Le changement dont nous avons besoin dans les Badlands de l'AppSec : mes prévisions pour 2019
2018 a été une année gigantesque pour les professionnels de la cybersécurité. Malgré les avertissements visant à prendre la sécurité plus au sérieux, la pression constante qui entoure encourager un plus grand nombre de talents dans le secteur de la sécurité et les tentatives générales visant à sensibiliser les entreprises à la cybersécurité, nous sommes confrontés aux cratères de fumée causés par des centaines de cyberattaques, qui témoignent de violations de données à grande échelle et de la méfiance des consommateurs à l'égard de certains grands noms connus. Rien qu'au premier semestre de 2018, 4,5 milliards d'enregistrements de données ont été compromis dans 945 incidents distincts.
Je l'ai déjà dit à de nombreuses reprises : nous pouvons faire mieux. Cependant, la véritable bataille à laquelle nous sommes confrontés n'est pas celle contre les enfants qui utilisent des scripts, contre de dangereux syndicats de cybercriminels organisés ou contre de mystérieux personnages vêtus de sweats à capuche qui tapent sur des ordinateurs portables. Le combat consiste à faire en sorte que davantage de personnes soient attentives à la réalité de ces violations.
La mise en conformité avec le RGPD est un bon début, mais elle n'aura pas d'effet majeur à court terme.
L'Union européenne Règlement général sur la protection des données Les lois (RGPD) battent aujourd'hui leur plein ; une menace imminente pour les organisations qui ne prennent pas la protection des données au sérieux. Avec de lourdes amendes infligées aux personnes jugées non conformes, cela avait pour but d'inciter les entreprises à renforcer leurs pratiques de sécurité, à traiter les données des clients avec plus de respect et à élaborer une stratégie pour atténuer les cyberattaques.
Certaines organisations ont été mises en garde contre de lourdes amendes à venir, mais nous n'avons pas encore constaté de véritables conséquences en cas de non-respect du RGPD. Pas de pénalités de faillite, juste un tas de fenêtres contextuelles sur lesquelles cliquer pour les internautes. Cela s'explique en partie par le fait que les procédures judiciaires prennent beaucoup de temps et offrent de nombreuses possibilités de recours. Toutes les entreprises qui ont pu être citées en exemple sont probablement engagées dans une bataille juridique de plusieurs mois, voire des années. Mettant fin à une année cauchemardesque pour Facebook, ils ont récemment signalé une autre violation de données : un bogue d'API exposant les photos privées de 6,8 millions d'utilisateurs à 1 500 applications non autorisées. Il a été découvert et corrigé en deux semaines, mais les agences de protection des données et le public n'ont été informés de la violation que des mois plus tard. Les lois du RGPD exigent la notification d'une violation dans les 72 heures, donc soulève de nombreuses questions quant à l'influence et à l'efficacité réelles de ces lois à l'heure actuelle.
Et bien entendu, les violations n'ont pas cessé ailleurs : celles de novembre Plage Marriott a révélé que 500 millions d'enregistrements de données avaient été compromis et, ce qui est peut-être encore plus inquiétant, que les attaquants avaient accédé à leurs systèmes pendant quatre ans avant d'être découverts. Il convient toutefois de noter que Marriott semble s'engager dans quelques contrôle des dégâts : ils ont offert aux victimes un abonnement gratuit de 12 mois à WebWatcher, un outil de surveillance du crédit... mais avec 500 millions de dossiers que les pirates informatiques peuvent examiner, il reste à voir si un an sera suffisant pour surveiller quelque chose d'significatif pour la plupart. Après tout, il faudra peut-être attendre quelques années avant que vos données ne soient mises en avant pour une utilisation peu scrupuleuse.
À long terme, des réglementations comme le RGPD volonté susciter des changements positifs s'ils sont mis en œuvre. Lorsque les entreprises seront confrontées à une sanction financière importante (ou, en fait, à des recours collectifs intentés par des clients dont les données ont été compromises) ou à une baisse de leurs bénéfices d'une ampleur suffisamment longue, je pense que la plupart des entreprises concentreront leurs efforts sur le renforcement des bases de données en ligne.
Les institutions financières continueront de montrer la voie à suivre en matière de changements positifs à court terme.
Il n'est peut-être pas surprenant que les institutions financières, en tant que gardiennes de l'argent durement gagné dans le monde, appliquent certaines des meilleures pratiques en matière de cybersécurité les plus strictes, ainsi que des processus de bout en bout visant à réduire leurs risques.
L'un des principaux facteurs de cette conformité provient du Conseil des normes de sécurité PCI, qui restent déterminés à aider les organisations financières à mettre en œuvre une politique de sécurité viable et à faire respecter les directives dans tous les domaines. Ils ont joué un rôle positif en aidant ce secteur à atteindre les normes de sécurité les plus élevées en matière de logiciels de paiement.
Alors, qu'est-ce que les institutions financières font différemment des autres ? D'après mon expérience, ils sont généralement plus attentifs à la sécurité et consacrent des ressources à des programmes de formation holistiques destinés non seulement aux professionnels de l'AppSec et aux testeurs, mais également à leurs équipes de développement (généralement très nombreuses et dispersées dans le monde entier). Ils permettent aux décideurs de haut niveau de comprendre que les processus de sécurité ne sont pas des mesures « définies et oubliées » ; ils doivent évoluer aussi rapidement que la technologie utilisée et s'adapter à des risques variables.
De plus en plus d'organisations transformeront leur pipeline de sécurité.
Comparé à d'autres branches de l'informatique, AppSec est relativement jeune. Il est difficile d'être un nouveau venu : vous êtes facilement mal compris et vous n'avez peut-être pas encore noué les relations clés dont vous avez besoin. Cependant, je pense que chaque année qui passe, il devient de plus en plus facile pour AppSec de trouver sa place, même dans les organisations les plus désuètes qui résistent au changement.
Il est de plus en plus évident que les entreprises ne peuvent pas faire de la conformité en matière de sécurité une étape finale et de dernière minute de leurs processus logiciels. Il doit y avoir des contrôles et des mesures point à point, en se concentrant davantage sur l'agrégation des données et en offrant une plus grande visibilité aux niveaux de direction de l'entreprise. Sans cela, la sécurité restera hors de vue, loin de l'esprit de la plupart des gens. Et dans ce scénario, il est pratiquement impossible de réunir les ressources nécessaires pour planifier les risques.
La bonne nouvelle, c'est que de plus en plus d'organisations détectent leurs propres cyberattaques et s'efforcent d'y remédier. La mauvaise nouvelle ? Ce processus prend en moyenne quatre-vingt-cinq jours.
Les outils de test au stylo et la révision manuelle du code sont difficiles, coûteux et lents à une époque où l'innovation rapide et la production de fonctionnalités sont indispensables dans le domaine technologique. La sensibilisation à la sécurité doit se poursuivre dès le début : dès le moment où un développeur écrit le code en premier lieu.
Notre industrie reconnaîtra le principal problème : nous avons besoin que les gens s'en soucient davantage.
Voici le truc : je pourrais compter prudemment vingt personnes de mon réseau qui ont séjourné dans un hôtel Marriott à un moment ou à un autre au cours des quatre dernières années. Avec 500 millions de dossiers volés au cours de cette période, il y a de fortes chances que leurs données aient participé à ce vol. Tout, qu'il s'agisse des informations de contact actuelles, des numéros de cartes de crédit encore valides ou des informations de passeport, pourrait être en vente dès maintenant sur le dark web. Cependant, leur facteur de soins était pratiquement nul.
Et bien, il est facile de faire preuve de complaisance lorsque, dans un vol de données d'une telle envergure, vous n'êtes qu'une aiguille dans une botte de foin.
Mais le vrai problème ? Les entreprises qui n'ont pas réussi à protéger les données de leurs clients sont confrontées à très peu de répercussions. Le cours de leur action est-il touché immédiatement après l'incident ? Tu paries que oui. Target, Equifax et maintenant Marriott peuvent tous en témoigner. Cependant, un aperçu sur douze mois montre que le retour à la normale est assez rapide. Quelques années plus tard, et financièrement, tout est pardonné.
Jusqu'à ce que de graves répercussions se produisent : amendes énormes, réglementations plus strictes et pertes d'activité importantes, AppSec sera un secteur qui devra constamment se battre pour faire comprendre la gravité des cyberrisques croissants auxquels une entreprise est exposée.
Je crains que la situation ne s'aggrave avant de s'améliorer. Il est donc de la plus haute importance que nous nous efforcions de former des développeurs soucieux de la sécurité et de développer une solide culture de la sécurité en première ligne des équipes techniques des entreprises. Gardez cela à l'esprit et continuez à vous efforcer d'améliorer les normes de sécurité logicielle.
La véritable bataille à laquelle nous sommes confrontés n'est pas contre les « Script Kiddies » ou contre de dangereux syndicats organisés de cybercriminalité... il s'agit de sensibiliser davantage de personnes à la moindre violation de données.
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
2018 a été une année gigantesque pour les professionnels de la cybersécurité. Malgré les avertissements visant à prendre la sécurité plus au sérieux, la pression constante qui entoure encourager un plus grand nombre de talents dans le secteur de la sécurité et les tentatives générales visant à sensibiliser les entreprises à la cybersécurité, nous sommes confrontés aux cratères de fumée causés par des centaines de cyberattaques, qui témoignent de violations de données à grande échelle et de la méfiance des consommateurs à l'égard de certains grands noms connus. Rien qu'au premier semestre de 2018, 4,5 milliards d'enregistrements de données ont été compromis dans 945 incidents distincts.
Je l'ai déjà dit à de nombreuses reprises : nous pouvons faire mieux. Cependant, la véritable bataille à laquelle nous sommes confrontés n'est pas celle contre les enfants qui utilisent des scripts, contre de dangereux syndicats de cybercriminels organisés ou contre de mystérieux personnages vêtus de sweats à capuche qui tapent sur des ordinateurs portables. Le combat consiste à faire en sorte que davantage de personnes soient attentives à la réalité de ces violations.
La mise en conformité avec le RGPD est un bon début, mais elle n'aura pas d'effet majeur à court terme.
L'Union européenne Règlement général sur la protection des données Les lois (RGPD) battent aujourd'hui leur plein ; une menace imminente pour les organisations qui ne prennent pas la protection des données au sérieux. Avec de lourdes amendes infligées aux personnes jugées non conformes, cela avait pour but d'inciter les entreprises à renforcer leurs pratiques de sécurité, à traiter les données des clients avec plus de respect et à élaborer une stratégie pour atténuer les cyberattaques.
Certaines organisations ont été mises en garde contre de lourdes amendes à venir, mais nous n'avons pas encore constaté de véritables conséquences en cas de non-respect du RGPD. Pas de pénalités de faillite, juste un tas de fenêtres contextuelles sur lesquelles cliquer pour les internautes. Cela s'explique en partie par le fait que les procédures judiciaires prennent beaucoup de temps et offrent de nombreuses possibilités de recours. Toutes les entreprises qui ont pu être citées en exemple sont probablement engagées dans une bataille juridique de plusieurs mois, voire des années. Mettant fin à une année cauchemardesque pour Facebook, ils ont récemment signalé une autre violation de données : un bogue d'API exposant les photos privées de 6,8 millions d'utilisateurs à 1 500 applications non autorisées. Il a été découvert et corrigé en deux semaines, mais les agences de protection des données et le public n'ont été informés de la violation que des mois plus tard. Les lois du RGPD exigent la notification d'une violation dans les 72 heures, donc soulève de nombreuses questions quant à l'influence et à l'efficacité réelles de ces lois à l'heure actuelle.
Et bien entendu, les violations n'ont pas cessé ailleurs : celles de novembre Plage Marriott a révélé que 500 millions d'enregistrements de données avaient été compromis et, ce qui est peut-être encore plus inquiétant, que les attaquants avaient accédé à leurs systèmes pendant quatre ans avant d'être découverts. Il convient toutefois de noter que Marriott semble s'engager dans quelques contrôle des dégâts : ils ont offert aux victimes un abonnement gratuit de 12 mois à WebWatcher, un outil de surveillance du crédit... mais avec 500 millions de dossiers que les pirates informatiques peuvent examiner, il reste à voir si un an sera suffisant pour surveiller quelque chose d'significatif pour la plupart. Après tout, il faudra peut-être attendre quelques années avant que vos données ne soient mises en avant pour une utilisation peu scrupuleuse.
À long terme, des réglementations comme le RGPD volonté susciter des changements positifs s'ils sont mis en œuvre. Lorsque les entreprises seront confrontées à une sanction financière importante (ou, en fait, à des recours collectifs intentés par des clients dont les données ont été compromises) ou à une baisse de leurs bénéfices d'une ampleur suffisamment longue, je pense que la plupart des entreprises concentreront leurs efforts sur le renforcement des bases de données en ligne.
Les institutions financières continueront de montrer la voie à suivre en matière de changements positifs à court terme.
Il n'est peut-être pas surprenant que les institutions financières, en tant que gardiennes de l'argent durement gagné dans le monde, appliquent certaines des meilleures pratiques en matière de cybersécurité les plus strictes, ainsi que des processus de bout en bout visant à réduire leurs risques.
L'un des principaux facteurs de cette conformité provient du Conseil des normes de sécurité PCI, qui restent déterminés à aider les organisations financières à mettre en œuvre une politique de sécurité viable et à faire respecter les directives dans tous les domaines. Ils ont joué un rôle positif en aidant ce secteur à atteindre les normes de sécurité les plus élevées en matière de logiciels de paiement.
Alors, qu'est-ce que les institutions financières font différemment des autres ? D'après mon expérience, ils sont généralement plus attentifs à la sécurité et consacrent des ressources à des programmes de formation holistiques destinés non seulement aux professionnels de l'AppSec et aux testeurs, mais également à leurs équipes de développement (généralement très nombreuses et dispersées dans le monde entier). Ils permettent aux décideurs de haut niveau de comprendre que les processus de sécurité ne sont pas des mesures « définies et oubliées » ; ils doivent évoluer aussi rapidement que la technologie utilisée et s'adapter à des risques variables.
De plus en plus d'organisations transformeront leur pipeline de sécurité.
Comparé à d'autres branches de l'informatique, AppSec est relativement jeune. Il est difficile d'être un nouveau venu : vous êtes facilement mal compris et vous n'avez peut-être pas encore noué les relations clés dont vous avez besoin. Cependant, je pense que chaque année qui passe, il devient de plus en plus facile pour AppSec de trouver sa place, même dans les organisations les plus désuètes qui résistent au changement.
Il est de plus en plus évident que les entreprises ne peuvent pas faire de la conformité en matière de sécurité une étape finale et de dernière minute de leurs processus logiciels. Il doit y avoir des contrôles et des mesures point à point, en se concentrant davantage sur l'agrégation des données et en offrant une plus grande visibilité aux niveaux de direction de l'entreprise. Sans cela, la sécurité restera hors de vue, loin de l'esprit de la plupart des gens. Et dans ce scénario, il est pratiquement impossible de réunir les ressources nécessaires pour planifier les risques.
La bonne nouvelle, c'est que de plus en plus d'organisations détectent leurs propres cyberattaques et s'efforcent d'y remédier. La mauvaise nouvelle ? Ce processus prend en moyenne quatre-vingt-cinq jours.
Les outils de test au stylo et la révision manuelle du code sont difficiles, coûteux et lents à une époque où l'innovation rapide et la production de fonctionnalités sont indispensables dans le domaine technologique. La sensibilisation à la sécurité doit se poursuivre dès le début : dès le moment où un développeur écrit le code en premier lieu.
Notre industrie reconnaîtra le principal problème : nous avons besoin que les gens s'en soucient davantage.
Voici le truc : je pourrais compter prudemment vingt personnes de mon réseau qui ont séjourné dans un hôtel Marriott à un moment ou à un autre au cours des quatre dernières années. Avec 500 millions de dossiers volés au cours de cette période, il y a de fortes chances que leurs données aient participé à ce vol. Tout, qu'il s'agisse des informations de contact actuelles, des numéros de cartes de crédit encore valides ou des informations de passeport, pourrait être en vente dès maintenant sur le dark web. Cependant, leur facteur de soins était pratiquement nul.
Et bien, il est facile de faire preuve de complaisance lorsque, dans un vol de données d'une telle envergure, vous n'êtes qu'une aiguille dans une botte de foin.
Mais le vrai problème ? Les entreprises qui n'ont pas réussi à protéger les données de leurs clients sont confrontées à très peu de répercussions. Le cours de leur action est-il touché immédiatement après l'incident ? Tu paries que oui. Target, Equifax et maintenant Marriott peuvent tous en témoigner. Cependant, un aperçu sur douze mois montre que le retour à la normale est assez rapide. Quelques années plus tard, et financièrement, tout est pardonné.
Jusqu'à ce que de graves répercussions se produisent : amendes énormes, réglementations plus strictes et pertes d'activité importantes, AppSec sera un secteur qui devra constamment se battre pour faire comprendre la gravité des cyberrisques croissants auxquels une entreprise est exposée.
Je crains que la situation ne s'aggrave avant de s'améliorer. Il est donc de la plus haute importance que nous nous efforcions de former des développeurs soucieux de la sécurité et de développer une solide culture de la sécurité en première ligne des équipes techniques des entreprises. Gardez cela à l'esprit et continuez à vous efforcer d'améliorer les normes de sécurité logicielle.
2018 a été une année gigantesque pour les professionnels de la cybersécurité. Malgré les avertissements visant à prendre la sécurité plus au sérieux, la pression constante qui entoure encourager un plus grand nombre de talents dans le secteur de la sécurité et les tentatives générales visant à sensibiliser les entreprises à la cybersécurité, nous sommes confrontés aux cratères de fumée causés par des centaines de cyberattaques, qui témoignent de violations de données à grande échelle et de la méfiance des consommateurs à l'égard de certains grands noms connus. Rien qu'au premier semestre de 2018, 4,5 milliards d'enregistrements de données ont été compromis dans 945 incidents distincts.
Je l'ai déjà dit à de nombreuses reprises : nous pouvons faire mieux. Cependant, la véritable bataille à laquelle nous sommes confrontés n'est pas celle contre les enfants qui utilisent des scripts, contre de dangereux syndicats de cybercriminels organisés ou contre de mystérieux personnages vêtus de sweats à capuche qui tapent sur des ordinateurs portables. Le combat consiste à faire en sorte que davantage de personnes soient attentives à la réalité de ces violations.
La mise en conformité avec le RGPD est un bon début, mais elle n'aura pas d'effet majeur à court terme.
L'Union européenne Règlement général sur la protection des données Les lois (RGPD) battent aujourd'hui leur plein ; une menace imminente pour les organisations qui ne prennent pas la protection des données au sérieux. Avec de lourdes amendes infligées aux personnes jugées non conformes, cela avait pour but d'inciter les entreprises à renforcer leurs pratiques de sécurité, à traiter les données des clients avec plus de respect et à élaborer une stratégie pour atténuer les cyberattaques.
Certaines organisations ont été mises en garde contre de lourdes amendes à venir, mais nous n'avons pas encore constaté de véritables conséquences en cas de non-respect du RGPD. Pas de pénalités de faillite, juste un tas de fenêtres contextuelles sur lesquelles cliquer pour les internautes. Cela s'explique en partie par le fait que les procédures judiciaires prennent beaucoup de temps et offrent de nombreuses possibilités de recours. Toutes les entreprises qui ont pu être citées en exemple sont probablement engagées dans une bataille juridique de plusieurs mois, voire des années. Mettant fin à une année cauchemardesque pour Facebook, ils ont récemment signalé une autre violation de données : un bogue d'API exposant les photos privées de 6,8 millions d'utilisateurs à 1 500 applications non autorisées. Il a été découvert et corrigé en deux semaines, mais les agences de protection des données et le public n'ont été informés de la violation que des mois plus tard. Les lois du RGPD exigent la notification d'une violation dans les 72 heures, donc soulève de nombreuses questions quant à l'influence et à l'efficacité réelles de ces lois à l'heure actuelle.
Et bien entendu, les violations n'ont pas cessé ailleurs : celles de novembre Plage Marriott a révélé que 500 millions d'enregistrements de données avaient été compromis et, ce qui est peut-être encore plus inquiétant, que les attaquants avaient accédé à leurs systèmes pendant quatre ans avant d'être découverts. Il convient toutefois de noter que Marriott semble s'engager dans quelques contrôle des dégâts : ils ont offert aux victimes un abonnement gratuit de 12 mois à WebWatcher, un outil de surveillance du crédit... mais avec 500 millions de dossiers que les pirates informatiques peuvent examiner, il reste à voir si un an sera suffisant pour surveiller quelque chose d'significatif pour la plupart. Après tout, il faudra peut-être attendre quelques années avant que vos données ne soient mises en avant pour une utilisation peu scrupuleuse.
À long terme, des réglementations comme le RGPD volonté susciter des changements positifs s'ils sont mis en œuvre. Lorsque les entreprises seront confrontées à une sanction financière importante (ou, en fait, à des recours collectifs intentés par des clients dont les données ont été compromises) ou à une baisse de leurs bénéfices d'une ampleur suffisamment longue, je pense que la plupart des entreprises concentreront leurs efforts sur le renforcement des bases de données en ligne.
Les institutions financières continueront de montrer la voie à suivre en matière de changements positifs à court terme.
Il n'est peut-être pas surprenant que les institutions financières, en tant que gardiennes de l'argent durement gagné dans le monde, appliquent certaines des meilleures pratiques en matière de cybersécurité les plus strictes, ainsi que des processus de bout en bout visant à réduire leurs risques.
L'un des principaux facteurs de cette conformité provient du Conseil des normes de sécurité PCI, qui restent déterminés à aider les organisations financières à mettre en œuvre une politique de sécurité viable et à faire respecter les directives dans tous les domaines. Ils ont joué un rôle positif en aidant ce secteur à atteindre les normes de sécurité les plus élevées en matière de logiciels de paiement.
Alors, qu'est-ce que les institutions financières font différemment des autres ? D'après mon expérience, ils sont généralement plus attentifs à la sécurité et consacrent des ressources à des programmes de formation holistiques destinés non seulement aux professionnels de l'AppSec et aux testeurs, mais également à leurs équipes de développement (généralement très nombreuses et dispersées dans le monde entier). Ils permettent aux décideurs de haut niveau de comprendre que les processus de sécurité ne sont pas des mesures « définies et oubliées » ; ils doivent évoluer aussi rapidement que la technologie utilisée et s'adapter à des risques variables.
De plus en plus d'organisations transformeront leur pipeline de sécurité.
Comparé à d'autres branches de l'informatique, AppSec est relativement jeune. Il est difficile d'être un nouveau venu : vous êtes facilement mal compris et vous n'avez peut-être pas encore noué les relations clés dont vous avez besoin. Cependant, je pense que chaque année qui passe, il devient de plus en plus facile pour AppSec de trouver sa place, même dans les organisations les plus désuètes qui résistent au changement.
Il est de plus en plus évident que les entreprises ne peuvent pas faire de la conformité en matière de sécurité une étape finale et de dernière minute de leurs processus logiciels. Il doit y avoir des contrôles et des mesures point à point, en se concentrant davantage sur l'agrégation des données et en offrant une plus grande visibilité aux niveaux de direction de l'entreprise. Sans cela, la sécurité restera hors de vue, loin de l'esprit de la plupart des gens. Et dans ce scénario, il est pratiquement impossible de réunir les ressources nécessaires pour planifier les risques.
La bonne nouvelle, c'est que de plus en plus d'organisations détectent leurs propres cyberattaques et s'efforcent d'y remédier. La mauvaise nouvelle ? Ce processus prend en moyenne quatre-vingt-cinq jours.
Les outils de test au stylo et la révision manuelle du code sont difficiles, coûteux et lents à une époque où l'innovation rapide et la production de fonctionnalités sont indispensables dans le domaine technologique. La sensibilisation à la sécurité doit se poursuivre dès le début : dès le moment où un développeur écrit le code en premier lieu.
Notre industrie reconnaîtra le principal problème : nous avons besoin que les gens s'en soucient davantage.
Voici le truc : je pourrais compter prudemment vingt personnes de mon réseau qui ont séjourné dans un hôtel Marriott à un moment ou à un autre au cours des quatre dernières années. Avec 500 millions de dossiers volés au cours de cette période, il y a de fortes chances que leurs données aient participé à ce vol. Tout, qu'il s'agisse des informations de contact actuelles, des numéros de cartes de crédit encore valides ou des informations de passeport, pourrait être en vente dès maintenant sur le dark web. Cependant, leur facteur de soins était pratiquement nul.
Et bien, il est facile de faire preuve de complaisance lorsque, dans un vol de données d'une telle envergure, vous n'êtes qu'une aiguille dans une botte de foin.
Mais le vrai problème ? Les entreprises qui n'ont pas réussi à protéger les données de leurs clients sont confrontées à très peu de répercussions. Le cours de leur action est-il touché immédiatement après l'incident ? Tu paries que oui. Target, Equifax et maintenant Marriott peuvent tous en témoigner. Cependant, un aperçu sur douze mois montre que le retour à la normale est assez rapide. Quelques années plus tard, et financièrement, tout est pardonné.
Jusqu'à ce que de graves répercussions se produisent : amendes énormes, réglementations plus strictes et pertes d'activité importantes, AppSec sera un secteur qui devra constamment se battre pour faire comprendre la gravité des cyberrisques croissants auxquels une entreprise est exposée.
Je crains que la situation ne s'aggrave avant de s'améliorer. Il est donc de la plus haute importance que nous nous efforcions de former des développeurs soucieux de la sécurité et de développer une solide culture de la sécurité en première ligne des équipes techniques des entreprises. Gardez cela à l'esprit et continuez à vous efforcer d'améliorer les normes de sécurité logicielle.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
2018 a été une année gigantesque pour les professionnels de la cybersécurité. Malgré les avertissements visant à prendre la sécurité plus au sérieux, la pression constante qui entoure encourager un plus grand nombre de talents dans le secteur de la sécurité et les tentatives générales visant à sensibiliser les entreprises à la cybersécurité, nous sommes confrontés aux cratères de fumée causés par des centaines de cyberattaques, qui témoignent de violations de données à grande échelle et de la méfiance des consommateurs à l'égard de certains grands noms connus. Rien qu'au premier semestre de 2018, 4,5 milliards d'enregistrements de données ont été compromis dans 945 incidents distincts.
Je l'ai déjà dit à de nombreuses reprises : nous pouvons faire mieux. Cependant, la véritable bataille à laquelle nous sommes confrontés n'est pas celle contre les enfants qui utilisent des scripts, contre de dangereux syndicats de cybercriminels organisés ou contre de mystérieux personnages vêtus de sweats à capuche qui tapent sur des ordinateurs portables. Le combat consiste à faire en sorte que davantage de personnes soient attentives à la réalité de ces violations.
La mise en conformité avec le RGPD est un bon début, mais elle n'aura pas d'effet majeur à court terme.
L'Union européenne Règlement général sur la protection des données Les lois (RGPD) battent aujourd'hui leur plein ; une menace imminente pour les organisations qui ne prennent pas la protection des données au sérieux. Avec de lourdes amendes infligées aux personnes jugées non conformes, cela avait pour but d'inciter les entreprises à renforcer leurs pratiques de sécurité, à traiter les données des clients avec plus de respect et à élaborer une stratégie pour atténuer les cyberattaques.
Certaines organisations ont été mises en garde contre de lourdes amendes à venir, mais nous n'avons pas encore constaté de véritables conséquences en cas de non-respect du RGPD. Pas de pénalités de faillite, juste un tas de fenêtres contextuelles sur lesquelles cliquer pour les internautes. Cela s'explique en partie par le fait que les procédures judiciaires prennent beaucoup de temps et offrent de nombreuses possibilités de recours. Toutes les entreprises qui ont pu être citées en exemple sont probablement engagées dans une bataille juridique de plusieurs mois, voire des années. Mettant fin à une année cauchemardesque pour Facebook, ils ont récemment signalé une autre violation de données : un bogue d'API exposant les photos privées de 6,8 millions d'utilisateurs à 1 500 applications non autorisées. Il a été découvert et corrigé en deux semaines, mais les agences de protection des données et le public n'ont été informés de la violation que des mois plus tard. Les lois du RGPD exigent la notification d'une violation dans les 72 heures, donc soulève de nombreuses questions quant à l'influence et à l'efficacité réelles de ces lois à l'heure actuelle.
Et bien entendu, les violations n'ont pas cessé ailleurs : celles de novembre Plage Marriott a révélé que 500 millions d'enregistrements de données avaient été compromis et, ce qui est peut-être encore plus inquiétant, que les attaquants avaient accédé à leurs systèmes pendant quatre ans avant d'être découverts. Il convient toutefois de noter que Marriott semble s'engager dans quelques contrôle des dégâts : ils ont offert aux victimes un abonnement gratuit de 12 mois à WebWatcher, un outil de surveillance du crédit... mais avec 500 millions de dossiers que les pirates informatiques peuvent examiner, il reste à voir si un an sera suffisant pour surveiller quelque chose d'significatif pour la plupart. Après tout, il faudra peut-être attendre quelques années avant que vos données ne soient mises en avant pour une utilisation peu scrupuleuse.
À long terme, des réglementations comme le RGPD volonté susciter des changements positifs s'ils sont mis en œuvre. Lorsque les entreprises seront confrontées à une sanction financière importante (ou, en fait, à des recours collectifs intentés par des clients dont les données ont été compromises) ou à une baisse de leurs bénéfices d'une ampleur suffisamment longue, je pense que la plupart des entreprises concentreront leurs efforts sur le renforcement des bases de données en ligne.
Les institutions financières continueront de montrer la voie à suivre en matière de changements positifs à court terme.
Il n'est peut-être pas surprenant que les institutions financières, en tant que gardiennes de l'argent durement gagné dans le monde, appliquent certaines des meilleures pratiques en matière de cybersécurité les plus strictes, ainsi que des processus de bout en bout visant à réduire leurs risques.
L'un des principaux facteurs de cette conformité provient du Conseil des normes de sécurité PCI, qui restent déterminés à aider les organisations financières à mettre en œuvre une politique de sécurité viable et à faire respecter les directives dans tous les domaines. Ils ont joué un rôle positif en aidant ce secteur à atteindre les normes de sécurité les plus élevées en matière de logiciels de paiement.
Alors, qu'est-ce que les institutions financières font différemment des autres ? D'après mon expérience, ils sont généralement plus attentifs à la sécurité et consacrent des ressources à des programmes de formation holistiques destinés non seulement aux professionnels de l'AppSec et aux testeurs, mais également à leurs équipes de développement (généralement très nombreuses et dispersées dans le monde entier). Ils permettent aux décideurs de haut niveau de comprendre que les processus de sécurité ne sont pas des mesures « définies et oubliées » ; ils doivent évoluer aussi rapidement que la technologie utilisée et s'adapter à des risques variables.
De plus en plus d'organisations transformeront leur pipeline de sécurité.
Comparé à d'autres branches de l'informatique, AppSec est relativement jeune. Il est difficile d'être un nouveau venu : vous êtes facilement mal compris et vous n'avez peut-être pas encore noué les relations clés dont vous avez besoin. Cependant, je pense que chaque année qui passe, il devient de plus en plus facile pour AppSec de trouver sa place, même dans les organisations les plus désuètes qui résistent au changement.
Il est de plus en plus évident que les entreprises ne peuvent pas faire de la conformité en matière de sécurité une étape finale et de dernière minute de leurs processus logiciels. Il doit y avoir des contrôles et des mesures point à point, en se concentrant davantage sur l'agrégation des données et en offrant une plus grande visibilité aux niveaux de direction de l'entreprise. Sans cela, la sécurité restera hors de vue, loin de l'esprit de la plupart des gens. Et dans ce scénario, il est pratiquement impossible de réunir les ressources nécessaires pour planifier les risques.
La bonne nouvelle, c'est que de plus en plus d'organisations détectent leurs propres cyberattaques et s'efforcent d'y remédier. La mauvaise nouvelle ? Ce processus prend en moyenne quatre-vingt-cinq jours.
Les outils de test au stylo et la révision manuelle du code sont difficiles, coûteux et lents à une époque où l'innovation rapide et la production de fonctionnalités sont indispensables dans le domaine technologique. La sensibilisation à la sécurité doit se poursuivre dès le début : dès le moment où un développeur écrit le code en premier lieu.
Notre industrie reconnaîtra le principal problème : nous avons besoin que les gens s'en soucient davantage.
Voici le truc : je pourrais compter prudemment vingt personnes de mon réseau qui ont séjourné dans un hôtel Marriott à un moment ou à un autre au cours des quatre dernières années. Avec 500 millions de dossiers volés au cours de cette période, il y a de fortes chances que leurs données aient participé à ce vol. Tout, qu'il s'agisse des informations de contact actuelles, des numéros de cartes de crédit encore valides ou des informations de passeport, pourrait être en vente dès maintenant sur le dark web. Cependant, leur facteur de soins était pratiquement nul.
Et bien, il est facile de faire preuve de complaisance lorsque, dans un vol de données d'une telle envergure, vous n'êtes qu'une aiguille dans une botte de foin.
Mais le vrai problème ? Les entreprises qui n'ont pas réussi à protéger les données de leurs clients sont confrontées à très peu de répercussions. Le cours de leur action est-il touché immédiatement après l'incident ? Tu paries que oui. Target, Equifax et maintenant Marriott peuvent tous en témoigner. Cependant, un aperçu sur douze mois montre que le retour à la normale est assez rapide. Quelques années plus tard, et financièrement, tout est pardonné.
Jusqu'à ce que de graves répercussions se produisent : amendes énormes, réglementations plus strictes et pertes d'activité importantes, AppSec sera un secteur qui devra constamment se battre pour faire comprendre la gravité des cyberrisques croissants auxquels une entreprise est exposée.
Je crains que la situation ne s'aggrave avant de s'améliorer. Il est donc de la plus haute importance que nous nous efforcions de former des développeurs soucieux de la sécurité et de développer une solide culture de la sécurité en première ligne des équipes techniques des entreprises. Gardez cela à l'esprit et continuez à vous efforcer d'améliorer les normes de sécurité logicielle.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Thèmes et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions Beat the Boss sont désormais disponibles sur demande.
Cybermon 2025 : Vaincre le Boss est désormais accessible toute l'année dans SCW. Mettez en œuvre des défis de sécurité avancés liés à l'IA et au LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite clairement définis et mesurables
Enabler 1 inaugure notre série en 10 parties intitulée « Enablers of Success » en démontrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'assurer la maturité à long terme des programmes.
