Pourquoi les injections SQL sont considérées comme les nuisibles du monde de la sécurité des applications (et comment les RSSI peuvent les éliminer définitivement)
Il existe une théorie bien connue selon laquelle les cafards peuvent survivre à pratiquement tout, même à une explosion nucléaire. Bien que cette théorie ne soit vraie que dans une certaine mesure, leur simple constitution corporelle les rend extrêmement résistants pour leur taille et difficiles à éradiquer dans la plupart des conditions.
J'ai réfléchi... Si les cafards avaient un équivalent dans le monde numérique, ce serait les vulnérabilités d'injection SQL (SQLi) dans le code. Il s'agit d'une vulnérabilité connue depuis plus de vingt ans, mais les organisations en sont victimes à maintes reprises. L'attaque généralisée et coûteuse contre Target était le résultat d'une injection SQL, tout comme un piratage électoral dans l'Illinois, où 200 000 dossiers d'électeurs ont été exposés, ce qui a conduit le FBI à recommander à tous les administrateurs informatiques de renforcer rapidement leurs pratiques de sécurité.
Le rapport Imperva sur les initiatives de renseignement en matière de piratage informatique a révélé qu'entre 2005 et 2011, les attaques SQLi ont été utilisées dans 83 % de toutes les violations de données signalées. À l'heure actuelle, les vulnérabilités par injection restent la principale menace dans le Top 10 de l'OWASP. Elles sont relativement simples, mais persistent.
Il semble surprenant que cette même vulnérabilité continue d'apparaître dans un nombre significatif d'analyses de sécurité des applications. Nous comprenons son fonctionnement et savons comment la contrer. Comment cela est-il possible ? En réalité, la sécurité de nos logiciels présente une marge d'amélioration considérable.
Le rapport de Veracode sur l'état de la sécurité des logiciels, basé sur 400 000 analyses d'applications en 2017, a révélé une statistique préoccupante : seulement 30 % des applications ont satisfait aux 10 principales recommandations de l'OWASP. Ce problème est récurrent depuis cinq ans, les injections SQL apparaissant dans près d'une application sur trois récemment analysée. Cela démontre qu'il s'agit d'un problème endémique : nous ne tirons pas les leçons de nos erreurs, et les RSSI semblent devoir mener un combat difficile pour recruter suffisamment de talents en matière de sécurité. En général, le ratio entre les spécialistes de la sécurité des applications et les développeurs est inadéquat, à savoir 1 pour 100.
Pourquoi la sécurité des logiciels est-elle d'une importance vitale ?
Il n'est pas surprenant que les talents spécialisés dans la sécurité soient rares, mais nous devons également prêter attention au fait que les développeurs ne résolvent pas les problèmes dès qu'ils surviennent et qu'ils sont manifestement mal préparés pour éviter d'introduire des vulnérabilités dès le départ. Dans le même rapport de Veracode, il a été révélé que seules 14,4 % de toutes les vulnérabilités de développement avaient fait l'objet de mesures d'atténuation documentées. En d'autres termes, la plupart des vulnérabilités ont été présentées sans aucune mesure d'atténuation de la part des développeurs. Moins d'un tiers des vulnérabilités ont été corrigées au cours des 90 premiers jours, et 42 % des vulnérabilités n'ont jamais été corrigées pendant la période de développement.
Je communique régulièrement avec des professionnels de la sécurité, des RSSI et des PDG, et j'ai remarqué que de nombreuses entreprises sont tellement frustrées par le nombre de vulnérabilités détectées qui ne peuvent être atténuées (en plus du problème connu sous le nom de faux positifs) qu'elles cessent complètement de les rechercher, croisent les doigts et espèrent que tout ira pour le mieux.
Pourquoi les professionnels de la sécurité des applications permettent-ils que cela se produise ?
Ne vous méprenez pas : les utilisateurs d'AppSec sont pleinement conscients des problèmes liés au code. Après tout, c'est l'une de leurs principales compétences qui fait d'eux une ressource si précieuse pour l'équipe. Cependant, ils sont souvent confrontés à divers obstacles.
Par exemple, un administrateur AppSec détectera un problème et demandera au développeur : « Pouvez-vous corriger le code ? ». La réponse à cette question importante varie d'une organisation à l'autre, mais en général, les développeurs s'efforcent tellement de respecter les délais de livraison stricts des fonctionnalités qu'ils n'ont tout simplement pas le temps de résoudre ces problèmes ni les outils adéquats pour les aider. Les professionnels de la sécurité des applications peuvent être capables d'identifier les vulnérabilités, mais ils n'ont souvent pas les compétences ou l'accès nécessaires pour les corriger immédiatement.
Il est également important de comprendre que chaque problème nécessite un processus consistant à trouver une solution, à la mettre en œuvre, puis à la tester. Même pour le plus petit problème rencontré dans le code, le temps nécessaire pour le résoudre, sans parler des ressources requises, est considérable. Il existe plus de 700 vulnérabilités qui peuvent être introduites dans un logiciel, et il est tout simplement impossible pour une seule personne de se prémunir contre chacune d'entre elles. C'est pourquoi la plupart des entreprises se limitent à suivre uniquement les 10 meilleures pratiques de l'OWASP. Pendant ce temps, les développeurs continuent de créer des fonctionnalités et, ce faisant, continuent d'introduire des vulnérabilités dans le code qu'ils écrivent.
Quelle est la solution ?
Le fait est que nous ne fournissons pas à nos développeurs les outils et la formation nécessaires pour favoriser le succès du codage sécurisé. Aucune réglementation n'oblige les organisations à s'assurer que les développeurs possèdent les compétences adéquates en matière de sécurité, et il est regrettable que la plupart des universités et des stages ne préparent pas non plus les jeunes développeurs à programmer de manière sécurisée.
Lorsqu'une personne souhaite piloter un avion, elle doit suivre un processus très rigoureux qui garantit sa formation, son expérience pratique, ses examens médicaux, ses connaissances en matière de sécurité et ses examens avant de pouvoir voler. Personne n'oserait imaginer se passer de cette préparation exhaustive et de la validation de ses compétences, mais c'est pourtant ce qui se produit quotidiennement dans le domaine de l'écriture de codes.
Il est nécessaire de consacrer du temps à former les développeurs à la rédaction de code sécurisé. Cependant, dans le monde actuel, où le développement de logiciels est rapide et où les développeurs et les professionnels de la sécurité compétents sont rares, cela ne semble jamais être une priorité. Il est temps de changer la donne.
Un titre récent du Forum économique mondial affirmait : « Il ne peut y avoir d'économie numérique sans sécurité », et le contenu qui l'accompagnait soulignait la nécessité de faire de la sécurité un élément fondamental de toute stratégie de transformation numérique. « La sécurité protège les entreprises, leur permettant d'innover et de créer de nouveaux produits et services. Au-delà de sa fonction défensive, la sécurité offre aux entreprises un avantage stratégique en termes de croissance. »
L'amélioration des compétences et des résultats en matière de codage sécurisé ajoutera une couche de cyberprotection puissante pour les organisations, les aidant à créer un code de meilleure qualité et plus rapide. Les développeurs n'ont pas besoin de devenir des experts en sécurité, mais ils doivent être formés de manière positive et pratique afin de constituer la première ligne de défense contre les cyberattaques. Les développeurs peuvent être les prochains héros de la sécurité et de l'innovation. Ce sont des personnes très intelligentes, qui résolvent les problèmes de manière créative et qui, en général, sont désireuses de développer leurs compétences. Tirez parti de leurs points forts en leur offrant la formation spécialisée qu'ils méritent et engagez-vous à respecter des normes de sécurité logicielle plus strictes. Veuillez consulter notre livre blanc pour plus d'informations.
Lorsqu'une personne souhaite piloter un avion, elle doit suivre un processus très rigoureux qui garantit sa formation, son expérience pratique, ses examens médicaux, ses connaissances en matière de sécurité et ses examens avant de pouvoir voler. Personne n'oserait imaginer se passer de cette préparation exhaustive et de la validation de ses compétences, mais c'est pourtant ce qui se produit quotidiennement dans le domaine de l'écriture de codes.
Il existe une théorie bien connue selon laquelle les cafards peuvent survivre à pratiquement tout, même à une explosion nucléaire.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Il existe une théorie bien connue selon laquelle les cafards peuvent survivre à pratiquement tout, même à une explosion nucléaire. Bien que cette théorie ne soit vraie que dans une certaine mesure, leur simple constitution corporelle les rend extrêmement résistants pour leur taille et difficiles à éradiquer dans la plupart des conditions.
J'ai réfléchi... Si les cafards avaient un équivalent dans le monde numérique, ce serait les vulnérabilités d'injection SQL (SQLi) dans le code. Il s'agit d'une vulnérabilité connue depuis plus de vingt ans, mais les organisations en sont victimes à maintes reprises. L'attaque généralisée et coûteuse contre Target était le résultat d'une injection SQL, tout comme un piratage électoral dans l'Illinois, où 200 000 dossiers d'électeurs ont été exposés, ce qui a conduit le FBI à recommander à tous les administrateurs informatiques de renforcer rapidement leurs pratiques de sécurité.
Le rapport Imperva sur les initiatives de renseignement en matière de piratage informatique a révélé qu'entre 2005 et 2011, les attaques SQLi ont été utilisées dans 83 % de toutes les violations de données signalées. À l'heure actuelle, les vulnérabilités par injection restent la principale menace dans le Top 10 de l'OWASP. Elles sont relativement simples, mais persistent.
Il semble surprenant que cette même vulnérabilité continue d'apparaître dans un nombre significatif d'analyses de sécurité des applications. Nous comprenons son fonctionnement et savons comment la contrer. Comment cela est-il possible ? En réalité, la sécurité de nos logiciels présente une marge d'amélioration considérable.
Le rapport de Veracode sur l'état de la sécurité des logiciels, basé sur 400 000 analyses d'applications en 2017, a révélé une statistique préoccupante : seulement 30 % des applications ont satisfait aux 10 principales recommandations de l'OWASP. Ce problème est récurrent depuis cinq ans, les injections SQL apparaissant dans près d'une application sur trois récemment analysée. Cela démontre qu'il s'agit d'un problème endémique : nous ne tirons pas les leçons de nos erreurs, et les RSSI semblent devoir mener un combat difficile pour recruter suffisamment de talents en matière de sécurité. En général, le ratio entre les spécialistes de la sécurité des applications et les développeurs est inadéquat, à savoir 1 pour 100.
Pourquoi la sécurité des logiciels est-elle d'une importance vitale ?
Il n'est pas surprenant que les talents spécialisés dans la sécurité soient rares, mais nous devons également prêter attention au fait que les développeurs ne résolvent pas les problèmes dès qu'ils surviennent et qu'ils sont manifestement mal préparés pour éviter d'introduire des vulnérabilités dès le départ. Dans le même rapport de Veracode, il a été révélé que seules 14,4 % de toutes les vulnérabilités de développement avaient fait l'objet de mesures d'atténuation documentées. En d'autres termes, la plupart des vulnérabilités ont été présentées sans aucune mesure d'atténuation de la part des développeurs. Moins d'un tiers des vulnérabilités ont été corrigées au cours des 90 premiers jours, et 42 % des vulnérabilités n'ont jamais été corrigées pendant la période de développement.
Je communique régulièrement avec des professionnels de la sécurité, des RSSI et des PDG, et j'ai remarqué que de nombreuses entreprises sont tellement frustrées par le nombre de vulnérabilités détectées qui ne peuvent être atténuées (en plus du problème connu sous le nom de faux positifs) qu'elles cessent complètement de les rechercher, croisent les doigts et espèrent que tout ira pour le mieux.
Pourquoi les professionnels de la sécurité des applications permettent-ils que cela se produise ?
Ne vous méprenez pas : les utilisateurs d'AppSec sont pleinement conscients des problèmes liés au code. Après tout, c'est l'une de leurs principales compétences qui fait d'eux une ressource si précieuse pour l'équipe. Cependant, ils sont souvent confrontés à divers obstacles.
Par exemple, un administrateur AppSec détectera un problème et demandera au développeur : « Pouvez-vous corriger le code ? ». La réponse à cette question importante varie d'une organisation à l'autre, mais en général, les développeurs s'efforcent tellement de respecter les délais de livraison stricts des fonctionnalités qu'ils n'ont tout simplement pas le temps de résoudre ces problèmes ni les outils adéquats pour les aider. Les professionnels de la sécurité des applications peuvent être capables d'identifier les vulnérabilités, mais ils n'ont souvent pas les compétences ou l'accès nécessaires pour les corriger immédiatement.
Il est également important de comprendre que chaque problème nécessite un processus consistant à trouver une solution, à la mettre en œuvre, puis à la tester. Même pour le plus petit problème rencontré dans le code, le temps nécessaire pour le résoudre, sans parler des ressources requises, est considérable. Il existe plus de 700 vulnérabilités qui peuvent être introduites dans un logiciel, et il est tout simplement impossible pour une seule personne de se prémunir contre chacune d'entre elles. C'est pourquoi la plupart des entreprises se limitent à suivre uniquement les 10 meilleures pratiques de l'OWASP. Pendant ce temps, les développeurs continuent de créer des fonctionnalités et, ce faisant, continuent d'introduire des vulnérabilités dans le code qu'ils écrivent.
Quelle est la solution ?
Le fait est que nous ne fournissons pas à nos développeurs les outils et la formation nécessaires pour favoriser le succès du codage sécurisé. Aucune réglementation n'oblige les organisations à s'assurer que les développeurs possèdent les compétences adéquates en matière de sécurité, et il est regrettable que la plupart des universités et des stages ne préparent pas non plus les jeunes développeurs à programmer de manière sécurisée.
Lorsqu'une personne souhaite piloter un avion, elle doit suivre un processus très rigoureux qui garantit sa formation, son expérience pratique, ses examens médicaux, ses connaissances en matière de sécurité et ses examens avant de pouvoir voler. Personne n'oserait imaginer se passer de cette préparation exhaustive et de la validation de ses compétences, mais c'est pourtant ce qui se produit quotidiennement dans le domaine de l'écriture de codes.
Il est nécessaire de consacrer du temps à former les développeurs à la rédaction de code sécurisé. Cependant, dans le monde actuel, où le développement de logiciels est rapide et où les développeurs et les professionnels de la sécurité compétents sont rares, cela ne semble jamais être une priorité. Il est temps de changer la donne.
Un titre récent du Forum économique mondial affirmait : « Il ne peut y avoir d'économie numérique sans sécurité », et le contenu qui l'accompagnait soulignait la nécessité de faire de la sécurité un élément fondamental de toute stratégie de transformation numérique. « La sécurité protège les entreprises, leur permettant d'innover et de créer de nouveaux produits et services. Au-delà de sa fonction défensive, la sécurité offre aux entreprises un avantage stratégique en termes de croissance. »
L'amélioration des compétences et des résultats en matière de codage sécurisé ajoutera une couche de cyberprotection puissante pour les organisations, les aidant à créer un code de meilleure qualité et plus rapide. Les développeurs n'ont pas besoin de devenir des experts en sécurité, mais ils doivent être formés de manière positive et pratique afin de constituer la première ligne de défense contre les cyberattaques. Les développeurs peuvent être les prochains héros de la sécurité et de l'innovation. Ce sont des personnes très intelligentes, qui résolvent les problèmes de manière créative et qui, en général, sont désireuses de développer leurs compétences. Tirez parti de leurs points forts en leur offrant la formation spécialisée qu'ils méritent et engagez-vous à respecter des normes de sécurité logicielle plus strictes. Veuillez consulter notre livre blanc pour plus d'informations.
Lorsqu'une personne souhaite piloter un avion, elle doit suivre un processus très rigoureux qui garantit sa formation, son expérience pratique, ses examens médicaux, ses connaissances en matière de sécurité et ses examens avant de pouvoir voler. Personne n'oserait imaginer se passer de cette préparation exhaustive et de la validation de ses compétences, mais c'est pourtant ce qui se produit quotidiennement dans le domaine de l'écriture de codes.
Il existe une théorie bien connue selon laquelle les cafards peuvent survivre à pratiquement tout, même à une explosion nucléaire. Bien que cette théorie ne soit vraie que dans une certaine mesure, leur simple constitution corporelle les rend extrêmement résistants pour leur taille et difficiles à éradiquer dans la plupart des conditions.
J'ai réfléchi... Si les cafards avaient un équivalent dans le monde numérique, ce serait les vulnérabilités d'injection SQL (SQLi) dans le code. Il s'agit d'une vulnérabilité connue depuis plus de vingt ans, mais les organisations en sont victimes à maintes reprises. L'attaque généralisée et coûteuse contre Target était le résultat d'une injection SQL, tout comme un piratage électoral dans l'Illinois, où 200 000 dossiers d'électeurs ont été exposés, ce qui a conduit le FBI à recommander à tous les administrateurs informatiques de renforcer rapidement leurs pratiques de sécurité.
Le rapport Imperva sur les initiatives de renseignement en matière de piratage informatique a révélé qu'entre 2005 et 2011, les attaques SQLi ont été utilisées dans 83 % de toutes les violations de données signalées. À l'heure actuelle, les vulnérabilités par injection restent la principale menace dans le Top 10 de l'OWASP. Elles sont relativement simples, mais persistent.
Il semble surprenant que cette même vulnérabilité continue d'apparaître dans un nombre significatif d'analyses de sécurité des applications. Nous comprenons son fonctionnement et savons comment la contrer. Comment cela est-il possible ? En réalité, la sécurité de nos logiciels présente une marge d'amélioration considérable.
Le rapport de Veracode sur l'état de la sécurité des logiciels, basé sur 400 000 analyses d'applications en 2017, a révélé une statistique préoccupante : seulement 30 % des applications ont satisfait aux 10 principales recommandations de l'OWASP. Ce problème est récurrent depuis cinq ans, les injections SQL apparaissant dans près d'une application sur trois récemment analysée. Cela démontre qu'il s'agit d'un problème endémique : nous ne tirons pas les leçons de nos erreurs, et les RSSI semblent devoir mener un combat difficile pour recruter suffisamment de talents en matière de sécurité. En général, le ratio entre les spécialistes de la sécurité des applications et les développeurs est inadéquat, à savoir 1 pour 100.
Pourquoi la sécurité des logiciels est-elle d'une importance vitale ?
Il n'est pas surprenant que les talents spécialisés dans la sécurité soient rares, mais nous devons également prêter attention au fait que les développeurs ne résolvent pas les problèmes dès qu'ils surviennent et qu'ils sont manifestement mal préparés pour éviter d'introduire des vulnérabilités dès le départ. Dans le même rapport de Veracode, il a été révélé que seules 14,4 % de toutes les vulnérabilités de développement avaient fait l'objet de mesures d'atténuation documentées. En d'autres termes, la plupart des vulnérabilités ont été présentées sans aucune mesure d'atténuation de la part des développeurs. Moins d'un tiers des vulnérabilités ont été corrigées au cours des 90 premiers jours, et 42 % des vulnérabilités n'ont jamais été corrigées pendant la période de développement.
Je communique régulièrement avec des professionnels de la sécurité, des RSSI et des PDG, et j'ai remarqué que de nombreuses entreprises sont tellement frustrées par le nombre de vulnérabilités détectées qui ne peuvent être atténuées (en plus du problème connu sous le nom de faux positifs) qu'elles cessent complètement de les rechercher, croisent les doigts et espèrent que tout ira pour le mieux.
Pourquoi les professionnels de la sécurité des applications permettent-ils que cela se produise ?
Ne vous méprenez pas : les utilisateurs d'AppSec sont pleinement conscients des problèmes liés au code. Après tout, c'est l'une de leurs principales compétences qui fait d'eux une ressource si précieuse pour l'équipe. Cependant, ils sont souvent confrontés à divers obstacles.
Par exemple, un administrateur AppSec détectera un problème et demandera au développeur : « Pouvez-vous corriger le code ? ». La réponse à cette question importante varie d'une organisation à l'autre, mais en général, les développeurs s'efforcent tellement de respecter les délais de livraison stricts des fonctionnalités qu'ils n'ont tout simplement pas le temps de résoudre ces problèmes ni les outils adéquats pour les aider. Les professionnels de la sécurité des applications peuvent être capables d'identifier les vulnérabilités, mais ils n'ont souvent pas les compétences ou l'accès nécessaires pour les corriger immédiatement.
Il est également important de comprendre que chaque problème nécessite un processus consistant à trouver une solution, à la mettre en œuvre, puis à la tester. Même pour le plus petit problème rencontré dans le code, le temps nécessaire pour le résoudre, sans parler des ressources requises, est considérable. Il existe plus de 700 vulnérabilités qui peuvent être introduites dans un logiciel, et il est tout simplement impossible pour une seule personne de se prémunir contre chacune d'entre elles. C'est pourquoi la plupart des entreprises se limitent à suivre uniquement les 10 meilleures pratiques de l'OWASP. Pendant ce temps, les développeurs continuent de créer des fonctionnalités et, ce faisant, continuent d'introduire des vulnérabilités dans le code qu'ils écrivent.
Quelle est la solution ?
Le fait est que nous ne fournissons pas à nos développeurs les outils et la formation nécessaires pour favoriser le succès du codage sécurisé. Aucune réglementation n'oblige les organisations à s'assurer que les développeurs possèdent les compétences adéquates en matière de sécurité, et il est regrettable que la plupart des universités et des stages ne préparent pas non plus les jeunes développeurs à programmer de manière sécurisée.
Lorsqu'une personne souhaite piloter un avion, elle doit suivre un processus très rigoureux qui garantit sa formation, son expérience pratique, ses examens médicaux, ses connaissances en matière de sécurité et ses examens avant de pouvoir voler. Personne n'oserait imaginer se passer de cette préparation exhaustive et de la validation de ses compétences, mais c'est pourtant ce qui se produit quotidiennement dans le domaine de l'écriture de codes.
Il est nécessaire de consacrer du temps à former les développeurs à la rédaction de code sécurisé. Cependant, dans le monde actuel, où le développement de logiciels est rapide et où les développeurs et les professionnels de la sécurité compétents sont rares, cela ne semble jamais être une priorité. Il est temps de changer la donne.
Un titre récent du Forum économique mondial affirmait : « Il ne peut y avoir d'économie numérique sans sécurité », et le contenu qui l'accompagnait soulignait la nécessité de faire de la sécurité un élément fondamental de toute stratégie de transformation numérique. « La sécurité protège les entreprises, leur permettant d'innover et de créer de nouveaux produits et services. Au-delà de sa fonction défensive, la sécurité offre aux entreprises un avantage stratégique en termes de croissance. »
L'amélioration des compétences et des résultats en matière de codage sécurisé ajoutera une couche de cyberprotection puissante pour les organisations, les aidant à créer un code de meilleure qualité et plus rapide. Les développeurs n'ont pas besoin de devenir des experts en sécurité, mais ils doivent être formés de manière positive et pratique afin de constituer la première ligne de défense contre les cyberattaques. Les développeurs peuvent être les prochains héros de la sécurité et de l'innovation. Ce sont des personnes très intelligentes, qui résolvent les problèmes de manière créative et qui, en général, sont désireuses de développer leurs compétences. Tirez parti de leurs points forts en leur offrant la formation spécialisée qu'ils méritent et engagez-vous à respecter des normes de sécurité logicielle plus strictes. Veuillez consulter notre livre blanc pour plus d'informations.
Lorsqu'une personne souhaite piloter un avion, elle doit suivre un processus très rigoureux qui garantit sa formation, son expérience pratique, ses examens médicaux, ses connaissances en matière de sécurité et ses examens avant de pouvoir voler. Personne n'oserait imaginer se passer de cette préparation exhaustive et de la validation de ses compétences, mais c'est pourtant ce qui se produit quotidiennement dans le domaine de l'écriture de codes.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Il existe une théorie bien connue selon laquelle les cafards peuvent survivre à pratiquement tout, même à une explosion nucléaire. Bien que cette théorie ne soit vraie que dans une certaine mesure, leur simple constitution corporelle les rend extrêmement résistants pour leur taille et difficiles à éradiquer dans la plupart des conditions.
J'ai réfléchi... Si les cafards avaient un équivalent dans le monde numérique, ce serait les vulnérabilités d'injection SQL (SQLi) dans le code. Il s'agit d'une vulnérabilité connue depuis plus de vingt ans, mais les organisations en sont victimes à maintes reprises. L'attaque généralisée et coûteuse contre Target était le résultat d'une injection SQL, tout comme un piratage électoral dans l'Illinois, où 200 000 dossiers d'électeurs ont été exposés, ce qui a conduit le FBI à recommander à tous les administrateurs informatiques de renforcer rapidement leurs pratiques de sécurité.
Le rapport Imperva sur les initiatives de renseignement en matière de piratage informatique a révélé qu'entre 2005 et 2011, les attaques SQLi ont été utilisées dans 83 % de toutes les violations de données signalées. À l'heure actuelle, les vulnérabilités par injection restent la principale menace dans le Top 10 de l'OWASP. Elles sont relativement simples, mais persistent.
Il semble surprenant que cette même vulnérabilité continue d'apparaître dans un nombre significatif d'analyses de sécurité des applications. Nous comprenons son fonctionnement et savons comment la contrer. Comment cela est-il possible ? En réalité, la sécurité de nos logiciels présente une marge d'amélioration considérable.
Le rapport de Veracode sur l'état de la sécurité des logiciels, basé sur 400 000 analyses d'applications en 2017, a révélé une statistique préoccupante : seulement 30 % des applications ont satisfait aux 10 principales recommandations de l'OWASP. Ce problème est récurrent depuis cinq ans, les injections SQL apparaissant dans près d'une application sur trois récemment analysée. Cela démontre qu'il s'agit d'un problème endémique : nous ne tirons pas les leçons de nos erreurs, et les RSSI semblent devoir mener un combat difficile pour recruter suffisamment de talents en matière de sécurité. En général, le ratio entre les spécialistes de la sécurité des applications et les développeurs est inadéquat, à savoir 1 pour 100.
Pourquoi la sécurité des logiciels est-elle d'une importance vitale ?
Il n'est pas surprenant que les talents spécialisés dans la sécurité soient rares, mais nous devons également prêter attention au fait que les développeurs ne résolvent pas les problèmes dès qu'ils surviennent et qu'ils sont manifestement mal préparés pour éviter d'introduire des vulnérabilités dès le départ. Dans le même rapport de Veracode, il a été révélé que seules 14,4 % de toutes les vulnérabilités de développement avaient fait l'objet de mesures d'atténuation documentées. En d'autres termes, la plupart des vulnérabilités ont été présentées sans aucune mesure d'atténuation de la part des développeurs. Moins d'un tiers des vulnérabilités ont été corrigées au cours des 90 premiers jours, et 42 % des vulnérabilités n'ont jamais été corrigées pendant la période de développement.
Je communique régulièrement avec des professionnels de la sécurité, des RSSI et des PDG, et j'ai remarqué que de nombreuses entreprises sont tellement frustrées par le nombre de vulnérabilités détectées qui ne peuvent être atténuées (en plus du problème connu sous le nom de faux positifs) qu'elles cessent complètement de les rechercher, croisent les doigts et espèrent que tout ira pour le mieux.
Pourquoi les professionnels de la sécurité des applications permettent-ils que cela se produise ?
Ne vous méprenez pas : les utilisateurs d'AppSec sont pleinement conscients des problèmes liés au code. Après tout, c'est l'une de leurs principales compétences qui fait d'eux une ressource si précieuse pour l'équipe. Cependant, ils sont souvent confrontés à divers obstacles.
Par exemple, un administrateur AppSec détectera un problème et demandera au développeur : « Pouvez-vous corriger le code ? ». La réponse à cette question importante varie d'une organisation à l'autre, mais en général, les développeurs s'efforcent tellement de respecter les délais de livraison stricts des fonctionnalités qu'ils n'ont tout simplement pas le temps de résoudre ces problèmes ni les outils adéquats pour les aider. Les professionnels de la sécurité des applications peuvent être capables d'identifier les vulnérabilités, mais ils n'ont souvent pas les compétences ou l'accès nécessaires pour les corriger immédiatement.
Il est également important de comprendre que chaque problème nécessite un processus consistant à trouver une solution, à la mettre en œuvre, puis à la tester. Même pour le plus petit problème rencontré dans le code, le temps nécessaire pour le résoudre, sans parler des ressources requises, est considérable. Il existe plus de 700 vulnérabilités qui peuvent être introduites dans un logiciel, et il est tout simplement impossible pour une seule personne de se prémunir contre chacune d'entre elles. C'est pourquoi la plupart des entreprises se limitent à suivre uniquement les 10 meilleures pratiques de l'OWASP. Pendant ce temps, les développeurs continuent de créer des fonctionnalités et, ce faisant, continuent d'introduire des vulnérabilités dans le code qu'ils écrivent.
Quelle est la solution ?
Le fait est que nous ne fournissons pas à nos développeurs les outils et la formation nécessaires pour favoriser le succès du codage sécurisé. Aucune réglementation n'oblige les organisations à s'assurer que les développeurs possèdent les compétences adéquates en matière de sécurité, et il est regrettable que la plupart des universités et des stages ne préparent pas non plus les jeunes développeurs à programmer de manière sécurisée.
Lorsqu'une personne souhaite piloter un avion, elle doit suivre un processus très rigoureux qui garantit sa formation, son expérience pratique, ses examens médicaux, ses connaissances en matière de sécurité et ses examens avant de pouvoir voler. Personne n'oserait imaginer se passer de cette préparation exhaustive et de la validation de ses compétences, mais c'est pourtant ce qui se produit quotidiennement dans le domaine de l'écriture de codes.
Il est nécessaire de consacrer du temps à former les développeurs à la rédaction de code sécurisé. Cependant, dans le monde actuel, où le développement de logiciels est rapide et où les développeurs et les professionnels de la sécurité compétents sont rares, cela ne semble jamais être une priorité. Il est temps de changer la donne.
Un titre récent du Forum économique mondial affirmait : « Il ne peut y avoir d'économie numérique sans sécurité », et le contenu qui l'accompagnait soulignait la nécessité de faire de la sécurité un élément fondamental de toute stratégie de transformation numérique. « La sécurité protège les entreprises, leur permettant d'innover et de créer de nouveaux produits et services. Au-delà de sa fonction défensive, la sécurité offre aux entreprises un avantage stratégique en termes de croissance. »
L'amélioration des compétences et des résultats en matière de codage sécurisé ajoutera une couche de cyberprotection puissante pour les organisations, les aidant à créer un code de meilleure qualité et plus rapide. Les développeurs n'ont pas besoin de devenir des experts en sécurité, mais ils doivent être formés de manière positive et pratique afin de constituer la première ligne de défense contre les cyberattaques. Les développeurs peuvent être les prochains héros de la sécurité et de l'innovation. Ce sont des personnes très intelligentes, qui résolvent les problèmes de manière créative et qui, en général, sont désireuses de développer leurs compétences. Tirez parti de leurs points forts en leur offrant la formation spécialisée qu'ils méritent et engagez-vous à respecter des normes de sécurité logicielle plus strictes. Veuillez consulter notre livre blanc pour plus d'informations.
Lorsqu'une personne souhaite piloter un avion, elle doit suivre un processus très rigoureux qui garantit sa formation, son expérience pratique, ses examens médicaux, ses connaissances en matière de sécurité et ses examens avant de pouvoir voler. Personne n'oserait imaginer se passer de cette préparation exhaustive et de la validation de ses compétences, mais c'est pourtant ce qui se produit quotidiennement dans le domaine de l'écriture de codes.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
