Sécurité du développement d'applications COBOL | Secure Code Warrior
Il semble presque comique qu'en 2019, nous devions parler de travailler avec un langage informatique inventé en 1959. De nos jours, peu de séminaires ou de conventions sont consacrés à l'art de refiler les machines à coudre Singer classiques ou de remplacer le carter d'huile d'une Chevrolet Parkwood ou d'une Triumph Herald. La plupart de ces outils vieillissants ont depuis longtemps été retirés du marché et remplacés par de nouveaux modèles plus efficaces. Pourtant, ici, dans un monde technologique censé être à la pointe de la technologie par rapport à d'autres secteurs, nous travaillons toujours avec des langages comme le COBOL, qui est sorti à peu près à la même époque.
Bien entendu, il y a de très bonnes raisons à cela. Le langage commun orienté vers les affaires (COBOL) a peut-être 60 ans, mais il a été si bien construit qu'il est toujours d'actualité et largement utilisé aujourd'hui.
Le COBOL a été créé comme un moyen relativement simple, utilisant un langage clair regroupé en phrases et syntaxes spécifiques, pour programmer des systèmes dorsaux afin d'effectuer des tâches mathématiques et des formules. Pourquoi existe-t-il encore aujourd'hui ? En d'autres termes, il fait très bien son travail. D'une certaine manière, il fait désormais partie de la structure informatique de nombreux systèmes centraux et principaux dans des secteurs aussi divers que le secteur financier et l'industrie manufacturière.
Des mises à jour progressives ont été apportées au COBOL au fil des ans, notamment en 2002, lorsqu'il a été transformé en langage orienté objet afin de rendre la programmation de nouvelles applications un peu plus fluide. Mais dans l'ensemble, COBOL reste aujourd'hui ce qu'il était à l'époque : un héros méconnu et un langage de programmation hors pair qui fonctionne en arrière-plan pour étayer de nombreuses applications modernes au niveau du mainframe.
Dans quelle mesure le COBOL est-il sécurisé ?
Malheureusement, il n'y avait pas beaucoup de considérations de sécurité lorsque COBOL a été créé pour la première fois. Par exemple, de nombreuses applications COBOL disposent d'un programme de mot de passe qui les protège, mais elles ne sont presque jamais renforcées contre des éléments tels que la protection contre la force brute pour empêcher le craquage. Ajoutez à cela le fait que de nombreux outils de sécurité modernes qui surveillent le trafic réseau ne savent pas comment gérer ou évaluer les fonctions exécutées dans des programmes écrits dans des langages professionnels tels que le COBOL, et vous êtes confronté à un réel problème sur le point de se produire. De nombreuses violations modernes ont été couronnées de succès en raison de l'absence de supervision de la sécurité des systèmes utilisant des langages informatiques classiques. En 2015, les données de plus de quatre millions d'employés fédéraux américains ont été exposées lorsque le Bureau de la gestion du personnel (OPM) a été piraté, avec la faute en revient à leur utilisation de COBOL, invoquant une incapacité à mettre en œuvre des mesures de sécurité modernes sur un système aussi archaïque.
Il y a des années, la sécurité était assurée par une armée de programmeurs qui connaissaient le COBOL et d'autres langages populaires de l'époque. Dans les années 1960, COBOL était comme Java ou .Net d'aujourd'hui, et ceux qui le connaissaient étaient les stars de leur département. En 2019, ces personnes ont probablement pris leur retraite depuis longtemps, même si ce n'est pas le cas des systèmes qu'elles protégeaient.
Élargir les lignes de défense de première ligne des COBOL
Un bon nombre de ces soi-disant barbes grises ont été ramenés dans leurs organisations en tant que sous-traitants pour défendre les mêmes ordinateurs centraux sur lesquels ils travaillaient auparavant. Dans bien des endroits, ils ont existé de manière un peu anormale : une cabale secrète de sorciers vieillissants dans un coin arrière du bureau, leur tenue étrange (cravates larges et costumes trois pièces) et leurs manières étrangement polies qui ne correspondaient pas vraiment à celles de tous les hipsters modernes arborant des jeans skinny et des brioches pour homme. Pourtant, ils étaient absolument nécessaires, car peu de programmeurs modernes créaient du code en COBOL et dans d'autres langages anciens. Malheureusement, même ces dernières sentinelles sorcières sont en train de disparaître pour finalement rendre l'âme et déménager à Boca Raton, où elles profitent d'une véritable retraite.
Il existe donc un besoin urgent de personnes qui comprennent les langues anciennes et les failles de sécurité qu'elles contiennent. Même si les jeunes ne savent pas comment écrire du code dans des langages classiques, ils devraient au moins comprendre leur fonctionnement et leurs vulnérabilités potentielles. Parce que si le développement du COBOL est resté relativement stable, les menaces qui pèsent sur les réseaux ont continué d'évoluer. Essayer d'utiliser d'anciennes techniques de cybersécurité programmées il y a soixante ans, comme l'application de mot de passe COBOL susmentionnée, pour défendre un ordinateur central contre des attaquants modernes revient à déployer une phalange de lanciers pour combattre un peloton de Space Marines. À moins d'un miracle hollywoodien, cela va mal se terminer pour les gars aux lances.
Qu'il soit ancien ou nouveau, il doit également être sécurisé.
C'est pourquoi nous croyons en l'importance d'un système de formation avancé qui couvre une large gamme de langages et de frameworks de programmation. Vous voyez, l'un des problèmes flagrants liés à de nombreuses options de formation à la sécurité est que les informations sont tout simplement trop génériques, ou pire encore, totalement hors de propos dans le travail quotidien du développeur qui y participe. Passer une demi-journée à découvrir les vulnérabilités qui ne concernent que Java n'aidera pas un développeur COBOL à renforcer son système, et cela ne fera que perpétuer l'idée que la « sécurité » est un exercice à cocher à oublier une fois le cours obligatoire terminé. J'ajouterais que former quelqu'un aux bogues de sécurité Java n'est pas toujours applicable à un développeur Java Spring. Le codage sécurisé est simplement différent dans chaque langue, même au niveau du framework.
Dans le cadre de notre mission visant à permettre à tous les développeurs de devenir des super-héros de la sécurité, nous n'oublierons pas un langage informatique valide qui est toujours utilisé dans certaines des installations les plus ciblées et les plus critiques au monde. En explorant notre plateforme, vous trouverez des défis pratiques et des formations modernes liés au COBOL, proposés ainsi que certains des outils de programmation les plus modernes disponibles aujourd'hui, tels que Golang de Google. Cette flexibilité garantit que la formation est adaptée à un individu et contextuelle, imitant son environnement de travail pour un engagement et une efficacité maximaux. Après tout, la mise en place d'une solide culture de la sécurité est primordiale dans la lutte contre les cybermenaces. La formation doit donc être pratique (et amusante, bien sûr !).
Nous voulons que notre secteur parvienne à un stade où peu importe que des menaces de sécurité soient proférées contre des systèmes utilisant des langages vieillissants ou contre les applications de mobilité les plus modernes. Nous voulons que chaque développeur dispose des meilleures informations sur ces vulnérabilités, sur les outils et les techniques utilisés par les attaquants pour les exploiter et sur la manière de les stopper. Nous ne céderons jamais et ne renoncerons jamais face aux menaces de cybersécurité. Quelle que soit la modernité ou l'ancienneté des menaces ou des vulnérabilités, vous pouvez toujours vous tourner vers Secure Code Warrior pour apprendre à les vaincre, à chaque fois.
PS : Vous pensez qu'un langage ancien échappe à la sensibilité à l'injection SQL ? Détrompez-vous. Voyez si vous pouvez localisez-en un et corrigez-en un en COBOL en ce moment.
Legacy COBOL, bien qu'il s'agisse d'un langage informatique plus ancien, est toujours efficace à ce jour. Pour en savoir plus sur le développement d'applications sécurisées COBOL, consultez Secure Code Warrior.
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Il semble presque comique qu'en 2019, nous devions parler de travailler avec un langage informatique inventé en 1959. De nos jours, peu de séminaires ou de conventions sont consacrés à l'art de refiler les machines à coudre Singer classiques ou de remplacer le carter d'huile d'une Chevrolet Parkwood ou d'une Triumph Herald. La plupart de ces outils vieillissants ont depuis longtemps été retirés du marché et remplacés par de nouveaux modèles plus efficaces. Pourtant, ici, dans un monde technologique censé être à la pointe de la technologie par rapport à d'autres secteurs, nous travaillons toujours avec des langages comme le COBOL, qui est sorti à peu près à la même époque.
Bien entendu, il y a de très bonnes raisons à cela. Le langage commun orienté vers les affaires (COBOL) a peut-être 60 ans, mais il a été si bien construit qu'il est toujours d'actualité et largement utilisé aujourd'hui.
Le COBOL a été créé comme un moyen relativement simple, utilisant un langage clair regroupé en phrases et syntaxes spécifiques, pour programmer des systèmes dorsaux afin d'effectuer des tâches mathématiques et des formules. Pourquoi existe-t-il encore aujourd'hui ? En d'autres termes, il fait très bien son travail. D'une certaine manière, il fait désormais partie de la structure informatique de nombreux systèmes centraux et principaux dans des secteurs aussi divers que le secteur financier et l'industrie manufacturière.
Des mises à jour progressives ont été apportées au COBOL au fil des ans, notamment en 2002, lorsqu'il a été transformé en langage orienté objet afin de rendre la programmation de nouvelles applications un peu plus fluide. Mais dans l'ensemble, COBOL reste aujourd'hui ce qu'il était à l'époque : un héros méconnu et un langage de programmation hors pair qui fonctionne en arrière-plan pour étayer de nombreuses applications modernes au niveau du mainframe.
Dans quelle mesure le COBOL est-il sécurisé ?
Malheureusement, il n'y avait pas beaucoup de considérations de sécurité lorsque COBOL a été créé pour la première fois. Par exemple, de nombreuses applications COBOL disposent d'un programme de mot de passe qui les protège, mais elles ne sont presque jamais renforcées contre des éléments tels que la protection contre la force brute pour empêcher le craquage. Ajoutez à cela le fait que de nombreux outils de sécurité modernes qui surveillent le trafic réseau ne savent pas comment gérer ou évaluer les fonctions exécutées dans des programmes écrits dans des langages professionnels tels que le COBOL, et vous êtes confronté à un réel problème sur le point de se produire. De nombreuses violations modernes ont été couronnées de succès en raison de l'absence de supervision de la sécurité des systèmes utilisant des langages informatiques classiques. En 2015, les données de plus de quatre millions d'employés fédéraux américains ont été exposées lorsque le Bureau de la gestion du personnel (OPM) a été piraté, avec la faute en revient à leur utilisation de COBOL, invoquant une incapacité à mettre en œuvre des mesures de sécurité modernes sur un système aussi archaïque.
Il y a des années, la sécurité était assurée par une armée de programmeurs qui connaissaient le COBOL et d'autres langages populaires de l'époque. Dans les années 1960, COBOL était comme Java ou .Net d'aujourd'hui, et ceux qui le connaissaient étaient les stars de leur département. En 2019, ces personnes ont probablement pris leur retraite depuis longtemps, même si ce n'est pas le cas des systèmes qu'elles protégeaient.
Élargir les lignes de défense de première ligne des COBOL
Un bon nombre de ces soi-disant barbes grises ont été ramenés dans leurs organisations en tant que sous-traitants pour défendre les mêmes ordinateurs centraux sur lesquels ils travaillaient auparavant. Dans bien des endroits, ils ont existé de manière un peu anormale : une cabale secrète de sorciers vieillissants dans un coin arrière du bureau, leur tenue étrange (cravates larges et costumes trois pièces) et leurs manières étrangement polies qui ne correspondaient pas vraiment à celles de tous les hipsters modernes arborant des jeans skinny et des brioches pour homme. Pourtant, ils étaient absolument nécessaires, car peu de programmeurs modernes créaient du code en COBOL et dans d'autres langages anciens. Malheureusement, même ces dernières sentinelles sorcières sont en train de disparaître pour finalement rendre l'âme et déménager à Boca Raton, où elles profitent d'une véritable retraite.
Il existe donc un besoin urgent de personnes qui comprennent les langues anciennes et les failles de sécurité qu'elles contiennent. Même si les jeunes ne savent pas comment écrire du code dans des langages classiques, ils devraient au moins comprendre leur fonctionnement et leurs vulnérabilités potentielles. Parce que si le développement du COBOL est resté relativement stable, les menaces qui pèsent sur les réseaux ont continué d'évoluer. Essayer d'utiliser d'anciennes techniques de cybersécurité programmées il y a soixante ans, comme l'application de mot de passe COBOL susmentionnée, pour défendre un ordinateur central contre des attaquants modernes revient à déployer une phalange de lanciers pour combattre un peloton de Space Marines. À moins d'un miracle hollywoodien, cela va mal se terminer pour les gars aux lances.
Qu'il soit ancien ou nouveau, il doit également être sécurisé.
C'est pourquoi nous croyons en l'importance d'un système de formation avancé qui couvre une large gamme de langages et de frameworks de programmation. Vous voyez, l'un des problèmes flagrants liés à de nombreuses options de formation à la sécurité est que les informations sont tout simplement trop génériques, ou pire encore, totalement hors de propos dans le travail quotidien du développeur qui y participe. Passer une demi-journée à découvrir les vulnérabilités qui ne concernent que Java n'aidera pas un développeur COBOL à renforcer son système, et cela ne fera que perpétuer l'idée que la « sécurité » est un exercice à cocher à oublier une fois le cours obligatoire terminé. J'ajouterais que former quelqu'un aux bogues de sécurité Java n'est pas toujours applicable à un développeur Java Spring. Le codage sécurisé est simplement différent dans chaque langue, même au niveau du framework.
Dans le cadre de notre mission visant à permettre à tous les développeurs de devenir des super-héros de la sécurité, nous n'oublierons pas un langage informatique valide qui est toujours utilisé dans certaines des installations les plus ciblées et les plus critiques au monde. En explorant notre plateforme, vous trouverez des défis pratiques et des formations modernes liés au COBOL, proposés ainsi que certains des outils de programmation les plus modernes disponibles aujourd'hui, tels que Golang de Google. Cette flexibilité garantit que la formation est adaptée à un individu et contextuelle, imitant son environnement de travail pour un engagement et une efficacité maximaux. Après tout, la mise en place d'une solide culture de la sécurité est primordiale dans la lutte contre les cybermenaces. La formation doit donc être pratique (et amusante, bien sûr !).
Nous voulons que notre secteur parvienne à un stade où peu importe que des menaces de sécurité soient proférées contre des systèmes utilisant des langages vieillissants ou contre les applications de mobilité les plus modernes. Nous voulons que chaque développeur dispose des meilleures informations sur ces vulnérabilités, sur les outils et les techniques utilisés par les attaquants pour les exploiter et sur la manière de les stopper. Nous ne céderons jamais et ne renoncerons jamais face aux menaces de cybersécurité. Quelle que soit la modernité ou l'ancienneté des menaces ou des vulnérabilités, vous pouvez toujours vous tourner vers Secure Code Warrior pour apprendre à les vaincre, à chaque fois.
PS : Vous pensez qu'un langage ancien échappe à la sensibilité à l'injection SQL ? Détrompez-vous. Voyez si vous pouvez localisez-en un et corrigez-en un en COBOL en ce moment.
Il semble presque comique qu'en 2019, nous devions parler de travailler avec un langage informatique inventé en 1959. De nos jours, peu de séminaires ou de conventions sont consacrés à l'art de refiler les machines à coudre Singer classiques ou de remplacer le carter d'huile d'une Chevrolet Parkwood ou d'une Triumph Herald. La plupart de ces outils vieillissants ont depuis longtemps été retirés du marché et remplacés par de nouveaux modèles plus efficaces. Pourtant, ici, dans un monde technologique censé être à la pointe de la technologie par rapport à d'autres secteurs, nous travaillons toujours avec des langages comme le COBOL, qui est sorti à peu près à la même époque.
Bien entendu, il y a de très bonnes raisons à cela. Le langage commun orienté vers les affaires (COBOL) a peut-être 60 ans, mais il a été si bien construit qu'il est toujours d'actualité et largement utilisé aujourd'hui.
Le COBOL a été créé comme un moyen relativement simple, utilisant un langage clair regroupé en phrases et syntaxes spécifiques, pour programmer des systèmes dorsaux afin d'effectuer des tâches mathématiques et des formules. Pourquoi existe-t-il encore aujourd'hui ? En d'autres termes, il fait très bien son travail. D'une certaine manière, il fait désormais partie de la structure informatique de nombreux systèmes centraux et principaux dans des secteurs aussi divers que le secteur financier et l'industrie manufacturière.
Des mises à jour progressives ont été apportées au COBOL au fil des ans, notamment en 2002, lorsqu'il a été transformé en langage orienté objet afin de rendre la programmation de nouvelles applications un peu plus fluide. Mais dans l'ensemble, COBOL reste aujourd'hui ce qu'il était à l'époque : un héros méconnu et un langage de programmation hors pair qui fonctionne en arrière-plan pour étayer de nombreuses applications modernes au niveau du mainframe.
Dans quelle mesure le COBOL est-il sécurisé ?
Malheureusement, il n'y avait pas beaucoup de considérations de sécurité lorsque COBOL a été créé pour la première fois. Par exemple, de nombreuses applications COBOL disposent d'un programme de mot de passe qui les protège, mais elles ne sont presque jamais renforcées contre des éléments tels que la protection contre la force brute pour empêcher le craquage. Ajoutez à cela le fait que de nombreux outils de sécurité modernes qui surveillent le trafic réseau ne savent pas comment gérer ou évaluer les fonctions exécutées dans des programmes écrits dans des langages professionnels tels que le COBOL, et vous êtes confronté à un réel problème sur le point de se produire. De nombreuses violations modernes ont été couronnées de succès en raison de l'absence de supervision de la sécurité des systèmes utilisant des langages informatiques classiques. En 2015, les données de plus de quatre millions d'employés fédéraux américains ont été exposées lorsque le Bureau de la gestion du personnel (OPM) a été piraté, avec la faute en revient à leur utilisation de COBOL, invoquant une incapacité à mettre en œuvre des mesures de sécurité modernes sur un système aussi archaïque.
Il y a des années, la sécurité était assurée par une armée de programmeurs qui connaissaient le COBOL et d'autres langages populaires de l'époque. Dans les années 1960, COBOL était comme Java ou .Net d'aujourd'hui, et ceux qui le connaissaient étaient les stars de leur département. En 2019, ces personnes ont probablement pris leur retraite depuis longtemps, même si ce n'est pas le cas des systèmes qu'elles protégeaient.
Élargir les lignes de défense de première ligne des COBOL
Un bon nombre de ces soi-disant barbes grises ont été ramenés dans leurs organisations en tant que sous-traitants pour défendre les mêmes ordinateurs centraux sur lesquels ils travaillaient auparavant. Dans bien des endroits, ils ont existé de manière un peu anormale : une cabale secrète de sorciers vieillissants dans un coin arrière du bureau, leur tenue étrange (cravates larges et costumes trois pièces) et leurs manières étrangement polies qui ne correspondaient pas vraiment à celles de tous les hipsters modernes arborant des jeans skinny et des brioches pour homme. Pourtant, ils étaient absolument nécessaires, car peu de programmeurs modernes créaient du code en COBOL et dans d'autres langages anciens. Malheureusement, même ces dernières sentinelles sorcières sont en train de disparaître pour finalement rendre l'âme et déménager à Boca Raton, où elles profitent d'une véritable retraite.
Il existe donc un besoin urgent de personnes qui comprennent les langues anciennes et les failles de sécurité qu'elles contiennent. Même si les jeunes ne savent pas comment écrire du code dans des langages classiques, ils devraient au moins comprendre leur fonctionnement et leurs vulnérabilités potentielles. Parce que si le développement du COBOL est resté relativement stable, les menaces qui pèsent sur les réseaux ont continué d'évoluer. Essayer d'utiliser d'anciennes techniques de cybersécurité programmées il y a soixante ans, comme l'application de mot de passe COBOL susmentionnée, pour défendre un ordinateur central contre des attaquants modernes revient à déployer une phalange de lanciers pour combattre un peloton de Space Marines. À moins d'un miracle hollywoodien, cela va mal se terminer pour les gars aux lances.
Qu'il soit ancien ou nouveau, il doit également être sécurisé.
C'est pourquoi nous croyons en l'importance d'un système de formation avancé qui couvre une large gamme de langages et de frameworks de programmation. Vous voyez, l'un des problèmes flagrants liés à de nombreuses options de formation à la sécurité est que les informations sont tout simplement trop génériques, ou pire encore, totalement hors de propos dans le travail quotidien du développeur qui y participe. Passer une demi-journée à découvrir les vulnérabilités qui ne concernent que Java n'aidera pas un développeur COBOL à renforcer son système, et cela ne fera que perpétuer l'idée que la « sécurité » est un exercice à cocher à oublier une fois le cours obligatoire terminé. J'ajouterais que former quelqu'un aux bogues de sécurité Java n'est pas toujours applicable à un développeur Java Spring. Le codage sécurisé est simplement différent dans chaque langue, même au niveau du framework.
Dans le cadre de notre mission visant à permettre à tous les développeurs de devenir des super-héros de la sécurité, nous n'oublierons pas un langage informatique valide qui est toujours utilisé dans certaines des installations les plus ciblées et les plus critiques au monde. En explorant notre plateforme, vous trouverez des défis pratiques et des formations modernes liés au COBOL, proposés ainsi que certains des outils de programmation les plus modernes disponibles aujourd'hui, tels que Golang de Google. Cette flexibilité garantit que la formation est adaptée à un individu et contextuelle, imitant son environnement de travail pour un engagement et une efficacité maximaux. Après tout, la mise en place d'une solide culture de la sécurité est primordiale dans la lutte contre les cybermenaces. La formation doit donc être pratique (et amusante, bien sûr !).
Nous voulons que notre secteur parvienne à un stade où peu importe que des menaces de sécurité soient proférées contre des systèmes utilisant des langages vieillissants ou contre les applications de mobilité les plus modernes. Nous voulons que chaque développeur dispose des meilleures informations sur ces vulnérabilités, sur les outils et les techniques utilisés par les attaquants pour les exploiter et sur la manière de les stopper. Nous ne céderons jamais et ne renoncerons jamais face aux menaces de cybersécurité. Quelle que soit la modernité ou l'ancienneté des menaces ou des vulnérabilités, vous pouvez toujours vous tourner vers Secure Code Warrior pour apprendre à les vaincre, à chaque fois.
PS : Vous pensez qu'un langage ancien échappe à la sensibilité à l'injection SQL ? Détrompez-vous. Voyez si vous pouvez localisez-en un et corrigez-en un en COBOL en ce moment.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Il semble presque comique qu'en 2019, nous devions parler de travailler avec un langage informatique inventé en 1959. De nos jours, peu de séminaires ou de conventions sont consacrés à l'art de refiler les machines à coudre Singer classiques ou de remplacer le carter d'huile d'une Chevrolet Parkwood ou d'une Triumph Herald. La plupart de ces outils vieillissants ont depuis longtemps été retirés du marché et remplacés par de nouveaux modèles plus efficaces. Pourtant, ici, dans un monde technologique censé être à la pointe de la technologie par rapport à d'autres secteurs, nous travaillons toujours avec des langages comme le COBOL, qui est sorti à peu près à la même époque.
Bien entendu, il y a de très bonnes raisons à cela. Le langage commun orienté vers les affaires (COBOL) a peut-être 60 ans, mais il a été si bien construit qu'il est toujours d'actualité et largement utilisé aujourd'hui.
Le COBOL a été créé comme un moyen relativement simple, utilisant un langage clair regroupé en phrases et syntaxes spécifiques, pour programmer des systèmes dorsaux afin d'effectuer des tâches mathématiques et des formules. Pourquoi existe-t-il encore aujourd'hui ? En d'autres termes, il fait très bien son travail. D'une certaine manière, il fait désormais partie de la structure informatique de nombreux systèmes centraux et principaux dans des secteurs aussi divers que le secteur financier et l'industrie manufacturière.
Des mises à jour progressives ont été apportées au COBOL au fil des ans, notamment en 2002, lorsqu'il a été transformé en langage orienté objet afin de rendre la programmation de nouvelles applications un peu plus fluide. Mais dans l'ensemble, COBOL reste aujourd'hui ce qu'il était à l'époque : un héros méconnu et un langage de programmation hors pair qui fonctionne en arrière-plan pour étayer de nombreuses applications modernes au niveau du mainframe.
Dans quelle mesure le COBOL est-il sécurisé ?
Malheureusement, il n'y avait pas beaucoup de considérations de sécurité lorsque COBOL a été créé pour la première fois. Par exemple, de nombreuses applications COBOL disposent d'un programme de mot de passe qui les protège, mais elles ne sont presque jamais renforcées contre des éléments tels que la protection contre la force brute pour empêcher le craquage. Ajoutez à cela le fait que de nombreux outils de sécurité modernes qui surveillent le trafic réseau ne savent pas comment gérer ou évaluer les fonctions exécutées dans des programmes écrits dans des langages professionnels tels que le COBOL, et vous êtes confronté à un réel problème sur le point de se produire. De nombreuses violations modernes ont été couronnées de succès en raison de l'absence de supervision de la sécurité des systèmes utilisant des langages informatiques classiques. En 2015, les données de plus de quatre millions d'employés fédéraux américains ont été exposées lorsque le Bureau de la gestion du personnel (OPM) a été piraté, avec la faute en revient à leur utilisation de COBOL, invoquant une incapacité à mettre en œuvre des mesures de sécurité modernes sur un système aussi archaïque.
Il y a des années, la sécurité était assurée par une armée de programmeurs qui connaissaient le COBOL et d'autres langages populaires de l'époque. Dans les années 1960, COBOL était comme Java ou .Net d'aujourd'hui, et ceux qui le connaissaient étaient les stars de leur département. En 2019, ces personnes ont probablement pris leur retraite depuis longtemps, même si ce n'est pas le cas des systèmes qu'elles protégeaient.
Élargir les lignes de défense de première ligne des COBOL
Un bon nombre de ces soi-disant barbes grises ont été ramenés dans leurs organisations en tant que sous-traitants pour défendre les mêmes ordinateurs centraux sur lesquels ils travaillaient auparavant. Dans bien des endroits, ils ont existé de manière un peu anormale : une cabale secrète de sorciers vieillissants dans un coin arrière du bureau, leur tenue étrange (cravates larges et costumes trois pièces) et leurs manières étrangement polies qui ne correspondaient pas vraiment à celles de tous les hipsters modernes arborant des jeans skinny et des brioches pour homme. Pourtant, ils étaient absolument nécessaires, car peu de programmeurs modernes créaient du code en COBOL et dans d'autres langages anciens. Malheureusement, même ces dernières sentinelles sorcières sont en train de disparaître pour finalement rendre l'âme et déménager à Boca Raton, où elles profitent d'une véritable retraite.
Il existe donc un besoin urgent de personnes qui comprennent les langues anciennes et les failles de sécurité qu'elles contiennent. Même si les jeunes ne savent pas comment écrire du code dans des langages classiques, ils devraient au moins comprendre leur fonctionnement et leurs vulnérabilités potentielles. Parce que si le développement du COBOL est resté relativement stable, les menaces qui pèsent sur les réseaux ont continué d'évoluer. Essayer d'utiliser d'anciennes techniques de cybersécurité programmées il y a soixante ans, comme l'application de mot de passe COBOL susmentionnée, pour défendre un ordinateur central contre des attaquants modernes revient à déployer une phalange de lanciers pour combattre un peloton de Space Marines. À moins d'un miracle hollywoodien, cela va mal se terminer pour les gars aux lances.
Qu'il soit ancien ou nouveau, il doit également être sécurisé.
C'est pourquoi nous croyons en l'importance d'un système de formation avancé qui couvre une large gamme de langages et de frameworks de programmation. Vous voyez, l'un des problèmes flagrants liés à de nombreuses options de formation à la sécurité est que les informations sont tout simplement trop génériques, ou pire encore, totalement hors de propos dans le travail quotidien du développeur qui y participe. Passer une demi-journée à découvrir les vulnérabilités qui ne concernent que Java n'aidera pas un développeur COBOL à renforcer son système, et cela ne fera que perpétuer l'idée que la « sécurité » est un exercice à cocher à oublier une fois le cours obligatoire terminé. J'ajouterais que former quelqu'un aux bogues de sécurité Java n'est pas toujours applicable à un développeur Java Spring. Le codage sécurisé est simplement différent dans chaque langue, même au niveau du framework.
Dans le cadre de notre mission visant à permettre à tous les développeurs de devenir des super-héros de la sécurité, nous n'oublierons pas un langage informatique valide qui est toujours utilisé dans certaines des installations les plus ciblées et les plus critiques au monde. En explorant notre plateforme, vous trouverez des défis pratiques et des formations modernes liés au COBOL, proposés ainsi que certains des outils de programmation les plus modernes disponibles aujourd'hui, tels que Golang de Google. Cette flexibilité garantit que la formation est adaptée à un individu et contextuelle, imitant son environnement de travail pour un engagement et une efficacité maximaux. Après tout, la mise en place d'une solide culture de la sécurité est primordiale dans la lutte contre les cybermenaces. La formation doit donc être pratique (et amusante, bien sûr !).
Nous voulons que notre secteur parvienne à un stade où peu importe que des menaces de sécurité soient proférées contre des systèmes utilisant des langages vieillissants ou contre les applications de mobilité les plus modernes. Nous voulons que chaque développeur dispose des meilleures informations sur ces vulnérabilités, sur les outils et les techniques utilisés par les attaquants pour les exploiter et sur la manière de les stopper. Nous ne céderons jamais et ne renoncerons jamais face aux menaces de cybersécurité. Quelle que soit la modernité ou l'ancienneté des menaces ou des vulnérabilités, vous pouvez toujours vous tourner vers Secure Code Warrior pour apprendre à les vaincre, à chaque fois.
PS : Vous pensez qu'un langage ancien échappe à la sensibilité à l'injection SQL ? Détrompez-vous. Voyez si vous pouvez localisez-en un et corrigez-en un en COBOL en ce moment.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Thèmes et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions Beat the Boss sont désormais disponibles sur demande.
Cybermon 2025 : Vaincre le Boss est désormais accessible toute l'année dans SCW. Mettez en œuvre des défis de sécurité avancés liés à l'IA et au LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite clairement définis et mesurables
Enabler 1 inaugure notre série en 10 parties intitulée « Enablers of Success » en démontrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'assurer la maturité à long terme des programmes.
