La seguridad del software está en el Lejano Oeste (y va a hacer que nos maten)
Publié à l'origine dans CSO Online
En tant que hacker éthique (semi-retraité), professionnel de la sécurité et féru d'informatique, on peut dire que je m'intéresse beaucoup à la technologie. Je m'intéresse à la façon dont elle a été conçue, à ce qu'elle fait et à la manière dont elle va améliorer certains aspects de notre vie ou la rendre plus efficace. Je regarde constamment "sous le capot" des appareils, découvrant certains des meilleurs (et des pires) exemples de code qui existent. Récemment, j'ai examiné comment mon système de climatisation pouvait être contrôlé à distance à l'aide d'une application Android (imaginez ma surprise lorsque j'ai découvert que n'importe qui sur le réseau WiFi pouvait contrôler cet appareil sans aucune authentification).
La sécurité des logiciels est toujours au centre de mes préoccupations, tout comme le danger très réel que représente notre mode de vie de plus en plus numérique et axé sur le partage d'informations personnelles. Après tout, nous nous trouvons dans un territoire largement non réglementé, non supervisé et ignoré. Nous sommes dans le Far West.
En tant que société collective, nous ne regardons pas sous le capot de la technologie que nous utilisons tous les jours. En fait, la plupart d'entre nous n'ont aucune idée du degré de sécurité des logiciels utilisés dans la myriade d'applications, de services et d'objets de plus en plus connectés que nous achetons et utilisons. Ce n'est même pas que nous leur fassions intrinsèquement confiance, nous n'y pensons tout simplement pas du tout.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo !, Facebook, Target : chacune de ces entreprises largement répandues a été victime d'une violation de données. Les vulnérabilités de leurs logiciels ont été exploitées et des millions et des millions d'enregistrements de clients ont été exposés. Ces exemples ne représentent qu'une fraction des violations mondiales qui ont eu lieu au cours des dix dernières années. Elles sont la conséquence coûteuse d'une mauvaise sécurité logicielle qui permet aux malfaiteurs de voler nos précieuses informations.
Lorsque la plupart des gens pensent aux violations de données, ils pensent aux violations de la sécurité de l'information. Elles sont certes un cauchemar pour l'entreprise victime de la violation et un inconvénient pour les personnes dont les données personnelles ont été affectées, mais sérieusement, quel est le problème ? Si la sécurité continue d'être ignorée, les conséquences sont-elles vraiment si graves ? Jusqu'à présent, rien de bien grave ne s'est produit : les violations de données ont de graves conséquences pour les entreprises qui en sont responsables, mais c'est leur problème, n'est-ce pas ? Elles perdent des marchés, elles perdent la confiance des consommateurs ; en fin de compte, c'est à elles qu'il incombe de régler le problème et de payer les dégâts.
La sécurité des logiciels devrait être une priorité pour toutes les organisations.
Il y a une raison assez simple pour laquelle la sécurité des logiciels n'est pas la préoccupation numéro un de toutes les organisations disposant d'une équipe de développement : il n'y a pas encore eu assez de victimes et les risques ne sont pas suffisamment connus.
Morbide ? Peut-être. Mais c'est la vérité. La réglementation, les normes de construction et l'attention portée à la modification des lois sont prises en compte (par exemple par les agences gouvernementales) lorsqu'il y a un coût humain réel.
Prenons l'exemple d'un pont. Les ingénieurs civils (un métier vieux de plusieurs centaines d'années) considèrent la sécurité comme un élément essentiel de la construction d'un pont. Leur approche va bien au-delà de l'esthétique et de la fonctionnalité de base. Chaque pont construit doit respecter des règles de sécurité strictes, la profession d'ingénieur civil et la société dans son ensemble ayant appris au fil du temps à exiger un niveau de sécurité élevé. Aujourd'hui, un pont qui ne répond pas aux exigences de sécurité est considéré comme dangereux et inutilisable. C'est une évolution à laquelle nous devons encore parvenir dans le domaine de l'ingénierie logicielle.
Prenons un exemple plus moderne, celui de l'industrie du jouet. Dans les années 1950, la production et les ventes de jouets ont connu un essor considérable grâce au baby-boom de l'après-guerre. Il est intéressant de noter que le nombre de visites aux urgences pour des incidents liés aux jouets a également augmenté au cours de cette période. Les flèches des jouets provoquaient des blessures aux yeux, les petits jouets (et les pièces détachables des jouets plus grands) étaient ingérés, et les fours à jouets commercialisés pour les petites filles étaient capables de chauffer à des températures plus élevées que les fours domestiques ordinaires.
C'était un peu le Far West, avec peu de réglementation, à l'exception de quelques interdictions isolées et de rappels de produits dans les circonstances les plus désastreuses. Les fabricants de jouets étaient essentiellement libres de produire les jouets qu'ils souhaitaient, les problèmes de sécurité étant généralement signalés après que plusieurs incidents aient été signalés. Ce n'est qu'après l'adoption de lois telles que la loi de 1969 sur la sécurité des jouets de Richard Nixon que les tests et l'interdiction subséquente des jouets dangereux sont devenus la norme, aux États-Unis et dans le monde entier. Bien que des accidents puissent toujours se produire, le processus général de fabrication des jouets adopte aujourd'hui une politique de "sécurité d'abord", et nos enfants courent beaucoup moins de dangers potentiels.
Dans le domaine de la sécurité des logiciels, nous sommes actuellement au Far West. Hormis les lois et réglementations évidentes relatives à la protection de la vie privée (en particulier récemment avec le GDPR) et à la protection des données des clients, ainsi que la législation sur le signalement obligatoire des violations dans certains pays, très peu de choses sont dites et faites dans le monde des affaires ou dans la communauté en général sur le niveau de sécurité intégré dans les logiciels. Même ces lois concernent davantage la responsabilité de l'entreprise que le logiciel lui-même qui est réglementé ou qui doit répondre à une norme de sécurité obligatoire.
Nous y parviendrons, mais il faudra peut-être d'abord emprunter la voie de la destruction.
Gartner estime que 8,4 milliards d'appareils connectés à l'internet seront utilisés d'ici 2020, ce qui représente une augmentation de 31 % par rapport à 2016. Ce chiffre inclut l'électronique grand public, ainsi que des appareils médicaux et des équipements spécifiques à l'industrie. Cela fait beaucoup d'opportunités pour un pirate informatique.
Imaginez que le logiciel du stimulateur cardiaque d'une personne ne soit pas sécurisé. Un pirate informatique pourrait s'y introduire et potentiellement arrêter le cœur de sa victime (vous trouvez cela ridicule ? Les médecins ont désactivé le WiFi du pacemaker de Dick Cheney pour éviter qu'il ne soit assassiné par piratage). Un four à micro-ondes ou une bouilloire connectés pourraient exploser à distance (ainsi que tous les appareils de l'internet des objets dont nous bénéficions dans nos maisons), ou les freins d'une voiture électrique connectée pourraient être désactivés. Cela peut sembler un film d'action hollywoodien tiré par les cheveux, mais si le logiciel de l'un de ces éléments avancés de la technologie connectée peut être violé, nous avons vraiment une catastrophe potentielle sur les bras - tout comme les menaces que nous avons déjà couvertes avec les ramifications explosives des cyberattaques dans l'industrie du pétrole et du gaz.
Nous pouvons anticiper les conséquences désastreuses des piratages malveillants à mesure que nos vies deviennent de plus en plus dépendantes du numérique. Tout commence par l'enthousiasme des développeurs pour le codage sécurisé et par la volonté de développer une culture et un état d'esprit solides en matière de sécurité au sein des équipes de développement.
Votre révolution logicielle commence ici. Le secteur bancaire est le premier à adopter la formation par le jeu dans la lutte contre le mauvais code, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (ennuyeuse). En fait, chacune des six plus grandes banques d'Australie fait actuellement participer ses développeurs de cette manière, en stimulant leur esprit de sécurité. Découvrez ce que notre client, IAG Group, a fait avec son prochain niveau tournament.
La seguridad del software siempre es una prioridad para mí, al igual que el peligro muy real que representa nuestro estilo de vida cada vez más digital y de intercambio de información personal. Después de todo, nos encontramos en un territorio en gran medida desregulado, sin supervisión y felizmente ignorado. Estamos en el Lejano Oeste.
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Publié à l'origine dans CSO Online
En tant que hacker éthique (semi-retraité), professionnel de la sécurité et féru d'informatique, on peut dire que je m'intéresse beaucoup à la technologie. Je m'intéresse à la façon dont elle a été conçue, à ce qu'elle fait et à la manière dont elle va améliorer certains aspects de notre vie ou la rendre plus efficace. Je regarde constamment "sous le capot" des appareils, découvrant certains des meilleurs (et des pires) exemples de code qui existent. Récemment, j'ai examiné comment mon système de climatisation pouvait être contrôlé à distance à l'aide d'une application Android (imaginez ma surprise lorsque j'ai découvert que n'importe qui sur le réseau WiFi pouvait contrôler cet appareil sans aucune authentification).
La sécurité des logiciels est toujours au centre de mes préoccupations, tout comme le danger très réel que représente notre mode de vie de plus en plus numérique et axé sur le partage d'informations personnelles. Après tout, nous nous trouvons dans un territoire largement non réglementé, non supervisé et ignoré. Nous sommes dans le Far West.
En tant que société collective, nous ne regardons pas sous le capot de la technologie que nous utilisons tous les jours. En fait, la plupart d'entre nous n'ont aucune idée du degré de sécurité des logiciels utilisés dans la myriade d'applications, de services et d'objets de plus en plus connectés que nous achetons et utilisons. Ce n'est même pas que nous leur fassions intrinsèquement confiance, nous n'y pensons tout simplement pas du tout.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo !, Facebook, Target : chacune de ces entreprises largement répandues a été victime d'une violation de données. Les vulnérabilités de leurs logiciels ont été exploitées et des millions et des millions d'enregistrements de clients ont été exposés. Ces exemples ne représentent qu'une fraction des violations mondiales qui ont eu lieu au cours des dix dernières années. Elles sont la conséquence coûteuse d'une mauvaise sécurité logicielle qui permet aux malfaiteurs de voler nos précieuses informations.
Lorsque la plupart des gens pensent aux violations de données, ils pensent aux violations de la sécurité de l'information. Elles sont certes un cauchemar pour l'entreprise victime de la violation et un inconvénient pour les personnes dont les données personnelles ont été affectées, mais sérieusement, quel est le problème ? Si la sécurité continue d'être ignorée, les conséquences sont-elles vraiment si graves ? Jusqu'à présent, rien de bien grave ne s'est produit : les violations de données ont de graves conséquences pour les entreprises qui en sont responsables, mais c'est leur problème, n'est-ce pas ? Elles perdent des marchés, elles perdent la confiance des consommateurs ; en fin de compte, c'est à elles qu'il incombe de régler le problème et de payer les dégâts.
La sécurité des logiciels devrait être une priorité pour toutes les organisations.
Il y a une raison assez simple pour laquelle la sécurité des logiciels n'est pas la préoccupation numéro un de toutes les organisations disposant d'une équipe de développement : il n'y a pas encore eu assez de victimes et les risques ne sont pas suffisamment connus.
Morbide ? Peut-être. Mais c'est la vérité. La réglementation, les normes de construction et l'attention portée à la modification des lois sont prises en compte (par exemple par les agences gouvernementales) lorsqu'il y a un coût humain réel.
Prenons l'exemple d'un pont. Les ingénieurs civils (un métier vieux de plusieurs centaines d'années) considèrent la sécurité comme un élément essentiel de la construction d'un pont. Leur approche va bien au-delà de l'esthétique et de la fonctionnalité de base. Chaque pont construit doit respecter des règles de sécurité strictes, la profession d'ingénieur civil et la société dans son ensemble ayant appris au fil du temps à exiger un niveau de sécurité élevé. Aujourd'hui, un pont qui ne répond pas aux exigences de sécurité est considéré comme dangereux et inutilisable. C'est une évolution à laquelle nous devons encore parvenir dans le domaine de l'ingénierie logicielle.
Prenons un exemple plus moderne, celui de l'industrie du jouet. Dans les années 1950, la production et les ventes de jouets ont connu un essor considérable grâce au baby-boom de l'après-guerre. Il est intéressant de noter que le nombre de visites aux urgences pour des incidents liés aux jouets a également augmenté au cours de cette période. Les flèches des jouets provoquaient des blessures aux yeux, les petits jouets (et les pièces détachables des jouets plus grands) étaient ingérés, et les fours à jouets commercialisés pour les petites filles étaient capables de chauffer à des températures plus élevées que les fours domestiques ordinaires.
C'était un peu le Far West, avec peu de réglementation, à l'exception de quelques interdictions isolées et de rappels de produits dans les circonstances les plus désastreuses. Les fabricants de jouets étaient essentiellement libres de produire les jouets qu'ils souhaitaient, les problèmes de sécurité étant généralement signalés après que plusieurs incidents aient été signalés. Ce n'est qu'après l'adoption de lois telles que la loi de 1969 sur la sécurité des jouets de Richard Nixon que les tests et l'interdiction subséquente des jouets dangereux sont devenus la norme, aux États-Unis et dans le monde entier. Bien que des accidents puissent toujours se produire, le processus général de fabrication des jouets adopte aujourd'hui une politique de "sécurité d'abord", et nos enfants courent beaucoup moins de dangers potentiels.
Dans le domaine de la sécurité des logiciels, nous sommes actuellement au Far West. Hormis les lois et réglementations évidentes relatives à la protection de la vie privée (en particulier récemment avec le GDPR) et à la protection des données des clients, ainsi que la législation sur le signalement obligatoire des violations dans certains pays, très peu de choses sont dites et faites dans le monde des affaires ou dans la communauté en général sur le niveau de sécurité intégré dans les logiciels. Même ces lois concernent davantage la responsabilité de l'entreprise que le logiciel lui-même qui est réglementé ou qui doit répondre à une norme de sécurité obligatoire.
Nous y parviendrons, mais il faudra peut-être d'abord emprunter la voie de la destruction.
Gartner estime que 8,4 milliards d'appareils connectés à l'internet seront utilisés d'ici 2020, ce qui représente une augmentation de 31 % par rapport à 2016. Ce chiffre inclut l'électronique grand public, ainsi que des appareils médicaux et des équipements spécifiques à l'industrie. Cela fait beaucoup d'opportunités pour un pirate informatique.
Imaginez que le logiciel du stimulateur cardiaque d'une personne ne soit pas sécurisé. Un pirate informatique pourrait s'y introduire et potentiellement arrêter le cœur de sa victime (vous trouvez cela ridicule ? Les médecins ont désactivé le WiFi du pacemaker de Dick Cheney pour éviter qu'il ne soit assassiné par piratage). Un four à micro-ondes ou une bouilloire connectés pourraient exploser à distance (ainsi que tous les appareils de l'internet des objets dont nous bénéficions dans nos maisons), ou les freins d'une voiture électrique connectée pourraient être désactivés. Cela peut sembler un film d'action hollywoodien tiré par les cheveux, mais si le logiciel de l'un de ces éléments avancés de la technologie connectée peut être violé, nous avons vraiment une catastrophe potentielle sur les bras - tout comme les menaces que nous avons déjà couvertes avec les ramifications explosives des cyberattaques dans l'industrie du pétrole et du gaz.
Nous pouvons anticiper les conséquences désastreuses des piratages malveillants à mesure que nos vies deviennent de plus en plus dépendantes du numérique. Tout commence par l'enthousiasme des développeurs pour le codage sécurisé et par la volonté de développer une culture et un état d'esprit solides en matière de sécurité au sein des équipes de développement.
Votre révolution logicielle commence ici. Le secteur bancaire est le premier à adopter la formation par le jeu dans la lutte contre le mauvais code, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (ennuyeuse). En fait, chacune des six plus grandes banques d'Australie fait actuellement participer ses développeurs de cette manière, en stimulant leur esprit de sécurité. Découvrez ce que notre client, IAG Group, a fait avec son prochain niveau tournament.
Publié à l'origine dans CSO Online
En tant que hacker éthique (semi-retraité), professionnel de la sécurité et féru d'informatique, on peut dire que je m'intéresse beaucoup à la technologie. Je m'intéresse à la façon dont elle a été conçue, à ce qu'elle fait et à la manière dont elle va améliorer certains aspects de notre vie ou la rendre plus efficace. Je regarde constamment "sous le capot" des appareils, découvrant certains des meilleurs (et des pires) exemples de code qui existent. Récemment, j'ai examiné comment mon système de climatisation pouvait être contrôlé à distance à l'aide d'une application Android (imaginez ma surprise lorsque j'ai découvert que n'importe qui sur le réseau WiFi pouvait contrôler cet appareil sans aucune authentification).
La sécurité des logiciels est toujours au centre de mes préoccupations, tout comme le danger très réel que représente notre mode de vie de plus en plus numérique et axé sur le partage d'informations personnelles. Après tout, nous nous trouvons dans un territoire largement non réglementé, non supervisé et ignoré. Nous sommes dans le Far West.
En tant que société collective, nous ne regardons pas sous le capot de la technologie que nous utilisons tous les jours. En fait, la plupart d'entre nous n'ont aucune idée du degré de sécurité des logiciels utilisés dans la myriade d'applications, de services et d'objets de plus en plus connectés que nous achetons et utilisons. Ce n'est même pas que nous leur fassions intrinsèquement confiance, nous n'y pensons tout simplement pas du tout.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo !, Facebook, Target : chacune de ces entreprises largement répandues a été victime d'une violation de données. Les vulnérabilités de leurs logiciels ont été exploitées et des millions et des millions d'enregistrements de clients ont été exposés. Ces exemples ne représentent qu'une fraction des violations mondiales qui ont eu lieu au cours des dix dernières années. Elles sont la conséquence coûteuse d'une mauvaise sécurité logicielle qui permet aux malfaiteurs de voler nos précieuses informations.
Lorsque la plupart des gens pensent aux violations de données, ils pensent aux violations de la sécurité de l'information. Elles sont certes un cauchemar pour l'entreprise victime de la violation et un inconvénient pour les personnes dont les données personnelles ont été affectées, mais sérieusement, quel est le problème ? Si la sécurité continue d'être ignorée, les conséquences sont-elles vraiment si graves ? Jusqu'à présent, rien de bien grave ne s'est produit : les violations de données ont de graves conséquences pour les entreprises qui en sont responsables, mais c'est leur problème, n'est-ce pas ? Elles perdent des marchés, elles perdent la confiance des consommateurs ; en fin de compte, c'est à elles qu'il incombe de régler le problème et de payer les dégâts.
La sécurité des logiciels devrait être une priorité pour toutes les organisations.
Il y a une raison assez simple pour laquelle la sécurité des logiciels n'est pas la préoccupation numéro un de toutes les organisations disposant d'une équipe de développement : il n'y a pas encore eu assez de victimes et les risques ne sont pas suffisamment connus.
Morbide ? Peut-être. Mais c'est la vérité. La réglementation, les normes de construction et l'attention portée à la modification des lois sont prises en compte (par exemple par les agences gouvernementales) lorsqu'il y a un coût humain réel.
Prenons l'exemple d'un pont. Les ingénieurs civils (un métier vieux de plusieurs centaines d'années) considèrent la sécurité comme un élément essentiel de la construction d'un pont. Leur approche va bien au-delà de l'esthétique et de la fonctionnalité de base. Chaque pont construit doit respecter des règles de sécurité strictes, la profession d'ingénieur civil et la société dans son ensemble ayant appris au fil du temps à exiger un niveau de sécurité élevé. Aujourd'hui, un pont qui ne répond pas aux exigences de sécurité est considéré comme dangereux et inutilisable. C'est une évolution à laquelle nous devons encore parvenir dans le domaine de l'ingénierie logicielle.
Prenons un exemple plus moderne, celui de l'industrie du jouet. Dans les années 1950, la production et les ventes de jouets ont connu un essor considérable grâce au baby-boom de l'après-guerre. Il est intéressant de noter que le nombre de visites aux urgences pour des incidents liés aux jouets a également augmenté au cours de cette période. Les flèches des jouets provoquaient des blessures aux yeux, les petits jouets (et les pièces détachables des jouets plus grands) étaient ingérés, et les fours à jouets commercialisés pour les petites filles étaient capables de chauffer à des températures plus élevées que les fours domestiques ordinaires.
C'était un peu le Far West, avec peu de réglementation, à l'exception de quelques interdictions isolées et de rappels de produits dans les circonstances les plus désastreuses. Les fabricants de jouets étaient essentiellement libres de produire les jouets qu'ils souhaitaient, les problèmes de sécurité étant généralement signalés après que plusieurs incidents aient été signalés. Ce n'est qu'après l'adoption de lois telles que la loi de 1969 sur la sécurité des jouets de Richard Nixon que les tests et l'interdiction subséquente des jouets dangereux sont devenus la norme, aux États-Unis et dans le monde entier. Bien que des accidents puissent toujours se produire, le processus général de fabrication des jouets adopte aujourd'hui une politique de "sécurité d'abord", et nos enfants courent beaucoup moins de dangers potentiels.
Dans le domaine de la sécurité des logiciels, nous sommes actuellement au Far West. Hormis les lois et réglementations évidentes relatives à la protection de la vie privée (en particulier récemment avec le GDPR) et à la protection des données des clients, ainsi que la législation sur le signalement obligatoire des violations dans certains pays, très peu de choses sont dites et faites dans le monde des affaires ou dans la communauté en général sur le niveau de sécurité intégré dans les logiciels. Même ces lois concernent davantage la responsabilité de l'entreprise que le logiciel lui-même qui est réglementé ou qui doit répondre à une norme de sécurité obligatoire.
Nous y parviendrons, mais il faudra peut-être d'abord emprunter la voie de la destruction.
Gartner estime que 8,4 milliards d'appareils connectés à l'internet seront utilisés d'ici 2020, ce qui représente une augmentation de 31 % par rapport à 2016. Ce chiffre inclut l'électronique grand public, ainsi que des appareils médicaux et des équipements spécifiques à l'industrie. Cela fait beaucoup d'opportunités pour un pirate informatique.
Imaginez que le logiciel du stimulateur cardiaque d'une personne ne soit pas sécurisé. Un pirate informatique pourrait s'y introduire et potentiellement arrêter le cœur de sa victime (vous trouvez cela ridicule ? Les médecins ont désactivé le WiFi du pacemaker de Dick Cheney pour éviter qu'il ne soit assassiné par piratage). Un four à micro-ondes ou une bouilloire connectés pourraient exploser à distance (ainsi que tous les appareils de l'internet des objets dont nous bénéficions dans nos maisons), ou les freins d'une voiture électrique connectée pourraient être désactivés. Cela peut sembler un film d'action hollywoodien tiré par les cheveux, mais si le logiciel de l'un de ces éléments avancés de la technologie connectée peut être violé, nous avons vraiment une catastrophe potentielle sur les bras - tout comme les menaces que nous avons déjà couvertes avec les ramifications explosives des cyberattaques dans l'industrie du pétrole et du gaz.
Nous pouvons anticiper les conséquences désastreuses des piratages malveillants à mesure que nos vies deviennent de plus en plus dépendantes du numérique. Tout commence par l'enthousiasme des développeurs pour le codage sécurisé et par la volonté de développer une culture et un état d'esprit solides en matière de sécurité au sein des équipes de développement.
Votre révolution logicielle commence ici. Le secteur bancaire est le premier à adopter la formation par le jeu dans la lutte contre le mauvais code, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (ennuyeuse). En fait, chacune des six plus grandes banques d'Australie fait actuellement participer ses développeurs de cette manière, en stimulant leur esprit de sécurité. Découvrez ce que notre client, IAG Group, a fait avec son prochain niveau tournament.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Publié à l'origine dans CSO Online
En tant que hacker éthique (semi-retraité), professionnel de la sécurité et féru d'informatique, on peut dire que je m'intéresse beaucoup à la technologie. Je m'intéresse à la façon dont elle a été conçue, à ce qu'elle fait et à la manière dont elle va améliorer certains aspects de notre vie ou la rendre plus efficace. Je regarde constamment "sous le capot" des appareils, découvrant certains des meilleurs (et des pires) exemples de code qui existent. Récemment, j'ai examiné comment mon système de climatisation pouvait être contrôlé à distance à l'aide d'une application Android (imaginez ma surprise lorsque j'ai découvert que n'importe qui sur le réseau WiFi pouvait contrôler cet appareil sans aucune authentification).
La sécurité des logiciels est toujours au centre de mes préoccupations, tout comme le danger très réel que représente notre mode de vie de plus en plus numérique et axé sur le partage d'informations personnelles. Après tout, nous nous trouvons dans un territoire largement non réglementé, non supervisé et ignoré. Nous sommes dans le Far West.
En tant que société collective, nous ne regardons pas sous le capot de la technologie que nous utilisons tous les jours. En fait, la plupart d'entre nous n'ont aucune idée du degré de sécurité des logiciels utilisés dans la myriade d'applications, de services et d'objets de plus en plus connectés que nous achetons et utilisons. Ce n'est même pas que nous leur fassions intrinsèquement confiance, nous n'y pensons tout simplement pas du tout.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo !, Facebook, Target : chacune de ces entreprises largement répandues a été victime d'une violation de données. Les vulnérabilités de leurs logiciels ont été exploitées et des millions et des millions d'enregistrements de clients ont été exposés. Ces exemples ne représentent qu'une fraction des violations mondiales qui ont eu lieu au cours des dix dernières années. Elles sont la conséquence coûteuse d'une mauvaise sécurité logicielle qui permet aux malfaiteurs de voler nos précieuses informations.
Lorsque la plupart des gens pensent aux violations de données, ils pensent aux violations de la sécurité de l'information. Elles sont certes un cauchemar pour l'entreprise victime de la violation et un inconvénient pour les personnes dont les données personnelles ont été affectées, mais sérieusement, quel est le problème ? Si la sécurité continue d'être ignorée, les conséquences sont-elles vraiment si graves ? Jusqu'à présent, rien de bien grave ne s'est produit : les violations de données ont de graves conséquences pour les entreprises qui en sont responsables, mais c'est leur problème, n'est-ce pas ? Elles perdent des marchés, elles perdent la confiance des consommateurs ; en fin de compte, c'est à elles qu'il incombe de régler le problème et de payer les dégâts.
La sécurité des logiciels devrait être une priorité pour toutes les organisations.
Il y a une raison assez simple pour laquelle la sécurité des logiciels n'est pas la préoccupation numéro un de toutes les organisations disposant d'une équipe de développement : il n'y a pas encore eu assez de victimes et les risques ne sont pas suffisamment connus.
Morbide ? Peut-être. Mais c'est la vérité. La réglementation, les normes de construction et l'attention portée à la modification des lois sont prises en compte (par exemple par les agences gouvernementales) lorsqu'il y a un coût humain réel.
Prenons l'exemple d'un pont. Les ingénieurs civils (un métier vieux de plusieurs centaines d'années) considèrent la sécurité comme un élément essentiel de la construction d'un pont. Leur approche va bien au-delà de l'esthétique et de la fonctionnalité de base. Chaque pont construit doit respecter des règles de sécurité strictes, la profession d'ingénieur civil et la société dans son ensemble ayant appris au fil du temps à exiger un niveau de sécurité élevé. Aujourd'hui, un pont qui ne répond pas aux exigences de sécurité est considéré comme dangereux et inutilisable. C'est une évolution à laquelle nous devons encore parvenir dans le domaine de l'ingénierie logicielle.
Prenons un exemple plus moderne, celui de l'industrie du jouet. Dans les années 1950, la production et les ventes de jouets ont connu un essor considérable grâce au baby-boom de l'après-guerre. Il est intéressant de noter que le nombre de visites aux urgences pour des incidents liés aux jouets a également augmenté au cours de cette période. Les flèches des jouets provoquaient des blessures aux yeux, les petits jouets (et les pièces détachables des jouets plus grands) étaient ingérés, et les fours à jouets commercialisés pour les petites filles étaient capables de chauffer à des températures plus élevées que les fours domestiques ordinaires.
C'était un peu le Far West, avec peu de réglementation, à l'exception de quelques interdictions isolées et de rappels de produits dans les circonstances les plus désastreuses. Les fabricants de jouets étaient essentiellement libres de produire les jouets qu'ils souhaitaient, les problèmes de sécurité étant généralement signalés après que plusieurs incidents aient été signalés. Ce n'est qu'après l'adoption de lois telles que la loi de 1969 sur la sécurité des jouets de Richard Nixon que les tests et l'interdiction subséquente des jouets dangereux sont devenus la norme, aux États-Unis et dans le monde entier. Bien que des accidents puissent toujours se produire, le processus général de fabrication des jouets adopte aujourd'hui une politique de "sécurité d'abord", et nos enfants courent beaucoup moins de dangers potentiels.
Dans le domaine de la sécurité des logiciels, nous sommes actuellement au Far West. Hormis les lois et réglementations évidentes relatives à la protection de la vie privée (en particulier récemment avec le GDPR) et à la protection des données des clients, ainsi que la législation sur le signalement obligatoire des violations dans certains pays, très peu de choses sont dites et faites dans le monde des affaires ou dans la communauté en général sur le niveau de sécurité intégré dans les logiciels. Même ces lois concernent davantage la responsabilité de l'entreprise que le logiciel lui-même qui est réglementé ou qui doit répondre à une norme de sécurité obligatoire.
Nous y parviendrons, mais il faudra peut-être d'abord emprunter la voie de la destruction.
Gartner estime que 8,4 milliards d'appareils connectés à l'internet seront utilisés d'ici 2020, ce qui représente une augmentation de 31 % par rapport à 2016. Ce chiffre inclut l'électronique grand public, ainsi que des appareils médicaux et des équipements spécifiques à l'industrie. Cela fait beaucoup d'opportunités pour un pirate informatique.
Imaginez que le logiciel du stimulateur cardiaque d'une personne ne soit pas sécurisé. Un pirate informatique pourrait s'y introduire et potentiellement arrêter le cœur de sa victime (vous trouvez cela ridicule ? Les médecins ont désactivé le WiFi du pacemaker de Dick Cheney pour éviter qu'il ne soit assassiné par piratage). Un four à micro-ondes ou une bouilloire connectés pourraient exploser à distance (ainsi que tous les appareils de l'internet des objets dont nous bénéficions dans nos maisons), ou les freins d'une voiture électrique connectée pourraient être désactivés. Cela peut sembler un film d'action hollywoodien tiré par les cheveux, mais si le logiciel de l'un de ces éléments avancés de la technologie connectée peut être violé, nous avons vraiment une catastrophe potentielle sur les bras - tout comme les menaces que nous avons déjà couvertes avec les ramifications explosives des cyberattaques dans l'industrie du pétrole et du gaz.
Nous pouvons anticiper les conséquences désastreuses des piratages malveillants à mesure que nos vies deviennent de plus en plus dépendantes du numérique. Tout commence par l'enthousiasme des développeurs pour le codage sécurisé et par la volonté de développer une culture et un état d'esprit solides en matière de sécurité au sein des équipes de développement.
Votre révolution logicielle commence ici. Le secteur bancaire est le premier à adopter la formation par le jeu dans la lutte contre le mauvais code, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (ennuyeuse). En fait, chacune des six plus grandes banques d'Australie fait actuellement participer ses développeurs de cette manière, en stimulant leur esprit de sécurité. Découvrez ce que notre client, IAG Group, a fait avec son prochain niveau tournament.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
