviennent très compliquées, sans parler de la difficulté pour les équipes AppSec et de conformité d'évaluer l'impact sur la sécurité et la réduction des vulnérabilités dans les logiciels. Travaillez ensemble pour trouver la bonne solution, au lieu de vous précipiter sur la mauvaise option pour obtenir un résultat rapide. Sinon, vous risquez de vous retrouver avec une solution de formation Frankenstein... et cela fait très peur.
Merci d'avoir lu la première partie de cette mini-série sur la norme PCI-DSS. Dans le dernier chapitre, nous verrons comment les RSSI et les directeurs techniques peuvent contribuer à cette transformation culturelle, habiliter les équipes et comment les premières lignes de sécurité (votre cohorte de développeurs) peuvent utiliser la sensibilisation et la conformité à la norme PCI-DSS à leur avantage.
Dies ist Teil 1 einer zweiteiligen Serie zur erfolgreichen PCI-DSS-Compliance innerhalb eines Unternehmens. In diesem Kapitel beschreiben wir, wie AppSec-Spezialisten eng mit Entwicklungsmanagern zusammenarbeiten können, um Entwickler zu stärken, den SSDLC zu stärken und konkrete Ergebnisse aus der allgemeinen Gesetzgebung zu ziehen.
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
Voici la première partie d'une série de deux articles sur la conformité PCI-DSS au sein d'une organisation. Dans ce chapitre, nous détaillons comment les spécialistes AppSec peuvent travailler en étroite collaboration avec les responsables du développement pour responsabiliser les développeurs, renforcer le SSDLC et obtenir des résultats spécifiques à partir de la législation générale.
Le mot "conformité" n'est pas très excitant. Il est formel, sec, directif... et même un peu restrictif dans son ton. S'il avait une couleur, ce serait le beige. Enfin, il semble en contradiction avec toute forme d'environnement créatif ou d'innovation.
En tant que développeur, mon expérience de la "conformité" consistait généralement à lire (verticalement) quelques lignes directrices ou à regarder une présentation, avant de retourner au codage des fonctionnalités et de me concentrer sur la création d'un logiciel que les clients utiliseront et aimeront. Chacun retient ce qu'il peut dans l'instant (et essaie de faire ce qu'il faut à tout moment), mais les directives de conformité - en particulier celles qui concernent les meilleures pratiques en matière de sécurité - ne sont généralement pas rédigées à l'intention des développeurs, et les actions requises peuvent manquer de clarté. Dans ce scénario, il est trop facile de se contenter de poursuivre les objectifs en cours.
Le fait est que le développement de logiciels sécurisés n'est plus un "avantage" pour une entreprise ; il est (ou devrait être) au centre des préoccupations de chaque organisation... et si elle détient de grandes quantités d'informations sensibles sur ses clients, elle est mûre pour les cyber-attaques. Les développeurs sont les premiers à manipuler le code et, à ce titre, ils devraient être tout aussi impliqués que le reste de l'équipe dans les mesures de conformité en matière de sécurité.
Mais, attendez... écoutez-moi. Cela ne signifie pas que tout le monde doit devenir l'esclave d'un développement et de résultats logiciels rigides et dépourvus de créativité. Cela signifie que l'entreprise a la possibilité et le pouvoir de créer ensemble une norme de code plus élevée. Lentement, le monde se rend compte que, jusqu'à présent, les développeurs n'ont pas vraiment eu les bons outils à leur disposition pour faire de la sécurité une priorité (et les spécialistes de la sécurité, cloisonnés, ne peuvent pas assumer seuls cette responsabilité). Cependant, alors que l'industrie évolue vers un avenir DevSecOps où la sécurité est une responsabilité partagée, ils peuvent contribuer à endiguer le flux de vulnérabilités récurrentes lorsqu'ils sont mis en place pour réussir.
Les lignes directrices PCI-DSS couvrent la conformité de la sécurité en ligne pour les passerelles de paiement par carte - un service que la plupart d'entre nous utilisent régulièrement. Ces lignes directrices sont applicables à l'échelle mondiale et décrivent en détail ce que les développeurs doivent faire pour maintenir des normes conformes à leurs mandats, ainsi que plusieurs documents de conformité concernant des aspects de l'activité de commerce électronique.
Les violations de données sont des risques effrayants et destructeurs de réputation que les entreprises ne peuvent pas se permettre, et avec Cyber Security Ventures qui prévoit que les violations de type "zero-day" atteindront une par jour en 2021, c'est quelque chose que tout le monde dans le processus de livraison de logiciels peut aider à combattre.
Décortiquons les recommandations PCI-DSS et voyons comment elles peuvent s'appliquer à l'ensemble de l'équipe :
Hé, équipes AppSec et Compliance : Toutes les formations pour développeurs ne sont pas égales
Les développeurs des grandes (ou même des petites) entreprises ont rarement leur mot à dire sur la formation qu'ils reçoivent en cours d'emploi. Afin de conserver leurs employés vedettes, certaines entreprises proposent des programmes complets, mais ceux-ci sont encore moins répandus qu'ils ne devraient l'être. Un besoin de formation en matière de sécurité représente une excellente occasion non seulement de lancer la conformité organisationnelle sans ennuyer tout le monde, mais aussi de commencer à réchauffer les relations glaciales avec l'équipe de développement.
En ce qui concerne la conformité PCI, vous pouvez constater que les lignes directrices sont spécifiques quant aux résultats qu'elles attendent de tout logiciel exécutant des passerelles de paiement ; entre autres objectifs, elles veulent que les applications soient renforcées (ce qui est vital pour contrecarrer l'injection de code malveillant ou la falsification), qu'il y ait des contrôles du moindre privilège et une sensibilisation à grande échelle aux vulnérabilités courantes... au minimum. Tout le personnel travaillant avec des données de titulaires de cartes doit être formé de manière adéquate, et pour les développeurs, cette formation peut faire la différence entre leur succès et l'écriture d'un code sécurisé dès le début de leur processus.
Le document officiel " Best Practices for Maintaining PCI-DSS Compliance" détaille certains concepts directs concernant la sensibilisation à la sécurité, les besoins des développeurs et la formation appropriée, par exemple :
Copyright © 2006 - 2020 Conseil des normes de sécurité PCILLC. Tous droits réservés.
Cela donne une idée de la formation spécifique et approfondie requise pour doter les développeurs des compétences nécessaires, mais n'indique toujours pas de type particulier de solutions éducatives plus efficaces que d'autres. Le guide PCI-DSS pour les développeurs est un peu plus direct, identifiant le Top 10 de l'OWASP comme une référence pour apprendre à trouver et à corriger les vulnérabilités les plus courantes, ainsi que certains programmes de certification.
Mais... c'est là que le bât blesse. Comme vous l'avez sans doute constaté à l'occasion de diverses initiatives de formation et de mise en conformité sur le lieu de travail, leur qualité et leur succès futur peuvent varier considérablement. En ce qui concerne les développeurs, de nombreux programmes de formation au codage sécurisé ne semblent pas répondre à nos besoins, à nos méthodes de travail ou même à nos tâches quotidiennes de manière significative. Dans ce scénario, toutes les formations ne se valent pas, et toutes les formations ne déboucheront pas sur des logiciels plus sûrs. C'est, bien sûr, exactement le contraire de ce que vous souhaitez et cela ne réduira pas le stress de votre propre travail de manière significative. Si vous voulez réduire le fardeau et empêcher les vulnérabilités courantes de provoquer des catastrophes potentielles, vous devrez construire un pont.
Combler le fossé des compétences en matière de sécurité avec l'aide des responsables de l'ingénierie
Travailler directement avec les responsables de l'ingénierie pour trouver une solution adaptée, tout en étant adoptée par les personnes qui doivent réellement s'en charger, est un moyen rapide d'obtenir des résultats positifs en matière de sécurité. Ils auront une vision plus immédiate de leur propre équipe et pourront parler de tous les obstacles qui ont rendu la formation à la conformité difficile (à part le fait qu'elle n'est pas une bonne expérience, la plupart du temps).
Les formations en salle de classe, les vidéos à la demande et les exercices ponctuels rendent très difficile le fait de rester à jour ; il s'agit de solutions statiques qui ne peuvent pas suivre le rythme de l'évolution constante du secteur de la cybersécurité. En fin de compte, le responsable de l'ingénierie voudra voir la valeur de l'engagement en temps, et il est important de travailler avec lui et de lui fournir des options viables qui permettent d'atteindre l'objectif commun de tous : un code plus sûr et plus conforme.
À quoi ressemble donc une bonne formation ? Il ne sert pas à grand-chose d'apprendre à coder en toute sécurité par le biais de grandes quantités d'informations ponctuelles. Un processus d'apprentissage graduel et par petites bouchées facilite grandement la mémorisation et l'application en contexte, et il doit absolument se faire dans les langages et les cadres utilisés au quotidien. Personnellement, je veux être stimulé et je veux que mes efforts soient récompensés - nous sommes déjà tous assez occupés, n'est-ce pas ?
Pour se conformer aux meilleures pratiques PCI-DSS décrites ci-dessus, en fonction de la solution choisie, les responsables peuvent se retrouver à devoir assembler un patchwork de différents sites courses pour couvrir tous les langages et cadres utilisés dans l'entreprise, et c'est là que les choses deviennent très compliquées, sans parler de la difficulté pour les équipes AppSec et de conformité d'évaluer l'impact sur la sécurité et la réduction des vulnérabilités dans les logiciels. Travaillez ensemble pour trouver la bonne solution, au lieu de vous précipiter sur la mauvaise option pour obtenir un résultat rapide. Sinon, vous risquez de vous retrouver avec une solution de formation Frankenstein... et cela fait très peur.
Merci d'avoir lu la première partie de cette mini-série sur la norme PCI-DSS. Dans le dernier chapitre, nous verrons comment les RSSI et les directeurs techniques peuvent contribuer à cette transformation culturelle, habiliter les équipes et comment les premières lignes de sécurité (votre cohorte de développeurs) peuvent utiliser la sensibilisation et la conformité à la norme PCI-DSS à leur avantage.
Voici la première partie d'une série de deux articles sur la conformité PCI-DSS au sein d'une organisation. Dans ce chapitre, nous détaillons comment les spécialistes AppSec peuvent travailler en étroite collaboration avec les responsables du développement pour responsabiliser les développeurs, renforcer le SSDLC et obtenir des résultats spécifiques à partir de la législation générale.
Le mot "conformité" n'est pas très excitant. Il est formel, sec, directif... et même un peu restrictif dans son ton. S'il avait une couleur, ce serait le beige. Enfin, il semble en contradiction avec toute forme d'environnement créatif ou d'innovation.
En tant que développeur, mon expérience de la "conformité" consistait généralement à lire (verticalement) quelques lignes directrices ou à regarder une présentation, avant de retourner au codage des fonctionnalités et de me concentrer sur la création d'un logiciel que les clients utiliseront et aimeront. Chacun retient ce qu'il peut dans l'instant (et essaie de faire ce qu'il faut à tout moment), mais les directives de conformité - en particulier celles qui concernent les meilleures pratiques en matière de sécurité - ne sont généralement pas rédigées à l'intention des développeurs, et les actions requises peuvent manquer de clarté. Dans ce scénario, il est trop facile de se contenter de poursuivre les objectifs en cours.
Le fait est que le développement de logiciels sécurisés n'est plus un "avantage" pour une entreprise ; il est (ou devrait être) au centre des préoccupations de chaque organisation... et si elle détient de grandes quantités d'informations sensibles sur ses clients, elle est mûre pour les cyber-attaques. Les développeurs sont les premiers à manipuler le code et, à ce titre, ils devraient être tout aussi impliqués que le reste de l'équipe dans les mesures de conformité en matière de sécurité.
Mais, attendez... écoutez-moi. Cela ne signifie pas que tout le monde doit devenir l'esclave d'un développement et de résultats logiciels rigides et dépourvus de créativité. Cela signifie que l'entreprise a la possibilité et le pouvoir de créer ensemble une norme de code plus élevée. Lentement, le monde se rend compte que, jusqu'à présent, les développeurs n'ont pas vraiment eu les bons outils à leur disposition pour faire de la sécurité une priorité (et les spécialistes de la sécurité, cloisonnés, ne peuvent pas assumer seuls cette responsabilité). Cependant, alors que l'industrie évolue vers un avenir DevSecOps où la sécurité est une responsabilité partagée, ils peuvent contribuer à endiguer le flux de vulnérabilités récurrentes lorsqu'ils sont mis en place pour réussir.
Les lignes directrices PCI-DSS couvrent la conformité de la sécurité en ligne pour les passerelles de paiement par carte - un service que la plupart d'entre nous utilisent régulièrement. Ces lignes directrices sont applicables à l'échelle mondiale et décrivent en détail ce que les développeurs doivent faire pour maintenir des normes conformes à leurs mandats, ainsi que plusieurs documents de conformité concernant des aspects de l'activité de commerce électronique.
Les violations de données sont des risques effrayants et destructeurs de réputation que les entreprises ne peuvent pas se permettre, et avec Cyber Security Ventures qui prévoit que les violations de type "zero-day" atteindront une par jour en 2021, c'est quelque chose que tout le monde dans le processus de livraison de logiciels peut aider à combattre.
Décortiquons les recommandations PCI-DSS et voyons comment elles peuvent s'appliquer à l'ensemble de l'équipe :
Hé, équipes AppSec et Compliance : Toutes les formations pour développeurs ne sont pas égales
Les développeurs des grandes (ou même des petites) entreprises ont rarement leur mot à dire sur la formation qu'ils reçoivent en cours d'emploi. Afin de conserver leurs employés vedettes, certaines entreprises proposent des programmes complets, mais ceux-ci sont encore moins répandus qu'ils ne devraient l'être. Un besoin de formation en matière de sécurité représente une excellente occasion non seulement de lancer la conformité organisationnelle sans ennuyer tout le monde, mais aussi de commencer à réchauffer les relations glaciales avec l'équipe de développement.
En ce qui concerne la conformité PCI, vous pouvez constater que les lignes directrices sont spécifiques quant aux résultats qu'elles attendent de tout logiciel exécutant des passerelles de paiement ; entre autres objectifs, elles veulent que les applications soient renforcées (ce qui est vital pour contrecarrer l'injection de code malveillant ou la falsification), qu'il y ait des contrôles du moindre privilège et une sensibilisation à grande échelle aux vulnérabilités courantes... au minimum. Tout le personnel travaillant avec des données de titulaires de cartes doit être formé de manière adéquate, et pour les développeurs, cette formation peut faire la différence entre leur succès et l'écriture d'un code sécurisé dès le début de leur processus.
Le document officiel " Best Practices for Maintaining PCI-DSS Compliance" détaille certains concepts directs concernant la sensibilisation à la sécurité, les besoins des développeurs et la formation appropriée, par exemple :
Copyright © 2006 - 2020 Conseil des normes de sécurité PCILLC. Tous droits réservés.
Cela donne une idée de la formation spécifique et approfondie requise pour doter les développeurs des compétences nécessaires, mais n'indique toujours pas de type particulier de solutions éducatives plus efficaces que d'autres. Le guide PCI-DSS pour les développeurs est un peu plus direct, identifiant le Top 10 de l'OWASP comme une référence pour apprendre à trouver et à corriger les vulnérabilités les plus courantes, ainsi que certains programmes de certification.
Mais... c'est là que le bât blesse. Comme vous l'avez sans doute constaté à l'occasion de diverses initiatives de formation et de mise en conformité sur le lieu de travail, leur qualité et leur succès futur peuvent varier considérablement. En ce qui concerne les développeurs, de nombreux programmes de formation au codage sécurisé ne semblent pas répondre à nos besoins, à nos méthodes de travail ou même à nos tâches quotidiennes de manière significative. Dans ce scénario, toutes les formations ne se valent pas, et toutes les formations ne déboucheront pas sur des logiciels plus sûrs. C'est, bien sûr, exactement le contraire de ce que vous souhaitez et cela ne réduira pas le stress de votre propre travail de manière significative. Si vous voulez réduire le fardeau et empêcher les vulnérabilités courantes de provoquer des catastrophes potentielles, vous devrez construire un pont.
Combler le fossé des compétences en matière de sécurité avec l'aide des responsables de l'ingénierie
Travailler directement avec les responsables de l'ingénierie pour trouver une solution adaptée, tout en étant adoptée par les personnes qui doivent réellement s'en charger, est un moyen rapide d'obtenir des résultats positifs en matière de sécurité. Ils auront une vision plus immédiate de leur propre équipe et pourront parler de tous les obstacles qui ont rendu la formation à la conformité difficile (à part le fait qu'elle n'est pas une bonne expérience, la plupart du temps).
Les formations en salle de classe, les vidéos à la demande et les exercices ponctuels rendent très difficile le fait de rester à jour ; il s'agit de solutions statiques qui ne peuvent pas suivre le rythme de l'évolution constante du secteur de la cybersécurité. En fin de compte, le responsable de l'ingénierie voudra voir la valeur de l'engagement en temps, et il est important de travailler avec lui et de lui fournir des options viables qui permettent d'atteindre l'objectif commun de tous : un code plus sûr et plus conforme.
À quoi ressemble donc une bonne formation ? Il ne sert pas à grand-chose d'apprendre à coder en toute sécurité par le biais de grandes quantités d'informations ponctuelles. Un processus d'apprentissage graduel et par petites bouchées facilite grandement la mémorisation et l'application en contexte, et il doit absolument se faire dans les langages et les cadres utilisés au quotidien. Personnellement, je veux être stimulé et je veux que mes efforts soient récompensés - nous sommes déjà tous assez occupés, n'est-ce pas ?
Pour se conformer aux meilleures pratiques PCI-DSS décrites ci-dessus, en fonction de la solution choisie, les responsables peuvent se retrouver à devoir assembler un patchwork de différents sites courses pour couvrir tous les langages et cadres utilisés dans l'entreprise, et c'est là que les choses deviennent très compliquées, sans parler de la difficulté pour les équipes AppSec et de conformité d'évaluer l'impact sur la sécurité et la réduction des vulnérabilités dans les logiciels. Travaillez ensemble pour trouver la bonne solution, au lieu de vous précipiter sur la mauvaise option pour obtenir un résultat rapide. Sinon, vous risquez de vous retrouver avec une solution de formation Frankenstein... et cela fait très peur.
Merci d'avoir lu la première partie de cette mini-série sur la norme PCI-DSS. Dans le dernier chapitre, nous verrons comment les RSSI et les directeurs techniques peuvent contribuer à cette transformation culturelle, habiliter les équipes et comment les premières lignes de sécurité (votre cohorte de développeurs) peuvent utiliser la sensibilisation et la conformité à la norme PCI-DSS à leur avantage.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
Voici la première partie d'une série de deux articles sur la conformité PCI-DSS au sein d'une organisation. Dans ce chapitre, nous détaillons comment les spécialistes AppSec peuvent travailler en étroite collaboration avec les responsables du développement pour responsabiliser les développeurs, renforcer le SSDLC et obtenir des résultats spécifiques à partir de la législation générale.
Le mot "conformité" n'est pas très excitant. Il est formel, sec, directif... et même un peu restrictif dans son ton. S'il avait une couleur, ce serait le beige. Enfin, il semble en contradiction avec toute forme d'environnement créatif ou d'innovation.
En tant que développeur, mon expérience de la "conformité" consistait généralement à lire (verticalement) quelques lignes directrices ou à regarder une présentation, avant de retourner au codage des fonctionnalités et de me concentrer sur la création d'un logiciel que les clients utiliseront et aimeront. Chacun retient ce qu'il peut dans l'instant (et essaie de faire ce qu'il faut à tout moment), mais les directives de conformité - en particulier celles qui concernent les meilleures pratiques en matière de sécurité - ne sont généralement pas rédigées à l'intention des développeurs, et les actions requises peuvent manquer de clarté. Dans ce scénario, il est trop facile de se contenter de poursuivre les objectifs en cours.
Le fait est que le développement de logiciels sécurisés n'est plus un "avantage" pour une entreprise ; il est (ou devrait être) au centre des préoccupations de chaque organisation... et si elle détient de grandes quantités d'informations sensibles sur ses clients, elle est mûre pour les cyber-attaques. Les développeurs sont les premiers à manipuler le code et, à ce titre, ils devraient être tout aussi impliqués que le reste de l'équipe dans les mesures de conformité en matière de sécurité.
Mais, attendez... écoutez-moi. Cela ne signifie pas que tout le monde doit devenir l'esclave d'un développement et de résultats logiciels rigides et dépourvus de créativité. Cela signifie que l'entreprise a la possibilité et le pouvoir de créer ensemble une norme de code plus élevée. Lentement, le monde se rend compte que, jusqu'à présent, les développeurs n'ont pas vraiment eu les bons outils à leur disposition pour faire de la sécurité une priorité (et les spécialistes de la sécurité, cloisonnés, ne peuvent pas assumer seuls cette responsabilité). Cependant, alors que l'industrie évolue vers un avenir DevSecOps où la sécurité est une responsabilité partagée, ils peuvent contribuer à endiguer le flux de vulnérabilités récurrentes lorsqu'ils sont mis en place pour réussir.
Les lignes directrices PCI-DSS couvrent la conformité de la sécurité en ligne pour les passerelles de paiement par carte - un service que la plupart d'entre nous utilisent régulièrement. Ces lignes directrices sont applicables à l'échelle mondiale et décrivent en détail ce que les développeurs doivent faire pour maintenir des normes conformes à leurs mandats, ainsi que plusieurs documents de conformité concernant des aspects de l'activité de commerce électronique.
Les violations de données sont des risques effrayants et destructeurs de réputation que les entreprises ne peuvent pas se permettre, et avec Cyber Security Ventures qui prévoit que les violations de type "zero-day" atteindront une par jour en 2021, c'est quelque chose que tout le monde dans le processus de livraison de logiciels peut aider à combattre.
Décortiquons les recommandations PCI-DSS et voyons comment elles peuvent s'appliquer à l'ensemble de l'équipe :
Hé, équipes AppSec et Compliance : Toutes les formations pour développeurs ne sont pas égales
Les développeurs des grandes (ou même des petites) entreprises ont rarement leur mot à dire sur la formation qu'ils reçoivent en cours d'emploi. Afin de conserver leurs employés vedettes, certaines entreprises proposent des programmes complets, mais ceux-ci sont encore moins répandus qu'ils ne devraient l'être. Un besoin de formation en matière de sécurité représente une excellente occasion non seulement de lancer la conformité organisationnelle sans ennuyer tout le monde, mais aussi de commencer à réchauffer les relations glaciales avec l'équipe de développement.
En ce qui concerne la conformité PCI, vous pouvez constater que les lignes directrices sont spécifiques quant aux résultats qu'elles attendent de tout logiciel exécutant des passerelles de paiement ; entre autres objectifs, elles veulent que les applications soient renforcées (ce qui est vital pour contrecarrer l'injection de code malveillant ou la falsification), qu'il y ait des contrôles du moindre privilège et une sensibilisation à grande échelle aux vulnérabilités courantes... au minimum. Tout le personnel travaillant avec des données de titulaires de cartes doit être formé de manière adéquate, et pour les développeurs, cette formation peut faire la différence entre leur succès et l'écriture d'un code sécurisé dès le début de leur processus.
Le document officiel " Best Practices for Maintaining PCI-DSS Compliance" détaille certains concepts directs concernant la sensibilisation à la sécurité, les besoins des développeurs et la formation appropriée, par exemple :
Copyright © 2006 - 2020 Conseil des normes de sécurité PCILLC. Tous droits réservés.
Cela donne une idée de la formation spécifique et approfondie requise pour doter les développeurs des compétences nécessaires, mais n'indique toujours pas de type particulier de solutions éducatives plus efficaces que d'autres. Le guide PCI-DSS pour les développeurs est un peu plus direct, identifiant le Top 10 de l'OWASP comme une référence pour apprendre à trouver et à corriger les vulnérabilités les plus courantes, ainsi que certains programmes de certification.
Mais... c'est là que le bât blesse. Comme vous l'avez sans doute constaté à l'occasion de diverses initiatives de formation et de mise en conformité sur le lieu de travail, leur qualité et leur succès futur peuvent varier considérablement. En ce qui concerne les développeurs, de nombreux programmes de formation au codage sécurisé ne semblent pas répondre à nos besoins, à nos méthodes de travail ou même à nos tâches quotidiennes de manière significative. Dans ce scénario, toutes les formations ne se valent pas, et toutes les formations ne déboucheront pas sur des logiciels plus sûrs. C'est, bien sûr, exactement le contraire de ce que vous souhaitez et cela ne réduira pas le stress de votre propre travail de manière significative. Si vous voulez réduire le fardeau et empêcher les vulnérabilités courantes de provoquer des catastrophes potentielles, vous devrez construire un pont.
Combler le fossé des compétences en matière de sécurité avec l'aide des responsables de l'ingénierie
Travailler directement avec les responsables de l'ingénierie pour trouver une solution adaptée, tout en étant adoptée par les personnes qui doivent réellement s'en charger, est un moyen rapide d'obtenir des résultats positifs en matière de sécurité. Ils auront une vision plus immédiate de leur propre équipe et pourront parler de tous les obstacles qui ont rendu la formation à la conformité difficile (à part le fait qu'elle n'est pas une bonne expérience, la plupart du temps).
Les formations en salle de classe, les vidéos à la demande et les exercices ponctuels rendent très difficile le fait de rester à jour ; il s'agit de solutions statiques qui ne peuvent pas suivre le rythme de l'évolution constante du secteur de la cybersécurité. En fin de compte, le responsable de l'ingénierie voudra voir la valeur de l'engagement en temps, et il est important de travailler avec lui et de lui fournir des options viables qui permettent d'atteindre l'objectif commun de tous : un code plus sûr et plus conforme.
À quoi ressemble donc une bonne formation ? Il ne sert pas à grand-chose d'apprendre à coder en toute sécurité par le biais de grandes quantités d'informations ponctuelles. Un processus d'apprentissage graduel et par petites bouchées facilite grandement la mémorisation et l'application en contexte, et il doit absolument se faire dans les langages et les cadres utilisés au quotidien. Personnellement, je veux être stimulé et je veux que mes efforts soient récompensés - nous sommes déjà tous assez occupés, n'est-ce pas ?
Pour se conformer aux meilleures pratiques PCI-DSS décrites ci-dessus, en fonction de la solution choisie, les responsables peuvent se retrouver à devoir assembler un patchwork de différents sites courses pour couvrir tous les langages et cadres utilisés dans l'entreprise, et c'est là que les choses deviennent très compliquées, sans parler de la difficulté pour les équipes AppSec et de conformité d'évaluer l'impact sur la sécurité et la réduction des vulnérabilités dans les logiciels. Travaillez ensemble pour trouver la bonne solution, au lieu de vous précipiter sur la mauvaise option pour obtenir un résultat rapide. Sinon, vous risquez de vous retrouver avec une solution de formation Frankenstein... et cela fait très peur.
Merci d'avoir lu la première partie de cette mini-série sur la norme PCI-DSS. Dans le dernier chapitre, nous verrons comment les RSSI et les directeurs techniques peuvent contribuer à cette transformation culturelle, habiliter les équipes et comment les premières lignes de sécurité (votre cohorte de développeurs) peuvent utiliser la sensibilisation et la conformité à la norme PCI-DSS à leur avantage.
Table des matières
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
La puissance de la sécurité des applications OpenText + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.