Pourquoi les injections SQL sont considérées comme les nuisibles du monde de la sécurité des applications (et comment les RSSI peuvent les éliminer définitivement)
Il existe une théorie bien connue selon laquelle les cafards peuvent survivre à tout, même à une explosion nucléaire. Bien que cette théorie ne soit vraie que dans une certaine mesure, leur constitution physique simple les rend extrêmement robustes par rapport à leur taille et difficiles à éradiquer dans la plupart des conditions.
J'ai réfléchi... Si les cafards avaient un équivalent dans le monde numérique, ce serait les vulnérabilités d'injection SQL (SQLi) dans le code. Il s'agit d'une faille de sécurité connue depuis plus de vingt ans, mais les entreprises continuent d'en être victimes. L'attaque coûteuse et très médiatisée contre Target était le résultat d'une injection SQL, tout comme un cas de piratage électoral dans l'Illinois, où les données de 200 000 électeurs ont été divulguées, ce qui a incité le FBI à recommander à tous les administrateurs informatiques de renforcer rapidement leurs pratiques de sécurité.
Le rapport Imperva Hacker Intelligence Initiative a révélé qu'entre 2005 et 2011, les attaques SQLi ont été utilisées dans 83 % de toutes les violations de données signalées. Aujourd'hui, les vulnérabilités d'injection restent la plus grande menace dans le classement OWASP Top 10. Elles sont relativement simples, mais elles persistent.
Il semble surprenant que la même faille de sécurité apparaisse encore dans un nombre considérable d'analyses de sécurité des applications. Nous comprenons son fonctionnement et savons comment la contrer. Comment cela est-il possible ? La réalité est que la sécurité de nos logiciels présente un potentiel d'amélioration considérable.
Le rapport de Veracode sur l'état de la sécurité des logiciels, basé sur 400 000 analyses d'applications en 2017, a révélé une statistique préoccupante : seulement 30 % des applications ont respecté les directives OWASP Top 10. Ce problème est récurrent depuis cinq ans. Près d'une application nouvellement analysée sur trois présentait des injections SQL. Cela démontre qu'il s'agit d'un problème très répandu. Nous ne tirons pas les leçons de nos erreurs, et les RSSI semblent avoir beaucoup de mal à trouver suffisamment de talents dans le domaine de la sécurité. En règle générale, le ratio entre les spécialistes de la sécurité des applications et les développeurs est insuffisant, à savoir 1 pour 100.
Pourquoi la sécurité des logiciels est-elle vitale ?
Il n'est pas secret que les talents spécialisés dans la sécurité sont rares, mais nous devons également veiller à ce que les développeurs ne corrigent pas immédiatement les problèmes lorsqu'ils surviennent et qu'ils soient manifestement mal équipés pour éviter d'introduire des failles de sécurité. Le même rapport Veracode révèle que seules 14,4 % des vulnérabilités de sécurité détectées lors du développement ont fait l'objet de mesures correctives documentées. En d'autres termes, la plupart des vulnérabilités de sécurité ont été signalées sans qu'aucune mesure corrective ne soit prise. Moins d'un tiers des vulnérabilités de sécurité ont été corrigées au cours des 90 premiers jours, et 42 % des vulnérabilités de sécurité n'ont jamais été corrigées pendant la période de développement.
Je m'entretiens régulièrement avec des experts en sécurité, des RSSI et des PDG, et j'ai constaté que de nombreuses entreprises sont tellement frustrées par le nombre de failles de sécurité détectées qui ne peuvent être corrigées (en plus du problème des fausses alertes) qu'elles ont décidé de cesser de les rechercher, en espérant que tout se passera bien.
Pourquoi les experts en sécurité des applications permettent-ils cela ?
Ne vous méprenez pas : les collaborateurs AppSec sont pleinement conscients des problèmes liés au code. Après tout, c'est l'une de leurs compétences clés qui fait d'eux une ressource si précieuse pour l'équipe. Cependant, ils sont souvent affectés par plusieurs facteurs.
Par exemple, un responsable de la sécurité des applications identifie un problème et demande au développeur : « Pouvez-vous corriger le code ? ». La réponse à cette question importante varie d'une organisation à l'autre, mais en général, le développeur est tellement submergé par les sprints rigoureux pour fournir des fonctionnalités qu'il n'a tout simplement pas le temps de corriger ces problèmes, ni les outils appropriés pour l'aider. Les experts en sécurité des applications peuvent être capables d'identifier les failles de sécurité, mais ils n'ont souvent pas les compétences et/ou l'accès nécessaires pour les corriger sur place.
Nous devons également être conscients que chaque problème nécessite un processus au cours duquel une solution doit être trouvée, mise en œuvre, puis testée. Même pour le plus petit problème détecté dans le code, le temps nécessaire pour le résoudre, sans parler des ressources requises, est considérable. Il existe plus de 700 failles de sécurité qui peuvent être introduites dans un logiciel, et il est tout simplement impossible pour une seule personne de se protéger contre toutes. C'est pourquoi la plupart des entreprises se contentent de suivre le Top 10 de l'OWASP. Pendant ce temps, les développeurs créent constamment de nouvelles fonctionnalités et, en retour, introduisent sans cesse des failles de sécurité dans le code qu'ils écrivent.
Quelle est la solution ?
Le fait est que nous ne fournissons pas à nos développeurs les outils et les formations nécessaires pour favoriser une programmation sécurisée et efficace. Il n'existe aucune réglementation obligeant les entreprises à s'assurer que les développeurs disposent des connaissances adéquates en matière de sécurité, et il est regrettable de constater que la plupart des universités et des stages ne préparent pas non plus les jeunes développeurs à programmer de manière sécurisée.
Si quelqu'un souhaite piloter un avion, il doit suivre une procédure très stricte qui garantit une formation, une expérience pratique, des examens médicaux, des connaissances en matière de sécurité et des tests avant de pouvoir voler. Personne n'oserait imaginer que quelqu'un puisse voler sans cette préparation complète et cette validation de ses compétences, mais c'est exactement ce qui se passe chaque jour dans le domaine de la programmation.
Nous devons consacrer du temps à enseigner aux développeurs comment écrire du code sécurisé. Cependant, dans le monde actuel, où le développement logiciel évolue rapidement et où les bons développeurs et experts en sécurité sont rares, cela ne semble jamais être une priorité. Il est temps de changer la donne.
Une récente manchette du Forum économique mondial affirmait : « Sans sécurité, il ne peut y avoir d'économie numérique », arguant dans les contenus associés que la sécurité était un élément central de toute stratégie de transformation numérique. « La sécurité protège les entreprises et leur permet d'innover et de développer de nouveaux produits et services. La sécurité ne joue pas seulement un rôle défensif, elle offre également aux entreprises un avantage stratégique en termes de croissance. »
L'amélioration des compétences et des résultats en matière de programmation sécurisée offrira aux entreprises un niveau de cybersécurité performant et les aidera à créer un code plus efficace et plus rapide. Les développeurs n'ont pas besoin de devenir des experts en sécurité, mais ils doivent être encouragés et équipés de manière pratique pour constituer la première ligne de défense contre les cyberattaques. Les développeurs peuvent être les prochains héros de la sécurité et de l'innovation. Ce sont des personnes très intelligentes, créatives dans la résolution des problèmes et généralement désireuses de développer leurs compétences. Tirez parti de leurs atouts en leur offrant la formation spécialisée qu'ils méritent et engagez-vous à respecter des normes de sécurité logicielle plus strictes. Veuillez consulter notre livre blanc pour en savoir plus.
Si quelqu'un souhaite piloter un avion, il doit suivre une procédure très stricte qui garantit une formation, une expérience pratique, des examens médicaux, des connaissances en matière de sécurité et des tests avant de pouvoir voler. Personne n'oserait imaginer que quelqu'un puisse voler sans cette préparation complète et cette validation de ses compétences, mais c'est exactement ce qui se passe chaque jour dans le domaine de la programmation.
Il existe une théorie bien connue selon laquelle les cafards peuvent survivre à tout, même à une explosion nucléaire.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Il existe une théorie bien connue selon laquelle les cafards peuvent survivre à tout, même à une explosion nucléaire. Bien que cette théorie ne soit vraie que dans une certaine mesure, leur constitution physique simple les rend extrêmement robustes par rapport à leur taille et difficiles à éradiquer dans la plupart des conditions.
J'ai réfléchi... Si les cafards avaient un équivalent dans le monde numérique, ce serait les vulnérabilités d'injection SQL (SQLi) dans le code. Il s'agit d'une faille de sécurité connue depuis plus de vingt ans, mais les entreprises continuent d'en être victimes. L'attaque coûteuse et très médiatisée contre Target était le résultat d'une injection SQL, tout comme un cas de piratage électoral dans l'Illinois, où les données de 200 000 électeurs ont été divulguées, ce qui a incité le FBI à recommander à tous les administrateurs informatiques de renforcer rapidement leurs pratiques de sécurité.
Le rapport Imperva Hacker Intelligence Initiative a révélé qu'entre 2005 et 2011, les attaques SQLi ont été utilisées dans 83 % de toutes les violations de données signalées. Aujourd'hui, les vulnérabilités d'injection restent la plus grande menace dans le classement OWASP Top 10. Elles sont relativement simples, mais elles persistent.
Il semble surprenant que la même faille de sécurité apparaisse encore dans un nombre considérable d'analyses de sécurité des applications. Nous comprenons son fonctionnement et savons comment la contrer. Comment cela est-il possible ? La réalité est que la sécurité de nos logiciels présente un potentiel d'amélioration considérable.
Le rapport de Veracode sur l'état de la sécurité des logiciels, basé sur 400 000 analyses d'applications en 2017, a révélé une statistique préoccupante : seulement 30 % des applications ont respecté les directives OWASP Top 10. Ce problème est récurrent depuis cinq ans. Près d'une application nouvellement analysée sur trois présentait des injections SQL. Cela démontre qu'il s'agit d'un problème très répandu. Nous ne tirons pas les leçons de nos erreurs, et les RSSI semblent avoir beaucoup de mal à trouver suffisamment de talents dans le domaine de la sécurité. En règle générale, le ratio entre les spécialistes de la sécurité des applications et les développeurs est insuffisant, à savoir 1 pour 100.
Pourquoi la sécurité des logiciels est-elle vitale ?
Il n'est pas secret que les talents spécialisés dans la sécurité sont rares, mais nous devons également veiller à ce que les développeurs ne corrigent pas immédiatement les problèmes lorsqu'ils surviennent et qu'ils soient manifestement mal équipés pour éviter d'introduire des failles de sécurité. Le même rapport Veracode révèle que seules 14,4 % des vulnérabilités de sécurité détectées lors du développement ont fait l'objet de mesures correctives documentées. En d'autres termes, la plupart des vulnérabilités de sécurité ont été signalées sans qu'aucune mesure corrective ne soit prise. Moins d'un tiers des vulnérabilités de sécurité ont été corrigées au cours des 90 premiers jours, et 42 % des vulnérabilités de sécurité n'ont jamais été corrigées pendant la période de développement.
Je m'entretiens régulièrement avec des experts en sécurité, des RSSI et des PDG, et j'ai constaté que de nombreuses entreprises sont tellement frustrées par le nombre de failles de sécurité détectées qui ne peuvent être corrigées (en plus du problème des fausses alertes) qu'elles ont décidé de cesser de les rechercher, en espérant que tout se passera bien.
Pourquoi les experts en sécurité des applications permettent-ils cela ?
Ne vous méprenez pas : les collaborateurs AppSec sont pleinement conscients des problèmes liés au code. Après tout, c'est l'une de leurs compétences clés qui fait d'eux une ressource si précieuse pour l'équipe. Cependant, ils sont souvent affectés par plusieurs facteurs.
Par exemple, un responsable de la sécurité des applications identifie un problème et demande au développeur : « Pouvez-vous corriger le code ? ». La réponse à cette question importante varie d'une organisation à l'autre, mais en général, le développeur est tellement submergé par les sprints rigoureux pour fournir des fonctionnalités qu'il n'a tout simplement pas le temps de corriger ces problèmes, ni les outils appropriés pour l'aider. Les experts en sécurité des applications peuvent être capables d'identifier les failles de sécurité, mais ils n'ont souvent pas les compétences et/ou l'accès nécessaires pour les corriger sur place.
Nous devons également être conscients que chaque problème nécessite un processus au cours duquel une solution doit être trouvée, mise en œuvre, puis testée. Même pour le plus petit problème détecté dans le code, le temps nécessaire pour le résoudre, sans parler des ressources requises, est considérable. Il existe plus de 700 failles de sécurité qui peuvent être introduites dans un logiciel, et il est tout simplement impossible pour une seule personne de se protéger contre toutes. C'est pourquoi la plupart des entreprises se contentent de suivre le Top 10 de l'OWASP. Pendant ce temps, les développeurs créent constamment de nouvelles fonctionnalités et, en retour, introduisent sans cesse des failles de sécurité dans le code qu'ils écrivent.
Quelle est la solution ?
Le fait est que nous ne fournissons pas à nos développeurs les outils et les formations nécessaires pour favoriser une programmation sécurisée et efficace. Il n'existe aucune réglementation obligeant les entreprises à s'assurer que les développeurs disposent des connaissances adéquates en matière de sécurité, et il est regrettable de constater que la plupart des universités et des stages ne préparent pas non plus les jeunes développeurs à programmer de manière sécurisée.
Si quelqu'un souhaite piloter un avion, il doit suivre une procédure très stricte qui garantit une formation, une expérience pratique, des examens médicaux, des connaissances en matière de sécurité et des tests avant de pouvoir voler. Personne n'oserait imaginer que quelqu'un puisse voler sans cette préparation complète et cette validation de ses compétences, mais c'est exactement ce qui se passe chaque jour dans le domaine de la programmation.
Nous devons consacrer du temps à enseigner aux développeurs comment écrire du code sécurisé. Cependant, dans le monde actuel, où le développement logiciel évolue rapidement et où les bons développeurs et experts en sécurité sont rares, cela ne semble jamais être une priorité. Il est temps de changer la donne.
Une récente manchette du Forum économique mondial affirmait : « Sans sécurité, il ne peut y avoir d'économie numérique », arguant dans les contenus associés que la sécurité était un élément central de toute stratégie de transformation numérique. « La sécurité protège les entreprises et leur permet d'innover et de développer de nouveaux produits et services. La sécurité ne joue pas seulement un rôle défensif, elle offre également aux entreprises un avantage stratégique en termes de croissance. »
L'amélioration des compétences et des résultats en matière de programmation sécurisée offrira aux entreprises un niveau de cybersécurité performant et les aidera à créer un code plus efficace et plus rapide. Les développeurs n'ont pas besoin de devenir des experts en sécurité, mais ils doivent être encouragés et équipés de manière pratique pour constituer la première ligne de défense contre les cyberattaques. Les développeurs peuvent être les prochains héros de la sécurité et de l'innovation. Ce sont des personnes très intelligentes, créatives dans la résolution des problèmes et généralement désireuses de développer leurs compétences. Tirez parti de leurs atouts en leur offrant la formation spécialisée qu'ils méritent et engagez-vous à respecter des normes de sécurité logicielle plus strictes. Veuillez consulter notre livre blanc pour en savoir plus.
Si quelqu'un souhaite piloter un avion, il doit suivre une procédure très stricte qui garantit une formation, une expérience pratique, des examens médicaux, des connaissances en matière de sécurité et des tests avant de pouvoir voler. Personne n'oserait imaginer que quelqu'un puisse voler sans cette préparation complète et cette validation de ses compétences, mais c'est exactement ce qui se passe chaque jour dans le domaine de la programmation.
Il existe une théorie bien connue selon laquelle les cafards peuvent survivre à tout, même à une explosion nucléaire. Bien que cette théorie ne soit vraie que dans une certaine mesure, leur constitution physique simple les rend extrêmement robustes par rapport à leur taille et difficiles à éradiquer dans la plupart des conditions.
J'ai réfléchi... Si les cafards avaient un équivalent dans le monde numérique, ce serait les vulnérabilités d'injection SQL (SQLi) dans le code. Il s'agit d'une faille de sécurité connue depuis plus de vingt ans, mais les entreprises continuent d'en être victimes. L'attaque coûteuse et très médiatisée contre Target était le résultat d'une injection SQL, tout comme un cas de piratage électoral dans l'Illinois, où les données de 200 000 électeurs ont été divulguées, ce qui a incité le FBI à recommander à tous les administrateurs informatiques de renforcer rapidement leurs pratiques de sécurité.
Le rapport Imperva Hacker Intelligence Initiative a révélé qu'entre 2005 et 2011, les attaques SQLi ont été utilisées dans 83 % de toutes les violations de données signalées. Aujourd'hui, les vulnérabilités d'injection restent la plus grande menace dans le classement OWASP Top 10. Elles sont relativement simples, mais elles persistent.
Il semble surprenant que la même faille de sécurité apparaisse encore dans un nombre considérable d'analyses de sécurité des applications. Nous comprenons son fonctionnement et savons comment la contrer. Comment cela est-il possible ? La réalité est que la sécurité de nos logiciels présente un potentiel d'amélioration considérable.
Le rapport de Veracode sur l'état de la sécurité des logiciels, basé sur 400 000 analyses d'applications en 2017, a révélé une statistique préoccupante : seulement 30 % des applications ont respecté les directives OWASP Top 10. Ce problème est récurrent depuis cinq ans. Près d'une application nouvellement analysée sur trois présentait des injections SQL. Cela démontre qu'il s'agit d'un problème très répandu. Nous ne tirons pas les leçons de nos erreurs, et les RSSI semblent avoir beaucoup de mal à trouver suffisamment de talents dans le domaine de la sécurité. En règle générale, le ratio entre les spécialistes de la sécurité des applications et les développeurs est insuffisant, à savoir 1 pour 100.
Pourquoi la sécurité des logiciels est-elle vitale ?
Il n'est pas secret que les talents spécialisés dans la sécurité sont rares, mais nous devons également veiller à ce que les développeurs ne corrigent pas immédiatement les problèmes lorsqu'ils surviennent et qu'ils soient manifestement mal équipés pour éviter d'introduire des failles de sécurité. Le même rapport Veracode révèle que seules 14,4 % des vulnérabilités de sécurité détectées lors du développement ont fait l'objet de mesures correctives documentées. En d'autres termes, la plupart des vulnérabilités de sécurité ont été signalées sans qu'aucune mesure corrective ne soit prise. Moins d'un tiers des vulnérabilités de sécurité ont été corrigées au cours des 90 premiers jours, et 42 % des vulnérabilités de sécurité n'ont jamais été corrigées pendant la période de développement.
Je m'entretiens régulièrement avec des experts en sécurité, des RSSI et des PDG, et j'ai constaté que de nombreuses entreprises sont tellement frustrées par le nombre de failles de sécurité détectées qui ne peuvent être corrigées (en plus du problème des fausses alertes) qu'elles ont décidé de cesser de les rechercher, en espérant que tout se passera bien.
Pourquoi les experts en sécurité des applications permettent-ils cela ?
Ne vous méprenez pas : les collaborateurs AppSec sont pleinement conscients des problèmes liés au code. Après tout, c'est l'une de leurs compétences clés qui fait d'eux une ressource si précieuse pour l'équipe. Cependant, ils sont souvent affectés par plusieurs facteurs.
Par exemple, un responsable de la sécurité des applications identifie un problème et demande au développeur : « Pouvez-vous corriger le code ? ». La réponse à cette question importante varie d'une organisation à l'autre, mais en général, le développeur est tellement submergé par les sprints rigoureux pour fournir des fonctionnalités qu'il n'a tout simplement pas le temps de corriger ces problèmes, ni les outils appropriés pour l'aider. Les experts en sécurité des applications peuvent être capables d'identifier les failles de sécurité, mais ils n'ont souvent pas les compétences et/ou l'accès nécessaires pour les corriger sur place.
Nous devons également être conscients que chaque problème nécessite un processus au cours duquel une solution doit être trouvée, mise en œuvre, puis testée. Même pour le plus petit problème détecté dans le code, le temps nécessaire pour le résoudre, sans parler des ressources requises, est considérable. Il existe plus de 700 failles de sécurité qui peuvent être introduites dans un logiciel, et il est tout simplement impossible pour une seule personne de se protéger contre toutes. C'est pourquoi la plupart des entreprises se contentent de suivre le Top 10 de l'OWASP. Pendant ce temps, les développeurs créent constamment de nouvelles fonctionnalités et, en retour, introduisent sans cesse des failles de sécurité dans le code qu'ils écrivent.
Quelle est la solution ?
Le fait est que nous ne fournissons pas à nos développeurs les outils et les formations nécessaires pour favoriser une programmation sécurisée et efficace. Il n'existe aucune réglementation obligeant les entreprises à s'assurer que les développeurs disposent des connaissances adéquates en matière de sécurité, et il est regrettable de constater que la plupart des universités et des stages ne préparent pas non plus les jeunes développeurs à programmer de manière sécurisée.
Si quelqu'un souhaite piloter un avion, il doit suivre une procédure très stricte qui garantit une formation, une expérience pratique, des examens médicaux, des connaissances en matière de sécurité et des tests avant de pouvoir voler. Personne n'oserait imaginer que quelqu'un puisse voler sans cette préparation complète et cette validation de ses compétences, mais c'est exactement ce qui se passe chaque jour dans le domaine de la programmation.
Nous devons consacrer du temps à enseigner aux développeurs comment écrire du code sécurisé. Cependant, dans le monde actuel, où le développement logiciel évolue rapidement et où les bons développeurs et experts en sécurité sont rares, cela ne semble jamais être une priorité. Il est temps de changer la donne.
Une récente manchette du Forum économique mondial affirmait : « Sans sécurité, il ne peut y avoir d'économie numérique », arguant dans les contenus associés que la sécurité était un élément central de toute stratégie de transformation numérique. « La sécurité protège les entreprises et leur permet d'innover et de développer de nouveaux produits et services. La sécurité ne joue pas seulement un rôle défensif, elle offre également aux entreprises un avantage stratégique en termes de croissance. »
L'amélioration des compétences et des résultats en matière de programmation sécurisée offrira aux entreprises un niveau de cybersécurité performant et les aidera à créer un code plus efficace et plus rapide. Les développeurs n'ont pas besoin de devenir des experts en sécurité, mais ils doivent être encouragés et équipés de manière pratique pour constituer la première ligne de défense contre les cyberattaques. Les développeurs peuvent être les prochains héros de la sécurité et de l'innovation. Ce sont des personnes très intelligentes, créatives dans la résolution des problèmes et généralement désireuses de développer leurs compétences. Tirez parti de leurs atouts en leur offrant la formation spécialisée qu'ils méritent et engagez-vous à respecter des normes de sécurité logicielle plus strictes. Veuillez consulter notre livre blanc pour en savoir plus.
Si quelqu'un souhaite piloter un avion, il doit suivre une procédure très stricte qui garantit une formation, une expérience pratique, des examens médicaux, des connaissances en matière de sécurité et des tests avant de pouvoir voler. Personne n'oserait imaginer que quelqu'un puisse voler sans cette préparation complète et cette validation de ses compétences, mais c'est exactement ce qui se passe chaque jour dans le domaine de la programmation.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Il existe une théorie bien connue selon laquelle les cafards peuvent survivre à tout, même à une explosion nucléaire. Bien que cette théorie ne soit vraie que dans une certaine mesure, leur constitution physique simple les rend extrêmement robustes par rapport à leur taille et difficiles à éradiquer dans la plupart des conditions.
J'ai réfléchi... Si les cafards avaient un équivalent dans le monde numérique, ce serait les vulnérabilités d'injection SQL (SQLi) dans le code. Il s'agit d'une faille de sécurité connue depuis plus de vingt ans, mais les entreprises continuent d'en être victimes. L'attaque coûteuse et très médiatisée contre Target était le résultat d'une injection SQL, tout comme un cas de piratage électoral dans l'Illinois, où les données de 200 000 électeurs ont été divulguées, ce qui a incité le FBI à recommander à tous les administrateurs informatiques de renforcer rapidement leurs pratiques de sécurité.
Le rapport Imperva Hacker Intelligence Initiative a révélé qu'entre 2005 et 2011, les attaques SQLi ont été utilisées dans 83 % de toutes les violations de données signalées. Aujourd'hui, les vulnérabilités d'injection restent la plus grande menace dans le classement OWASP Top 10. Elles sont relativement simples, mais elles persistent.
Il semble surprenant que la même faille de sécurité apparaisse encore dans un nombre considérable d'analyses de sécurité des applications. Nous comprenons son fonctionnement et savons comment la contrer. Comment cela est-il possible ? La réalité est que la sécurité de nos logiciels présente un potentiel d'amélioration considérable.
Le rapport de Veracode sur l'état de la sécurité des logiciels, basé sur 400 000 analyses d'applications en 2017, a révélé une statistique préoccupante : seulement 30 % des applications ont respecté les directives OWASP Top 10. Ce problème est récurrent depuis cinq ans. Près d'une application nouvellement analysée sur trois présentait des injections SQL. Cela démontre qu'il s'agit d'un problème très répandu. Nous ne tirons pas les leçons de nos erreurs, et les RSSI semblent avoir beaucoup de mal à trouver suffisamment de talents dans le domaine de la sécurité. En règle générale, le ratio entre les spécialistes de la sécurité des applications et les développeurs est insuffisant, à savoir 1 pour 100.
Pourquoi la sécurité des logiciels est-elle vitale ?
Il n'est pas secret que les talents spécialisés dans la sécurité sont rares, mais nous devons également veiller à ce que les développeurs ne corrigent pas immédiatement les problèmes lorsqu'ils surviennent et qu'ils soient manifestement mal équipés pour éviter d'introduire des failles de sécurité. Le même rapport Veracode révèle que seules 14,4 % des vulnérabilités de sécurité détectées lors du développement ont fait l'objet de mesures correctives documentées. En d'autres termes, la plupart des vulnérabilités de sécurité ont été signalées sans qu'aucune mesure corrective ne soit prise. Moins d'un tiers des vulnérabilités de sécurité ont été corrigées au cours des 90 premiers jours, et 42 % des vulnérabilités de sécurité n'ont jamais été corrigées pendant la période de développement.
Je m'entretiens régulièrement avec des experts en sécurité, des RSSI et des PDG, et j'ai constaté que de nombreuses entreprises sont tellement frustrées par le nombre de failles de sécurité détectées qui ne peuvent être corrigées (en plus du problème des fausses alertes) qu'elles ont décidé de cesser de les rechercher, en espérant que tout se passera bien.
Pourquoi les experts en sécurité des applications permettent-ils cela ?
Ne vous méprenez pas : les collaborateurs AppSec sont pleinement conscients des problèmes liés au code. Après tout, c'est l'une de leurs compétences clés qui fait d'eux une ressource si précieuse pour l'équipe. Cependant, ils sont souvent affectés par plusieurs facteurs.
Par exemple, un responsable de la sécurité des applications identifie un problème et demande au développeur : « Pouvez-vous corriger le code ? ». La réponse à cette question importante varie d'une organisation à l'autre, mais en général, le développeur est tellement submergé par les sprints rigoureux pour fournir des fonctionnalités qu'il n'a tout simplement pas le temps de corriger ces problèmes, ni les outils appropriés pour l'aider. Les experts en sécurité des applications peuvent être capables d'identifier les failles de sécurité, mais ils n'ont souvent pas les compétences et/ou l'accès nécessaires pour les corriger sur place.
Nous devons également être conscients que chaque problème nécessite un processus au cours duquel une solution doit être trouvée, mise en œuvre, puis testée. Même pour le plus petit problème détecté dans le code, le temps nécessaire pour le résoudre, sans parler des ressources requises, est considérable. Il existe plus de 700 failles de sécurité qui peuvent être introduites dans un logiciel, et il est tout simplement impossible pour une seule personne de se protéger contre toutes. C'est pourquoi la plupart des entreprises se contentent de suivre le Top 10 de l'OWASP. Pendant ce temps, les développeurs créent constamment de nouvelles fonctionnalités et, en retour, introduisent sans cesse des failles de sécurité dans le code qu'ils écrivent.
Quelle est la solution ?
Le fait est que nous ne fournissons pas à nos développeurs les outils et les formations nécessaires pour favoriser une programmation sécurisée et efficace. Il n'existe aucune réglementation obligeant les entreprises à s'assurer que les développeurs disposent des connaissances adéquates en matière de sécurité, et il est regrettable de constater que la plupart des universités et des stages ne préparent pas non plus les jeunes développeurs à programmer de manière sécurisée.
Si quelqu'un souhaite piloter un avion, il doit suivre une procédure très stricte qui garantit une formation, une expérience pratique, des examens médicaux, des connaissances en matière de sécurité et des tests avant de pouvoir voler. Personne n'oserait imaginer que quelqu'un puisse voler sans cette préparation complète et cette validation de ses compétences, mais c'est exactement ce qui se passe chaque jour dans le domaine de la programmation.
Nous devons consacrer du temps à enseigner aux développeurs comment écrire du code sécurisé. Cependant, dans le monde actuel, où le développement logiciel évolue rapidement et où les bons développeurs et experts en sécurité sont rares, cela ne semble jamais être une priorité. Il est temps de changer la donne.
Une récente manchette du Forum économique mondial affirmait : « Sans sécurité, il ne peut y avoir d'économie numérique », arguant dans les contenus associés que la sécurité était un élément central de toute stratégie de transformation numérique. « La sécurité protège les entreprises et leur permet d'innover et de développer de nouveaux produits et services. La sécurité ne joue pas seulement un rôle défensif, elle offre également aux entreprises un avantage stratégique en termes de croissance. »
L'amélioration des compétences et des résultats en matière de programmation sécurisée offrira aux entreprises un niveau de cybersécurité performant et les aidera à créer un code plus efficace et plus rapide. Les développeurs n'ont pas besoin de devenir des experts en sécurité, mais ils doivent être encouragés et équipés de manière pratique pour constituer la première ligne de défense contre les cyberattaques. Les développeurs peuvent être les prochains héros de la sécurité et de l'innovation. Ce sont des personnes très intelligentes, créatives dans la résolution des problèmes et généralement désireuses de développer leurs compétences. Tirez parti de leurs atouts en leur offrant la formation spécialisée qu'ils méritent et engagez-vous à respecter des normes de sécurité logicielle plus strictes. Veuillez consulter notre livre blanc pour en savoir plus.
Si quelqu'un souhaite piloter un avion, il doit suivre une procédure très stricte qui garantit une formation, une expérience pratique, des examens médicaux, des connaissances en matière de sécurité et des tests avant de pouvoir voler. Personne n'oserait imaginer que quelqu'un puisse voler sans cette préparation complète et cette validation de ses compétences, mais c'est exactement ce qui se passe chaque jour dans le domaine de la programmation.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.
