Comment le gouvernement australien peut renforcer la résilience nationale en matière de cybersécurité et faire face aux menaces
L'année 2020 étant marquée par énorme augmentation du travail à distance, en plus de la poursuite des violations de données à grande échelle et de l'attention croissante portée aux conséquences d'une atteinte à la vie privée en ligne, le public n'a jamais accordé autant d'attention à la cybersécurité. En conséquence, les gouvernements du monde entier sont intervenus pour remodeler et mettre à jour leurs plans et infrastructures de cybersécurité, y compris les stratégies et les réglementations que les entreprises sont tenues de suivre lorsqu'elles gèrent nos ressources numériques les plus précieuses.
Les directives de protection stratégique en matière de cybersécurité ne sont pas un concept nouveau, et des organisations comme NIST ont influencé les politiques des ministères du monde entier pendant de nombreuses années. Alors que nous avons progressé à un rythme effréné dans le numérique, il est devenu difficile pour de nombreuses personnes de faire face au nombre de menaces, aux vecteurs d'attaque possibles et aux exigences de conformité qui font partie d'un paysage en constante évolution.
Un récent violation de 54 000 permis de conduire de la Nouvelle-Galles du Sud à la suite d'un compartiment S3 mal configuré et facilement accessible sur un serveur tiers, des milliers de personnes ont été compromises. Le chercheur en sécurité qui l'a signalé a reconnu que les données avaient peut-être déjà été vendues sur le dark web. Ce qui est triste, c'est qu'il s'agit d'une solution facile qui aurait été peu probable si la sécurité avait été une priorité pour ceux qui configurent le cache.
Le gouvernement australien a récemment publié le Stratégie australienne de cybersécurité 2020, mettant en avant de nouvelles initiatives et une augmentation de financement de 1,67 milliard de dollars à utiliser au cours de la prochaine décennie, pour réaliser leur « vision de créer un monde en ligne plus sécurisé pour les Australiens, leurs entreprises et les services essentiels dont nous dépendons tous ». Il s'agit clairement d'un examen très bienvenu et d'un plan actualisé, d'autant plus que l'un des principaux objectifs est le suivant :
«Mesures prises par les entreprises pour sécuriser leurs produits et services et protéger leurs clients contre les cybervulnérabilités connues«.
Alors que les organismes gouvernementaux ont tendance à se concentrer (comme il se doit) sur les mesures de sécurité concernant les infrastructures critiques d'un pays, c'est-à-dire des domaines qui se prêtent à une attaque organisée catastrophique, ce qui manquait par le passé, ce sont les directives destinées aux entreprises qui collectent et utilisent nos données au quotidien.
Maintenant, quand il s'agit de stratégie officielle comme celle-ci, il ne s'agit pas toujours de bière et de quilles. Cela peut être un peu difficile à interpréter et les détails sont vagues, laissant à l'équipe de sécurité de l'entreprise le soin d'élaborer un plan basé sur des directives non spécifiques. Ce problème n'est pas propre au gouvernement australien, mais analysons leur toute nouvelle version.
Mettre l'accent sur la réaction, pas sur la prévention.
La stratégie australienne de cybersécurité mise à jour constitue une amélioration plus pertinente par rapport à la dernière version de 2016, avec des plans assez complets pour les entreprises, en particulier les PME. La stratégie décrit les grandes lignes suivantes :
«Le gouvernement et les grandes entreprises aideront les petites et moyennes entreprises (PME) à se développer et à accroître leur sensibilisation et leurs capacités en matière de cybersécurité. Le gouvernement australien travaillera avec de grandes entreprises et des prestataires de services pour fournir aux PME des informations et des outils de cybersécurité dans le cadre de « lots » de services sécurisés (tels que le blocage des menaces, les antivirus et la formation de sensibilisation à la cybersécurité). »
Cela fournira aux PME une base de base décente sur laquelle elles pourront protéger leurs activités contre les cybermenaces, mais il s'agit en grande partie d'une approche réactive, et l'accent est mis sur les outils de détection, qui constituent une partie relativement restreinte du paysage de la cybersécurité.
Il existe également étonnamment peu d'informations sur la manière dont les grandes entreprises peuvent se protéger et réduire leurs vecteurs d'attaque. Bien que nombre d'entre eux puissent faire partie des plans visant à protéger les infrastructures critiques (telles que les télécommunications, les transports), services financiers, vente au détail, et de nombreux autres secteurs d'activité ont beaucoup à perdre en cas de cyberattaque réussie. Cela fera peut-être partie de la législation à venir, mais malgré cela, il est essentiel de souligner l'importance de bonnes pratiques méticuleuses en matière de cybersécurité au niveau de l'entreprise pour assister à des changements significatifs et à une baisse des données compromises et de la cybercriminalité.
Dans l'ensemble, si l'on considère la stratégie dans son ensemble, elle repose sur une approche réactive. Lutter contre les cyberattaques, perturber les cybercriminels actifs et garantir leur poursuite, ainsi que le partage de renseignements avec des alliés internationaux, sont tous des facteurs importants, mais imaginez si la norme de protection nationale était axée sur la prévention. Outre les mesures de protection des infrastructures critiques, si la sécurité était une priorité dans toutes les entreprises et que chaque personne touchant le code qui crée notre monde numérique était correctement équipée pour bloquer les attaques avant qu'elles ne se produisent, les économies de temps, d'argent et de chagrin pour les victimes sont incommensurables.
La résilience est possible, mais elle doit être planifiée.
Les efforts déployés par le gouvernement australien pour prendre au sérieux la cybersécurité montrent clairement que celle-ci a été identifiée comme un domaine à risque majeur au niveau national. Comme toute autre attaque malveillante susceptible de bouleverser notre mode de vie, la résilience est absolument cruciale, non seulement pour résister à une telle tentative, mais aussi pour empêcher qu'elle ne se produise. En fin de compte, même les acteurs de la menace peuvent être paresseux et ils se tourneront vers une cible plus facile pour atteindre leur objectif si trop d'obstacles entravent leur réussite.
À l'heure actuelle, nous sommes confrontés à une pénurie mondiale de compétences en cybersécurité, ce qui permet aux RSSI du monde entier de rester éveillés la nuit. Des milliards de lignes de code, des violations de données constantes à grande échelle et un risque accru de sanctions (Marriott uniquement) a reçu une amende de 123 millions de dollars américains en vertu du RGPD pour leur violation de données de 2018... et ils a connu une autre violation cette année) a plus que jamais créé un gouffre de demande pour les spécialistes de la sécurité qui, en réalité, a peu de chances d'être comblé. Il y a tout simplement trop de code et trop peu de ressources pour s'assurer qu'il est renforcé sous tous les angles.
Devons-nous donc renoncer à l'idée que nous serons un jour vraiment capables de faire face aux cybermenaces ? Aucune chance. La résilience nécessite d'utiliser toutes les ressources disponibles et de penser à une longueur d'avance. Et pour de nombreuses entreprises, leurs développeurs peuvent débloquer une puissante méthode de fortification dès l'écriture du code. Associé à une culture de sécurité visible et positive dans l'ensemble de l'entreprise, cela fournit une base sûre difficile à ébranler pour de nombreux attaquants. Cependant, cette méthode nécessite de prendre les suggestions de la stratégie australienne de cybersécurité, à titre d'exemple, et d'approfondir la manière dont elles peuvent être personnalisées pour soutenir des changements efficaces et pertinents pour l'entreprise.
À cette fin, il est important de détailler quelques conseils :
- Formation de sensibilisation à la sécurité : cette formation est spécifiquement destinée aux PME et, dans le contexte de l'ensemble du rapport, vise principalement à enseigner à l'ensemble du personnel les règles de base en matière de sécurité (par exemple, repérer les e-mails de phishing, ne pas cliquer sur des liens inconnus, etc.). En réalité, il doit aller bien plus loin que cela et devenir spécifique au rôle, en particulier pour ceux qui touchent au code, comme les développeurs. Il est impératif que la formation à la sensibilisation à la sécurité fasse partie des mesures préventives et du renforcement de la résilience
- Éducation : Dans le cadre d'un changement rafraîchissant, il existe un plan approfondi visant à remédier à la pénurie de compétences en cybersécurité au cours de la prochaine décennie, en mettant l'accent sur la formation en cybersécurité depuis les écoles primaires et secondaires jusqu'à l'enseignement supérieur. Cela est absolument nécessaire si nous voulons créer les superstars de la sécurité de demain, mais pour répondre aux besoins actuels des entreprises, une formation pratique au codage sécurisé pour la cohorte de développement est une nécessité absolue pour commencer à réduire les vulnérabilités courantes, et doit faire partie d'un programme de sécurité fonctionnel.
En tant qu'experts en sécurité, nous devons faire davantage pour aider les entreprises du monde entier à comprendre l'importance de mettre en place un programme de sécurité interne qui aille au-delà de simples mesures de sensibilisation fondamentales. Le fait de consacrer du temps à améliorer les compétences des développeurs soulage les spécialistes de la sécurité des applications surchargés de travail. Il est essentiel de veiller à ce que l'ensemble de l'entreprise soit aussi consciente que possible de la sécurité dans le contexte de son rôle afin de réduire la zone d'attaque superficielle des menaces dans les logiciels.
L'amélioration des compétences des développeurs est un temps bien investi, alors pourquoi tant d'entreprises l'ignorent-elles ?
Une récente enquête du DDLS a conclu que les organisations australiennes ne se soucient guère des priorités en matière de formation à la cybersécurité. En fait, il ne figurait même pas parmi les trois principales priorités en matière de formation, bien que 77 % des personnes interrogées considèrent la sensibilisation à la cybersécurité comme « extrêmement » ou « très importante » dans leur entreprise.
Il n'est donc pas étonnant que l'Australie peine à combler son déficit croissant de compétences et qu'elle ait encore du travail à faire pour créer une infrastructure plus résiliente, des services essentiels au commerce de détail, en passant par tout ce qui se trouve entre les deux.
Il y a là une énorme opportunité pour gouvernements pour créer une certification ou une réglementation de base des compétences en matière de sécurité, et la stratégie y fait allusion comme un moyen de travailler avec des ressources limitées. Cependant, une fois de plus, il s'agit d'une proposition tournée vers l'avenir, et nous disposons des outils nécessaires pour démarrer bien plus tôt si nous ciblons d'abord les zones à fort impact. Pour moi, l'espoir réside dans les équipes de développement de chaque organisation. Si elles disposent des outils et des connaissances nécessaires pour réussir, elles peuvent éliminer les vulnérabilités courantes au passage et réduire considérablement le risque de violation de données au sein de leur organisation.
En 2019, 24 % de toutes les violations de données ont été causées par une erreur humaine - à savoir les erreurs de configuration en matière de sécurité - qui sont généralement des correctifs relativement simples au niveau du code. Si la formation est considérée comme une priorité, en conjonction avec le renforcement de la sensibilisation à la sécurité à l'échelle de l'entreprise, je parie qu'il y aurait moins de RSSI qui signent les notifications de violation adressées à des milliers de clients compromis.
Les efforts déployés par le gouvernement australien pour prendre au sérieux la cybersécurité montrent clairement que celle-ci a été identifiée comme un domaine à risque majeur au niveau national, mais sa stratégie va-t-elle assez loin ?
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
L'année 2020 étant marquée par énorme augmentation du travail à distance, en plus de la poursuite des violations de données à grande échelle et de l'attention croissante portée aux conséquences d'une atteinte à la vie privée en ligne, le public n'a jamais accordé autant d'attention à la cybersécurité. En conséquence, les gouvernements du monde entier sont intervenus pour remodeler et mettre à jour leurs plans et infrastructures de cybersécurité, y compris les stratégies et les réglementations que les entreprises sont tenues de suivre lorsqu'elles gèrent nos ressources numériques les plus précieuses.
Les directives de protection stratégique en matière de cybersécurité ne sont pas un concept nouveau, et des organisations comme NIST ont influencé les politiques des ministères du monde entier pendant de nombreuses années. Alors que nous avons progressé à un rythme effréné dans le numérique, il est devenu difficile pour de nombreuses personnes de faire face au nombre de menaces, aux vecteurs d'attaque possibles et aux exigences de conformité qui font partie d'un paysage en constante évolution.
Un récent violation de 54 000 permis de conduire de la Nouvelle-Galles du Sud à la suite d'un compartiment S3 mal configuré et facilement accessible sur un serveur tiers, des milliers de personnes ont été compromises. Le chercheur en sécurité qui l'a signalé a reconnu que les données avaient peut-être déjà été vendues sur le dark web. Ce qui est triste, c'est qu'il s'agit d'une solution facile qui aurait été peu probable si la sécurité avait été une priorité pour ceux qui configurent le cache.
Le gouvernement australien a récemment publié le Stratégie australienne de cybersécurité 2020, mettant en avant de nouvelles initiatives et une augmentation de financement de 1,67 milliard de dollars à utiliser au cours de la prochaine décennie, pour réaliser leur « vision de créer un monde en ligne plus sécurisé pour les Australiens, leurs entreprises et les services essentiels dont nous dépendons tous ». Il s'agit clairement d'un examen très bienvenu et d'un plan actualisé, d'autant plus que l'un des principaux objectifs est le suivant :
«Mesures prises par les entreprises pour sécuriser leurs produits et services et protéger leurs clients contre les cybervulnérabilités connues«.
Alors que les organismes gouvernementaux ont tendance à se concentrer (comme il se doit) sur les mesures de sécurité concernant les infrastructures critiques d'un pays, c'est-à-dire des domaines qui se prêtent à une attaque organisée catastrophique, ce qui manquait par le passé, ce sont les directives destinées aux entreprises qui collectent et utilisent nos données au quotidien.
Maintenant, quand il s'agit de stratégie officielle comme celle-ci, il ne s'agit pas toujours de bière et de quilles. Cela peut être un peu difficile à interpréter et les détails sont vagues, laissant à l'équipe de sécurité de l'entreprise le soin d'élaborer un plan basé sur des directives non spécifiques. Ce problème n'est pas propre au gouvernement australien, mais analysons leur toute nouvelle version.
Mettre l'accent sur la réaction, pas sur la prévention.
La stratégie australienne de cybersécurité mise à jour constitue une amélioration plus pertinente par rapport à la dernière version de 2016, avec des plans assez complets pour les entreprises, en particulier les PME. La stratégie décrit les grandes lignes suivantes :
«Le gouvernement et les grandes entreprises aideront les petites et moyennes entreprises (PME) à se développer et à accroître leur sensibilisation et leurs capacités en matière de cybersécurité. Le gouvernement australien travaillera avec de grandes entreprises et des prestataires de services pour fournir aux PME des informations et des outils de cybersécurité dans le cadre de « lots » de services sécurisés (tels que le blocage des menaces, les antivirus et la formation de sensibilisation à la cybersécurité). »
Cela fournira aux PME une base de base décente sur laquelle elles pourront protéger leurs activités contre les cybermenaces, mais il s'agit en grande partie d'une approche réactive, et l'accent est mis sur les outils de détection, qui constituent une partie relativement restreinte du paysage de la cybersécurité.
Il existe également étonnamment peu d'informations sur la manière dont les grandes entreprises peuvent se protéger et réduire leurs vecteurs d'attaque. Bien que nombre d'entre eux puissent faire partie des plans visant à protéger les infrastructures critiques (telles que les télécommunications, les transports), services financiers, vente au détail, et de nombreux autres secteurs d'activité ont beaucoup à perdre en cas de cyberattaque réussie. Cela fera peut-être partie de la législation à venir, mais malgré cela, il est essentiel de souligner l'importance de bonnes pratiques méticuleuses en matière de cybersécurité au niveau de l'entreprise pour assister à des changements significatifs et à une baisse des données compromises et de la cybercriminalité.
Dans l'ensemble, si l'on considère la stratégie dans son ensemble, elle repose sur une approche réactive. Lutter contre les cyberattaques, perturber les cybercriminels actifs et garantir leur poursuite, ainsi que le partage de renseignements avec des alliés internationaux, sont tous des facteurs importants, mais imaginez si la norme de protection nationale était axée sur la prévention. Outre les mesures de protection des infrastructures critiques, si la sécurité était une priorité dans toutes les entreprises et que chaque personne touchant le code qui crée notre monde numérique était correctement équipée pour bloquer les attaques avant qu'elles ne se produisent, les économies de temps, d'argent et de chagrin pour les victimes sont incommensurables.
La résilience est possible, mais elle doit être planifiée.
Les efforts déployés par le gouvernement australien pour prendre au sérieux la cybersécurité montrent clairement que celle-ci a été identifiée comme un domaine à risque majeur au niveau national. Comme toute autre attaque malveillante susceptible de bouleverser notre mode de vie, la résilience est absolument cruciale, non seulement pour résister à une telle tentative, mais aussi pour empêcher qu'elle ne se produise. En fin de compte, même les acteurs de la menace peuvent être paresseux et ils se tourneront vers une cible plus facile pour atteindre leur objectif si trop d'obstacles entravent leur réussite.
À l'heure actuelle, nous sommes confrontés à une pénurie mondiale de compétences en cybersécurité, ce qui permet aux RSSI du monde entier de rester éveillés la nuit. Des milliards de lignes de code, des violations de données constantes à grande échelle et un risque accru de sanctions (Marriott uniquement) a reçu une amende de 123 millions de dollars américains en vertu du RGPD pour leur violation de données de 2018... et ils a connu une autre violation cette année) a plus que jamais créé un gouffre de demande pour les spécialistes de la sécurité qui, en réalité, a peu de chances d'être comblé. Il y a tout simplement trop de code et trop peu de ressources pour s'assurer qu'il est renforcé sous tous les angles.
Devons-nous donc renoncer à l'idée que nous serons un jour vraiment capables de faire face aux cybermenaces ? Aucune chance. La résilience nécessite d'utiliser toutes les ressources disponibles et de penser à une longueur d'avance. Et pour de nombreuses entreprises, leurs développeurs peuvent débloquer une puissante méthode de fortification dès l'écriture du code. Associé à une culture de sécurité visible et positive dans l'ensemble de l'entreprise, cela fournit une base sûre difficile à ébranler pour de nombreux attaquants. Cependant, cette méthode nécessite de prendre les suggestions de la stratégie australienne de cybersécurité, à titre d'exemple, et d'approfondir la manière dont elles peuvent être personnalisées pour soutenir des changements efficaces et pertinents pour l'entreprise.
À cette fin, il est important de détailler quelques conseils :
- Formation de sensibilisation à la sécurité : cette formation est spécifiquement destinée aux PME et, dans le contexte de l'ensemble du rapport, vise principalement à enseigner à l'ensemble du personnel les règles de base en matière de sécurité (par exemple, repérer les e-mails de phishing, ne pas cliquer sur des liens inconnus, etc.). En réalité, il doit aller bien plus loin que cela et devenir spécifique au rôle, en particulier pour ceux qui touchent au code, comme les développeurs. Il est impératif que la formation à la sensibilisation à la sécurité fasse partie des mesures préventives et du renforcement de la résilience
- Éducation : Dans le cadre d'un changement rafraîchissant, il existe un plan approfondi visant à remédier à la pénurie de compétences en cybersécurité au cours de la prochaine décennie, en mettant l'accent sur la formation en cybersécurité depuis les écoles primaires et secondaires jusqu'à l'enseignement supérieur. Cela est absolument nécessaire si nous voulons créer les superstars de la sécurité de demain, mais pour répondre aux besoins actuels des entreprises, une formation pratique au codage sécurisé pour la cohorte de développement est une nécessité absolue pour commencer à réduire les vulnérabilités courantes, et doit faire partie d'un programme de sécurité fonctionnel.
En tant qu'experts en sécurité, nous devons faire davantage pour aider les entreprises du monde entier à comprendre l'importance de mettre en place un programme de sécurité interne qui aille au-delà de simples mesures de sensibilisation fondamentales. Le fait de consacrer du temps à améliorer les compétences des développeurs soulage les spécialistes de la sécurité des applications surchargés de travail. Il est essentiel de veiller à ce que l'ensemble de l'entreprise soit aussi consciente que possible de la sécurité dans le contexte de son rôle afin de réduire la zone d'attaque superficielle des menaces dans les logiciels.
L'amélioration des compétences des développeurs est un temps bien investi, alors pourquoi tant d'entreprises l'ignorent-elles ?
Une récente enquête du DDLS a conclu que les organisations australiennes ne se soucient guère des priorités en matière de formation à la cybersécurité. En fait, il ne figurait même pas parmi les trois principales priorités en matière de formation, bien que 77 % des personnes interrogées considèrent la sensibilisation à la cybersécurité comme « extrêmement » ou « très importante » dans leur entreprise.
Il n'est donc pas étonnant que l'Australie peine à combler son déficit croissant de compétences et qu'elle ait encore du travail à faire pour créer une infrastructure plus résiliente, des services essentiels au commerce de détail, en passant par tout ce qui se trouve entre les deux.
Il y a là une énorme opportunité pour gouvernements pour créer une certification ou une réglementation de base des compétences en matière de sécurité, et la stratégie y fait allusion comme un moyen de travailler avec des ressources limitées. Cependant, une fois de plus, il s'agit d'une proposition tournée vers l'avenir, et nous disposons des outils nécessaires pour démarrer bien plus tôt si nous ciblons d'abord les zones à fort impact. Pour moi, l'espoir réside dans les équipes de développement de chaque organisation. Si elles disposent des outils et des connaissances nécessaires pour réussir, elles peuvent éliminer les vulnérabilités courantes au passage et réduire considérablement le risque de violation de données au sein de leur organisation.
En 2019, 24 % de toutes les violations de données ont été causées par une erreur humaine - à savoir les erreurs de configuration en matière de sécurité - qui sont généralement des correctifs relativement simples au niveau du code. Si la formation est considérée comme une priorité, en conjonction avec le renforcement de la sensibilisation à la sécurité à l'échelle de l'entreprise, je parie qu'il y aurait moins de RSSI qui signent les notifications de violation adressées à des milliers de clients compromis.
L'année 2020 étant marquée par énorme augmentation du travail à distance, en plus de la poursuite des violations de données à grande échelle et de l'attention croissante portée aux conséquences d'une atteinte à la vie privée en ligne, le public n'a jamais accordé autant d'attention à la cybersécurité. En conséquence, les gouvernements du monde entier sont intervenus pour remodeler et mettre à jour leurs plans et infrastructures de cybersécurité, y compris les stratégies et les réglementations que les entreprises sont tenues de suivre lorsqu'elles gèrent nos ressources numériques les plus précieuses.
Les directives de protection stratégique en matière de cybersécurité ne sont pas un concept nouveau, et des organisations comme NIST ont influencé les politiques des ministères du monde entier pendant de nombreuses années. Alors que nous avons progressé à un rythme effréné dans le numérique, il est devenu difficile pour de nombreuses personnes de faire face au nombre de menaces, aux vecteurs d'attaque possibles et aux exigences de conformité qui font partie d'un paysage en constante évolution.
Un récent violation de 54 000 permis de conduire de la Nouvelle-Galles du Sud à la suite d'un compartiment S3 mal configuré et facilement accessible sur un serveur tiers, des milliers de personnes ont été compromises. Le chercheur en sécurité qui l'a signalé a reconnu que les données avaient peut-être déjà été vendues sur le dark web. Ce qui est triste, c'est qu'il s'agit d'une solution facile qui aurait été peu probable si la sécurité avait été une priorité pour ceux qui configurent le cache.
Le gouvernement australien a récemment publié le Stratégie australienne de cybersécurité 2020, mettant en avant de nouvelles initiatives et une augmentation de financement de 1,67 milliard de dollars à utiliser au cours de la prochaine décennie, pour réaliser leur « vision de créer un monde en ligne plus sécurisé pour les Australiens, leurs entreprises et les services essentiels dont nous dépendons tous ». Il s'agit clairement d'un examen très bienvenu et d'un plan actualisé, d'autant plus que l'un des principaux objectifs est le suivant :
«Mesures prises par les entreprises pour sécuriser leurs produits et services et protéger leurs clients contre les cybervulnérabilités connues«.
Alors que les organismes gouvernementaux ont tendance à se concentrer (comme il se doit) sur les mesures de sécurité concernant les infrastructures critiques d'un pays, c'est-à-dire des domaines qui se prêtent à une attaque organisée catastrophique, ce qui manquait par le passé, ce sont les directives destinées aux entreprises qui collectent et utilisent nos données au quotidien.
Maintenant, quand il s'agit de stratégie officielle comme celle-ci, il ne s'agit pas toujours de bière et de quilles. Cela peut être un peu difficile à interpréter et les détails sont vagues, laissant à l'équipe de sécurité de l'entreprise le soin d'élaborer un plan basé sur des directives non spécifiques. Ce problème n'est pas propre au gouvernement australien, mais analysons leur toute nouvelle version.
Mettre l'accent sur la réaction, pas sur la prévention.
La stratégie australienne de cybersécurité mise à jour constitue une amélioration plus pertinente par rapport à la dernière version de 2016, avec des plans assez complets pour les entreprises, en particulier les PME. La stratégie décrit les grandes lignes suivantes :
«Le gouvernement et les grandes entreprises aideront les petites et moyennes entreprises (PME) à se développer et à accroître leur sensibilisation et leurs capacités en matière de cybersécurité. Le gouvernement australien travaillera avec de grandes entreprises et des prestataires de services pour fournir aux PME des informations et des outils de cybersécurité dans le cadre de « lots » de services sécurisés (tels que le blocage des menaces, les antivirus et la formation de sensibilisation à la cybersécurité). »
Cela fournira aux PME une base de base décente sur laquelle elles pourront protéger leurs activités contre les cybermenaces, mais il s'agit en grande partie d'une approche réactive, et l'accent est mis sur les outils de détection, qui constituent une partie relativement restreinte du paysage de la cybersécurité.
Il existe également étonnamment peu d'informations sur la manière dont les grandes entreprises peuvent se protéger et réduire leurs vecteurs d'attaque. Bien que nombre d'entre eux puissent faire partie des plans visant à protéger les infrastructures critiques (telles que les télécommunications, les transports), services financiers, vente au détail, et de nombreux autres secteurs d'activité ont beaucoup à perdre en cas de cyberattaque réussie. Cela fera peut-être partie de la législation à venir, mais malgré cela, il est essentiel de souligner l'importance de bonnes pratiques méticuleuses en matière de cybersécurité au niveau de l'entreprise pour assister à des changements significatifs et à une baisse des données compromises et de la cybercriminalité.
Dans l'ensemble, si l'on considère la stratégie dans son ensemble, elle repose sur une approche réactive. Lutter contre les cyberattaques, perturber les cybercriminels actifs et garantir leur poursuite, ainsi que le partage de renseignements avec des alliés internationaux, sont tous des facteurs importants, mais imaginez si la norme de protection nationale était axée sur la prévention. Outre les mesures de protection des infrastructures critiques, si la sécurité était une priorité dans toutes les entreprises et que chaque personne touchant le code qui crée notre monde numérique était correctement équipée pour bloquer les attaques avant qu'elles ne se produisent, les économies de temps, d'argent et de chagrin pour les victimes sont incommensurables.
La résilience est possible, mais elle doit être planifiée.
Les efforts déployés par le gouvernement australien pour prendre au sérieux la cybersécurité montrent clairement que celle-ci a été identifiée comme un domaine à risque majeur au niveau national. Comme toute autre attaque malveillante susceptible de bouleverser notre mode de vie, la résilience est absolument cruciale, non seulement pour résister à une telle tentative, mais aussi pour empêcher qu'elle ne se produise. En fin de compte, même les acteurs de la menace peuvent être paresseux et ils se tourneront vers une cible plus facile pour atteindre leur objectif si trop d'obstacles entravent leur réussite.
À l'heure actuelle, nous sommes confrontés à une pénurie mondiale de compétences en cybersécurité, ce qui permet aux RSSI du monde entier de rester éveillés la nuit. Des milliards de lignes de code, des violations de données constantes à grande échelle et un risque accru de sanctions (Marriott uniquement) a reçu une amende de 123 millions de dollars américains en vertu du RGPD pour leur violation de données de 2018... et ils a connu une autre violation cette année) a plus que jamais créé un gouffre de demande pour les spécialistes de la sécurité qui, en réalité, a peu de chances d'être comblé. Il y a tout simplement trop de code et trop peu de ressources pour s'assurer qu'il est renforcé sous tous les angles.
Devons-nous donc renoncer à l'idée que nous serons un jour vraiment capables de faire face aux cybermenaces ? Aucune chance. La résilience nécessite d'utiliser toutes les ressources disponibles et de penser à une longueur d'avance. Et pour de nombreuses entreprises, leurs développeurs peuvent débloquer une puissante méthode de fortification dès l'écriture du code. Associé à une culture de sécurité visible et positive dans l'ensemble de l'entreprise, cela fournit une base sûre difficile à ébranler pour de nombreux attaquants. Cependant, cette méthode nécessite de prendre les suggestions de la stratégie australienne de cybersécurité, à titre d'exemple, et d'approfondir la manière dont elles peuvent être personnalisées pour soutenir des changements efficaces et pertinents pour l'entreprise.
À cette fin, il est important de détailler quelques conseils :
- Formation de sensibilisation à la sécurité : cette formation est spécifiquement destinée aux PME et, dans le contexte de l'ensemble du rapport, vise principalement à enseigner à l'ensemble du personnel les règles de base en matière de sécurité (par exemple, repérer les e-mails de phishing, ne pas cliquer sur des liens inconnus, etc.). En réalité, il doit aller bien plus loin que cela et devenir spécifique au rôle, en particulier pour ceux qui touchent au code, comme les développeurs. Il est impératif que la formation à la sensibilisation à la sécurité fasse partie des mesures préventives et du renforcement de la résilience
- Éducation : Dans le cadre d'un changement rafraîchissant, il existe un plan approfondi visant à remédier à la pénurie de compétences en cybersécurité au cours de la prochaine décennie, en mettant l'accent sur la formation en cybersécurité depuis les écoles primaires et secondaires jusqu'à l'enseignement supérieur. Cela est absolument nécessaire si nous voulons créer les superstars de la sécurité de demain, mais pour répondre aux besoins actuels des entreprises, une formation pratique au codage sécurisé pour la cohorte de développement est une nécessité absolue pour commencer à réduire les vulnérabilités courantes, et doit faire partie d'un programme de sécurité fonctionnel.
En tant qu'experts en sécurité, nous devons faire davantage pour aider les entreprises du monde entier à comprendre l'importance de mettre en place un programme de sécurité interne qui aille au-delà de simples mesures de sensibilisation fondamentales. Le fait de consacrer du temps à améliorer les compétences des développeurs soulage les spécialistes de la sécurité des applications surchargés de travail. Il est essentiel de veiller à ce que l'ensemble de l'entreprise soit aussi consciente que possible de la sécurité dans le contexte de son rôle afin de réduire la zone d'attaque superficielle des menaces dans les logiciels.
L'amélioration des compétences des développeurs est un temps bien investi, alors pourquoi tant d'entreprises l'ignorent-elles ?
Une récente enquête du DDLS a conclu que les organisations australiennes ne se soucient guère des priorités en matière de formation à la cybersécurité. En fait, il ne figurait même pas parmi les trois principales priorités en matière de formation, bien que 77 % des personnes interrogées considèrent la sensibilisation à la cybersécurité comme « extrêmement » ou « très importante » dans leur entreprise.
Il n'est donc pas étonnant que l'Australie peine à combler son déficit croissant de compétences et qu'elle ait encore du travail à faire pour créer une infrastructure plus résiliente, des services essentiels au commerce de détail, en passant par tout ce qui se trouve entre les deux.
Il y a là une énorme opportunité pour gouvernements pour créer une certification ou une réglementation de base des compétences en matière de sécurité, et la stratégie y fait allusion comme un moyen de travailler avec des ressources limitées. Cependant, une fois de plus, il s'agit d'une proposition tournée vers l'avenir, et nous disposons des outils nécessaires pour démarrer bien plus tôt si nous ciblons d'abord les zones à fort impact. Pour moi, l'espoir réside dans les équipes de développement de chaque organisation. Si elles disposent des outils et des connaissances nécessaires pour réussir, elles peuvent éliminer les vulnérabilités courantes au passage et réduire considérablement le risque de violation de données au sein de leur organisation.
En 2019, 24 % de toutes les violations de données ont été causées par une erreur humaine - à savoir les erreurs de configuration en matière de sécurité - qui sont généralement des correctifs relativement simples au niveau du code. Si la formation est considérée comme une priorité, en conjonction avec le renforcement de la sensibilisation à la sécurité à l'échelle de l'entreprise, je parie qu'il y aurait moins de RSSI qui signent les notifications de violation adressées à des milliers de clients compromis.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
L'année 2020 étant marquée par énorme augmentation du travail à distance, en plus de la poursuite des violations de données à grande échelle et de l'attention croissante portée aux conséquences d'une atteinte à la vie privée en ligne, le public n'a jamais accordé autant d'attention à la cybersécurité. En conséquence, les gouvernements du monde entier sont intervenus pour remodeler et mettre à jour leurs plans et infrastructures de cybersécurité, y compris les stratégies et les réglementations que les entreprises sont tenues de suivre lorsqu'elles gèrent nos ressources numériques les plus précieuses.
Les directives de protection stratégique en matière de cybersécurité ne sont pas un concept nouveau, et des organisations comme NIST ont influencé les politiques des ministères du monde entier pendant de nombreuses années. Alors que nous avons progressé à un rythme effréné dans le numérique, il est devenu difficile pour de nombreuses personnes de faire face au nombre de menaces, aux vecteurs d'attaque possibles et aux exigences de conformité qui font partie d'un paysage en constante évolution.
Un récent violation de 54 000 permis de conduire de la Nouvelle-Galles du Sud à la suite d'un compartiment S3 mal configuré et facilement accessible sur un serveur tiers, des milliers de personnes ont été compromises. Le chercheur en sécurité qui l'a signalé a reconnu que les données avaient peut-être déjà été vendues sur le dark web. Ce qui est triste, c'est qu'il s'agit d'une solution facile qui aurait été peu probable si la sécurité avait été une priorité pour ceux qui configurent le cache.
Le gouvernement australien a récemment publié le Stratégie australienne de cybersécurité 2020, mettant en avant de nouvelles initiatives et une augmentation de financement de 1,67 milliard de dollars à utiliser au cours de la prochaine décennie, pour réaliser leur « vision de créer un monde en ligne plus sécurisé pour les Australiens, leurs entreprises et les services essentiels dont nous dépendons tous ». Il s'agit clairement d'un examen très bienvenu et d'un plan actualisé, d'autant plus que l'un des principaux objectifs est le suivant :
«Mesures prises par les entreprises pour sécuriser leurs produits et services et protéger leurs clients contre les cybervulnérabilités connues«.
Alors que les organismes gouvernementaux ont tendance à se concentrer (comme il se doit) sur les mesures de sécurité concernant les infrastructures critiques d'un pays, c'est-à-dire des domaines qui se prêtent à une attaque organisée catastrophique, ce qui manquait par le passé, ce sont les directives destinées aux entreprises qui collectent et utilisent nos données au quotidien.
Maintenant, quand il s'agit de stratégie officielle comme celle-ci, il ne s'agit pas toujours de bière et de quilles. Cela peut être un peu difficile à interpréter et les détails sont vagues, laissant à l'équipe de sécurité de l'entreprise le soin d'élaborer un plan basé sur des directives non spécifiques. Ce problème n'est pas propre au gouvernement australien, mais analysons leur toute nouvelle version.
Mettre l'accent sur la réaction, pas sur la prévention.
La stratégie australienne de cybersécurité mise à jour constitue une amélioration plus pertinente par rapport à la dernière version de 2016, avec des plans assez complets pour les entreprises, en particulier les PME. La stratégie décrit les grandes lignes suivantes :
«Le gouvernement et les grandes entreprises aideront les petites et moyennes entreprises (PME) à se développer et à accroître leur sensibilisation et leurs capacités en matière de cybersécurité. Le gouvernement australien travaillera avec de grandes entreprises et des prestataires de services pour fournir aux PME des informations et des outils de cybersécurité dans le cadre de « lots » de services sécurisés (tels que le blocage des menaces, les antivirus et la formation de sensibilisation à la cybersécurité). »
Cela fournira aux PME une base de base décente sur laquelle elles pourront protéger leurs activités contre les cybermenaces, mais il s'agit en grande partie d'une approche réactive, et l'accent est mis sur les outils de détection, qui constituent une partie relativement restreinte du paysage de la cybersécurité.
Il existe également étonnamment peu d'informations sur la manière dont les grandes entreprises peuvent se protéger et réduire leurs vecteurs d'attaque. Bien que nombre d'entre eux puissent faire partie des plans visant à protéger les infrastructures critiques (telles que les télécommunications, les transports), services financiers, vente au détail, et de nombreux autres secteurs d'activité ont beaucoup à perdre en cas de cyberattaque réussie. Cela fera peut-être partie de la législation à venir, mais malgré cela, il est essentiel de souligner l'importance de bonnes pratiques méticuleuses en matière de cybersécurité au niveau de l'entreprise pour assister à des changements significatifs et à une baisse des données compromises et de la cybercriminalité.
Dans l'ensemble, si l'on considère la stratégie dans son ensemble, elle repose sur une approche réactive. Lutter contre les cyberattaques, perturber les cybercriminels actifs et garantir leur poursuite, ainsi que le partage de renseignements avec des alliés internationaux, sont tous des facteurs importants, mais imaginez si la norme de protection nationale était axée sur la prévention. Outre les mesures de protection des infrastructures critiques, si la sécurité était une priorité dans toutes les entreprises et que chaque personne touchant le code qui crée notre monde numérique était correctement équipée pour bloquer les attaques avant qu'elles ne se produisent, les économies de temps, d'argent et de chagrin pour les victimes sont incommensurables.
La résilience est possible, mais elle doit être planifiée.
Les efforts déployés par le gouvernement australien pour prendre au sérieux la cybersécurité montrent clairement que celle-ci a été identifiée comme un domaine à risque majeur au niveau national. Comme toute autre attaque malveillante susceptible de bouleverser notre mode de vie, la résilience est absolument cruciale, non seulement pour résister à une telle tentative, mais aussi pour empêcher qu'elle ne se produise. En fin de compte, même les acteurs de la menace peuvent être paresseux et ils se tourneront vers une cible plus facile pour atteindre leur objectif si trop d'obstacles entravent leur réussite.
À l'heure actuelle, nous sommes confrontés à une pénurie mondiale de compétences en cybersécurité, ce qui permet aux RSSI du monde entier de rester éveillés la nuit. Des milliards de lignes de code, des violations de données constantes à grande échelle et un risque accru de sanctions (Marriott uniquement) a reçu une amende de 123 millions de dollars américains en vertu du RGPD pour leur violation de données de 2018... et ils a connu une autre violation cette année) a plus que jamais créé un gouffre de demande pour les spécialistes de la sécurité qui, en réalité, a peu de chances d'être comblé. Il y a tout simplement trop de code et trop peu de ressources pour s'assurer qu'il est renforcé sous tous les angles.
Devons-nous donc renoncer à l'idée que nous serons un jour vraiment capables de faire face aux cybermenaces ? Aucune chance. La résilience nécessite d'utiliser toutes les ressources disponibles et de penser à une longueur d'avance. Et pour de nombreuses entreprises, leurs développeurs peuvent débloquer une puissante méthode de fortification dès l'écriture du code. Associé à une culture de sécurité visible et positive dans l'ensemble de l'entreprise, cela fournit une base sûre difficile à ébranler pour de nombreux attaquants. Cependant, cette méthode nécessite de prendre les suggestions de la stratégie australienne de cybersécurité, à titre d'exemple, et d'approfondir la manière dont elles peuvent être personnalisées pour soutenir des changements efficaces et pertinents pour l'entreprise.
À cette fin, il est important de détailler quelques conseils :
- Formation de sensibilisation à la sécurité : cette formation est spécifiquement destinée aux PME et, dans le contexte de l'ensemble du rapport, vise principalement à enseigner à l'ensemble du personnel les règles de base en matière de sécurité (par exemple, repérer les e-mails de phishing, ne pas cliquer sur des liens inconnus, etc.). En réalité, il doit aller bien plus loin que cela et devenir spécifique au rôle, en particulier pour ceux qui touchent au code, comme les développeurs. Il est impératif que la formation à la sensibilisation à la sécurité fasse partie des mesures préventives et du renforcement de la résilience
- Éducation : Dans le cadre d'un changement rafraîchissant, il existe un plan approfondi visant à remédier à la pénurie de compétences en cybersécurité au cours de la prochaine décennie, en mettant l'accent sur la formation en cybersécurité depuis les écoles primaires et secondaires jusqu'à l'enseignement supérieur. Cela est absolument nécessaire si nous voulons créer les superstars de la sécurité de demain, mais pour répondre aux besoins actuels des entreprises, une formation pratique au codage sécurisé pour la cohorte de développement est une nécessité absolue pour commencer à réduire les vulnérabilités courantes, et doit faire partie d'un programme de sécurité fonctionnel.
En tant qu'experts en sécurité, nous devons faire davantage pour aider les entreprises du monde entier à comprendre l'importance de mettre en place un programme de sécurité interne qui aille au-delà de simples mesures de sensibilisation fondamentales. Le fait de consacrer du temps à améliorer les compétences des développeurs soulage les spécialistes de la sécurité des applications surchargés de travail. Il est essentiel de veiller à ce que l'ensemble de l'entreprise soit aussi consciente que possible de la sécurité dans le contexte de son rôle afin de réduire la zone d'attaque superficielle des menaces dans les logiciels.
L'amélioration des compétences des développeurs est un temps bien investi, alors pourquoi tant d'entreprises l'ignorent-elles ?
Une récente enquête du DDLS a conclu que les organisations australiennes ne se soucient guère des priorités en matière de formation à la cybersécurité. En fait, il ne figurait même pas parmi les trois principales priorités en matière de formation, bien que 77 % des personnes interrogées considèrent la sensibilisation à la cybersécurité comme « extrêmement » ou « très importante » dans leur entreprise.
Il n'est donc pas étonnant que l'Australie peine à combler son déficit croissant de compétences et qu'elle ait encore du travail à faire pour créer une infrastructure plus résiliente, des services essentiels au commerce de détail, en passant par tout ce qui se trouve entre les deux.
Il y a là une énorme opportunité pour gouvernements pour créer une certification ou une réglementation de base des compétences en matière de sécurité, et la stratégie y fait allusion comme un moyen de travailler avec des ressources limitées. Cependant, une fois de plus, il s'agit d'une proposition tournée vers l'avenir, et nous disposons des outils nécessaires pour démarrer bien plus tôt si nous ciblons d'abord les zones à fort impact. Pour moi, l'espoir réside dans les équipes de développement de chaque organisation. Si elles disposent des outils et des connaissances nécessaires pour réussir, elles peuvent éliminer les vulnérabilités courantes au passage et réduire considérablement le risque de violation de données au sein de leur organisation.
En 2019, 24 % de toutes les violations de données ont été causées par une erreur humaine - à savoir les erreurs de configuration en matière de sécurité - qui sont généralement des correctifs relativement simples au niveau du code. Si la formation est considérée comme une priorité, en conjonction avec le renforcement de la sensibilisation à la sécurité à l'échelle de l'entreprise, je parie qu'il y aurait moins de RSSI qui signent les notifications de violation adressées à des milliers de clients compromis.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Thèmes et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions Beat the Boss sont désormais disponibles sur demande.
Cybermon 2025 : Vaincre le Boss est désormais accessible toute l'année dans SCW. Mettez en œuvre des défis de sécurité avancés liés à l'IA et au LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite clairement définis et mesurables
Enabler 1 inaugure notre série en 10 parties intitulée « Enablers of Success » en démontrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'assurer la maturité à long terme des programmes.
