Pourquoi les injections SQL constituent un problème récurrent dans le domaine de la sécurité des applications (et comment les RSSI peuvent les éliminer définitivement)
Il existe une théorie largement répandue selon laquelle les cafards peuvent survivre dans pratiquement toutes les conditions, même à une explosion nucléaire. Bien que cette théorie soit en partie correcte, leur constitution physique simple les rend extrêmement résistants au froid et difficiles à éliminer dans la plupart des conditions.
J'ai souvent réfléchi à la question suivante : si les cafards présentaient une vulnérabilité similaire dans le monde numérique, ce serait sans doute une faille SQL Injection (SQLi) dans le code. Cette faille est connue depuis plus de vingt ans, mais les organisations continuent d'en être victimes. Les attaques contre des cibles spécifiques sont coûteuses et résultent souvent d'injections SQL, comme l'illustre l'exemple du piratage électoral dans l'Illinois, où 200 000 dossiers d'électeurs ont été compromis. Cela a conduit le FBI à recommander à tous les responsables informatiques de mettre en place des mesures de protection contre les injections SQL. Les attaques ciblées à grande échelle sont le résultat d'injections SQL, comme l'illustre le piratage électoral dans l'Illinois, où 200 000 dossiers d'électeurs ont été compromis, ce qui a incité le FBI à recommander à tous les administrateurs informatiques de prendre rapidement des mesures pour renforcer la sécurité.
Le rapport Hacker Intelligence Initiative d'Imperva révèle qu'entre 2005 et 2011, 83 % de toutes les violations de données signalées ont été causées par des attaques SQLi. Aujourd'hui, les vulnérabilités d'injection restent la première menace aux États-Unis selon le top 10 de l'OWASP. Elles sont relativement simples, mais elles persistent.
Il semble paradoxal que les mêmes vulnérabilités continuent d'apparaître dans un grand nombre d'analyses de sécurité des applications. Nous comprenons leur fonctionnement et savons comment les prévenir. Comment cela est-il possible ? En réalité, la sécurité de nos logiciels peut encore être considérablement améliorée.
Le rapport sur la sécurité des logiciels de Veracode, basé sur 400 000 analyses d'applications réalisées en 2017, révèle une statistique alarmante : seulement 30 % des applications respectent les dix principales politiques de l'OWASP. Au cours des cinq dernières années, ce thème est resté constant, près d'un tiers des nouvelles applications analysées présentant des injections SQL. Cela démontre qu'il s'agit d'un problème généralisé ;nous n'avons pas tiré les leçons de nos erreurs, et les responsables de la sécurité des systèmes d'information semblent rencontrer des difficultés pour recruter suffisamment de personnel spécialisé dans la sécurité. En général, le ratio entre les experts en sécurité des applications et les développeurs est inférieur à 1 pour 100.
Pourquoi la sécurité logicielle est-elle vitale ?
La pénurie de professionnels de la sécurité n'est plus un secret, mais nous devons également tenir compte du fait que les développeurs ne corrigent pas les problèmes lorsqu'ils surviennent et qu'ils ne sont manifestement pas en mesure d'éviter les vulnérabilités dès le départ. Le même rapport Veracode révèle que, sur l'ensemble des vulnérabilités de développement, seules 14,4 % des mesures d'atténuation ont été documentées. En d'autres termes,la plupart des vulnérabilités sont soumises sans qu'aucune mesure d'atténuation n'ait été développée. Moins d'un tiers des vulnérabilités sont corrigées dans les 90 premiers jours, et 42 % des vulnérabilités ne sont jamais corrigées pendant le développement.
J'ai eu l'occasion de m'entretenir avec des professionnels de la sécurité, des responsables de la sécurité des systèmes d'information et des PDG. Il est intéressant de noter que j'ai constaté que de nombreuses entreprises sont tellement découragées par les vulnérabilités non corrigées détectées (ainsi que par le problème des fausses alertes) qu'elles ont complètement cessé de les analyser, préférant croiser les doigts et espérer que tout se passera pour le mieux.
Pourquoi les professionnels de la sécurité des applications ont-ils permis que cela se produise ?
Il ne fait aucun doute que les professionnels de la sécurité des applications sont pleinement conscients des problèmes liés au code. Après tout, c'est l'une de leurs compétences clés qui les rend si précieux au sein de leur équipe. Cependant, ils sont souvent confrontés à divers obstacles.
Par exemple, un responsable AppSec peut identifier un problème et demander au développeur : « Pouvez-vous corriger le code ? ». La réponse à cette question importante varie d'une organisation à l'autre, mais en général, les développeurs sont tellement occupés à respecter des délais de livraison stricts qu'ils n'ont tout simplement pas le temps de résoudre ces problèmes, ni les outils adéquats pour les aider. Les professionnels AppSec peuvent eux-mêmes identifier les vulnérabilités, mais ils ne disposent généralement pas des compétences et/ou des autorisations nécessaires pour les corriger sur le terrain.
Nous devons également reconnaître que chaque problème nécessite un processus pour trouver une solution, la mettre en œuvre et la tester.le mettre en œuvre, puis le tester. Même le plus petit problème détecté dans le code nécessite un temps considérable pour être corrigé, sans parler des ressources nécessaires. Plus de 700 vulnérabilités peuvent être introduites dans un logiciel, et il est tout simplement impossible pour quiconque de se prémunir contre toutes ces vulnérabilités. C'est précisément pour cette raison que la plupart des entreprises s'en tiennent à se concentrer uniquement sur le top 10 de l'OWASP. Parallèlement, les développeurs continuent de créer des fonctionnalités, ce qui les amène à introduire sans cesse des vulnérabilités dans le code qu'ils écrivent.
Quelle est la solution ?
Le fait est que nous ne fournissons pas aux développeurs les outils et la formation nécessaires pour réussir à coder de manière sécurisée. Aucune réglementation n'oblige les organisations à s'assurer que leurs développeurs possèdent les compétences suffisantes en matière de sécurité. La triste réalité est que la plupart des universités et des organismes de formation ne préparent pas non plus les développeurs débutants au codage sécurisé.
Lorsqu'une personne souhaite piloter un avion, elle doit suivre un processus très strict qui garantit qu'elle a reçu une formation, acquis de l'expérience pratique, passé un examen médical, acquis des connaissances en matière de sécurité et subi des contrôles avant de pouvoir voler. Personne n'oserait imaginer qu'une telle personne puisse être laissée sans surveillance sans avoir suivi une préparation aussi complète et sans avoir fait l'objet d'une vérification de ses compétences, mais c'est pourtant ce qui se produit quotidiennement dans le domaine de la programmation.
Nous devons consacrer du temps à former les développeurs à la rédaction de code sécurisé. Cependant, dans le monde actuel, où le développement logiciel évolue rapidement et où les développeurs et les professionnels de la sécurité compétents sont en demande, cela ne semble jamais être une priorité. Il est temps de changer la donne.
Les dernières actualités proviennent du Forum économique mondial, qui affirme : « Il n'y a pas d'économie numérique sans sécurité ». Le contenu qui accompagne cette déclaration soutient que la sécurité doit être au cœur de toute stratégie de transformation numérique. « La sécurité est essentielle pour protéger les entreprises, leur permettre d'innover et de développer de nouveaux produits et services. Au-delà de son rôle défensif, la sécurité offre également aux entreprises un avantage stratégique en termes de croissance. »
L'amélioration des compétences et des résultats en matière de codage sécurisé permettra aux organisations de bénéficier d'une solide couche de protection réseau et les aidera à créer un code de meilleure qualité et plus rapide. Les développeurs n'ont pas besoin de devenir des experts en sécurité, mais ils doivent acquérir des compétences actives et pratiques pour constituer la première ligne de défense contre les cyberattaques. Les développeurs peuvent devenir les prochains héros de la sécurité et de l'innovation. Ce sont des personnes très intelligentes, des solutionneurs créatifs et généralement désireux de développer leurs compétences. Ils peuvent tirer parti de leurs atouts grâce à une formation professionnelle appropriée et s'engager à respecter des normes de sécurité logicielle plus élevées. Veuillez consulter notre livre blanc pour en savoir plus.
Lorsqu'une personne souhaite piloter un avion, elle doit suivre un processus très strict qui garantit qu'elle a reçu une formation, acquis de l'expérience pratique, passé un examen médical, acquis des connaissances en matière de sécurité et subi des contrôles avant de pouvoir voler. Personne n'oserait imaginer qu'une telle personne puisse être laissée sans surveillance sans avoir suivi une préparation aussi complète et sans avoir fait l'objet d'une vérification de ses compétences, mais c'est pourtant ce qui se produit quotidiennement dans le domaine de la programmation.
Il existe une théorie bien connue selon laquelle les cafards peuvent survivre dans pratiquement toutes les conditions, même à une explosion nucléaire.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Il existe une théorie largement répandue selon laquelle les cafards peuvent survivre dans pratiquement toutes les conditions, même à une explosion nucléaire. Bien que cette théorie soit en partie correcte, leur constitution physique simple les rend extrêmement résistants au froid et difficiles à éliminer dans la plupart des conditions.
J'ai souvent réfléchi à la question suivante : si les cafards présentaient une vulnérabilité similaire dans le monde numérique, ce serait sans doute une faille SQL Injection (SQLi) dans le code. Cette faille est connue depuis plus de vingt ans, mais les organisations continuent d'en être victimes. Les attaques contre des cibles spécifiques sont coûteuses et résultent souvent d'injections SQL, comme l'illustre l'exemple du piratage électoral dans l'Illinois, où 200 000 dossiers d'électeurs ont été compromis. Cela a conduit le FBI à recommander à tous les responsables informatiques de mettre en place des mesures de protection contre les injections SQL. Les attaques ciblées à grande échelle sont le résultat d'injections SQL, comme l'illustre le piratage électoral dans l'Illinois, où 200 000 dossiers d'électeurs ont été compromis, ce qui a incité le FBI à recommander à tous les administrateurs informatiques de prendre rapidement des mesures pour renforcer la sécurité.
Le rapport Hacker Intelligence Initiative d'Imperva révèle qu'entre 2005 et 2011, 83 % de toutes les violations de données signalées ont été causées par des attaques SQLi. Aujourd'hui, les vulnérabilités d'injection restent la première menace aux États-Unis selon le top 10 de l'OWASP. Elles sont relativement simples, mais elles persistent.
Il semble paradoxal que les mêmes vulnérabilités continuent d'apparaître dans un grand nombre d'analyses de sécurité des applications. Nous comprenons leur fonctionnement et savons comment les prévenir. Comment cela est-il possible ? En réalité, la sécurité de nos logiciels peut encore être considérablement améliorée.
Le rapport sur la sécurité des logiciels de Veracode, basé sur 400 000 analyses d'applications réalisées en 2017, révèle une statistique alarmante : seulement 30 % des applications respectent les dix principales politiques de l'OWASP. Au cours des cinq dernières années, ce thème est resté constant, près d'un tiers des nouvelles applications analysées présentant des injections SQL. Cela démontre qu'il s'agit d'un problème généralisé ;nous n'avons pas tiré les leçons de nos erreurs, et les responsables de la sécurité des systèmes d'information semblent rencontrer des difficultés pour recruter suffisamment de personnel spécialisé dans la sécurité. En général, le ratio entre les experts en sécurité des applications et les développeurs est inférieur à 1 pour 100.
Pourquoi la sécurité logicielle est-elle vitale ?
La pénurie de professionnels de la sécurité n'est plus un secret, mais nous devons également tenir compte du fait que les développeurs ne corrigent pas les problèmes lorsqu'ils surviennent et qu'ils ne sont manifestement pas en mesure d'éviter les vulnérabilités dès le départ. Le même rapport Veracode révèle que, sur l'ensemble des vulnérabilités de développement, seules 14,4 % des mesures d'atténuation ont été documentées. En d'autres termes,la plupart des vulnérabilités sont soumises sans qu'aucune mesure d'atténuation n'ait été développée. Moins d'un tiers des vulnérabilités sont corrigées dans les 90 premiers jours, et 42 % des vulnérabilités ne sont jamais corrigées pendant le développement.
J'ai eu l'occasion de m'entretenir avec des professionnels de la sécurité, des responsables de la sécurité des systèmes d'information et des PDG. Il est intéressant de noter que j'ai constaté que de nombreuses entreprises sont tellement découragées par les vulnérabilités non corrigées détectées (ainsi que par le problème des fausses alertes) qu'elles ont complètement cessé de les analyser, préférant croiser les doigts et espérer que tout se passera pour le mieux.
Pourquoi les professionnels de la sécurité des applications ont-ils permis que cela se produise ?
Il ne fait aucun doute que les professionnels de la sécurité des applications sont pleinement conscients des problèmes liés au code. Après tout, c'est l'une de leurs compétences clés qui les rend si précieux au sein de leur équipe. Cependant, ils sont souvent confrontés à divers obstacles.
Par exemple, un responsable AppSec peut identifier un problème et demander au développeur : « Pouvez-vous corriger le code ? ». La réponse à cette question importante varie d'une organisation à l'autre, mais en général, les développeurs sont tellement occupés à respecter des délais de livraison stricts qu'ils n'ont tout simplement pas le temps de résoudre ces problèmes, ni les outils adéquats pour les aider. Les professionnels AppSec peuvent eux-mêmes identifier les vulnérabilités, mais ils ne disposent généralement pas des compétences et/ou des autorisations nécessaires pour les corriger sur le terrain.
Nous devons également reconnaître que chaque problème nécessite un processus pour trouver une solution, la mettre en œuvre et la tester.le mettre en œuvre, puis le tester. Même le plus petit problème détecté dans le code nécessite un temps considérable pour être corrigé, sans parler des ressources nécessaires. Plus de 700 vulnérabilités peuvent être introduites dans un logiciel, et il est tout simplement impossible pour quiconque de se prémunir contre toutes ces vulnérabilités. C'est précisément pour cette raison que la plupart des entreprises s'en tiennent à se concentrer uniquement sur le top 10 de l'OWASP. Parallèlement, les développeurs continuent de créer des fonctionnalités, ce qui les amène à introduire sans cesse des vulnérabilités dans le code qu'ils écrivent.
Quelle est la solution ?
Le fait est que nous ne fournissons pas aux développeurs les outils et la formation nécessaires pour réussir à coder de manière sécurisée. Aucune réglementation n'oblige les organisations à s'assurer que leurs développeurs possèdent les compétences suffisantes en matière de sécurité. La triste réalité est que la plupart des universités et des organismes de formation ne préparent pas non plus les développeurs débutants au codage sécurisé.
Lorsqu'une personne souhaite piloter un avion, elle doit suivre un processus très strict qui garantit qu'elle a reçu une formation, acquis de l'expérience pratique, passé un examen médical, acquis des connaissances en matière de sécurité et subi des contrôles avant de pouvoir voler. Personne n'oserait imaginer qu'une telle personne puisse être laissée sans surveillance sans avoir suivi une préparation aussi complète et sans avoir fait l'objet d'une vérification de ses compétences, mais c'est pourtant ce qui se produit quotidiennement dans le domaine de la programmation.
Nous devons consacrer du temps à former les développeurs à la rédaction de code sécurisé. Cependant, dans le monde actuel, où le développement logiciel évolue rapidement et où les développeurs et les professionnels de la sécurité compétents sont en demande, cela ne semble jamais être une priorité. Il est temps de changer la donne.
Les dernières actualités proviennent du Forum économique mondial, qui affirme : « Il n'y a pas d'économie numérique sans sécurité ». Le contenu qui accompagne cette déclaration soutient que la sécurité doit être au cœur de toute stratégie de transformation numérique. « La sécurité est essentielle pour protéger les entreprises, leur permettre d'innover et de développer de nouveaux produits et services. Au-delà de son rôle défensif, la sécurité offre également aux entreprises un avantage stratégique en termes de croissance. »
L'amélioration des compétences et des résultats en matière de codage sécurisé permettra aux organisations de bénéficier d'une solide couche de protection réseau et les aidera à créer un code de meilleure qualité et plus rapide. Les développeurs n'ont pas besoin de devenir des experts en sécurité, mais ils doivent acquérir des compétences actives et pratiques pour constituer la première ligne de défense contre les cyberattaques. Les développeurs peuvent devenir les prochains héros de la sécurité et de l'innovation. Ce sont des personnes très intelligentes, des solutionneurs créatifs et généralement désireux de développer leurs compétences. Ils peuvent tirer parti de leurs atouts grâce à une formation professionnelle appropriée et s'engager à respecter des normes de sécurité logicielle plus élevées. Veuillez consulter notre livre blanc pour en savoir plus.
Lorsqu'une personne souhaite piloter un avion, elle doit suivre un processus très strict qui garantit qu'elle a reçu une formation, acquis de l'expérience pratique, passé un examen médical, acquis des connaissances en matière de sécurité et subi des contrôles avant de pouvoir voler. Personne n'oserait imaginer qu'une telle personne puisse être laissée sans surveillance sans avoir suivi une préparation aussi complète et sans avoir fait l'objet d'une vérification de ses compétences, mais c'est pourtant ce qui se produit quotidiennement dans le domaine de la programmation.
Il existe une théorie largement répandue selon laquelle les cafards peuvent survivre dans pratiquement toutes les conditions, même à une explosion nucléaire. Bien que cette théorie soit en partie correcte, leur constitution physique simple les rend extrêmement résistants au froid et difficiles à éliminer dans la plupart des conditions.
J'ai souvent réfléchi à la question suivante : si les cafards présentaient une vulnérabilité similaire dans le monde numérique, ce serait sans doute une faille SQL Injection (SQLi) dans le code. Cette faille est connue depuis plus de vingt ans, mais les organisations continuent d'en être victimes. Les attaques contre des cibles spécifiques sont coûteuses et résultent souvent d'injections SQL, comme l'illustre l'exemple du piratage électoral dans l'Illinois, où 200 000 dossiers d'électeurs ont été compromis. Cela a conduit le FBI à recommander à tous les responsables informatiques de mettre en place des mesures de protection contre les injections SQL. Les attaques ciblées à grande échelle sont le résultat d'injections SQL, comme l'illustre le piratage électoral dans l'Illinois, où 200 000 dossiers d'électeurs ont été compromis, ce qui a incité le FBI à recommander à tous les administrateurs informatiques de prendre rapidement des mesures pour renforcer la sécurité.
Le rapport Hacker Intelligence Initiative d'Imperva révèle qu'entre 2005 et 2011, 83 % de toutes les violations de données signalées ont été causées par des attaques SQLi. Aujourd'hui, les vulnérabilités d'injection restent la première menace aux États-Unis selon le top 10 de l'OWASP. Elles sont relativement simples, mais elles persistent.
Il semble paradoxal que les mêmes vulnérabilités continuent d'apparaître dans un grand nombre d'analyses de sécurité des applications. Nous comprenons leur fonctionnement et savons comment les prévenir. Comment cela est-il possible ? En réalité, la sécurité de nos logiciels peut encore être considérablement améliorée.
Le rapport sur la sécurité des logiciels de Veracode, basé sur 400 000 analyses d'applications réalisées en 2017, révèle une statistique alarmante : seulement 30 % des applications respectent les dix principales politiques de l'OWASP. Au cours des cinq dernières années, ce thème est resté constant, près d'un tiers des nouvelles applications analysées présentant des injections SQL. Cela démontre qu'il s'agit d'un problème généralisé ;nous n'avons pas tiré les leçons de nos erreurs, et les responsables de la sécurité des systèmes d'information semblent rencontrer des difficultés pour recruter suffisamment de personnel spécialisé dans la sécurité. En général, le ratio entre les experts en sécurité des applications et les développeurs est inférieur à 1 pour 100.
Pourquoi la sécurité logicielle est-elle vitale ?
La pénurie de professionnels de la sécurité n'est plus un secret, mais nous devons également tenir compte du fait que les développeurs ne corrigent pas les problèmes lorsqu'ils surviennent et qu'ils ne sont manifestement pas en mesure d'éviter les vulnérabilités dès le départ. Le même rapport Veracode révèle que, sur l'ensemble des vulnérabilités de développement, seules 14,4 % des mesures d'atténuation ont été documentées. En d'autres termes,la plupart des vulnérabilités sont soumises sans qu'aucune mesure d'atténuation n'ait été développée. Moins d'un tiers des vulnérabilités sont corrigées dans les 90 premiers jours, et 42 % des vulnérabilités ne sont jamais corrigées pendant le développement.
J'ai eu l'occasion de m'entretenir avec des professionnels de la sécurité, des responsables de la sécurité des systèmes d'information et des PDG. Il est intéressant de noter que j'ai constaté que de nombreuses entreprises sont tellement découragées par les vulnérabilités non corrigées détectées (ainsi que par le problème des fausses alertes) qu'elles ont complètement cessé de les analyser, préférant croiser les doigts et espérer que tout se passera pour le mieux.
Pourquoi les professionnels de la sécurité des applications ont-ils permis que cela se produise ?
Il ne fait aucun doute que les professionnels de la sécurité des applications sont pleinement conscients des problèmes liés au code. Après tout, c'est l'une de leurs compétences clés qui les rend si précieux au sein de leur équipe. Cependant, ils sont souvent confrontés à divers obstacles.
Par exemple, un responsable AppSec peut identifier un problème et demander au développeur : « Pouvez-vous corriger le code ? ». La réponse à cette question importante varie d'une organisation à l'autre, mais en général, les développeurs sont tellement occupés à respecter des délais de livraison stricts qu'ils n'ont tout simplement pas le temps de résoudre ces problèmes, ni les outils adéquats pour les aider. Les professionnels AppSec peuvent eux-mêmes identifier les vulnérabilités, mais ils ne disposent généralement pas des compétences et/ou des autorisations nécessaires pour les corriger sur le terrain.
Nous devons également reconnaître que chaque problème nécessite un processus pour trouver une solution, la mettre en œuvre et la tester.le mettre en œuvre, puis le tester. Même le plus petit problème détecté dans le code nécessite un temps considérable pour être corrigé, sans parler des ressources nécessaires. Plus de 700 vulnérabilités peuvent être introduites dans un logiciel, et il est tout simplement impossible pour quiconque de se prémunir contre toutes ces vulnérabilités. C'est précisément pour cette raison que la plupart des entreprises s'en tiennent à se concentrer uniquement sur le top 10 de l'OWASP. Parallèlement, les développeurs continuent de créer des fonctionnalités, ce qui les amène à introduire sans cesse des vulnérabilités dans le code qu'ils écrivent.
Quelle est la solution ?
Le fait est que nous ne fournissons pas aux développeurs les outils et la formation nécessaires pour réussir à coder de manière sécurisée. Aucune réglementation n'oblige les organisations à s'assurer que leurs développeurs possèdent les compétences suffisantes en matière de sécurité. La triste réalité est que la plupart des universités et des organismes de formation ne préparent pas non plus les développeurs débutants au codage sécurisé.
Lorsqu'une personne souhaite piloter un avion, elle doit suivre un processus très strict qui garantit qu'elle a reçu une formation, acquis de l'expérience pratique, passé un examen médical, acquis des connaissances en matière de sécurité et subi des contrôles avant de pouvoir voler. Personne n'oserait imaginer qu'une telle personne puisse être laissée sans surveillance sans avoir suivi une préparation aussi complète et sans avoir fait l'objet d'une vérification de ses compétences, mais c'est pourtant ce qui se produit quotidiennement dans le domaine de la programmation.
Nous devons consacrer du temps à former les développeurs à la rédaction de code sécurisé. Cependant, dans le monde actuel, où le développement logiciel évolue rapidement et où les développeurs et les professionnels de la sécurité compétents sont en demande, cela ne semble jamais être une priorité. Il est temps de changer la donne.
Les dernières actualités proviennent du Forum économique mondial, qui affirme : « Il n'y a pas d'économie numérique sans sécurité ». Le contenu qui accompagne cette déclaration soutient que la sécurité doit être au cœur de toute stratégie de transformation numérique. « La sécurité est essentielle pour protéger les entreprises, leur permettre d'innover et de développer de nouveaux produits et services. Au-delà de son rôle défensif, la sécurité offre également aux entreprises un avantage stratégique en termes de croissance. »
L'amélioration des compétences et des résultats en matière de codage sécurisé permettra aux organisations de bénéficier d'une solide couche de protection réseau et les aidera à créer un code de meilleure qualité et plus rapide. Les développeurs n'ont pas besoin de devenir des experts en sécurité, mais ils doivent acquérir des compétences actives et pratiques pour constituer la première ligne de défense contre les cyberattaques. Les développeurs peuvent devenir les prochains héros de la sécurité et de l'innovation. Ce sont des personnes très intelligentes, des solutionneurs créatifs et généralement désireux de développer leurs compétences. Ils peuvent tirer parti de leurs atouts grâce à une formation professionnelle appropriée et s'engager à respecter des normes de sécurité logicielle plus élevées. Veuillez consulter notre livre blanc pour en savoir plus.
Lorsqu'une personne souhaite piloter un avion, elle doit suivre un processus très strict qui garantit qu'elle a reçu une formation, acquis de l'expérience pratique, passé un examen médical, acquis des connaissances en matière de sécurité et subi des contrôles avant de pouvoir voler. Personne n'oserait imaginer qu'une telle personne puisse être laissée sans surveillance sans avoir suivi une préparation aussi complète et sans avoir fait l'objet d'une vérification de ses compétences, mais c'est pourtant ce qui se produit quotidiennement dans le domaine de la programmation.
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez consulter le rapport.Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Il existe une théorie largement répandue selon laquelle les cafards peuvent survivre dans pratiquement toutes les conditions, même à une explosion nucléaire. Bien que cette théorie soit en partie correcte, leur constitution physique simple les rend extrêmement résistants au froid et difficiles à éliminer dans la plupart des conditions.
J'ai souvent réfléchi à la question suivante : si les cafards présentaient une vulnérabilité similaire dans le monde numérique, ce serait sans doute une faille SQL Injection (SQLi) dans le code. Cette faille est connue depuis plus de vingt ans, mais les organisations continuent d'en être victimes. Les attaques contre des cibles spécifiques sont coûteuses et résultent souvent d'injections SQL, comme l'illustre l'exemple du piratage électoral dans l'Illinois, où 200 000 dossiers d'électeurs ont été compromis. Cela a conduit le FBI à recommander à tous les responsables informatiques de mettre en place des mesures de protection contre les injections SQL. Les attaques ciblées à grande échelle sont le résultat d'injections SQL, comme l'illustre le piratage électoral dans l'Illinois, où 200 000 dossiers d'électeurs ont été compromis, ce qui a incité le FBI à recommander à tous les administrateurs informatiques de prendre rapidement des mesures pour renforcer la sécurité.
Le rapport Hacker Intelligence Initiative d'Imperva révèle qu'entre 2005 et 2011, 83 % de toutes les violations de données signalées ont été causées par des attaques SQLi. Aujourd'hui, les vulnérabilités d'injection restent la première menace aux États-Unis selon le top 10 de l'OWASP. Elles sont relativement simples, mais elles persistent.
Il semble paradoxal que les mêmes vulnérabilités continuent d'apparaître dans un grand nombre d'analyses de sécurité des applications. Nous comprenons leur fonctionnement et savons comment les prévenir. Comment cela est-il possible ? En réalité, la sécurité de nos logiciels peut encore être considérablement améliorée.
Le rapport sur la sécurité des logiciels de Veracode, basé sur 400 000 analyses d'applications réalisées en 2017, révèle une statistique alarmante : seulement 30 % des applications respectent les dix principales politiques de l'OWASP. Au cours des cinq dernières années, ce thème est resté constant, près d'un tiers des nouvelles applications analysées présentant des injections SQL. Cela démontre qu'il s'agit d'un problème généralisé ;nous n'avons pas tiré les leçons de nos erreurs, et les responsables de la sécurité des systèmes d'information semblent rencontrer des difficultés pour recruter suffisamment de personnel spécialisé dans la sécurité. En général, le ratio entre les experts en sécurité des applications et les développeurs est inférieur à 1 pour 100.
Pourquoi la sécurité logicielle est-elle vitale ?
La pénurie de professionnels de la sécurité n'est plus un secret, mais nous devons également tenir compte du fait que les développeurs ne corrigent pas les problèmes lorsqu'ils surviennent et qu'ils ne sont manifestement pas en mesure d'éviter les vulnérabilités dès le départ. Le même rapport Veracode révèle que, sur l'ensemble des vulnérabilités de développement, seules 14,4 % des mesures d'atténuation ont été documentées. En d'autres termes,la plupart des vulnérabilités sont soumises sans qu'aucune mesure d'atténuation n'ait été développée. Moins d'un tiers des vulnérabilités sont corrigées dans les 90 premiers jours, et 42 % des vulnérabilités ne sont jamais corrigées pendant le développement.
J'ai eu l'occasion de m'entretenir avec des professionnels de la sécurité, des responsables de la sécurité des systèmes d'information et des PDG. Il est intéressant de noter que j'ai constaté que de nombreuses entreprises sont tellement découragées par les vulnérabilités non corrigées détectées (ainsi que par le problème des fausses alertes) qu'elles ont complètement cessé de les analyser, préférant croiser les doigts et espérer que tout se passera pour le mieux.
Pourquoi les professionnels de la sécurité des applications ont-ils permis que cela se produise ?
Il ne fait aucun doute que les professionnels de la sécurité des applications sont pleinement conscients des problèmes liés au code. Après tout, c'est l'une de leurs compétences clés qui les rend si précieux au sein de leur équipe. Cependant, ils sont souvent confrontés à divers obstacles.
Par exemple, un responsable AppSec peut identifier un problème et demander au développeur : « Pouvez-vous corriger le code ? ». La réponse à cette question importante varie d'une organisation à l'autre, mais en général, les développeurs sont tellement occupés à respecter des délais de livraison stricts qu'ils n'ont tout simplement pas le temps de résoudre ces problèmes, ni les outils adéquats pour les aider. Les professionnels AppSec peuvent eux-mêmes identifier les vulnérabilités, mais ils ne disposent généralement pas des compétences et/ou des autorisations nécessaires pour les corriger sur le terrain.
Nous devons également reconnaître que chaque problème nécessite un processus pour trouver une solution, la mettre en œuvre et la tester.le mettre en œuvre, puis le tester. Même le plus petit problème détecté dans le code nécessite un temps considérable pour être corrigé, sans parler des ressources nécessaires. Plus de 700 vulnérabilités peuvent être introduites dans un logiciel, et il est tout simplement impossible pour quiconque de se prémunir contre toutes ces vulnérabilités. C'est précisément pour cette raison que la plupart des entreprises s'en tiennent à se concentrer uniquement sur le top 10 de l'OWASP. Parallèlement, les développeurs continuent de créer des fonctionnalités, ce qui les amène à introduire sans cesse des vulnérabilités dans le code qu'ils écrivent.
Quelle est la solution ?
Le fait est que nous ne fournissons pas aux développeurs les outils et la formation nécessaires pour réussir à coder de manière sécurisée. Aucune réglementation n'oblige les organisations à s'assurer que leurs développeurs possèdent les compétences suffisantes en matière de sécurité. La triste réalité est que la plupart des universités et des organismes de formation ne préparent pas non plus les développeurs débutants au codage sécurisé.
Lorsqu'une personne souhaite piloter un avion, elle doit suivre un processus très strict qui garantit qu'elle a reçu une formation, acquis de l'expérience pratique, passé un examen médical, acquis des connaissances en matière de sécurité et subi des contrôles avant de pouvoir voler. Personne n'oserait imaginer qu'une telle personne puisse être laissée sans surveillance sans avoir suivi une préparation aussi complète et sans avoir fait l'objet d'une vérification de ses compétences, mais c'est pourtant ce qui se produit quotidiennement dans le domaine de la programmation.
Nous devons consacrer du temps à former les développeurs à la rédaction de code sécurisé. Cependant, dans le monde actuel, où le développement logiciel évolue rapidement et où les développeurs et les professionnels de la sécurité compétents sont en demande, cela ne semble jamais être une priorité. Il est temps de changer la donne.
Les dernières actualités proviennent du Forum économique mondial, qui affirme : « Il n'y a pas d'économie numérique sans sécurité ». Le contenu qui accompagne cette déclaration soutient que la sécurité doit être au cœur de toute stratégie de transformation numérique. « La sécurité est essentielle pour protéger les entreprises, leur permettre d'innover et de développer de nouveaux produits et services. Au-delà de son rôle défensif, la sécurité offre également aux entreprises un avantage stratégique en termes de croissance. »
L'amélioration des compétences et des résultats en matière de codage sécurisé permettra aux organisations de bénéficier d'une solide couche de protection réseau et les aidera à créer un code de meilleure qualité et plus rapide. Les développeurs n'ont pas besoin de devenir des experts en sécurité, mais ils doivent acquérir des compétences actives et pratiques pour constituer la première ligne de défense contre les cyberattaques. Les développeurs peuvent devenir les prochains héros de la sécurité et de l'innovation. Ce sont des personnes très intelligentes, des solutionneurs créatifs et généralement désireux de développer leurs compétences. Ils peuvent tirer parti de leurs atouts grâce à une formation professionnelle appropriée et s'engager à respecter des normes de sécurité logicielle plus élevées. Veuillez consulter notre livre blanc pour en savoir plus.
Lorsqu'une personne souhaite piloter un avion, elle doit suivre un processus très strict qui garantit qu'elle a reçu une formation, acquis de l'expérience pratique, passé un examen médical, acquis des connaissances en matière de sécurité et subi des contrôles avant de pouvoir voler. Personne n'oserait imaginer qu'une telle personne puisse être laissée sans surveillance sans avoir suivi une préparation aussi complète et sans avoir fait l'objet d'une vérification de ses compétences, mais c'est pourtant ce qui se produit quotidiennement dans le domaine de la programmation.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Formation sur les codes de sécurité : thèmes et contenu
Notre contenu de pointe évolue constamment pour s'adapter au paysage changeant du développement logiciel, tout en tenant compte de votre rôle. Les sujets abordés couvrent tout, de l'IA à l'injection XQuery, et s'adressent à divers postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu par thème et par rôle de ce que notre catalogue de contenu a à offrir.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : la mission AI pour vaincre le boss est désormais disponible sur demande.
Cybermon 2025 : la campagne « Vaincre le boss » est désormais disponible toute l'année dans SCW. La guerre de sécurité avancée de l'IA/LLM tribale, le renforcement de l'IA de sécurité à grande échelle.
Interprétation de la loi sur la résilience des réseaux : que signifie la sécurité par le biais de la conception et du développement de logiciels ?
Comprenez les exigences de la loi européenne sur la résilience des réseaux (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent s'y préparer grâce à des pratiques de conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facteur déterminant 1 : des critères de réussite clairs et mesurables
Le catalyseur n° 1 constitue le premier volet de notre série en dix parties consacrée aux facteurs de réussite. Il démontre comment relier la sécurité du code aux résultats opérationnels, tels que la réduction des risques et l'accélération de la maturité des programmes à long terme.
