Insights sur le code sécurisé

Le développement axé sur l'IA a introduit un tout nouveau type de risques logiciels. L'injection de prompt, les manipulations RAG et les autorisations excessives des agents ne sont plus des problèmes théoriques, mais bien une réalité dans les applications modernes.

Les développeurs doivent être confrontés à ces nouveaux modèles de menaces dans un environnement reflétant la complexité du monde réel . C'est pourquoi nous avons transformé la mission Cybermon 2025 AI/LLM Boss, qui était auparavant une expérience événementielle limitée, en une collection de quêtes déployables dans Secure Code Warrior. La collection Cybermon 2025 : Beat the Boss apparaîtra dans la section « Concepts spécifiques » de « Concepts de sécurité » lorsque vous créerez une nouvelle quête.

Cybermon 2025 : Vaincre le boss. L'organisation peut intégrer à tout moment ces défis complexes en matière de sécurité IA dans un programme de codage sécurisé.

Que signifie « Beat the Boss » ?

Beat the Boss est un ensemble de quatre défis avancés en matière d'IA/LLM, conçus pour évaluer les capacités de développement d'une IA sécurisée dans le monde réel.

Chaque thème comprend une courte vidéo de présentation, des directives, un guide d'échauffement et une mission originale de haut niveau contre le boss Cybermon 2025. Ces scénarios immersifs mettent l'accent sur les classes de vulnérabilités pratiques que les développeurs doivent comprendre à mesure que les applications compatibles avec l'IA évoluent.

Les quatre missions de boss ciblent chacune un domaine de risque IA différent et simulent les modèles de menaces du monde réel dans les systèmes équipés d'IA.

• Bypass — Injection directe
• Keykraken — Injection indirecte de prompt
• Prompt Geist — Vulnérabilités des vecteurs et des intégrations
• Proxy Surfer — Agence excessive

Veuillez procéder comme prévu.

Nous vous recommandons de mettre en avant un seul responsable à la fois et de vous concentrer sur ses vulnérabilités spécifiques. De nombreuses organisations choisissent de mettre en œuvre les mesures suivantes.

• Dans le cadre d'un sprint de sécurité IA ciblé, un responsable est désigné chaque semaine.
• Ou bien, dans le cadre de l'initiative « Vulnérabilités du mois », une fois par mois.

Une base de connaissances contenant des conseils structurés pour le déploiement et des ressources de marque téléchargeables est mise à la disposition des administrateurs chargés de configurer les événements internes.
Cybermon 2025 : Organisez votre propre événement Beat the Boss.

Mise en œuvre des mesures de sécurité IA

Le développement accéléré par l'IA transforme radicalement le paysage des risques logiciels. Les nouvelles classes de vulnérabilités exigent une compréhension approfondie et une expérience pratique.

En utilisant Beat the Boss, les organisations peuvent transformer les modèles de menaces IA en constante évolution en capacités pratiques pour les développeurs.

Les développeurs peuvent renforcer leur compréhension de la mentalité des attaquants et améliorer leurs stratégies de défense en testant chaque défi individuellement et en consultant les solutions guidées. Une vidéo présentant l'ensemble des solutions est disponible pour l'apprentissage après les défis.

De nombreuses équipes élargissent leur expérience grâce à des sessions de partage des connaissances en interne et font évoluer l'apprentissage basé sur les événements d'un modèle compétitif vers un modèle collaboratif. La sécurité et le développement sont des activités d'équipe. La meilleure façon de protéger une organisation consiste à faire collaborer les développeurs, les responsables de la sécurité et les équipes d'ingénierie afin de comprendre et d'atténuer les risques croissants liés aux attaques IA. Le débriefing, le partage des analyses de solutions et la promotion des discussions entre équipes contribuent à transformer la résolution des problèmes individuels en une capacité collective.

En intégrant Beat the Boss à vos initiatives de codage sécurisé, vous pouvez renforcer la mise en œuvre sécurisée de l'IA tout en améliorant la maturité mesurable de la sécurité IA au sein de l'ensemble de votre équipe de développement.

Commençons

La collection Cybermon 2025 : Beat the Boss apparaîtra dans la section « Concepts spécifiques » du « Concept de sécurité » lorsque vous créerez une nouvelle quête. Veuillez vous connecter à votre compte Secure Code Warrior . Vous pourrez configurer le déploiement et renforcer le développement sécurisé de l'IA au sein de toute votre équipe.

La loi sur la cyber-résilience devient rapidement une priorité stratégique non seulement pour les entreprises basées dans l'UE, mais aussi pour toutes les entreprises qui commercialisent des produits numériques sur le marché européen. Bien que la date limite de mise en conformité soit fixée à 2027, les équipes d'ingénierie et de sécurité posent déjà des questions difficiles concernant les pratiques de sécurité dès la conception, le traitement des vulnérabilités et les capacités de développement.

Contrairement à de nombreuses réglementations axées sur la documentation et l'audit, la CRA définit la conception et le développement de logiciels sécurisés comme étant au cœur de la conformité. Les organisations qui investissent tôt dans des fonctionnalités de sécurité dès la conception peuvent se conformer plus rapidement et se démarquer sur un marché où la sécurité des produits devient un facteur déterminant dans les décisions d'achat.

Ce qu'exige la loi sur la cyber-résilience

La loi sur la résilience numérique (CRA) introduit des exigences fondamentales en matière de cybersécurité pour la plupart des produits contenant des composants numériques disponibles sur le marché européen, tels que les logiciels, les systèmes d'exploitation, les appareils connectés et les systèmes embarqués.

Il est également important de déterminer où se situe la responsabilité.

La sécurité ne se limite plus aux problèmes liés à l'exécution et à l'exploitation. Dans le cadre de la CRA, elle englobe les obligations suivantes : conception et développement, architecture, mise en œuvre, maintenance et traitement des vulnérabilités.

Pour les responsables de l'ingénierie et de la sécurité, cela signifie ce qui suit :

• Les produits doivent être fabriqués conformément aux principes de conception sécurisée.
• Il est nécessaire de prévenir autant que possible les vulnérabilités connues et de les traiter efficacement.
• L'organisation doit démontrer que des pratiques de développement sécurisées sont mises en œuvre.

En d'autres termes, la conformité est indissociable de la manière dont les développeurs créent et gèrent le code.

Qui est concerné par l'application de la CRA ?

Bien qu'introduite par l'UE, l'application de la CRA s'étend à toutes les organisations à travers le monde. Par conséquent, les produits numériques concernés, y compris les suivants, seront admis sur le marché de l'UE.

• Fournisseurs de logiciels et fournisseurs SaaS proposant des services fonctionnant comme composants de traitement de données à distance pour les produits concernés.
• Fabricant de produits numériques ou connectés
• Importateurs, distributeurs, détaillants
• Organisations intégrant des composants numériques tiers

Pour les entreprises internationales, la conformité CRA ne se limite pas aux exigences de développement transfrontalièreset aux exercices de conformité régionaux.

Les raisons pour lesquelles l'organisation commence maintenant

Principales étapes importantes :

• Septembre 2026 — Début de l'obligation de signaler les vulnérabilités
• Décembre 2027 — Conformité totale requise

Sur le papier, ce calendrier peut sembler raisonnable. Cependant, dans la réalité, les transformations en matière de développement ne se produisent pas tous les trimestres, mais s'étendent sur plusieurs années.

La sécurité dès la conception n'est pas une simple mise à jour de politique. Elle nécessite les éléments suivants :

• Améliorer les compétences de milliers de développeurs, au-delà des langues et des équipes.
• Intégrer les attentes en matière de sécurité dès la phase de conception dans le flux de travail quotidien
• Transition de la correction des vulnérabilités après coup à la prévention
• Création de preuves mesurables démontrant l'application cohérente de méthodes de développement sécurisées.

Ces changements auront un impact sur le recrutement, l'intégration, les décisions architecturales, les processus SDLC et la culture d'ingénierie. Les organisations qui reportent ces changements jusqu'à la fin de l'année 2026 devront améliorer leurs capacités sous la pression réglementaire, ce qui s'avérera être une approche beaucoup plus coûteuse et perturbatrice.

La mise en œuvre comporte également des risques financiers importants. L'article 64 du RGPD prévoit des amendes pouvant atteindre 15 millions d'euros, soit 2,5 % du chiffre d'affaires annuel mondial, en cas de violation des exigences importantes en matière de cybersécurité.

Il serait inapproprié d'attendre jusqu'à la fin de l'année 2026.

CRA est en fin de compte un défi lié aux capacités des développeurs.

De nombreuses réglementations mettent l'accent sur les politiques et la documentation. La CRA va plus loin en associant la conformité aux pratiques réelles utilisées dans la conception et la construction des logiciels. Cela renforce les attentes en matière de développement sécurisé, qui ne se limite plus à une simple exigence de gouvernance, mais devient une discipline opérationnelle.

Pour les responsables techniques, la conformité dépend de la capacité des équipes de développement à appliquer de manière cohérente les pratiques sécuritaires suivantes.

• Compréhension des classes de vulnérabilités courantes
• Application des principes de conception et d'architecture sécurisées
• Éviter les modèles d'implémentation non sécurisés
• Gestion responsable des composants tiers et open source

Les outils de sécurité jouent un rôle essentiel dans la détection des problèmes. Cependant, les faiblesses de ces outils apparaissent après l'écriture du code. Pour mettre en œuvre la sécurité dès la conception, les développeurs doivent d'abord prévenir les vulnérabilités et le faire de manière cohérente, indépendamment de l'équipe, du langage ou du produit.

Les outils seuls ne suffisent pas pour atteindre cet objectif. Les résultats obtenus grâce à la sécurité dès la conception dépendent des éléments suivants : les capacités humaines.

Comment Secure Code Warrior peut-il vous aider à vous préparer pour le CRA ?

Parcours d'apprentissage conforme au CAR proposé par Secure Code Warrior. Il s'agit d'une combinaison des éléments suivants :

• Correspondance avec les exigences techniques de vulnérabilité de l'annexe I, partie I, de la norme CRA Standard Quest.
• Une collection conçue selon le concept « Secure by Design »
• Apprentissage pratique des vulnérabilités axé sur la langue

Veuillez consulter le guide récapitulatif de tous les contenus de formation adaptés à la norme CRA de SCW. SCW ne certifie pas la conformité. Nous soutenons la préparation à la norme CRA par le biais des éléments suivants : une formation structurée conforme aux principes de développement réglementaire sécurisé et une amélioration mesurable des compétences.

Commencer immédiatement à mettre en place une préparation à la CRA

La CRA reflète la direction prise par l'industrie. En d'autres termes, la sécurité par conception est désormais la norme. Les organisations qui investissent actuellement dans les compétences de leurs développeurs sont bien placées non seulement pour se conformer aux exigences, mais aussi pour créer à long terme des logiciels plus résilients et moins risqués.

Pour plus d'informations sur la manière dont Secure Code Warrior peut vous aider à atteindre la conformité, veuillez consulter la base de connaissances suivante. Comment Secure Code Warrior peut-il vous aider à atteindre la conformité?

Nous allons approfondir les 10 facteurs clés de réussite. La première étape fondamentale est le catalyseur n° 1 : des critères de réussite clairement définis et mesurables. Si le programme de codage sécurisé est comparé à un voyage, la première étape, et la plus importante, consiste à savoir précisément où l'on se dirige. C'est l'essence même du premier catalyseur.

Relier les critères de réussite aux résultats commerciaux

Pour élaborer un programme de codage sécurisé efficace, il est nécessaire de définir des objectifs clairs étroitement liés aux résultats commerciaux. Le premier facteur répond à la question fondamentale suivante : « Quels sont les problèmes et les défis que le programme de codage sécurisé vise à résoudre, en termes concrets et mesurables ? »

Votre organisation est probablement à la recherche de conformité aux exigences réglementairesou souhaite éviter les violations de sécurité et les cyberattaques. Ou peut-être souhaitez-vous commencer à réduire les coûts et le temps nécessaires à la refonte en formant vos développeurs à coder de manière sécurisée dès le départ.

Indépendamment de la motivation, de la situation actuelle de l'organisation ou de la plateforme de formation à la sécurité choisie, le succès à long terme du programme dépend en grande partie de la définition d'objectifs clairs, liés aux objectifs commerciaux, afin d'obtenir l'adhésion et d'assurer un succès durable.

Tenez compte des principales parties prenantes de votre programme lorsque vous déterminez les critères de réussite. Connaître vos sponsors exécutifs et leurs objectifs commerciaux vous aidera à favoriser une adoption plus large dans tous les services.

Rendre le succès concret et mesurable

Ces objectifs doivent, de par leur nature, être propres à l'organisation. Cela étant dit, veuillez examiner les objectifs commerciaux typiques ci-dessous et réfléchir à la manière dont ils peuvent générer de nouvelles idées.

Réduction des risques : atténuez les risques liés aux développeurs et réduisez les vulnérabilités introduites par les failles de codage. Cela inclut l'identification des risques et la réduction de la surface d'attaque des applications.

Les programmes visent souvent des indicateurs tels que la réduction et la prévention de la densité des vulnérabilités ou du taux d'injection de vulnérabilités.

Vitesse opérationnelle : optimisez la vitesse de livraison des produits, réduisez la frustration et l'attrition des développeurs, et diminuez le temps consacré aux retouches. La formation au code sécurisé constitue une incitation importante pour les développeurs, car elle leur permet d'éviter les retouches fastidieuses du code bogué identifié plus tard dans le cycle de vie du développement logiciel.

Les programmes visent souvent à réduire le temps moyen de correction (MTTR) des vulnérabilités par les développeurs.

Conformité réglementaire : Assurez la conformité externe, par exemple en respectant des normes telles que PCI-DSS (qui impose une formation à tous les développeurs travaillant sur des systèmes de paiement).

Talent et confiance : Renforcez l'engagement et la sensibilisation à la sécurité et aux vulnérabilités au sein de l'organisation des développeurs, tout en maintenant et en renforçant la confiance des clients. Pour certaines entreprises, les développeurs sensibilisés à la sécurité contribuent à établir une différenciation sur le marché.

Les programmes établissent souvent des exigences minimales en matière de compétences pour les développeurs ou créent même des programmes spécialisés de champions de la sécurité.

Documentation des réussites dans le cadre du plan de réussite commune

Une fois les critères de réussitedéfinis, l'étape suivante consiste à les documenter dans un plan de réussite commun. Ce plan est un document de référence partagé entre les principaux acteurs du programme et les différents services, qui inclut également des soutiens externes tels que la plateforme de formation CSM.

Le plan de réussite comprend les éléments suivants.

1. Facteurs de valeur: Ceux-ci comprennent l'amélioration de la sécurité du code et les objectifs commerciaux généraux liés à la justification du programme.
2. État actuel: Cela permet de déterminer où nous en sommes actuellement (par exemple, les compétences actuelles en matière de codage sécurisé et les programmes de formation existants).
3. État souhaité : Ensuite, veuillez noter « Où souhaitons-nous aller ? ». Puis, veuillez indiquer comment combler les lacunes en matière de compétences de codage sécurisé.
4. Indicateurs clés de performance (KPI): Ces indicateurs reflètent le succès et démontrent que l'écart entre la situation actuelle et la situation future se réduit progressivement à mesure que le programme est déployé.

Il est recommandé de commencer par un ou deux indicateurs spécifiques, puis de les étendre ultérieurement si nécessaire.Ces KPI/mesures doivent respecter les principes S.M.A.R.T. (spécifiques, mesurables, atteignables, pertinents, temporellement définis). Ils doivent être faciles à suivre et ne pas permettre d'interprétation vague. La mise en œuvre du plan nécessite une responsabilité à tous les niveaux et une évaluation régulière et convenue de la valeur et du retour sur investissement avec les dirigeants.

En définissant explicitement ces critères et en les évaluant, le programme de codage sécurisé évolue d'un simple centre de coûts vers un moteur vérifiable de résultats commerciaux importants. Il s'agit de la première étape nécessaire pour faire mûrir le programme.

Ensuite, nous expliquerons en détail le deuxième facteur : le parrainage par les cadres supérieurs . Nous discuterons du rôle important que joue le leadership dans la réussite du déploiement du programme de codage sécurisé.

Avez-vous d'autres questions ?Les clients peuvent contacter l'équipe chargée des comptes ou envoyer un e-mail à support@securecodewarrior.com. Les prospects peuvent contacter notre entreprise pour discuter avec un membre de l'équipe commerciale ici.

Une personne qui décide de se lancer dans une start-up peut être qualifiée de différentes manières, du titre ambitieux d'« entrepreneur » à celui, nettement moins flatteur, de « fou ». Après onze ans à la tête de Secure Code Warrior, je me situe volontiers quelque part entre les deux. 

Les cinq dernières années ont été une leçon de résilience pour beaucoup, avec des imprévus, économiques et autres, que même les personnes les plus brillantes de la planète n'avaient pas su prévoir. On pourrait penser ici à la « loi du plus fort », mais je préfère cette citation :

Ce ne sont pas les espèces les plus robustes qui survivent, ni les plus intelligentes, mais celles qui s'adaptent le mieux au changement.

(Cette citation est souvent attribuée à tort à Charles Darwin, mais elle a en réalité été prononcée par le professeur Leon C. Megginson, qui résumait l'ouvrage de Darwin, L'Origine des espèces. Nous espérons que cela vous permettra de remporter un prix lors d'un quiz dans un pub à l'avenir.)

À l'heure actuelle, quel meilleur exemple de changement et d'adaptabilité existe-t-il dans notre monde que l'intelligence artificielle ? Plus de trois ans après l'annonce de la bombe LLM, nous nous efforçons toujours de comprendre ce qu'est cette itération, ce qu'elle peut accomplir et comment elle peut nous servir au mieux dans pratiquement tous les rôles qui existent aujourd'hui. Quoi qu'il en soit, elle est là pour rester, et en tant que professionnels de la cybersécurité en particulier, nous devons garder une longueur d'avance pour la protéger, même en l'absence de garde-fous et de réglementations officiels.

2025 a été une année importante pour l'IA, la cybersécurité et SCW. J'aborde 2026 avec une confiance sereine et l'optimisme que seul le travail acharné peut apporter. 

Nous avons franchi plusieurs étapes importantes, notamment notre incursion dans la sécurisation du développement de logiciels basés sur l'intelligence artificielle. Nous avons :

• Publié Trust Agent : IA en phase de test bêta : les dernières recherches de la CCIA confirmant que l'IA générative est la technologie qui a connu l'adoption la plus rapide de l'histoire, il n'est pas surprenant de constater l'engouement des développeurs pour les agents et assistants de codage IA, y compris les déploiements précipités au niveau des entreprises qui avancent plus vite que leurs programmes de sécurité.
  
  Notre dernière technologie, Trust Agent : AI, apporte la visibilité et la gouvernance qui faisaient défaut au code généré par l'IA. Elle offre aux responsables de la sécurité des entreprises l'observabilité et le contrôle approfondis dont ils ont besoin pour gérer en toute confiance l'adoption de l'IA dans leur cycle de vie de développement logiciel (SDLC) sans sacrifier la sécurité.
• Nous avons dépassé notre dernier objectif majeur en matière de chiffre d'affaires : le dépassement de notre objectif de chiffre d'affaires témoigne de la ténacité et de l'esprit d'innovation de toute Secure Code Warrior . Lorsque nous nous sommes lancés dans cette aventure, notre mission était d'aller au-delà de l'approche « checklist » en matière de sécurité et de donner aux développeurs les moyens d'écrire du code sécurisé dès la première ligne.
  
  Le fait que cette vision trouve un écho auprès d'un si grand nombre d'entreprises internationales prouve que le secteur se tourne enfin vers une sécurité centrée sur les développeurs, et je suis extrêmement fier de la manière dont nos Warriors se sont investis pour rendre les logiciels plus sûrs pour tous.
• Intégrations expertes avec des partenaires stratégiques : nos partenariats avec des entreprises de renom telles qu'Aikido, OpenText et Black Duck représentent une avancée significative dans notre mission visant à créer un écosystème de sécurité transparent et centré sur les développeurs. En comblant le fossé entre l'identification des vulnérabilités et la fourniture des compétences spécifiques nécessaires pour les corriger, nous bouclons efficacement la boucle en matière de risques logiciels liés aux développeurs.
  
  Je suis extrêmement fier de ce partenariat, qui marque un changement stratégique, passant d'outils fragmentés à une expérience unifiée où la sécurité est le prolongement naturel du processus de développement.

Alors que nous nous apprêtons à vivre une nouvelle année importante, je tiens à remercier nos nombreux supporters, en particulier ceux de la communauté cybernétique au sens large, qui continuent à lutter contre les vulnérabilités récurrentes, le manque de sensibilisation à la sécurité et la mauvaise qualité des codes produits. En adoptant une nouvelle norme plus sûre, nous pouvons commencer à constater de réelles améliorations dans la sécurité de nos logiciels, services et technologies. 

Nous investissons pleinement dans un avenir où l'IA écrira la majorité du code, sous la supervision d'humains qualifiés. Notre SCW Learning évolue rapidement pour répondre aux exigences de ce nouveau monde, et notre SCW Trust Agent : AI sera disponible dans les trois prochains mois pour soutenir le fonctionnement sécurisé des LLM, MCP et autres dans le SDLC. Nous sommes également sur le point d'annoncer très prochainement un nouveau partenariat passionnant avec un acteur majeur du marché.

Restez à l'écoute !

La version de cet article a été publiée SC Magazine. Elle a été corrigée et syndiquée ici.


Si votre domicile a déjà été cambriolé, vous savez que l'on ressent d'abord un sentiment de malaise, puis que l'on se rend compte que l'on a été victime d'un vol et d'une intrusion. Il va sans dire qu'il est nécessaire de mettre en place des mesures de sécurité équivalentes à celles de Fort Knox, mais ce sentiment de malaise persiste généralement.

Imaginez que votre maison soit cambriolée parce que les voleurs ont fabriqué eux-mêmes la clé. Ils s'introduisent discrètement, vont et viennent à leur guise, mais veillent à ne pas se faire remarquer. Puis, un jour, vous vous rendez compte trop tard que les bijoux que vous cachiez dans le congélateur ont disparu, que le coffre-fort a été vidé et que vos effets personnels ont été dérobés.C'est exactement la même situation à laquelle sont confrontées les organisations victimes d'une cyberattaque de type « zero day ». Une étude réalisée en 2020 par le Ponemon Institute a révélé que 80 % des fuites de données réussies sont le résultat d'exploits « zero day » et, malheureusement, la plupart des entreprises ne sont pas préparées à améliorer considérablement cette statistique.

Les attaques zero-day, comme on peut s'y attendre, permettent aux attaquants d'introduire une intrusion initiale, laissant aux développeurs très peu de temps pour identifier les vulnérabilités existantes susceptibles d'être exploitées et pour appliquer les correctifs nécessaires. Une fois les dommages causés, la course pour réparer les dégâts causés à l'entreprise, tant au niveau logiciel que réputationnel, peut s'avérer intense. Les attaquants sont constamment en position de force, et il est essentiel de minimiser autant que possible cet avantage.

Log4Shell, un cadeau de Noël dont personne ne voulait, fait actuellement le tour du web. On estime que plus d'un milliard d'appareils sont touchés par cette faille Java dévastatrice. Il s'agit de la pire attaque zero-day jamais enregistrée, et elle ne fait que commencer. Néanmoins, certains rapports indiquent que l'exploitation a commencé quelques jours avant sa divulgation. et une présentation lors de la conférence Black Hat 2016 suggèrent que ce problème était connu depuis un certain temps. Cela est préoccupant. Pire encore, cette vulnérabilité est extrêmement facile à exploiter, et tous les pirates informatiques et acteurs malveillants du monde entier la ciblent.

Alors, quelle est la meilleure façon de se protéger contre les menaces insidieuses, sans parler des vulnérabilités qui ont été négligées dans le processus de développement logiciel ? Examinons cela.

Les attaques zero-day visant des cibles importantes sont rares (et coûteuses).

Le dark web abrite un vaste marché d'exploits, et à titre d'exemple, les exploits zero-day ont tendance à atteindre des montants considérables. Au moment de la rédaction de cet article, ils sont cotés à 2,5 millions de dollars.Bien qu'il s'agisse d'une vulnérabilité signalée pour Apple iOS, il n'est pas surprenant que le prix demandé par les chercheurs en sécurité informatique ait atteint des sommets. Après tout, il s'agit en réalité d'une passerelle potentielle permettant de compromettre des millions d'appareils, de collecter des milliards d'enregistrements de données confidentielles et de le faire aussi longtemps que possible avant d'être découvert et corrigé.

Cependant, qui dispose de tels fonds ? En général, les syndicats organisés de cybercriminels financent les attaques par ransomware particulièrement populaires s'ils les jugent rentables. Cependant, les gouvernements et les secteurs de la défense à travers le monde sont des clients potentiels pour les exploits à des fins de veille stratégique. Dans un scénario plus positif, les entreprises elles-mêmes pourraient devenir des acheteurs potentiels d'exploits zero-day afin de réduire les risques de catastrophe.

En 2021, le record a été battu. Les cibles les plus susceptibles d'être découvertes en direct par des exploits zero-day et d'être examinées pour leurs vulnérabilités sont les grandes organisations, les agences gouvernementales et les infrastructures. Il n'existe aucun moyen de se protéger complètement contre les attaques zero-day, maisil est possible de « jouer le jeu » dans une certaine mesure en proposant un programme de prime aux bogues généreux et bien structuré. Plutôt que d'attendre que quelqu'un propose la clé du château logiciel sur le marché noir du dark web, il est préférable de s'associer à des passionnés de sécurité légitimes et de leur offrir une récompense appropriée pour toute divulgation éthique et correction potentielle.

Et si cela s'avère être une menace de type zero-day particulièrement inquiétante, il ne fait aucun doute qu'il sera nécessaire de payer plus qu'une simple carte-cadeau Amazon (ce qui en vaut la peine).

L'utilisation des outils peut constituer une charge pour le personnel chargé de la sécurité.

Les outils de sécurité complexes constituent un problème de longue date, et le responsable de la sécurité des systèmes d'information (RSSI) moyen gère entre 55 et 75 outils dans son arsenal de sécurité. Outre le fait qu'il s'agit du couteau suisse le plus complexe au monde (au sens figuré), 53 % des entreprises déclarent ne pas être certaines que leurs outils fonctionnent efficacement. Selon une étude menée par le Ponemon Institute, une autre étude a révélé que seuls 17 % des RSSI considèrent que leur pile de sécurité est « totalement efficace ».

Dans ce domaine caractérisé par le syndrome d'épuisement professionnel, la pénurie de personnel qualifié en sécurité informatique et la nécessité d'agilité, les experts en sécurité sont confrontés à une charge de travail considérable, contraints de traiter une quantité importante de données, de rapports et de surveillances provenant d'un vaste ensemble d'outils. Ce scénario peut également s'appliquer à l'évaluation appropriée des vulnérabilités de Log4j, pouvant entraîner la négligence d'alertes critiques.

La sécurité préventive doit inclure une modélisation des menaces dirigée par les développeurs.

Les vulnérabilités au niveau du code sont souvent introduites par les développeurs. Pour acquérir des compétences en matière de codage sécurisé, il est nécessaire de disposer de conseils précis et d'un parcours d'apprentissage régulier. Cependant, les développeurs sécurisés de niveau supérieur ont l'opportunité d'apprendre et de mettre en pratique la modélisation des menaces dans le cadre du processus de création de logiciels.

Il n'est pas surprenant que les personnes qui connaissent le mieux les logiciels de leur entreprise soient les développeurs qui les ont créés. S'ils connaissent bien la manière dont les utilisateurs manipulent les logiciels, les endroits où les fonctionnalités sont utilisées et la sécurité, ils ont une connaissance approfondie des scénarios dans lesquels les logiciels peuvent être endommagés ou exploités.

En revenant à l'exploitation Log4Shell, nous observons malheureusement un scénario dans lequel les experts et les outils complexes ne détectent pas les vulnérabilités critiques. Cependant,si la bibliothèque avait été configurée pour assainir les entrées utilisateur, cela ne se serait peut-être pas produit. La décision de ne pas le faire semblait être une fonctionnalité ambiguë destinée à améliorer la commodité, maiselle a rendu l'exploitation extrêmement facile (pensez au niveau d'injection SQL. Ce n'est certainement pas génial). Si un groupe de développeurs passionnés et avertis en matière de sécurité avait modélisé les menaces, ce scénario aurait probablement été théorisé et examiné.

Un programme de sécurité efficace comporte une dimension émotionnelle et repose sur l'intervention humaine et la subtilité pour résoudre les problèmes créés par l'homme. Pour modéliser efficacement les menaces, il faut faire preuve d'empathie et d'expérience, mais aussi coder et configurer de manière sécurisée au niveau de l'architecture des logiciels et des applications. Ce n'est pas une tâche que les développeurs peuvent accomplir du jour au lendemain, mais l'idéal serait de leur fournir un plan de formation clair afin qu'ils acquièrent les compétences nécessaires pour soulager la pression exercée sur l'équipe de sécurité dans le cadre de cette tâche cruciale. (C'est également un excellent moyen d'établir une relation de confiance entre les deux équipes).

Le jour zéro mène à n jours.

La prochaine étape dans la lutte contre les vulnérabilités zero-day consiste à distribuer les correctifs le plus rapidement possible. Il est souhaitable que tous les utilisateurs de logiciels vulnérables appliquent les correctifs dès que possible et de manière fiable, avant que les attaquants ne les exploitent. Log4Shell est particulièrement redoutable en raison de sa durabilité et de son efficacité, car il est intégré à des millions d'appareils et crée des dépendances complexes dans l'ensemble des versions logicielles.

En réalité, il n'existe aucun moyen de prévenir complètement ce type d'attaques insidieuses. Cependant, si nous nous engageons à créer des logiciels de haute qualité et sécurisés en utilisant tous les moyens à notre disposition, et à les développer avec la même approche que celle utilisée pour les infrastructures critiques, nous avons tous une chance de lutter contre ce problème.

Le développement assisté par l'IA (ou, dans sa version plus tendance, le « vibecoding ») est en train de révolutionner la création de code. Des développeurs réputés utilisent massivement ces outils, et même ceux d'entre nous qui ont toujours voulu créer leurs propres logiciels, mais qui n'avaient pas l'expérience nécessaire, utilisent désormais ces outils pour construire des actifs qui auraient auparavant été trop coûteux et trop longs à réaliser. Cette technologie est censée annoncer une nouvelle ère d'innovation, mais elle s'accompagne également de nouvelles vulnérabilités et de nouveaux profils de risque que les responsables de la sécurité ont du mal à atténuer.

Une récente découverte par InvariantLabs a révélé une vulnérabilité significative dans le protocole de contexte de modèle (MCP), un cadre similaire à une API qui permet à de puissants outils d'IA d'interagir de manière autonome avec d'autres logiciels et bases de données. Cela rend possible une nouvelle catégorie d'attaques particulièrement préjudiciables pour les entreprises, appelées « attaques par empoisonnement d'outils ».Les principaux outils d'IA tels que Windsurf et Cursor ne font pas exception. Étant donné qu'ils comptent des millions d'utilisateurs, il est essentiel de disposer des connaissances et des compétences nécessaires pour gérer ce nouveau problème de sécurité.

À l'heure actuelle, les résultats de ces outils ne sont pas suffisamment cohérents et sécurisés pour être considérés comme adaptés aux entreprises, comme indiqué dans le récent article de recherche des chercheurs en sécurité de l'AWS et d'Intuit, Vinesh Sai Narayana et Idan Habar : «À mesure que les systèmes d'IA deviennent plus autonomes et interagissent directement avec des outils externes et des données en temps réel via des MCP,entre autres, il devient absolument essentiel de s'assurer que ces interactions sont sécurisées.»

Profil de risque du système d'intelligence artificielle de l'agence et du protocole de contexte du modèle

Le protocole Model Context Protocol est un logiciel pratique développé par Anthropic. Il permet une intégration plus appropriée et plus transparente entre les agents IA à grand modèle linguistique (LLM) et d'autres outils. Il s'agit d'un cas d'utilisation puissant qui ouvre de nombreuses possibilités entre les applications propriétaires, les outils SaaS essentiels à l'entreprise tels que GitHub et les solutions IA de pointe.Il suffit d'écrire un serveur MCP pour commencer à définir des directives sur son fonctionnement et son objectif.

L'impact de la technologie MCP sur la sécurité est en réalité très positif. La promesse d'une intégration plus facile entre les LLM et les piles technologiques utilisées par les experts en sécurité est extrêmement attrayante et ne peut être ignorée. Elle ouvre la voie à une automatisation précise des tâches de sécurité à un niveau jusqu'alors impossible, sans avoir à créer et déployer du code personnalisé pour chaque tâche. Compte tenu du fait que la visibilité et la connectivité étendues entre les outils et les responsables constituent la base d'une défense et d'une planification efficaces en matière de sécurité, le renforcement de l'interopérabilité des LLM offert par le MCP représente une perspective prometteuse pour la sécurité d'entreprise.compte tenu du fait que la visibilité et la connectivité étendues entre les données, les outils et les personnes sont essentielles à une défense et une planification efficaces en matière de sécurité, l'amélioration de l'interopérabilité des LLM offerte par le MCP représente une perspective prometteuse pour la sécurité des entreprises.

Cependant, l'utilisation du MCP peut entraîner l'apparition d'autres vecteurs de menaces et, à moins d'être gérée avec prudence, elle peut considérablement élargir la surface d'attaque d'une entreprise. Comme le souligne Invariant Labs, les attaques par empoisonnement des outils constituent une nouvelle catégorie de vulnérabilités pouvant entraîner la fuite de données confidentielles et des actions malveillantes par les modèles d'IA, ce qui peut rapidement avoir des conséquences très graves en matière de sécurité.

Selon InvariantLabs, les attaques par empoisonnement d'outils sont possibles lorsque des instructions malveillantes, invisibles pour l'utilisateur mais parfaitement lisibles (et exécutables) par le modèle d'IA, sont intégrées dans la description de l'outil MCP. L'outil est alors incité à effectuer des actions malveillantes à l'insu de l'utilisateur. Le problème réside dans l'hypothèse de MCP selon laquelle toutes les descriptions d'outils sont fiables, ce qui constitue une opportunité pour les acteurs malveillants.

Ils soulignent que lorsque les outils sont compromis, les conséquences suivantes peuvent survenir.

• Instruire le modèle d'IA d'accéder aux fichiers confidentiels (clés SSH, fichiers de configuration, bases de données, etc.).
• Dans un environnement où ces activités malveillantes sont intrinsèquement dissimulées aux utilisateurs non avertis, l'intelligence artificielle est programmée pour extraire et transmettre ces données.
• En dissimulant les arguments et les résultats de l'outil derrière une interface utilisateur apparemment simple, un fossé se crée entre ce que l'utilisateur voit et ce que le modèle d'IA exécute.

Il s'agit d'une nouvelle catégorie de vulnérabilités préoccupante qui deviendra certainement fréquente à mesure que l'utilisation des MCP se généralisera. À mesure que les programmes de sécurité des entreprises évoluent, des mesures prudentes seront prises pour détecter et atténuer cette menace. Il est donc essentiel que les développeurs se préparent suffisamment pour pouvoir participer à la recherche de solutions.

Les raisons pour lesquelles seuls les développeurs possédant des compétences en sécurité devraient utiliser les outils d'IA des agents

Les outils de codage IA agentique sont considérés comme la prochaine évolution du codage assisté par IA, en plus d'améliorer l'efficacité, la productivité et la flexibilité du développement logiciel. Ils sont particulièrement utiles grâce à leur capacité renforcée à comprendre le contexte et l'intention, mais ils ne sont pas à l'abri des menaces telles que l'injection instantanée, les hallucinations et la manipulation du comportement par des attaquants.

Les développeurs constituent la ligne de défense entre les bons et les mauvais commits de code. Le perfectionnement des compétences en matière de sécurité et de pensée critique sera essentiel pour l'avenir du développement de logiciels sécurisés.

Les résultats fournis par l'IA ne doivent en aucun cas être implémentés de manière aveugle. Seuls les développeurs dotés de compétences en sécurité et capables de réfléchir de manière critique en fonction de la situation peuvent exploiter en toute sécurité les gains de productivité apportés par cette technologie. Il est toutefois nécessaire de disposer d'un environnement de programmation en binôme, dans lequel des experts humains peuvent évaluer, modéliser les menaces et finalement approuver le travail généré par les outils.

Découvrez commentles développeurs peuvent utiliser l'IA pour améliorer leurs compétences et accroître leur productivité.

Méthodes pratiques d'atténuation et détails supplémentaires dans les derniers articles de recherche

Les outils de codage IA et la technologie MCP sont susceptibles de devenir des éléments importants pour l'avenir de la cybersécurité. Il est toutefois essentiel de ne pas approfondir la question avant d'avoir évalué la situation.

Narajala et Habra présentent en détail une stratégie d'atténuation complète pour la mise en œuvre du MCP au niveau de l'entreprise et la gestion continue des risques associés. En fin de compte, ils se concentrent sur les principes de défense multicouche et de confiance zéro, et ciblent clairement le profil de risque unique que ce nouvel écosystème apporte à l'environnement de l'entreprise. Il est particulièrement important pour les développeurs de combler leurs lacunes dans les domaines suivants.

• Authentification et contrôle d'accès: les outils d'IA de type agent fonctionnent de manière autonome pour résoudre des problèmes et atteindre les objectifs fixés, à l'instar des ingénieurs humains. Cependant, comme cela a déjà été établi, la supervision de ces processus par des experts humains ne peut être ignorée. Par conséquent, les développeurs qui utilisent ces outils dans leur flux de travail doivent avoir une compréhension précise des droits d'accès dont ils disposent, des données qu'ils sont susceptibles d'obtenir ou de divulguer, et des lieux où ces données sont partagées.
• Détection et atténuation des menaces générales: comme pour la plupart des processus d'IA, les utilisateurs doivent maîtriser leurs tâches afin de détecter les défauts et inexactitudes potentiels dans les résultats des outils. Les développeurs doivent suivre une formation continue et passer des tests de compétences afin de pouvoir réviser efficacement les processus de sécurité. Ils peuvent ainsi examiner le code généré par l'IA avec précision et fiabilité en matière de sécurité.
• Coordination entre la politique de sécurité et la gouvernance de l'IA: les développeurs doivent être informés des outils approuvés et avoir la possibilité d'améliorer leurs compétences et d'accéder à ces outils. Avant de faire confiance à un engagement, les développeurs et les outils doivent être soumis à des critères de sécurité.

Nous avons récemment publié un article de recherche sur l'émergence du codage vibrant et du codage assisté par l'IA, ainsi que sur les mesures que les entreprises devraient prendre pour former la prochaine génération d'ingénieurs logiciels utilisant l'IA. Nous vous invitons à le consulter dès maintenant et à nous contacter pour renforcer votre équipe de développement.

La version de cet article a été publiée pour la première fois D Zone. Elle a été mise à jour et syndiquée ici.

La norme PCI DSS (Payment Card Industry Data Security Standard) version 4.0 modifie considérablement la sécurité des entreprises et des organisations (la grande majorité) qui acceptent les paiements électroniques. Il ne fait aucun doute que cette mise à jour entraînera des changements pour la plupart des entreprises. Elles devront mettre à niveau une grande partie de leurs processus de sécurité et mettre en place de nouvelles protections dans des domaines où elles ont peut-être été lentes à adopter, tels que le chiffrement, l'authentification, le contrôle d'accès et la gestion des clés.

Les nouvelles exigences étant complexes, les organisations sont tenues de s'y conformer pleinement d'ici mars 2025. Cependant, cette échéance approche plus rapidement que la plupart des gens ne le pensent. En réalité, de nombreuses entreprises visionnaires prennent dès à présent des mesures pour aider les développeurs à surmonter les problèmes de conformité non résolus.

Au-delà des concepts établis et des cadres de formation traditionnels

Les développeurs organisationnels créent la plupart des codes sur lesquels repose l'infrastructure. Il est donc logique qu'ils soient les mieux placés pour commencer à mettre en œuvre les nouvelles exigences PCI DSS 4.0. Cependant, la plupart des développeurs ont besoin d'un soutien stratégique pour améliorer leurs compétences dans le cadre d'un programme de sensibilisation à la sécurité de pointe. Cela leur permettra d'acquérir l'expérience nécessaire pour mettre en œuvre et maintenir le niveau de sécurité plus élevé exigé par la nouvelle norme.

En effet, la exigence 12.6.2 de la norme PCI DSS 4.0 impose aux organisations de mettre en œuvre un programme de sécurité formel et de le maintenir à jour en permanence avec les dernières informations sur les menaces et les techniques de défense.Les normes précédentes permettaient d'atteindre cet objectif grâce à un programme de sécurité de base et à une formation annuelle sur la conformité sous forme de « checklist ». La nouvelle norme impose des exigences supplémentaires et rend obligatoire la mise en place d'un programme de formation à la sécurité traitant des menaces et des vulnérabilités spécifiques à l'environnement de l'entreprise. Par exemple, si le vol d'informations personnelles constitue un problème majeur pour l'organisation, la formation doit aborder cette question.

D'un point de vue pratique, il est évident que même pour se conformer aux nouvelles normes, une formation minimale n'est plus suffisante. Au contraire,les organisations doivent fournir aux développeurs un parcours d'apprentissage complet et agile qui leur enseigne comment appliquer les meilleures pratiques en matière de sécurité dans leur travail quotidien. En allant au-delà d'une simple conformité minimale et en fournissant aux développeurs les ressources nécessaires pour vraiment comprendre la sécurité, les organisations peuvent leur permettre de se conformer à la norme PCI DSS 4.0 tout en prenant des décisions plus éclairées en matière de sécurité.

Heureusement, la plupart des nouvelles exigences de la norme PCI DSS 4.0 concernent des domaines que la plupart des développeurs connaissent déjà bien, tels que l'authentification, le chiffrement, le contrôle d'accès et la gestion des clés. En fournissant aux développeurs des ressources appropriées, pertinentes et familières pour améliorer leurs compétences, les organisations peuvent les aider à se préparer plus facilement aux nouvelles normes et responsabilités accrues requises par la norme PCI DSS 4.0.

Utiliser la norme PCI DSS 4.0 comme base pour renforcer la sécurité globale

Pour réussir la mise en conformité avec la nouvelle norme PCI DSS 4.0, il est essentiel de répondre aux besoins des développeurs par le biais d'une formation appropriée en matière de sécurité. Cependant, les efforts visant à renforcer la cybersécurité de l'organisation ne s'arrêtent pas là.Les exigences sont certes strictes, mais comme la plupart des organisations doivent s'efforcer de s'y conformer, il n'y a aucune raison de ne pas considérer cette initiative comme un tremplin pour améliorer la sensibilisation et la formation globales en matière de sécurité. Cela aidera non seulement les organisations à satisfaire aux exigences de conformité, mais contribuera également à instaurer une culture de sécurité positive, qui privilégie les meilleures pratiques et garantit que tous les membres de l'organisation travaillent à la réalisation du même objectif prioritaire en matière de sécurité.

Il est vrai que l'apprentissage prend du temps, mais les développeurs sont prêts à fournir cet effort. Une enquête menée par Evans Data auprès de plus de 1 200 développeurs professionnels actifs dans le monde entier révèle qu'une grande majorité d'entre eux soutiennent l'idée de créer un code sécurisé et d'instaurer une meilleure culture de la sécurité au sein de leur organisation. Il est clair que la plupart des développeurs sont favorables à la transition vers un codage sécurisé stratégique et assisté, ainsi qu'à la redéfinition des priorités en matière de sécurité, dans le cadre du processus de développement.

La mise à niveau de sécurité requise par la norme PCI DSS 4.0 offre aux entreprises une excellente occasion d'investir dans l'amélioration des meilleures pratiques et de la formation en matière de sécurité, et d'instaurer une meilleure culture globale de la sécurité au sein de leur organisation.

Si les entreprises investissent dans des programmes permettant d'intégrer les compétences en matière de codage sécurisé aux outils et formations pertinents, les développeurs pourront plus facilement améliorer leur niveau de maturité en matière de sécurité. Cela contribuera à instaurer une culture de la sécurité, permettant aux développeurs de prendre des décisions plus éclairées et d'améliorer le système de sécurité global de l'organisation, bien au-delà des nouvelles normes strictes PCI DSS 4.0.

Il suffit de consulter les actualités technologiques pendant quelques minutes pour se rendre compte à quel point l'environnement des menaces devient dangereux. Chaque jour, des rapports font état de violations graves, de nouvelles vulnérabilités ou de menaces d'exploitation active par des cyberattaquants et des criminels. De plus, presque tous les indicateurs et rapports du secteur indiquent une augmentation du nombre de cybermenaces, et la plupart des experts prévoient que cette tendance se poursuivra dans les années à venir.

Face à ces nouvelles menaces, les responsables de la sécurité informatique sont en première ligne, mais ils sont confrontés à une pénurie de personnel de plus en plus grave. Malgré des salaires élevés et leur rôle essentiel dans toutes les entreprises et organisations, les responsables de la sécurité ne sont jamais en nombre suffisant. Une récente enquête menée par le Center for Strategic and International Studies a révélé que 82 % des décideurs informatiques estiment que leur organisation souffre d'un manque de compétences en cybersécurité, et 71 % d'entre eux affirment que ce manque a causé des dommages directs et mesurables à leur organisation. Selon le rapport, rien qu'aux États-Unis, il y aurait plus de 520 000 postes vacants dans le domaine de la cybersécurité, alors que seulement 940 000 personnes sont employées dans ce secteur.

Il existe actuellement environ 3,5 millions d'emplois liés à la cybersécurité dans le monde. Cependant, ces postes sont pourvus de manière inégale. Cela signifie que même les organisations qui sont prêtes à investir des sommes considérables pour recruter et retenir les meilleurs experts ont des difficultés à trouver les candidats adéquats. En moyenne, il faut environ 21 % plus de temps pour pourvoir un poste dans le domaine de la cybersécurité que pour tout autre type de poste.

Le soutien aux développeurs a été négligé pendant trop longtemps.

Nous avons documenté de nombreux articles de blog par le passé, soulignant que les développeurs peuvent contribuer à combler ces lacunes importantes dans la défense de la cybersécurité. Cependant, traditionnellement, les développeurs ne recevaient pas de formation en matière de cybersécurité. Leur capacité à remplir leurs fonctions reposait presque exclusivement sur la rapidité et le temps nécessaires à la mise en œuvre. La sécurité relevait davantage de la responsabilité de l'équipe chargée de la sécurité des applications.

Malheureusement, il ne suffit pas simplement de modifier la politique et de demander aux développeurs d'ajouter soudainement des mesures de sécurité aux applications et aux programmes. Même si les développeurs sont disposés à apporter ces modifications, et même si les résultats de l'enquête montrent que c'est le cas pour la plupart d'entre eux, une formation est nécessaire pour y parvenir. De plus, bien que l'encouragement et le soutien de la direction soient indispensables, la possibilité d'un apprentissage significatif constitue le premier obstacle, et souvent le plus important.

Il existe une raison pour laquelle des millions de postes hautement rémunérés et sécurisés dans le domaine de la sécurité informatique sont vacants à travers le monde. Si ce travail était facile, tout le monde se lancerait dans ce secteur. Apprendre à lutter contre les menaces et à éliminer les vulnérabilités dans les codes est difficile, et les menaces évoluent constamment. Même les développeurs relativement compétents en technologieil est difficile de dispenser efficacement une formation standardisée sur la cybersécurité. Une telle formation serait mise en œuvre rapidement, mais elle ne serait pas mémorable et son impact positif serait minime, surtout si ces exigences s'ajoutent à un emploi du temps déjà surchargé.

Veuillez construire un échafaudage pour atteindre le sommet.

Enseigner les compétences en cybersécurité selon les méthodes traditionnelles revient à tenter de construire un gratte-ciel sans quitter le sol. Cela est impossible, car les étudiants ne disposent pas des bases nécessaires pour acquérir les nombreux concepts avancés d'un domaine aussi complexe que la cybersécurité. Pour pallier cela, le concept d'apprentissage par étapes peut être utilisé.

Lorsqu'on utilise une approche par étapes, c'est-à-dire une approche « hiérarchisée », pour améliorer ses compétences, les grands thèmes sont généralement décomposés en expériences d'apprentissage et concepts individuels.Cela permet aux étudiants d'acquérir chaque concept grâce à des exercices et des conseils appropriés, et de bénéficier de tout le soutien nécessaire pour chaque élément. Tout comme un échafaudage physique est construit à mesure que la hauteur du bâtiment augmente, les concepts nouveaux et avancés s'ajoutent à ceux déjà acquis. Cela permet aux étudiants d'atteindre un niveau de compréhension et de compétences supérieur à celui qu'ils pourraient atteindre sans aide.

De même qu'un échafaudage physique, ce soutien est progressivement retiré lorsqu'il n'est plus nécessaire, et à mesure que les élèves acquièrent de l'expérience, la responsabilité qui leur incombe augmente.

L'apprentissage par étapes est principalement utilisé pour réduire les sentiments négatifs et la perception de soi que les élèves peuvent éprouver lorsqu'ils sont frustrés, intimidés ou découragés face à des tâches difficiles sans assistance.Cependant, il présente également un grand intérêt lorsqu'il s'agit d'aborder des concepts très complexes tels que la cybersécurité moderne. Loin de traiter les développeurs comme des enfants, cette approche peut s'avérer très utile lorsque l'expérience au sein de l'équipe de sécurité peut avoir le même effet frustrant et décourageant, en particulier lorsque leurs efforts sont renvoyés avec des corrections de bogues et de nouvelles critiques.

Lorsque les développeurs disposent d'outils leur permettant de comprendre les bases du codage sécurisé (généralement le Top 10 de l'OWASP), ils peuvent vérifier par eux-mêmes comment les failles de sécurité apparaissent, pourquoi elles sont dangereuses et comment les corriger avant de passer en production.À partir de là, ils peuvent élargir leurs connaissances en s'attaquant à des vulnérabilités plus complexes et en acquérant une expérience pratique pour appliquer les corrections appropriées. Les couches s'ajoutent progressivement, et lorsqu'il s'agit de questions de sécurité avancées telles que les architectures logicielles non sécurisées et la modélisation des menaces, ces avancées ne sont pas si intimidantes et peuvent être abordées avec précision.

En tant que secteur, nous ne devons pas attendre des développeurs qu'ils deviennent des experts en sécurité, mais les organisations peuvent adopter de nouvelles normes pour aider les développeurs à créer des logiciels de meilleure qualité. En complément des efforts déployés par les services d'ingénierie pour améliorer les compétences, chaque étape ou niveau de l'échelle contribue directement au renforcement de la cybersécurité au fur et à mesure de l'apprentissage. Il n'est pas nécessaire d'attendre la fin du cours pour constater les résultats.

Il est difficile d'apprendre la cybersécurité, et il est pratiquement impossible de la maîtriser sans aide ni formation appropriées. En intégrant un programme de sécurité à votre infrastructure, vous pouvez en tirer le meilleur parti et constater rapidement ses avantages. Les améliorations sont quasi instantanées et continuent de s'accroître au fil du temps.

Nous vous invitons à vous joindre à nous pour former des développeurs spécialisés en sécurité. Veuillez consulter les liens suivants :

Cours
Mission
Formation des développeurs

... Et bien plus encore !

Nous avons récemment été très enthousiasmés par la première publication du Forbes Technology Council, une diffusion en direct par Peter Dunhu, président-directeur général. Cette publication expliquait en détail que l'amélioration des compétences des développeurs pour créer un code plus sécurisé était essentielle pour prévenir les cyberattaques et les fuites de données.De plus, il a démontré comment ces mêmes développeurs soucieux de la sécurité peuvent fournir un code de meilleure qualité et plus sûr, plus rapidement que ne le pensent la plupart des services informatiques. La nécessité d'adopter cette approche est indéniable. Une étude récente a révélé qu'actuellement, une cyberattaque se produit toutes les 39 secondes et quechacun a pu constater à quel point une seule attaque réussie par un ransomware peut semer le chaos, comme dans le cas de Colonial Pipeline.Dans l'ensemble, cela n'a pas eu un impact aussi dévastateur que le piratage de SolarWinds.

‍

La persistance de nombreuses vulnérabilités courantes est due au fait que personne n'a pris la peine de montrer aux développeurs comment remplacer les modèles de codage inadéquats par des méthodes plus sûres et plus efficaces pour obtenir les mêmes fonctionnalités.De plus, la correction d'un logiciel à un stade avancé du développement a un coût élevé, tant en termes de temps que de retard de mise en œuvre. Après le déploiement du code, la correction de celui-ci, en particulier après qu'un pirate ait exploité une vulnérabilité jusque-là inconnue, peut coûter plusieurs millions de dollars. Cela ne tient pas compte des dommages causés à la réputation des entreprises victimes d'une violation grave.

Les développeurs ayant suivi une formation en sécurité deviennent naturellement d'excellents codeurs. Il est vrai que le RSSI ne doit pas abandonner immédiatement les outils de sécurité, mais en adoptant une approche inclusive et préventive de la sécurité, impulsée par la direction, le RSSI peut tirer parti de la plus grande ressource de l'entreprise : le facteur humain. Cela vaut particulièrement pour le codage sécurisé dès les premières étapes du cycle de vie du développement logiciel.

À cette fin, voici les trois principales stratégies à retenir.

1. Agissons de manière proactive plutôt que de manière réactive.

Les entreprises tombent souvent dans le piège de la réaction a posteriori, en répondant aux actions de leurs concurrents plutôt qu'en développant et en poursuivant leur propre vision. De plus, de nombreuses entreprises adoptent cette approche par défaut en ce qui concerne les vulnérabilités de sécurité dans le code et ne prennent la cybersécurité au sérieux que lorsqu'elles y sont contraintes à la suite d'une violation réussie. Malheureusement, les dommages sont alors déjà causés, et les amendes, les coûts de restauration, la perte de clients et la restauration de l'image de marque ont tous un impact négatif sur les bénéfices.Au lieu de se concentrer sur la création d'un code sécurisé dès le départ, il est également possible d'utiliser des analyses de code automatiques ou manuelles pour détecter les vulnérabilités du code existant. Malheureusement, l'analyse de code n'est pas une solution parfaite. En effet, plus le code contient de vulnérabilités, plus il est probable que certaines d'entre elles échappent à la détection.

En adoptant une approche proactive et en collaborant avec les développeurs pour les aider à créer dès le départ un code sécurisé, il est possible d'établir un cycle de vie du développement logiciel qui réduit considérablement le risque d'exposition des utilisateurs aux vulnérabilités de codage.

2. Améliorer ses compétences, sans excès

Une fois que vous avez décidé de fournir aux développeurs les connaissances nécessaires pour créer un code sécurisé, veuillez choisir judicieusement votre approche. Les ateliers de formation en interne qui empêchent les développeurs de coder peuvent être source de frustration tant pour les développeurs que pour les responsables. Les cours hors site qui nécessitent une participation en soirée ou pendant le week-end sont encore moins populaires. La meilleure approche consiste à acquérir progressivement des compétences en codage. Fournissez des informations pertinentes au fur et à mesure du processus de codage, ce qui permet d'améliorer les compétences de base sans distraire les développeurs ni ralentir le processus de développement.

3. Veuillez ne pas présumer que vous offrez des incitations.

Les développeurs ne doivent pas considérer l'amélioration de leurs compétences en matière de sécurité comme une punition ou une tâche fastidieuse. Les responsables doivent motiver les développeurs en leur expliquant le rôle essentiel que joue le code sécurisé dans la réussite de l'entreprise. Il est également important de leur faire comprendre que les codeurs sécurisés ont plus de valeur pour l'entreprise et que cela leur ouvrira davantage de perspectives de carrière à l'avenir.

L'administration Biden a été accueillie favorablement. Décret présidentiel L'importance accordée à la cybersécurité s'accroît, et il devient de plus en plus nécessaire « d'intégrer des critères d'évaluation des pratiques de sécurité des développeurs et des fournisseurs eux-mêmes, et d'identifier des outils et des méthodes innovants permettant de démontrer la conformité aux pratiques sécuritaires ».Cependant, si les outils sont indispensables, ils ne suffisent pas à eux seuls. Aucun outil ne permet d'éliminer complètement la capacité des individus à ignorer, mal interpréter, détourner ou contourner de toute autre manière les systèmes et outils mis en place. Pour optimiser la sécurité des entreprises, les RSSI doivent tirer parti du facteur humain et encourager les développeurs à soutenir et à mettre en œuvre activement la sécurité.