Pourquoi les injections SQL sont considérées comme les nuisibles du monde de la sécurité des applications (et comment les RSSI peuvent les éliminer définitivement)
Selon une théorie bien connue, les blattes peuvent survivre à pratiquement tout, même à une explosion nucléaire. Bien que cette théorie ne soit vraie que dans une certaine mesure, leur composition corporelle simple les rend extrêmement résistantes pour leur taille et difficiles à éradiquer dans la plupart des conditions.
J'ai réfléchi... si les cafards avaient un équivalent dans le monde numérique, ce serait les vulnérabilités d'injection SQL (SQLi) dans le code. Cette vulnérabilité est connue depuis plus de vingt ans, mais les organisations en sont victimes à maintes reprises. L'attaque très médiatisée et coûteuse contre Target était le résultat d'une injection SQL, tout comme un cas de piratage des élections dans l'Illinois, où 200 000 dossiers d'électeurs ont été divulgués, ce qui a incité le FBI à recommander à tous les administrateurs informatiques de renforcer rapidement leurs pratiques de sécurité.
Le rapport Imperva sur l'initiative Hacker Intelligence a révélé qu'entre 2005 et 2011, des attaques SQLi ont été utilisées dans 83 % des violations de données signalées. Aujourd'hui, les vulnérabilités liées à l'injection restent la principale menace dans le Top 10 de l'OWASP. Elles sont relativement simples, mais elles persistent.
Il est surprenant que cette même vulnérabilité continue d'apparaître dans un nombre important d'analyses de sécurité des applications. Nous comprenons son fonctionnement et savons comment la contrer. Comment cela est-il possible ? La réalité est que la sécurité de nos logiciels peut encore être améliorée.
Le rapport Veracode sur l'état de la sécurité logicielle, basé sur 400 000 analyses d'applications en 2017, a révélé une statistique préoccupante : seulement 30 % des applications ont satisfait à la politique du Top 10 de l'OWASP. Ce thème a été récurrent au cours des cinq dernières années, des injections SQL étant apparues dans près d'une application récemment scannée sur trois. Cela démontre un problème endémique ; nous ne tirons pas les leçons de nos erreurs et les responsables de la sécurité informatique semblent éprouver des difficultés à recruter suffisamment de talents en matière de sécurité. En règle générale, le ratio entre les spécialistes de la sécurité des applications et les développeurs est insuffisant pour 100.
Pourquoi la sécurité logicielle est-elle en mode survie ?
Il est de notoriété publique que les spécialistes en sécurité sont rares, mais nous devons également être conscients que les développeurs ne résolvent pas les problèmes au fur et à mesure qu'ils se présentent et sont clairement mal équipés pour éviter d'introduire des vulnérabilités dès le départ. Dans le même rapport de Veracode, il a été révélé que des mesures d'atténuation documentées n'étaient disponibles que pour 14,4 % de toutes les vulnérabilités liées au développement. En d'autres termes, la plupart des vulnérabilités ont été soumises sans mesures d'atténuation liées au développement. Moins d'un tiers des vulnérabilités ont été corrigées au cours des 90 premiers jours, et 42 % des vulnérabilités n'ont jamais été corrigées au cours de la période de développement.
Je discute régulièrement avec des professionnels de la sécurité, des RSSI et des PDG et, pour l'anecdote, j'ai constaté que de nombreuses entreprises sont tellement frustrées par le nombre de vulnérabilités détectées qui ne peuvent être atténuées (en plus du problème connu sous le nom de faux positifs), qu'elles cessent complètement de les rechercher, croisent les doigts et espèrent que tout ira pour le mieux.
Pourquoi les professionnels de la sécurité des applications laissent-ils cela se produire ?
Ne vous méprenez pas : les utilisateurs d'AppSec sont extrêmement conscients des problèmes liés au code. Après tout, c'est l'une de leurs compétences fondamentales qui fait d'eux une ressource si précieuse pour l'équipe. Cependant, ils sont souvent freinés par plusieurs facteurs.
Par exemple, un responsable AppSec identifiera un problème et demandera au développeur : « Pouvez-vous corriger le code ? ». La réponse à cette question importante varie d'une organisation à l'autre, mais en général, le développeur est tellement sollicité pour respecter les sprints stricts de fourniture de fonctionnalités qu'il n'a tout simplement pas le temps de résoudre ces problèmes, ni les outils adéquats pour les aider. Les professionnels de la sécurité des applications eux-mêmes sont peut-être en mesure d'identifier les vulnérabilités, mais ils n'ont souvent pas les compétences et/ou l'accès nécessaires pour y remédier sur place.
Nous devons également prendre conscience que pour chaque problème, il est nécessaire de trouver une solution, de la mettre en œuvre, puis de la tester. Même pour le moindre problème détecté dans le code, le temps nécessaire pour le résoudre, sans parler des ressources requises, est considérable. Plus de 700 vulnérabilités peuvent être introduites dans les logiciels, et il est tout simplement impossible pour une seule personne de pouvoir se défendre contre toutes ces vulnérabilités. C'est pour cette raison que la plupart des entreprises s'en tiennent uniquement au Top 10 de l'OWASP. Pendant ce temps, les développeurs continuent de créer des fonctionnalités et, à leur tour, d'introduire des vulnérabilités dans le code qu'ils écrivent.
Quelle est la solution ?
Le fait est que nous ne fournissons pas à nos développeurs les outils et la formation nécessaires pour favoriser le succès du codage sécurisé. Aucune réglementation n'oblige les entreprises à s'assurer que les développeurs possèdent les compétences adéquates en matière de sécurité, et la réalité est que la plupart des universités et des stages ne préparent pas non plus les développeurs débutants à coder en toute sécurité.
Lorsqu'une personne souhaite piloter un avion, il existe un processus très rigoureux qui garantit une formation, une expérience pratique, des contrôles médicaux, des connaissances en matière de sécurité et des examens avant de pouvoir voler. Personne n'oserait imaginer qu'il serait autorisé à voler sans cette préparation approfondie et cette validation des compétences, mais c'est ce qui se produit quotidiennement avec l'écriture de code.
Il est essentiel de consacrer du temps à former les développeurs à l'écriture de code sécurisé. Cependant, dans le monde actuel, où le développement de logiciels est rapide et où les développeurs et professionnels de la sécurité compétents sont rares, cela ne semble jamais être une priorité. Il est temps de changer de perspective.
Un titre récent du Forum économique mondial a souligné : « Il ne peut y avoir d'économie numérique sans sécurité », avec le contenu qui l'accompagne faisant valoir la nécessité de placer la sécurité au cœur de toute stratégie de transformation numérique. « La sécurité est ce qui protège les entreprises, leur permet d'innover et de créer de nouveaux produits et services. Au-delà d'un rôle défensif, la sécurité procure aux entreprises un avantage stratégique en termes de croissance. »
L'amélioration des compétences et des résultats en matière de codage sécurisé renforcera considérablement la cyberprotection des organisations, les aidant à créer un code plus efficace et plus rapide. Les développeurs n'ont pas besoin de devenir des experts en sécurité, mais ils doivent être habilités de manière positive et pratique pour constituer la première ligne de défense contre les cyberattaques. Les développeurs peuvent devenir les prochains héros de la sécurité et de l'innovation. Ce sont des personnes très intelligentes, elles savent résoudre les problèmes de manière créative et souhaitent généralement développer leurs compétences. Tirez parti de leurs points forts grâce à la formation spécialisée qu'ils méritent et engagez-vous à respecter des normes de sécurité logicielle plus strictes. Veuillez consulter notre livre blanc pour en savoir plus.
Lorsqu'une personne souhaite piloter un avion, il existe un processus très rigoureux qui garantit une formation, une expérience pratique, des contrôles médicaux, des connaissances en matière de sécurité et des examens avant de pouvoir voler. Personne n'oserait imaginer qu'il serait autorisé à voler sans cette préparation approfondie et cette validation des compétences, mais c'est ce qui se produit quotidiennement avec l'écriture de code.
Selon une théorie bien connue, les blattes peuvent survivre à pratiquement tout, même à une explosion nucléaire.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Selon une théorie bien connue, les blattes peuvent survivre à pratiquement tout, même à une explosion nucléaire. Bien que cette théorie ne soit vraie que dans une certaine mesure, leur composition corporelle simple les rend extrêmement résistantes pour leur taille et difficiles à éradiquer dans la plupart des conditions.
J'ai réfléchi... si les cafards avaient un équivalent dans le monde numérique, ce serait les vulnérabilités d'injection SQL (SQLi) dans le code. Cette vulnérabilité est connue depuis plus de vingt ans, mais les organisations en sont victimes à maintes reprises. L'attaque très médiatisée et coûteuse contre Target était le résultat d'une injection SQL, tout comme un cas de piratage des élections dans l'Illinois, où 200 000 dossiers d'électeurs ont été divulgués, ce qui a incité le FBI à recommander à tous les administrateurs informatiques de renforcer rapidement leurs pratiques de sécurité.
Le rapport Imperva sur l'initiative Hacker Intelligence a révélé qu'entre 2005 et 2011, des attaques SQLi ont été utilisées dans 83 % des violations de données signalées. Aujourd'hui, les vulnérabilités liées à l'injection restent la principale menace dans le Top 10 de l'OWASP. Elles sont relativement simples, mais elles persistent.
Il est surprenant que cette même vulnérabilité continue d'apparaître dans un nombre important d'analyses de sécurité des applications. Nous comprenons son fonctionnement et savons comment la contrer. Comment cela est-il possible ? La réalité est que la sécurité de nos logiciels peut encore être améliorée.
Le rapport Veracode sur l'état de la sécurité logicielle, basé sur 400 000 analyses d'applications en 2017, a révélé une statistique préoccupante : seulement 30 % des applications ont satisfait à la politique du Top 10 de l'OWASP. Ce thème a été récurrent au cours des cinq dernières années, des injections SQL étant apparues dans près d'une application récemment scannée sur trois. Cela démontre un problème endémique ; nous ne tirons pas les leçons de nos erreurs et les responsables de la sécurité informatique semblent éprouver des difficultés à recruter suffisamment de talents en matière de sécurité. En règle générale, le ratio entre les spécialistes de la sécurité des applications et les développeurs est insuffisant pour 100.
Pourquoi la sécurité logicielle est-elle en mode survie ?
Il est de notoriété publique que les spécialistes en sécurité sont rares, mais nous devons également être conscients que les développeurs ne résolvent pas les problèmes au fur et à mesure qu'ils se présentent et sont clairement mal équipés pour éviter d'introduire des vulnérabilités dès le départ. Dans le même rapport de Veracode, il a été révélé que des mesures d'atténuation documentées n'étaient disponibles que pour 14,4 % de toutes les vulnérabilités liées au développement. En d'autres termes, la plupart des vulnérabilités ont été soumises sans mesures d'atténuation liées au développement. Moins d'un tiers des vulnérabilités ont été corrigées au cours des 90 premiers jours, et 42 % des vulnérabilités n'ont jamais été corrigées au cours de la période de développement.
Je discute régulièrement avec des professionnels de la sécurité, des RSSI et des PDG et, pour l'anecdote, j'ai constaté que de nombreuses entreprises sont tellement frustrées par le nombre de vulnérabilités détectées qui ne peuvent être atténuées (en plus du problème connu sous le nom de faux positifs), qu'elles cessent complètement de les rechercher, croisent les doigts et espèrent que tout ira pour le mieux.
Pourquoi les professionnels de la sécurité des applications laissent-ils cela se produire ?
Ne vous méprenez pas : les utilisateurs d'AppSec sont extrêmement conscients des problèmes liés au code. Après tout, c'est l'une de leurs compétences fondamentales qui fait d'eux une ressource si précieuse pour l'équipe. Cependant, ils sont souvent freinés par plusieurs facteurs.
Par exemple, un responsable AppSec identifiera un problème et demandera au développeur : « Pouvez-vous corriger le code ? ». La réponse à cette question importante varie d'une organisation à l'autre, mais en général, le développeur est tellement sollicité pour respecter les sprints stricts de fourniture de fonctionnalités qu'il n'a tout simplement pas le temps de résoudre ces problèmes, ni les outils adéquats pour les aider. Les professionnels de la sécurité des applications eux-mêmes sont peut-être en mesure d'identifier les vulnérabilités, mais ils n'ont souvent pas les compétences et/ou l'accès nécessaires pour y remédier sur place.
Nous devons également prendre conscience que pour chaque problème, il est nécessaire de trouver une solution, de la mettre en œuvre, puis de la tester. Même pour le moindre problème détecté dans le code, le temps nécessaire pour le résoudre, sans parler des ressources requises, est considérable. Plus de 700 vulnérabilités peuvent être introduites dans les logiciels, et il est tout simplement impossible pour une seule personne de pouvoir se défendre contre toutes ces vulnérabilités. C'est pour cette raison que la plupart des entreprises s'en tiennent uniquement au Top 10 de l'OWASP. Pendant ce temps, les développeurs continuent de créer des fonctionnalités et, à leur tour, d'introduire des vulnérabilités dans le code qu'ils écrivent.
Quelle est la solution ?
Le fait est que nous ne fournissons pas à nos développeurs les outils et la formation nécessaires pour favoriser le succès du codage sécurisé. Aucune réglementation n'oblige les entreprises à s'assurer que les développeurs possèdent les compétences adéquates en matière de sécurité, et la réalité est que la plupart des universités et des stages ne préparent pas non plus les développeurs débutants à coder en toute sécurité.
Lorsqu'une personne souhaite piloter un avion, il existe un processus très rigoureux qui garantit une formation, une expérience pratique, des contrôles médicaux, des connaissances en matière de sécurité et des examens avant de pouvoir voler. Personne n'oserait imaginer qu'il serait autorisé à voler sans cette préparation approfondie et cette validation des compétences, mais c'est ce qui se produit quotidiennement avec l'écriture de code.
Il est essentiel de consacrer du temps à former les développeurs à l'écriture de code sécurisé. Cependant, dans le monde actuel, où le développement de logiciels est rapide et où les développeurs et professionnels de la sécurité compétents sont rares, cela ne semble jamais être une priorité. Il est temps de changer de perspective.
Un titre récent du Forum économique mondial a souligné : « Il ne peut y avoir d'économie numérique sans sécurité », avec le contenu qui l'accompagne faisant valoir la nécessité de placer la sécurité au cœur de toute stratégie de transformation numérique. « La sécurité est ce qui protège les entreprises, leur permet d'innover et de créer de nouveaux produits et services. Au-delà d'un rôle défensif, la sécurité procure aux entreprises un avantage stratégique en termes de croissance. »
L'amélioration des compétences et des résultats en matière de codage sécurisé renforcera considérablement la cyberprotection des organisations, les aidant à créer un code plus efficace et plus rapide. Les développeurs n'ont pas besoin de devenir des experts en sécurité, mais ils doivent être habilités de manière positive et pratique pour constituer la première ligne de défense contre les cyberattaques. Les développeurs peuvent devenir les prochains héros de la sécurité et de l'innovation. Ce sont des personnes très intelligentes, elles savent résoudre les problèmes de manière créative et souhaitent généralement développer leurs compétences. Tirez parti de leurs points forts grâce à la formation spécialisée qu'ils méritent et engagez-vous à respecter des normes de sécurité logicielle plus strictes. Veuillez consulter notre livre blanc pour en savoir plus.
Lorsqu'une personne souhaite piloter un avion, il existe un processus très rigoureux qui garantit une formation, une expérience pratique, des contrôles médicaux, des connaissances en matière de sécurité et des examens avant de pouvoir voler. Personne n'oserait imaginer qu'il serait autorisé à voler sans cette préparation approfondie et cette validation des compétences, mais c'est ce qui se produit quotidiennement avec l'écriture de code.
Selon une théorie bien connue, les blattes peuvent survivre à pratiquement tout, même à une explosion nucléaire. Bien que cette théorie ne soit vraie que dans une certaine mesure, leur composition corporelle simple les rend extrêmement résistantes pour leur taille et difficiles à éradiquer dans la plupart des conditions.
J'ai réfléchi... si les cafards avaient un équivalent dans le monde numérique, ce serait les vulnérabilités d'injection SQL (SQLi) dans le code. Cette vulnérabilité est connue depuis plus de vingt ans, mais les organisations en sont victimes à maintes reprises. L'attaque très médiatisée et coûteuse contre Target était le résultat d'une injection SQL, tout comme un cas de piratage des élections dans l'Illinois, où 200 000 dossiers d'électeurs ont été divulgués, ce qui a incité le FBI à recommander à tous les administrateurs informatiques de renforcer rapidement leurs pratiques de sécurité.
Le rapport Imperva sur l'initiative Hacker Intelligence a révélé qu'entre 2005 et 2011, des attaques SQLi ont été utilisées dans 83 % des violations de données signalées. Aujourd'hui, les vulnérabilités liées à l'injection restent la principale menace dans le Top 10 de l'OWASP. Elles sont relativement simples, mais elles persistent.
Il est surprenant que cette même vulnérabilité continue d'apparaître dans un nombre important d'analyses de sécurité des applications. Nous comprenons son fonctionnement et savons comment la contrer. Comment cela est-il possible ? La réalité est que la sécurité de nos logiciels peut encore être améliorée.
Le rapport Veracode sur l'état de la sécurité logicielle, basé sur 400 000 analyses d'applications en 2017, a révélé une statistique préoccupante : seulement 30 % des applications ont satisfait à la politique du Top 10 de l'OWASP. Ce thème a été récurrent au cours des cinq dernières années, des injections SQL étant apparues dans près d'une application récemment scannée sur trois. Cela démontre un problème endémique ; nous ne tirons pas les leçons de nos erreurs et les responsables de la sécurité informatique semblent éprouver des difficultés à recruter suffisamment de talents en matière de sécurité. En règle générale, le ratio entre les spécialistes de la sécurité des applications et les développeurs est insuffisant pour 100.
Pourquoi la sécurité logicielle est-elle en mode survie ?
Il est de notoriété publique que les spécialistes en sécurité sont rares, mais nous devons également être conscients que les développeurs ne résolvent pas les problèmes au fur et à mesure qu'ils se présentent et sont clairement mal équipés pour éviter d'introduire des vulnérabilités dès le départ. Dans le même rapport de Veracode, il a été révélé que des mesures d'atténuation documentées n'étaient disponibles que pour 14,4 % de toutes les vulnérabilités liées au développement. En d'autres termes, la plupart des vulnérabilités ont été soumises sans mesures d'atténuation liées au développement. Moins d'un tiers des vulnérabilités ont été corrigées au cours des 90 premiers jours, et 42 % des vulnérabilités n'ont jamais été corrigées au cours de la période de développement.
Je discute régulièrement avec des professionnels de la sécurité, des RSSI et des PDG et, pour l'anecdote, j'ai constaté que de nombreuses entreprises sont tellement frustrées par le nombre de vulnérabilités détectées qui ne peuvent être atténuées (en plus du problème connu sous le nom de faux positifs), qu'elles cessent complètement de les rechercher, croisent les doigts et espèrent que tout ira pour le mieux.
Pourquoi les professionnels de la sécurité des applications laissent-ils cela se produire ?
Ne vous méprenez pas : les utilisateurs d'AppSec sont extrêmement conscients des problèmes liés au code. Après tout, c'est l'une de leurs compétences fondamentales qui fait d'eux une ressource si précieuse pour l'équipe. Cependant, ils sont souvent freinés par plusieurs facteurs.
Par exemple, un responsable AppSec identifiera un problème et demandera au développeur : « Pouvez-vous corriger le code ? ». La réponse à cette question importante varie d'une organisation à l'autre, mais en général, le développeur est tellement sollicité pour respecter les sprints stricts de fourniture de fonctionnalités qu'il n'a tout simplement pas le temps de résoudre ces problèmes, ni les outils adéquats pour les aider. Les professionnels de la sécurité des applications eux-mêmes sont peut-être en mesure d'identifier les vulnérabilités, mais ils n'ont souvent pas les compétences et/ou l'accès nécessaires pour y remédier sur place.
Nous devons également prendre conscience que pour chaque problème, il est nécessaire de trouver une solution, de la mettre en œuvre, puis de la tester. Même pour le moindre problème détecté dans le code, le temps nécessaire pour le résoudre, sans parler des ressources requises, est considérable. Plus de 700 vulnérabilités peuvent être introduites dans les logiciels, et il est tout simplement impossible pour une seule personne de pouvoir se défendre contre toutes ces vulnérabilités. C'est pour cette raison que la plupart des entreprises s'en tiennent uniquement au Top 10 de l'OWASP. Pendant ce temps, les développeurs continuent de créer des fonctionnalités et, à leur tour, d'introduire des vulnérabilités dans le code qu'ils écrivent.
Quelle est la solution ?
Le fait est que nous ne fournissons pas à nos développeurs les outils et la formation nécessaires pour favoriser le succès du codage sécurisé. Aucune réglementation n'oblige les entreprises à s'assurer que les développeurs possèdent les compétences adéquates en matière de sécurité, et la réalité est que la plupart des universités et des stages ne préparent pas non plus les développeurs débutants à coder en toute sécurité.
Lorsqu'une personne souhaite piloter un avion, il existe un processus très rigoureux qui garantit une formation, une expérience pratique, des contrôles médicaux, des connaissances en matière de sécurité et des examens avant de pouvoir voler. Personne n'oserait imaginer qu'il serait autorisé à voler sans cette préparation approfondie et cette validation des compétences, mais c'est ce qui se produit quotidiennement avec l'écriture de code.
Il est essentiel de consacrer du temps à former les développeurs à l'écriture de code sécurisé. Cependant, dans le monde actuel, où le développement de logiciels est rapide et où les développeurs et professionnels de la sécurité compétents sont rares, cela ne semble jamais être une priorité. Il est temps de changer de perspective.
Un titre récent du Forum économique mondial a souligné : « Il ne peut y avoir d'économie numérique sans sécurité », avec le contenu qui l'accompagne faisant valoir la nécessité de placer la sécurité au cœur de toute stratégie de transformation numérique. « La sécurité est ce qui protège les entreprises, leur permet d'innover et de créer de nouveaux produits et services. Au-delà d'un rôle défensif, la sécurité procure aux entreprises un avantage stratégique en termes de croissance. »
L'amélioration des compétences et des résultats en matière de codage sécurisé renforcera considérablement la cyberprotection des organisations, les aidant à créer un code plus efficace et plus rapide. Les développeurs n'ont pas besoin de devenir des experts en sécurité, mais ils doivent être habilités de manière positive et pratique pour constituer la première ligne de défense contre les cyberattaques. Les développeurs peuvent devenir les prochains héros de la sécurité et de l'innovation. Ce sont des personnes très intelligentes, elles savent résoudre les problèmes de manière créative et souhaitent généralement développer leurs compétences. Tirez parti de leurs points forts grâce à la formation spécialisée qu'ils méritent et engagez-vous à respecter des normes de sécurité logicielle plus strictes. Veuillez consulter notre livre blanc pour en savoir plus.
Lorsqu'une personne souhaite piloter un avion, il existe un processus très rigoureux qui garantit une formation, une expérience pratique, des contrôles médicaux, des connaissances en matière de sécurité et des examens avant de pouvoir voler. Personne n'oserait imaginer qu'il serait autorisé à voler sans cette préparation approfondie et cette validation des compétences, mais c'est ce qui se produit quotidiennement avec l'écriture de code.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Selon une théorie bien connue, les blattes peuvent survivre à pratiquement tout, même à une explosion nucléaire. Bien que cette théorie ne soit vraie que dans une certaine mesure, leur composition corporelle simple les rend extrêmement résistantes pour leur taille et difficiles à éradiquer dans la plupart des conditions.
J'ai réfléchi... si les cafards avaient un équivalent dans le monde numérique, ce serait les vulnérabilités d'injection SQL (SQLi) dans le code. Cette vulnérabilité est connue depuis plus de vingt ans, mais les organisations en sont victimes à maintes reprises. L'attaque très médiatisée et coûteuse contre Target était le résultat d'une injection SQL, tout comme un cas de piratage des élections dans l'Illinois, où 200 000 dossiers d'électeurs ont été divulgués, ce qui a incité le FBI à recommander à tous les administrateurs informatiques de renforcer rapidement leurs pratiques de sécurité.
Le rapport Imperva sur l'initiative Hacker Intelligence a révélé qu'entre 2005 et 2011, des attaques SQLi ont été utilisées dans 83 % des violations de données signalées. Aujourd'hui, les vulnérabilités liées à l'injection restent la principale menace dans le Top 10 de l'OWASP. Elles sont relativement simples, mais elles persistent.
Il est surprenant que cette même vulnérabilité continue d'apparaître dans un nombre important d'analyses de sécurité des applications. Nous comprenons son fonctionnement et savons comment la contrer. Comment cela est-il possible ? La réalité est que la sécurité de nos logiciels peut encore être améliorée.
Le rapport Veracode sur l'état de la sécurité logicielle, basé sur 400 000 analyses d'applications en 2017, a révélé une statistique préoccupante : seulement 30 % des applications ont satisfait à la politique du Top 10 de l'OWASP. Ce thème a été récurrent au cours des cinq dernières années, des injections SQL étant apparues dans près d'une application récemment scannée sur trois. Cela démontre un problème endémique ; nous ne tirons pas les leçons de nos erreurs et les responsables de la sécurité informatique semblent éprouver des difficultés à recruter suffisamment de talents en matière de sécurité. En règle générale, le ratio entre les spécialistes de la sécurité des applications et les développeurs est insuffisant pour 100.
Pourquoi la sécurité logicielle est-elle en mode survie ?
Il est de notoriété publique que les spécialistes en sécurité sont rares, mais nous devons également être conscients que les développeurs ne résolvent pas les problèmes au fur et à mesure qu'ils se présentent et sont clairement mal équipés pour éviter d'introduire des vulnérabilités dès le départ. Dans le même rapport de Veracode, il a été révélé que des mesures d'atténuation documentées n'étaient disponibles que pour 14,4 % de toutes les vulnérabilités liées au développement. En d'autres termes, la plupart des vulnérabilités ont été soumises sans mesures d'atténuation liées au développement. Moins d'un tiers des vulnérabilités ont été corrigées au cours des 90 premiers jours, et 42 % des vulnérabilités n'ont jamais été corrigées au cours de la période de développement.
Je discute régulièrement avec des professionnels de la sécurité, des RSSI et des PDG et, pour l'anecdote, j'ai constaté que de nombreuses entreprises sont tellement frustrées par le nombre de vulnérabilités détectées qui ne peuvent être atténuées (en plus du problème connu sous le nom de faux positifs), qu'elles cessent complètement de les rechercher, croisent les doigts et espèrent que tout ira pour le mieux.
Pourquoi les professionnels de la sécurité des applications laissent-ils cela se produire ?
Ne vous méprenez pas : les utilisateurs d'AppSec sont extrêmement conscients des problèmes liés au code. Après tout, c'est l'une de leurs compétences fondamentales qui fait d'eux une ressource si précieuse pour l'équipe. Cependant, ils sont souvent freinés par plusieurs facteurs.
Par exemple, un responsable AppSec identifiera un problème et demandera au développeur : « Pouvez-vous corriger le code ? ». La réponse à cette question importante varie d'une organisation à l'autre, mais en général, le développeur est tellement sollicité pour respecter les sprints stricts de fourniture de fonctionnalités qu'il n'a tout simplement pas le temps de résoudre ces problèmes, ni les outils adéquats pour les aider. Les professionnels de la sécurité des applications eux-mêmes sont peut-être en mesure d'identifier les vulnérabilités, mais ils n'ont souvent pas les compétences et/ou l'accès nécessaires pour y remédier sur place.
Nous devons également prendre conscience que pour chaque problème, il est nécessaire de trouver une solution, de la mettre en œuvre, puis de la tester. Même pour le moindre problème détecté dans le code, le temps nécessaire pour le résoudre, sans parler des ressources requises, est considérable. Plus de 700 vulnérabilités peuvent être introduites dans les logiciels, et il est tout simplement impossible pour une seule personne de pouvoir se défendre contre toutes ces vulnérabilités. C'est pour cette raison que la plupart des entreprises s'en tiennent uniquement au Top 10 de l'OWASP. Pendant ce temps, les développeurs continuent de créer des fonctionnalités et, à leur tour, d'introduire des vulnérabilités dans le code qu'ils écrivent.
Quelle est la solution ?
Le fait est que nous ne fournissons pas à nos développeurs les outils et la formation nécessaires pour favoriser le succès du codage sécurisé. Aucune réglementation n'oblige les entreprises à s'assurer que les développeurs possèdent les compétences adéquates en matière de sécurité, et la réalité est que la plupart des universités et des stages ne préparent pas non plus les développeurs débutants à coder en toute sécurité.
Lorsqu'une personne souhaite piloter un avion, il existe un processus très rigoureux qui garantit une formation, une expérience pratique, des contrôles médicaux, des connaissances en matière de sécurité et des examens avant de pouvoir voler. Personne n'oserait imaginer qu'il serait autorisé à voler sans cette préparation approfondie et cette validation des compétences, mais c'est ce qui se produit quotidiennement avec l'écriture de code.
Il est essentiel de consacrer du temps à former les développeurs à l'écriture de code sécurisé. Cependant, dans le monde actuel, où le développement de logiciels est rapide et où les développeurs et professionnels de la sécurité compétents sont rares, cela ne semble jamais être une priorité. Il est temps de changer de perspective.
Un titre récent du Forum économique mondial a souligné : « Il ne peut y avoir d'économie numérique sans sécurité », avec le contenu qui l'accompagne faisant valoir la nécessité de placer la sécurité au cœur de toute stratégie de transformation numérique. « La sécurité est ce qui protège les entreprises, leur permet d'innover et de créer de nouveaux produits et services. Au-delà d'un rôle défensif, la sécurité procure aux entreprises un avantage stratégique en termes de croissance. »
L'amélioration des compétences et des résultats en matière de codage sécurisé renforcera considérablement la cyberprotection des organisations, les aidant à créer un code plus efficace et plus rapide. Les développeurs n'ont pas besoin de devenir des experts en sécurité, mais ils doivent être habilités de manière positive et pratique pour constituer la première ligne de défense contre les cyberattaques. Les développeurs peuvent devenir les prochains héros de la sécurité et de l'innovation. Ce sont des personnes très intelligentes, elles savent résoudre les problèmes de manière créative et souhaitent généralement développer leurs compétences. Tirez parti de leurs points forts grâce à la formation spécialisée qu'ils méritent et engagez-vous à respecter des normes de sécurité logicielle plus strictes. Veuillez consulter notre livre blanc pour en savoir plus.
Lorsqu'une personne souhaite piloter un avion, il existe un processus très rigoureux qui garantit une formation, une expérience pratique, des contrôles médicaux, des connaissances en matière de sécurité et des examens avant de pouvoir voler. Personne n'oserait imaginer qu'il serait autorisé à voler sans cette préparation approfondie et cette validation des compétences, mais c'est ce qui se produit quotidiennement avec l'écriture de code.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Thèmes et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions Beat the Boss sont désormais disponibles sur demande.
Cybermon 2025 : Vaincre le Boss est désormais accessible toute l'année dans SCW. Mettez en œuvre des défis de sécurité avancés liés à l'IA et au LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite clairement définis et mesurables
Enabler 1 inaugure notre série en 10 parties intitulée « Enablers of Success » en démontrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'assurer la maturité à long terme des programmes.
