Informations relatives au code de sécurité

Les moteurs alimentés par l'intelligence artificielle ont donné naissance à une nouvelle catégorie de risques logiciels. L'injection instantanée, les opérations non autorisées et les autorisations excessives des agents ne sont pas seulement des problèmes théoriques, mais constituent une réalité préoccupante dans les applications modernes.

Les développeurs doivent s'adapter à ces nouveaux modèles de majesté et prendre en compte la complexité du monde réel. C'est pourquoi nous avons transformé la mission Cybermon 2025 AI/LLM Boss, qui était auparavant une activité limitée, en une mission AI/LLM Boss intégrée à Security Code Warrior. Lorsque vous créez une nouvelle mission, vous pouvez trouver la collection « Cybermon 2025 : Combattre les patrons défaillants » dans la section « Aperçu de la sécurité » de la section « Aperçu ».

Cybermon 2025 : Lutte contre l'échec. Le responsable autorise l'organisation à intégrer de manière aléatoire ces personnages complexes et intelligents dans son programme de sécurité.

Avez-vous vaincu le boss ?

Boss Battle rassemble quatre compétitions de combat de haut niveau entre IA et LLM, testant les capacités de développement d'une intelligence artificielle sécurisée dans le monde réel.

Chaque thème comprend une brève vidéo de présentation et un guide, ainsi que des exercices d'échauffement sous forme de moteur, expliquant les raisons pour lesquelles Cybermon 2025 a créé des missions de boss difficiles à mi-parcours. Ces scénarios complexes sont plus importants que les catégories réelles de vulnérabilités de l'IA. Les développeurs doivent comprendre ces catégories de vulnérabilités afin de soutenir le développement d'applications basées sur l'IA.

Quatre missions de boss sont conçues pour cibler la même zone à risque IA, simulant le mode de combat réel dans le système de conduite IA :

• Bypassaur — Accès direct à l'injection instantanée
• Keykraken — Injection indirecte instantanée
• Promptgeist — Vecteurs et points vectoriels
• Proxysurfa — Proxy excessif

Fonctionner à votre convenance

Nous recommandons de se concentrer sur un seul boss à la fois, afin que chaque vulnérabilité reçoive l'attention qu'elle mérite. De nombreuses organisations choisissent d'utiliser :

• Chaque semaine, un dirigeant se concentre sur la sécurité de l'IA.
• Ou bien l'auteur, dans le cadre du programme « Vulnérabilité du mois » - chaque mois

La base de connaissances fournit des présentations structurées et des ressources de marque téléchargeables pour aider les responsables à configurer leurs activités internes :
Cybermon 2025 : votre propre campagne Beat the Boss

Mise en œuvre de la sécurité de l'IA

Les accélérateurs d'intelligence artificielle sont en train de redéfinir le paysage des risques logiciels. Les nouveaux types de vulnérabilités nécessitent non seulement une prise de conscience, mais également une expérience pratique.

Vaincre le Boss permet de transformer l'intelligence artificielle de l'organisation, qui génère continuellement des variables, en compétences concrètes pour les développeurs.

Les développeurs peuvent tenter chaque guerre de manière indépendante, puis consulter les solutions proposées dans les démonstrations guidées afin de renforcer leur réflexion offensive et leurs stratégies défensives. Des vidéos présentant des solutions complètes sont disponibles après chaque guerre pour permettre un apprentissage approfondi.

De nombreuses équipes élargissent leur expérience grâce à des réunions internes de partage des connaissances, transformant ainsi l'apprentissage basé sur les événements d'un apprentissage compétitif en un apprentissage collaboratif. Le développement sécurisé est un travail d'équipe. Les organisations bénéficient d'une protection optimale lorsque les développeurs, les responsables de la sécurité et les équipes d'ingénieurs travaillent ensemble pour comprendre et atténuer la surface d'attaque de l'IA, qui ne cesse de s'étendre. La simplification des rapports, le partage des « solutions » et les « discussions inter-équipes » contribuent à transformer la « guerre individuelle » en une capacité collective.

En intégrant Beat the Boss à votre programme de cryptage et de décryptage sécurisé, vous pouvez renforcer la collecte de données d'intelligence artificielle sécurisée tout en établissant une maturité mesurable en matière de sécurité de l'intelligence artificielle au sein de votre équipe de développement.

Commençons.

Lorsque vous créez une nouvelle tâche, vous pouvez trouver la collection « Cybero 2025 : Combattre les patrons défaillants » dans la section spécifique « Aperçu de la sécurité ». Veuillezvous connecter à votre compte Security Code Warrior, configurer vos composants et renforcer le développement de l'IA de sécurité de toute votre équipe.

La loi sur la résilience des réseaux est en train de devenir rapidement une priorité stratégique, non seulement pour les entreprises de l'Union européenne, mais aussi pour toute entreprise commercialisant des produits numériques sur le marché européen. Bien que la date limite de mise en conformité soit reportée à 2027, les équipes d'ingénierie et de sécurité soulèvent déjà des questions complexes concernant la sécurité par le biais de pratiques de conception, de gestion des vulnérabilités et de capacités de développement.

Contrairement à de nombreuses réglementations axées sur la documentation et l'audit, la CRA place la conception et le développement de logiciels sécurisés au cœur de la conformité. Les organisations qui investissent dès le début dans des capacités de conception sécurisée atteindront plus rapidement la conformité et se démarqueront sur un marché où la sécurité des produits est devenue un facteur déterminant dans les décisions d'achat.

Quelles sont les exigences de la loi sur la résilience des réseaux ?

La loi sur la résilience des réseaux (CRA) introduit des exigences de cybersécurité fondamentales pour la plupart des produits comportant des composants numériques (y compris les logiciels, les systèmes d'exploitation, les appareils connectés et les systèmes embarqués) commercialisés dans l'Union européenne.

Plus important encore, cela peut entraîner des changements au niveau des responsabilités.

La sécurité n'est plus seulement une question d'exécution ou d'exploitation. Dans le cadre de la CRA, elle est devenue une obligation de conception et de développement couvrant l'architecture, la mise en œuvre, la maintenance et la gestion des vulnérabilités.

Pour les responsables de l'ingénierie et de la sécurité, cela signifie :

• Les produits doivent être fabriqués conformément aux principes de « conception sécuritaire ».
• Il est impératif de prévenir et de traiter efficacement les vulnérabilités connues dans la mesure du possible.
• Les organisations doivent démontrer que des pratiques de développement sécurisé sont en place.

En résumé : la conformité est étroitement liée à la manière dont les développeurs écrivent et maintiennent le code.

À qui s'adresse le CRA ?

Bien qu'introduite par l'Union européenne, la CRA s'applique à toute organisation mondiale commercialisant des produits numériques sur le marché européen, y compris :

• Ses services agissent en tant que fournisseur de logiciels et fournisseur SaaS pour les composants de traitement de données à distance des produits couverts.
• Fabricant de produits numériques ou connectés
• Importateurs, distributeurs et détaillants
• Organisation intégrant des composants numériques tiers

Pour les entreprises internationales, la conformité CRA est une exigence de développement transfrontalier et non une activité de conformité régionale.

Pourquoi l'organisation a-t-elle commencé maintenant ?

Étapes importantes :

• Septembre 2026 — Début de l'obligation de signalement des vulnérabilités
• Décembre 2027 — Conformité totale requise

À première vue, ce calendrier peut sembler satisfaisant. En réalité, la transition vers le développement durable ne se fait pas en quelques trimestres, mais s'étend sur plusieurs années.

La conception sécuritaire n'est pas une simple mise à jour des politiques. Elle nécessite :

• Améliorer les compétences de développement de milliers de personnes dans différents langages et équipes
• Intégrer les attentes en matière de sécurité dans les processus de travail quotidiens
• De la correction passive des vulnérabilités à la prévention
• Créer des preuves mesurables démontrant l'application cohérente des pratiques de développement sécurisé.

Ces changements auront une incidence sur le recrutement, l'intégration, les décisions organisationnelles, les processus SDLC et la culture d'ingénierie. Les organisations qui reportent ces changements jusqu'à la fin de 2026 devront faire face à des pressions réglementaires pour transformer leurs capacités, ce qui représente une voie beaucoup plus coûteuse et disruptive.

L'application de la loi comporte également des risques financiers importants. Conformément à l'article 64 du RGPD, les amendes pour violation des exigences de base en matière de cybersécurité peuvent atteindre 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial.

Il sera trop tard d'attendre la fin de l'année 2026.

En fin de compte, le CRA représente un défi pour les capacités des développeurs.

De nombreuses réglementations se concentrent sur les politiques et les documents. La CRA va plus loin en établissant un lien entre la conformité et les pratiques réelles utilisées pour concevoir et développer des logiciels. Elle renforce les attentes en matière de développement sécurisé en tant que discipline opérationnelle, et non pas simplement en tant qu'exigence de gouvernance.

Pour les responsables de projet, cela signifie que la conformité dépend de l'application cohérente des pratiques de sécurité par l'équipe de développement, notamment :

• Comprendre les types de vulnérabilités courantes
• Principes de conception et d'architecture de sécurité des applications
• Éviter les modèles de mise en œuvre non sécurisés
• Gestion responsable des composants tiers et open source

Les outils de sécurité jouent un rôle essentiel dans la détection des problèmes. Cependant, une fois le code écrit, ces outils peuvent présenter des faiblesses. La conception axée sur la sécurité exige des développeurs qu'ils préviennent les vulnérabilités en amont et qu'ils appliquent cette approche de manière cohérente entre les équipes, les langages et les produits.

Les outils seuls ne suffisent pas pour atteindre cet objectif. Le résultat de la conception de la sécurité dépend des capacités humaines.

Comment les spécialistes en sécurité informatique peuvent-ils contribuer à la préparation au CRA ?

Les Code Warriors offrent un parcours d'apprentissage conforme aux normes CRA. Ils combinent :

• Une tâche standard CRA conforme aux exigences techniques de vulnérabilité de la partie I de l'annexe I.
• Un ensemble de concepts de sécurité garantis par la conception
• Apprentissage pratique, apprentissage des failles spécifiques à un langage

Veuillez consulter notre guide d'une page pour découvrir tous les contenus d'apprentissage conformes à la CRA proposés par SCW. SCW ne certifie pas la conformité. Nous soutenons la préparation à la CRA par le biais d'un apprentissage structuré et d'une amélioration mesurable des compétences, conformément aux principes de développement sécurisé.

Veuillez vous préparer dès maintenant pour la CRA.

La CRA reflète l'orientation du secteur : garantir la sécurité par défaut grâce à la conception technique. Les organisations qui investissent aujourd'hui dans les compétences des développeurs seront mieux à même de se conformer aux normes et pourront créer à long terme des logiciels plus résilients et moins risqués.

Pour plus d'informations sur Secure Code Warrior assurer votre conformité, veuillez consulter notre base de connaissances : Secure Code Warrior votre conformité

Nous avons commencé à examiner en profondeur les dix facteurs clés de réussite. La première étape fondamentale est le facteur clé n° 1 : des critères de réussite clairs et mesurables. Si le programme de codage sécurisé est un parcours, la première étape, qui est également la plus importante, consiste à déterminer précisément votre destination. C'est l'essence même du premier facteur clé.

Relier les critères de réussite aux résultats opérationnels

La mise en place d'un programme de codage sécurisé efficace nécessite des objectifs clairs, étroitement liés aux résultats opérationnels. Le facteur clé 1 répond à la question fondamentale suivante : « En termes très concrets et mesurables, quels sont les problèmes ou les points sensibles que nous cherchons à résoudre grâce au programme de codage sécurisé ? »

Votre organisation pourrait souhaiter se conformer aux exigences réglementaires ou prévenir les failles de sécurité et les cyberattaques. Il est également possible que vous cherchiez à adopter une approche proactive en tant qu'organisation, en réduisant les coûts et le temps liés aux retouches, grâce à la formation des développeurs à la programmation sécurisée dès le début.

Quelles que soient vos motivations, la situation actuelle de votre organisation, voire la plateforme de formation à la sécurité que vous avez choisie, le succès à long terme de votre projet dépend en grande partie de la définition d'objectifs clairs, alignés sur les objectifs opérationnels, afin d'obtenir le soutien nécessaire et d'assurer un succès durable.

Tenez compte des principales parties prenantes de votre programme lorsque vous déterminez les critères de réussite. Connaître vos sponsors exécutifs et leurs objectifs commerciaux vous aidera à favoriser une adoption plus large dans tous les services.

Rendre le succès mesurable

Par nature, ces objectifs doivent être spécifiques à votre organisation. Cela étant dit, veuillez examiner ces exemples d'objectifs commerciaux et réfléchir à la manière dont ils pourraient inspirer d'autres idées :

Réduction des risques : atténuez les risques liés aux développeurs et réduisez les vulnérabilités introduites par les failles de codage. Cela inclut l'identification des risques et la réduction de la surface d'attaque des applications.

Les programmes visent souvent des indicateurs tels que la réduction et la prévention de la densité des vulnérabilités ou du taux d'injection de vulnérabilités.

Vitesse opérationnelle : optimisez la vitesse de livraison des produits, réduisez la frustration et l'attrition des développeurs, et diminuez le temps consacré aux retouches. La formation au code sécurisé constitue une incitation importante pour les développeurs, car elle leur permet d'éviter les retouches fastidieuses du code bogué identifié plus tard dans le cycle de vie du développement logiciel.

Les programmes visent souvent à réduire le temps moyen de correction (MTTR) des vulnérabilités par les développeurs.

Conformité réglementaire : Assurez la conformité externe, par exemple en respectant des normes telles que PCI-DSS (qui impose une formation à tous les développeurs travaillant sur des systèmes de paiement).

Talent et confiance : Renforcez l'engagement et la sensibilisation à la sécurité et aux vulnérabilités au sein de l'organisation des développeurs, tout en maintenant et en renforçant la confiance des clients. Pour certaines entreprises, les développeurs sensibilisés à la sécurité contribuent à établir une différenciation sur le marché.

Les programmes établissent souvent des exigences minimales en matière de compétences pour les développeurs ou créent même des programmes spécialisés de champions de la sécurité.

Enregistrer les réussites dans le programme de réussite conjointe

Une fois les critères de réussite définis, l'étape suivante consiste à les consigner dans le plan de réussite conjoint. Ce plan est un schéma directeur partagé entre les différents services, qui est communiqué à toutes les parties prenantes clés de votre projet, y compris les soutiens externes, tels que votre plateforme de formation CSM.

Le plan de réussite comprend :

1. Facteurs de valeur: ceux-ci incluent des objectifs commerciaux de haut niveau liés à l'amélioration de la sécurité du code et à la réponse aux questions fondamentales.
2. État actuel: Cela détermine « où nous en sommes actuellement » (par exemple, les compétences actuelles en matière de codage sécurisé ou les programmes de formation existants).
3. État futur (souhaité): Vous devrez ensuite noter « Où souhaitons-nous aller ? » et déterminer comment combler les lacunes en matière de compétences de codage sécurisé.
4. Indicateurs clés de performance/indicateurs de mesure: ces indicateurs témoignent du succès et démontrent que l'écart entre l'état actuel et l'état futur se réduit à mesure que le programme est mis en œuvre.

Nous recommandons de commencer par un ou deux indicateurs spécifiques, puis de les étendre si nécessaire. Ces indicateurs clés de performance doivent respecter les principes S.M.A.R.T. (spécifiques, mesurables, atteignables, réalistes, temporellement définis). Ils doivent être faciles à suivre et ne peuvent être interprétés de manière arbitraire. Pour mettre le plan en œuvre, toutes les parties doivent assumer leurs responsabilités et examiner régulièrement la valeur et le retour sur investissement avec la direction.

En définissant et en mesurant clairement ces critères, votre programme de sécurité informatique passera du statut de simple centre de coûts à celui de facteur vérifiable de résultats opérationnels clés, ce qui constitue la première étape indispensable pour atteindre la maturité du programme.

Nous allons maintenant examiner en détail le deuxième facteur déterminant : le parrainage par la haute direction. Nous discuterons du rôle essentiel joué par la direction dans la mise en œuvre réussie d'un programme de codage sécurisé.

Avez-vous d'autres questions ?Les clients peuvent contacter notre équipe clientèle ou support@securecodewarrior.com. Les clients potentiels peuvent contacter notre équipe commerciale en cliquant ici.

Une personne qui décide de se lancer dans une start-up peut être qualifiée de différentes manières, du titre ambitieux d'« entrepreneur » à celui, nettement moins flatteur, de « fou ». Après onze ans à la tête de Secure Code Warrior, je me situe volontiers quelque part entre les deux. 

Les cinq dernières années ont été une leçon de résilience pour beaucoup, avec des imprévus, économiques et autres, que même les personnes les plus brillantes de la planète n'avaient pas su prévoir. On pourrait penser ici à la « loi du plus fort », mais je préfère cette citation :

Ce ne sont pas les espèces les plus robustes qui survivent, ni les plus intelligentes, mais celles qui s'adaptent le mieux au changement.

(Cette citation est souvent attribuée à tort à Charles Darwin, mais elle a en réalité été prononcée par le professeur Leon C. Megginson, qui résumait l'ouvrage de Darwin, L'Origine des espèces. Nous espérons que cela vous permettra de remporter un prix lors d'un quiz dans un pub à l'avenir.)

À l'heure actuelle, quel meilleur exemple de changement et d'adaptabilité existe-t-il dans notre monde que l'intelligence artificielle ? Plus de trois ans après l'annonce de la bombe LLM, nous nous efforçons toujours de comprendre ce qu'est cette itération, ce qu'elle peut accomplir et comment elle peut nous servir au mieux dans pratiquement tous les rôles qui existent aujourd'hui. Quoi qu'il en soit, elle est là pour rester, et en tant que professionnels de la cybersécurité en particulier, nous devons garder une longueur d'avance pour la protéger, même en l'absence de garde-fous et de réglementations officiels.

2025 a été une année importante pour l'IA, la cybersécurité et SCW. J'aborde 2026 avec une confiance sereine et l'optimisme que seul le travail acharné peut apporter. 

Nous avons franchi plusieurs étapes importantes, notamment notre incursion dans la sécurisation du développement de logiciels basés sur l'intelligence artificielle. Nous avons :

• Publié Trust Agent : IA en phase de test bêta : les dernières recherches de la CCIA confirmant que l'IA générative est la technologie qui a connu l'adoption la plus rapide de l'histoire, il n'est pas surprenant de constater l'engouement des développeurs pour les agents et assistants de codage IA, y compris les déploiements précipités au niveau des entreprises qui avancent plus vite que leurs programmes de sécurité.
  
  Notre dernière technologie, Trust Agent : AI, apporte la visibilité et la gouvernance qui faisaient défaut au code généré par l'IA. Elle offre aux responsables de la sécurité des entreprises l'observabilité et le contrôle approfondis dont ils ont besoin pour gérer en toute confiance l'adoption de l'IA dans leur cycle de vie de développement logiciel (SDLC) sans sacrifier la sécurité.
• Nous avons dépassé notre dernier objectif majeur en matière de chiffre d'affaires : le dépassement de notre objectif de chiffre d'affaires témoigne de la ténacité et de l'esprit d'innovation de toute Secure Code Warrior . Lorsque nous nous sommes lancés dans cette aventure, notre mission était d'aller au-delà de l'approche « checklist » en matière de sécurité et de donner aux développeurs les moyens d'écrire du code sécurisé dès la première ligne.
  
  Le fait que cette vision trouve un écho auprès d'un si grand nombre d'entreprises internationales prouve que le secteur se tourne enfin vers une sécurité centrée sur les développeurs, et je suis extrêmement fier de la manière dont nos Warriors se sont investis pour rendre les logiciels plus sûrs pour tous.
• Intégrations expertes avec des partenaires stratégiques : nos partenariats avec des entreprises de renom telles qu'Aikido, OpenText et Black Duck représentent une avancée significative dans notre mission visant à créer un écosystème de sécurité transparent et centré sur les développeurs. En comblant le fossé entre l'identification des vulnérabilités et la fourniture des compétences spécifiques nécessaires pour les corriger, nous bouclons efficacement la boucle en matière de risques logiciels liés aux développeurs.
  
  Je suis extrêmement fier de ce partenariat, qui marque un changement stratégique, passant d'outils fragmentés à une expérience unifiée où la sécurité est le prolongement naturel du processus de développement.

Alors que nous nous apprêtons à vivre une nouvelle année importante, je tiens à remercier nos nombreux supporters, en particulier ceux de la communauté cybernétique au sens large, qui continuent à lutter contre les vulnérabilités récurrentes, le manque de sensibilisation à la sécurité et la mauvaise qualité des codes produits. En adoptant une nouvelle norme plus sûre, nous pouvons commencer à constater de réelles améliorations dans la sécurité de nos logiciels, services et technologies. 

Nous investissons pleinement dans un avenir où l'IA écrira la majorité du code, sous la supervision d'humains qualifiés. Notre SCW Learning évolue rapidement pour répondre aux exigences de ce nouveau monde, et notre SCW Trust Agent : AI sera disponible dans les trois prochains mois pour soutenir le fonctionnement sécurisé des LLM, MCP et autres dans le SDLC. Nous sommes également sur le point d'annoncer très prochainement un nouveau partenariat passionnant avec un acteur majeur du marché.

Restez à l'écoute !

Une version de cet article a été publiée dans le SC Magazine. Il a été modifié et republié ici.


Si vous avez déjà été victime d'un cambriolage, vous comprenez ce sentiment initial de désorientation, cette impression que quelque chose ne va pas, puis la prise de conscience que vous avez effectivement été victime d'un vol et d'une atteinte à votre vie privée. Cela entraîne généralement un malaise persistant, sans parler du passage à des mesures de sécurité dignes d'une forteresse.

Imaginez maintenant que votre maison soit cambriolée parce que les voleurs se sont fabriqué des clés. Ils se déplacent librement, vont et viennent à leur guise, mais agissent avec prudence pour ne pas être découverts. Puis, un jour, vous constatez que les bijoux que vous aviez cachés dans le réfrigérateur ont disparu, que le coffre-fort a été vidé et que vos effets personnels ont été dérobés.Il est déjà trop tard. C'est exactement la même situation que celle à laquelle sont confrontées les organisations victimes d'une cyberattaque de type « zero-day ». En 2020, une étude du Ponemon Institute a révélé que 80 % des violations de données réussies étaient le résultat de l'exploitation de vulnérabilités non corrigées. Malheureusement, la plupart des entreprises ne sont toujours pas en mesure d'améliorer significativement ce chiffre.

Comme son nom l'indique, une attaque « zero-day » ne laisse pas le temps aux développeurs de détecter et de corriger les vulnérabilités existantes susceptibles d'être exploitées, car les acteurs malveillants ont déjà pris les devants. Le mal est déjà fait, et il ne reste plus qu'à se précipiter pour réparer les dégâts causés au logiciel et à la réputation de l'entreprise. Les attaquants ont toujours l'avantage, et il est essentiel de réduire cet avantage autant que possible.

Le cadeau de Noël indésirable, Log4Shell, est actuellement en train de perturber l'Internet, avec plus d'un milliard d'appareils qui seraient affectés par cette faille Java catastrophique. Il s'agit de la plus grave attaque zero-day jamais enregistrée, et ce n'est que le début. Bien que certains rapports indiquent que l'exploitation de la faille ait commencé quelques jours avant sa divulgation publique, une présentation donnée lors de la conférence Black Hat 2016 indique que ce problème est connu depuis un certain temps. De plus, cette faille est facile à exploiter, et tous les acteurs malveillants et les scénaristes de la planète s'en servent pour en tirer profit.

Alors, quelle est la meilleure approche pour se prémunir contre les menaces à la fois comiques et malveillantes, sans parler des failles omises lors du développement logiciel ? Examinons cela.

Les attaques zero-day visant des cibles importantes sont rares et coûteuses.

Le marché des exploits sur le dark web est considérable, et les exploits zero-day sont souvent très coûteux. À titre d'exemple , au moment de la rédaction de cet article, le prix affiché était de 2,5 millions de dollars. Selon les informations disponibles, il s'agit d'une faille dans l'iOS d'Apple, et il n'est donc pas surprenant que les chercheurs en sécurité demandent un prix aussi élevé. Après tout, cela pourrait permettre de pirater des millions d'appareils, de collecter des milliards d'enregistrements de données sensibles et de mener des attaques aussi longtemps que possible avant que la faille ne soit découverte et corrigée.

Cependant, qui dispose de tels fonds ? Généralement, si l'argent est considéré comme rentable, les groupes criminels organisés spécialisés dans la cybercriminalité exigent des paiements en espèces, en particulier pour les attaques par ransomware très répandues. Néanmoins, les gouvernements et les ministères de la Défense du monde entier constituent un groupe de clients potentiels pour les informations sur les menaces. Dans des circonstances plus optimistes, ces entreprises pourraient elles-mêmes acquérir leurs propres vulnérabilités potentielles non corrigées afin de minimiser les risques de catastrophe.

L'année 2021 a établi un record en matière de découverte de vulnérabilités non corrigées en temps réel, les grandes organisations, les agences gouvernementales et les infrastructures étant les plus susceptibles de faire l'objet d'enquêtes sur toute vulnérabilité. Il n'existe aucun moyen d'être totalement à l'abri d'une attaque zero-day, mais vous pouvez vous protéger en offrant un programme de prime aux vulnérabilités généreux et bien structuré. Au lieu d'attendre que quelqu'un propose la clé du château logiciel sur le marché noir, mettez les passionnés de sécurité légitimes de votre côté en leur offrant des récompenses généreuses pour la divulgation éthique et les corrections potentielles.

De plus, s'il s'agit d'une nouvelle faille de sécurité préoccupante, il est certain que vous aurez besoin de plus qu'une simple carte-cadeau Amazon (et cela vaut la peine de prendre le temps de le faire).

Vos outils peuvent être sous la responsabilité de votre personnel de sécurité.

Les outils de sécurité complexes constituent depuis longtemps un défi, les responsables de la sécurité des systèmes d'information gérant généralement entre 55 et 75 outils dans leur arsenal de sécurité. En plus d'être le couteau suisse le plus complexe au monde, 53 % des entreprises ne sont même pas certaines de leur efficacité, selon une étude menée par le Ponemon Institute. Une autre étude révèle que seuls 17 % des RSSI considèrent que leur pile de sécurité est « totalement efficace ».

Dans un domaine réputé pour son épuisement, son manque de personnel qualifié en sécurité pour répondre à la demande et ses exigences en matière de flexibilité, il est particulièrement difficile pour les professionnels de la sécurité de gérer la surcharge d'informations sous forme de données, de rapports et de surveillance d'un ensemble d'outils volumineux. C'est précisément ce type de situation qui peut les amener à manquer des alertes critiques, comme cela a probablement été le cas lors de l'évaluation correcte de la vulnérabilité Log4j.

La sécurité préventive devrait inclure la modélisation des menaces axée sur les développeurs.

Les vulnérabilités au niveau du code sont généralement introduites par les développeurs, qui ont besoin de directives précises et de parcours d'apprentissage réguliers pour acquérir des compétences en matière de codage sécurisé. Cependant, dans le cadre du processus de création de logiciels, les développeurs de sécurité de niveau inférieur ont la possibilité d'apprendre et de s'exercer à la modélisation des menaces.

Il n'est pas surprenant que les personnes qui connaissent le mieux les logiciels soient les développeurs qui les créent. Ils possèdent une connaissance approfondie de la manière dont les utilisateurs interagissent avec ces logiciels, des endroits où ils utilisent ces fonctionnalités, du moment où ils sont suffisamment sensibilisés à la sécurité, ainsi que des scénarios potentiels dans lesquels ces logiciels pourraient être compromis ou exploités.

Si nous ramenons cette question à la vulnérabilité Log4Shell, nous constatons malheureusement qu'une faille catastrophique a échappé à la détection des experts et des outils sophistiqués.ce qui n'aurait pas dû se produire si la bibliothèque avait été configurée pour désinfecter les entrées utilisateur. La décision de ne pas le faire, prise dans un souci de commodité, semble être une fonctionnalité insignifiante, mais elleest très facile à exploiter (pensez au niveau d'injection SQL, qui n'est certainement pas une chose géniale). Si la modélisation des menaces avait été réalisée par un groupe de développeurs perspicaces et experts en sécurité, ce scénario aurait probablement été théorisé et pris en compte.

Un plan de sécurité efficace intègre une dimension émotionnelle, et l'intervention humaine ainsi que les nuances sont essentielles pour résoudre les problèmes liés au facteur humain. La modélisation des menaces nécessite de l'empathie et de l'expérience pour être efficace, tout comme le codage et la configuration sécurisés au niveau de l'architecture des logiciels et des applications. Il ne s'agit pas d'une tâche que les développeurs devraient accomplir du jour au lendemain, mais c'est une voie claire qui leur permettra d'améliorer leurs compétences afin de soulager la pression qui pèse sur l'équipe de sécurité pour accomplir cette tâche importante, ce qui est la manière idéale de procéder (et un excellent moyen d'établir de bonnes relations entre les deux équipes).

Le jour zéro entraîne n jours

La prochaine étape dans le traitement des vulnérabilités non corrigées consiste à publier des correctifs dès que possible. Il est fortement recommandé que chaque utilisateur de logiciels vulnérables applique les correctifs dès que possible, bien avant que les attaquants n'y accèdent. Log4Shell pourrait éclipser Heartbleed. Étant donné qu'il est intégré à des millions d'appareils et qu'il crée des dépendances complexes dans l'ensemble des versions logicielles, il est à la fois durable et puissant.

En réalité, il n'existe aucun moyen d'empêcher complètement ce type d'attaques insidieuses. Cependant, tant que nous nous engageons à utiliser tous les moyens à notre disposition pour créer des logiciels de haute qualité et sécurisés, et que nous les développons avec le même état d'esprit que celui qui prévaut pour les infrastructures critiques, nous avons tous la possibilité de lutter contre ce phénomène.

Le développement assisté par l'intelligence artificielle(ou, dans sa version plus populaire, « codage d'ambiance ») a un impact révolutionnaire sur la création de code. Les développeurs expérimentés adoptent massivement ces outils, tandis que ceux d'entre nous qui ont toujours souhaité créer leurs propres logiciels, mais qui manquaient d'expérience, les utilisent pour construire des actifs qui étaient auparavant trop coûteux et trop longs à réaliser. Bien que cette technologie soit susceptible d'ouvrir une nouvelle ère d'innovation, elle introduit également une série de nouvelles vulnérabilités et de nouveaux profils de risque, que les responsables de la sécurité s'efforcent d'atténuer.

Une récente découverte par InvariantLabs a révélé une vulnérabilité critique dans le protocole MCP (Model Context Protocol), un cadre similaire à une API qui permet à de puissants outils d'intelligence artificielle d'interagir de manière autonome avec d'autres logiciels et bases de données, permettant ainsi ce qu'on appelle une « attaques par empoisonnement d'outils », une nouvelle catégorie de vulnérabilités qui peut causer des dommages particulièrement importants aux entreprises. Les principaux outils d'intelligence artificielle, tels que Windsurf et Cursor, ne sont pas épargnés. Pour des millions d'utilisateurs, il est essentiel de prendre conscience de ce nouveau problème de sécurité et d'acquérir les compétences nécessaires pour le gérer.

À l'heure actuelle, les résultats de ces outils ne sont pas toujours suffisamment sécurisés pour être considérés comme prêts à l'emploi dans les entreprises, comme l'indique un récent article de recherche rédigé par Vineeth Sai Narajala et Idan Habler, chercheurs en sécurité chez AWS et Intuit : «À mesure que les systèmes d'intelligence artificielle deviennent plus autonomes et commencent à interagir directement avec des outils externes et des données en temps réel, par le biais d'outils tels que MCP, il devient absolument essentiel de garantir la sécurité de ces interactions. »

Risques associés aux systèmes d'intelligence artificielle et aux protocoles contextuels des modèles

Le protocole MCP (Model Context Protocol) est un logiciel pratique développé par Anthropic qui permet une intégration plus efficace et plus fluide entre les agents IA à grand modèle linguistique (LLM) et d'autres outils. Il s'agit d'un cas d'utilisation puissant qui ouvre un monde de possibilités entre les applications propriétaires et les outils SaaS essentiels à l'entreprise tels que GitHub, permettant d'interagir avec des solutions d'IA de pointe. Il suffit de créer un serveur MCP,puis commencez à définir des directives sur la manière dont vous souhaitez qu'il fonctionne et les objectifs qu'il doit atteindre.

En réalité, l'impact de la technologie MCP sur la sécurité est largement positif. La promesse d'une intégration plus directe entre le LLM et la pile technologique utilisée par les professionnels de la sécurité est trop attrayante pour être ignorée.Il représente la possibilité d'automatiser des tâches de sécurité précises à un niveau auparavant impossible, du moins sans avoir à écrire et à déployer du code personnalisé pour chaque tâche. Étant donné que la visibilité et la connectivité approfondies entre les données, les outils et les personnes constituent la base d'une défense et d'une planification efficaces en matière de sécurité, le MCP améliore l'interopérabilité des LLM et offre des perspectives prometteuses pour la sécurité des entreprises.

Cependant, l'utilisation du MCP peut introduire d'autres vecteurs de menaces potentiels qui, s'ils ne sont pas gérés avec prudence, peuvent considérablement élargir la surface d'attaque d'une entreprise. Comme l'a souligné Invariant Labs,les attaques par empoisonnement des outilsreprésentent une nouvelle catégorie de vulnérabilités qui peuvent entraîner la fuite de données sensibles et des opérations non autorisées par les modèles d'IA. Depuis lors, les risques de sécurité sont rapidement devenus très préoccupants.

InvariantLabs souligne que lorsque des instructions malveillantes sont intégrées dans la description d'un outil MCP, elles sont invisibles pour l'utilisateur, mais peuvent être lues (et exécutées) par le modèle d'IA, rendant ainsi possible une attaque par contamination de l'outil. Cela peut inciter l'outil à effectuer des opérations non autorisées à l'insu de l'utilisateur. Le problème réside dans l'hypothèse du MCP selon laquelle toutes les descriptions d'outils sont fiables, ce qui est une situation idéale pour les acteurs malveillants.

Ils ont noté les conséquences suivantes pouvant résulter de l'endommagement des outils :

• Autoriser l'accès des modèles d'IA aux fichiers sensibles (tels que les clés SSH, les fichiers de configuration, les bases de données, etc.) ;
• Instruire l'IA à extraire et transmettre ces données dans un environnement où ces activités malveillantes sont dissimulées aux utilisateurs non informés.
• En dissimulant les paramètres apparemment simples des outils et les représentations de l'interface utilisateur, il crée un décalage entre ce que l'utilisateur voit et le fonctionnement du modèle d'IA.

Il s'agit d'une catégorie de vulnérabilités préoccupante et urgente. Avec l'augmentation inévitable de l'utilisation du MCP, nous sommes presque certains de voir cette catégorie de vulnérabilités apparaître plus fréquemment. À mesure que les programmes de sécurité des entreprises évoluent, il sera essentiel de prendre des mesures prudentes pour détecter et atténuer cette menace, tout en préparant les développeurs à participer à la mise en place de solutions.

Pourquoi seuls les développeurs possédant des compétences en matière de sécurité peuvent-ils utiliser des outils d'intelligence artificielle par procuration ?

Les outils de codage IA agentique sont considérés comme la prochaine évolution du codage assisté par l'intelligence artificielle, car ils améliorent l'efficacité, la productivité et la flexibilité dans le développement de logiciels. Leur capacité à comprendre le contexte et les intentions est renforcée, ce qui les rend particulièrement utiles, mais ils ne sont pas à l'abri des menaces telles que l'injection instantanée, les hallucinations ou la manipulation comportementale par des attaquants.

Les développeurs constituent la ligne de défense entre la qualité et la médiocrité du code. Le maintien d'une vigilance constante en matière de sécurité et d'un esprit critique sera essentiel pour le développement futur des logiciels de sécurité.

Il est essentiel de ne pas se fier aveuglément aux résultats fournis par l'intelligence artificielle. Seuls les développeurs possédant les compétences nécessaires en matière de sécurité et faisant preuve d'un esprit critique adapté au contexte peuvent exploiter en toute sécurité les gains de productivité offerts par cette technologie. Néanmoins, cela doit se faire dans un environnement de programmation en binôme, où des experts humains peuvent évaluer, modéliser les menaces et, au final, approuver le travail effectué par l'outil.

Découvrez comment les développeurs peuvent améliorer leurs compétences et leur productivité grâce à l'IA ici.

Techniques de gestion efficaces et informations supplémentaires issues de notre dernier article de recherche

Les outils de codage basés sur l'intelligence artificielle et la technologie MCP deviendront inévitablement des éléments essentiels de la cybersécurité future. Cependant, il est crucial de ne pas se précipiter avant d'avoir évalué la situation.

Le document de Narajala et Habler décrit en détail la stratégie d'atténuation globale de la mise en œuvre du MCP au niveau de l'entreprise et la gestion continue des risques. Enfin, il se concentre sur les principes de défense en profondeur et de confiance zéro, et identifie clairement les risques uniques que ce nouvel écosystème présente pour l'environnement de l'entreprise. Il est particulièrement important pour les développeurs de combler les lacunes de connaissances dans les domaines suivants :

• Authentification et contrôle d'accès: les outils d'IA agentique ont pour fonction de résoudre des problèmes et de prendre des décisions autonomes afin d'atteindre les objectifs qui leur sont assignés, de manière similaire à la façon dont les humains traitent les tâches d'ingénierie. Cependant, comme nous l'avons déjà établi, la supervision humaine experte de ces processus ne doit pas être négligée. Les développeurs qui utilisent ces outils dans leurs flux de travail doivent avoir une connaissance précise des accès dont ils disposent, des données qu'ils récupèrent ou sont susceptibles d'exposer, ainsi que des endroits où ces données peuvent être partagées.
• Détection et atténuation des menaces générales: comme pour la plupart des processus d'intelligence artificielle, les utilisateurs doivent maîtriser les tâches afin de détecter les défauts et les inexactitudes potentiels dans les résultats des outils. Les développeurs doivent bénéficier d'une formation continue et d'une validation de leurs compétences afin de pouvoir examiner efficacement les processus de sécurité et vérifier la précision et la fiabilité du code généré par l'IA.
• Conformité aux politiques de sécurité et à la gouvernance de l'IA: les développeurs doivent être informés des outils approuvés et avoir la possibilité d'améliorer leurs compétences et d'obtenir des autorisations d'utilisation. Les développeurs et les outils doivent être soumis à des tests de sécurité de référence avant que la confiance ne leur soit accordée.

Nous avons récemment publié un article de recherche sur l'émergence du codage atmosphérique et du codage assisté par l'intelligence artificielle, ainsi que sur les mesures que les entreprises doivent prendre pour former la prochaine génération d'ingénieurs logiciels spécialisés dans l'intelligence artificielle. Nous vous invitons à le consulter dès maintenant et à nous contacter pour renforcer votre équipe de développement.

Une version de cet article a initialement été publiée sur DZone. Il a été mis à jour et publié ici.

La version 4.0 de la norme PCI DSS (Payment Card Industry Data Security Standard) modifiera considérablement la sécurité de toute entreprise ou organisation acceptant les paiements électroniques, ce qui représente la grande majorité des entreprises. Il ne fait aucun doute que cette mise à jour sera révolutionnaire pour la plupart des entreprises, les obligeant à mettre à niveau de nombreux processus de sécurité et à introduire de nouvelles mesures de protection dans des domaines tels que le chiffrement, l'authentification, le contrôle d'accès, la gestion des clés et d'autres domaines qui, auparavant, progressaient lentement.

En raison de la complexité des nouvelles exigences, les organisations ne pourront se conformer pleinement qu'en mars 2025. Cependant, cette date butoir arrivera plus tôt que la plupart des gens ne le pensent. En réalité, de nombreuses entreprises avant-gardistes prennent actuellement des mesures pour permettre à leurs développeurs de naviguer dans le paysage réglementaire en constante évolution.

Au-delà de la formation prête à l'emploi

Les développeurs de l'organisation rédigent la majeure partie du code sur lequel repose l'infrastructure. Ils constituent donc un bon point de départ pour la mise en œuvre des nouvelles exigences PCI DSS 4.0. Cependant, dans le cadre d'un programme de sensibilisation à la sécurité actualisé, la plupart des développeurs auront besoin d'un soutien stratégique pour améliorer leurs compétences. L'objectif est de s'assurer qu'ils disposent de l'expérience nécessaire pour mettre en œuvre et maintenir le niveau de sécurité plus élevé requis par les nouvelles normes.

En réalité, l'exigence 12.6.2 de la norme PCI DSS 4.0 guide les organisations dans la mise en œuvre d'un programme de sécurité formel et dans sa mise à jour à l'aide des dernières informations sur les menaces et des technologies de défense. Avec les normes précédentes, un programme de sécurité de base, voire une simple formation annuelle sur la conformité, suffisait pour atteindre l'objectif. Les exigences de cette nouvelle norme vont bien au-delà et imposent même que le programme de formation à la sécurité réponde aux menaces et vulnérabilités spécifiques à l'environnement de l'entreprise.Par exemple, si l'usurpation d'identité constitue un problème majeur pour l'organisation, la formation doit aborder cette question.

Il est évident que, tant d'un point de vue pratique que du point de vue du respect des nouvelles normes, une formation minimale n'est plus suffisante. Au contraire, les organisations doivent fournir aux développeurs des parcours d'apprentissage complets et agiles qui leur enseignent comment appliquer les meilleures pratiques en matière de sécurité dans leur travail quotidien. En allant au-delà d'une conformité minimale et en fournissant aux développeurs les ressources nécessaires pour vraiment comprendre la sécurité, les organisations peuvent aider leurs développeurs à prendre de meilleures décisions globales en matière de sécurité, tout en se conformant à la norme PCI DSS 4.0.

La bonne nouvelle est que la plupart des nouvelles exigences de la norme PCI DSS 4.0 concernent des domaines que la plupart des développeurs connaissent déjà, tels que l'authentification, le chiffrement, le contrôle d'accès, la gestion des clés, etc. En fournissant aux développeurs des ressources adaptées, pertinentes et familières pour améliorer leurs compétences, les organisations peuvent plus facilement les préparer à répondre aux nouvelles normes et aux responsabilités accrues imposées par la norme PCI DSS 4.0.

Utiliser la norme PCI DSS 4.0 comme base pour renforcer la sécurité globale

Bien que la satisfaction des besoins des développeurs grâce à une bonne formation en matière de sécurité soit essentielle pour se conformer avec succès à la nouvelle norme PCI DSS 4.0, les efforts visant à améliorer la cybersécurité des organisations ne s'arrêtent pas nécessairement là.Ces exigences sont certes strictes, mais comme la plupart des organisations doivent s'efforcer de s'y conformer, il n'y a aucune raison de ne pas tirer parti de ces efforts pour lancer une meilleure sensibilisation et une meilleure formation globales en matière de sécurité. Cela aidera non seulement les organisations à se conformer aux exigences, mais permettra également de commencer à développer une culture de sécurité proactive qui donne la priorité aux meilleures pratiques et garantit que tous les membres de l'organisation travaillent vers le même objectif de « sécurité avant tout ».

Bien entendu, il existe une courbe d'apprentissage, mais les développeurs sont très susceptibles de fournir cet effort. Dans l'enquête menée par Evans, la grande majorité des plus de 1 200 développeurs professionnels actifs dans le monde ont déclaré soutenir le concept de création de code sécurisé et d'instauration d'une meilleure culture de la sécurité au sein des organisations. Il est clair que la plupart des développeurs accueillent favorablement le passage à une approche stratégique du codage sécurisé dans le processus de développement et la redéfinition des priorités en matière de sécurité.

La mise à niveau de sécurité PCI DSS 4.0 offre une excellente occasion pour les entreprises d'investir dans l'amélioration des meilleures pratiques et de la formation en matière de sécurité, et de favoriser une meilleure culture globale de la sécurité au sein de leur organisation.

Si les entreprises de développement investissent dans un programme leur permettant de combiner des compétences en codage sécurisé avec les outils et la formation appropriés, les développeurs pourront plus facilement atteindre un niveau de maturité plus élevé en matière de sécurité. Cela contribuera à son tour à créer une culture de la sécurité dans laquelle les développeurs pourront prendre de meilleures décisions, améliorant ainsi la sécurité globale de l'organisation, bien au-delà des exigences strictes de la nouvelle norme PCI DSS 4.0.

Après quelques minutes seulement passées à parcourir l'actualité technologique, on comprend rapidement à quel point le paysage des menaces est devenu dangereux. Il semble que chaque jour apporte son lot de rapports sur des failles majeures, de nouvelles vulnérabilités ou des menaces graves activement exploitées par des cyberattaquants et des criminels. De plus, presque tous les indicateurs et rapports sectoriels montrent une augmentation du nombre de menaces informatiques, et la plupart des experts prévoient que cette tendance se poursuivra dans les années à venir.

Face à ces nouvelles menaces, les professionnels de la sécurité informatique en première ligne sont épuisés et en sous-effectif. Malgré des salaires élevés et leur rôle essentiel dans presque toutes les entreprises ou organisations, il n'y a jamais suffisamment de personnel de sécurité pour couvrir tous les besoins.Dans une récente enquête menée par le Center for Strategic and International Studies, 82 % des décideurs informatiques ont déclaré que leur organisation souffrait d'une pénurie de compétences en matière de cybersécurité, et 71 % ont déclaré que cette pénurie causait des dommages directs et mesurables à leur organisation. Le rapport indique qu'aux États-Unis seulement, il y a plus de 520 000 postes vacants dans le domaine de la cybersécurité, qui n'emploie qu'environ 940 000 personnes.

À l'échelle mondiale, il existe actuellement environ 3,5 millions de postes vacants dans le domaine de la cybersécurité, ce qui signifie que même les organisations prêtes à investir des sommes considérables pour recruter et retenir les meilleurs professionnels ont des difficultés à trouver des candidats qualifiés. En moyenne, il faut environ 21 % de temps pour pourvoir un poste dans le domaine de la cybersécurité, si tant est qu'il puisse être pourvu, ce qui est plus que pour tout autre type de poste.

Les développeurs ont été négligés pendant trop longtemps.

Nous avons remarqué que de nombreux blogs précédents suggéraient de faire appel à des développeurs pour combler certaines lacunes importantes dans la défense de la cybersécurité. Cependant, traditionnellement, les développeurs n'ont jamais reçu de formation en cybersécurité. Leurs performances professionnelles dépendent presque exclusivement de la vitesse et du temps de déploiement. La sécurité est la responsabilité future des équipes AppSec.

Malheureusement, il ne s'agit pas simplement de changer de vitesse et d'exiger des développeurs qu'ils commencent soudainement à renforcer la sécurité de leurs applications et programmes. Même s'ils sont disposés à apporter ces changements, et les enquêtes montrent que beaucoup d'entre eux le sont, ils ont encore besoin d'une formation pour y parvenir. Ils ont également besoin de l'encouragement et du soutien de la haute direction, mais l'accès à une formation significative est le premier et le plus grand obstacle.

Il existe plusieurs raisons pour lesquelles des millions de postes hautement rémunérés et sécurisés dans le domaine de la sécurité informatique sont vacants à travers le monde. Si le travail était facile, tout le monde se lancerait dans ce domaine.Il est difficile d'apprendre à contrer les menaces et à éliminer les vulnérabilités dans le code, et le paysage des menaces est en constante évolution. Essayer d'enseigner la cybersécurité, même à des développeurs relativement compétents sur le plan technique, ne peut se faire efficacement à l'aide d'une formation statique, car celle-ci devient rapidement obsolète, n'est pas mémorable et a un impact positif minime, en particulier si ces exigences s'ajoutent à leur emploi du temps déjà surchargé.

Construire un échafaudage pour atteindre des endroits plus élevés

Enseigner les compétences en cybersécurité à l'aide de méthodes traditionnelles revient à tenter de construire un gratte-ciel sans utiliser ses mains. Cela est impossible, car les étudiants ne maîtrisent pas les concepts fondamentaux nécessaires à la compréhension des nombreux concepts avancés dans un domaine complexe tel que la cybersécurité. Pour pallier cela, le concept d'apprentissage par échafaudage peut être utilisé.

Lorsque l'on utilise l'échafaudage ou la méthode « par étapes » pour améliorer les compétences, les grands thèmes sont généralement décomposés en expériences d'apprentissage ou en concepts distincts. Cela permet de s'assurer que les élèves maîtrisent chaque concept grâce à des exercices et des conseils appropriés, fournissant ainsi tout le soutien nécessaire à chaque composante. Sur la base des concepts déjà maîtrisés, des concepts plus récents et plus avancés sont introduits, tout comme on construit un échafaudage physique à mesure que le bâtiment s'élève.De cette manière, les élèves acquièrent un niveau de compréhension et de maîtrise des compétences supérieur à celui qu'ils auraient pu atteindre sans aide.

Tout comme un échafaudage physique, ce soutien sera progressivement retiré lorsqu'il ne sera plus nécessaire. À mesure que les étudiants deviendront plus compétents, ils assumeront davantage de responsabilités.

L'apprentissage par étapes est principalement utilisé pour réduire les émotions négatives et la perception de soi que peuvent ressentir les étudiants lorsqu'ils tentent d'accomplir des tâches difficiles sans aide, ce qui peut les frustrer, les intimider ou les décourager.Cependant, il peut également s'avérer très utile lorsqu'il s'agit d'aborder des concepts extrêmement complexes tels que la cybersécurité moderne. Il ne s'agit en aucun cas de traiter les développeurs comme des enfants, mais cela peut être particulièrement utile lorsque leur expérience au sein de l'équipe de sécurité peut avoir les mêmes effets frustrants et décourageants, notamment lorsque leurs efforts sont réduits à néant par des corrections d'erreurs et de nouvelles critiques.

Lorsque les développeurs disposent d'outils leur permettant de comprendre les principes fondamentaux du codage sécurisé (généralement à partir du Top 10 de l'OWASP), ils peuvent observer comment les vulnérabilités de sécurité se produisent, pourquoi elles sont dangereuses et comment les corriger avant leur mise en production.À partir de là, ils peuvent approfondir leurs connaissances en s'attaquant à des vulnérabilités plus complexes et acquérir une expérience pratique de l'application de correctifs efficaces. Ces niveaux s'ajoutent les uns aux autres, et lorsque des questions de sécurité avancées (telles que l'architecture logicielle non sécurisée ou la modélisation des menaces) sont abordées, ces avancées semblent moins intimidantes et peuvent être traitées avec précision.

En tant que secteur, nous ne devrions jamais attendre des développeurs qu'ils deviennent des experts en sécurité, mais les organisations peuvent adopter de nouvelles normes de soutien aux développeurs afin qu'ils puissent produire des logiciels de meilleure qualité. En plus d'améliorer les compétences des organisations d'ingénierie, chaque étape ou chaque niveau d'échafaudage se traduira directement par une meilleure cybersécurité au cours du processus d'apprentissage. Il n'est pas nécessaire d'attendre la fin du cours pour constater les résultats.

Il est difficile d'apprendre la cybersécurité. Sans aide et conseils appropriés, il est pratiquement impossible de la maîtriser. En combinant un programme de sécurité avec un apprentissage par étapes, il est possible d'exploiter pleinement son potentiel, et les avantages sont presque immédiatement visibles. Les améliorations commencent presque immédiatement et continuent de s'améliorer au fil du temps.

Rejoignez-nous pour former des développeurs hautement sécurisés ; consultez :

Cours
Missions
Formation des développeurs

... Et bien plus encore !

Nous avons récemment eu le plaisir de voir la publication du premier article du comité technologique Forbes, rédigé par notre président-directeur général, Peter Danks. Cet article explique en détail comment améliorer les compétences des développeurs afin de créer un code plus sécurisé, élément essentiel pour prévenir les cyberattaques et les fuites de données. De plus,il montre également comment ces développeurs sensibilisés à la sécurité peuvent contribuer à fournir un code plus performant et plus sécurisé que ne le pensent de nombreux services informatiques. Il existe sans aucun doute un besoin urgent pour une telle approche. Une étude récente a révélé qu'une cyberattaque se produit toutes les 39 secondes, et nousavons tous constaté les perturbations causées par une seule attaque de ransomware réussie contre Colonial Pipeline, qui, dans une perspectiveplus large, a été moins dévastatrice que le piratage de SolarWinds.

‍

De nombreuses vulnérabilités courantes persistent, car personne n'a jamais pris l'initiative de montrer aux développeurs comment remplacer les mauvaises pratiques de codage par des méthodes plus sûres et plus sécurisées permettant d'atteindre les mêmes objectifs. De plus, corriger les logiciels à un stade avancé du développement est extrêmement coûteux, tant en termes de temps que de retard de déploiement. Corriger le code après son déploiement, en particulier lorsque des attaquants ont exploité des vulnérabilités jusque-là inconnues, peut parfois coûter des millions de dollars.Et cela sans même tenir compte de l'atteinte à la réputation de l'entreprise après une violation majeure.

Les développeurs ayant suivi une formation en sécurité deviendront naturellement de meilleurs programmeurs. Bien entendu, le responsable de la sécurité des systèmes d'information ne doit pas renoncer à ses outils de sécurité à court terme, mais en adoptant une approche préventive et inclusive de la sécurité au niveau de la haute direction, il peut tirer parti de la plus grande ressource de son entreprise, à savoir le facteur humain, en particulier lorsqu'il s'agit de codage sécurisé dès le début du cycle de vie du développement logiciel.

À cet effet, veuillez garder à l'esprit les trois stratégies avancées les plus importantes suivantes.

1. Être proactif plutôt que passif.

Les entreprises tombent souvent dans le piège de la réaction passive, par exemple en répondant aux actions de leurs concurrents plutôt qu'en élaborant et en poursuivant une vision unique. En ce qui concerne les failles de sécurité dans le code, beaucoup adoptent également cette approche par défaut, ne prenant la cybersécurité au sérieux que lorsqu'une faille réussie les y oblige. Malheureusement, à ce moment-là, le mal est déjà fait, et les amendes, le recouvrement des coûts, la perte de clients et la restauration de l'image de marque ont déjà coûté cher. Une autre réaction, plutôt qu'une action, consiste à se fier à des codes de scan automatiques ou manuels pour détecter les failles dans les codes existants, plutôt que de se concentrer dès le départ sur la création de codes sécurisés. Malheureusement,les amendes, les coûts de recouvrement, la perte de clients et la restauration de l'image de marque ont déjà affecté les bénéfices. Une autre réaction, plutôt qu'une action, consiste à s'appuyer sur des analyses automatiques ou manuelles du code pour détecter les vulnérabilités existantes, plutôt que de se concentrer dès le départ sur la création d'un code sécurisé. Malheureusement, l'analyse du code n'est pas une solution parfaite, ce qui signifie que plus le code contient de vulnérabilités, plus le risque d'en manquer certaines est élevé.

Seule une approche proactive, en collaboration avec les développeurs pour les aider à créer un code sécurisé dès le début, permet d'établir un cycle de vie du développement logiciel qui réduit considérablement le risque de publier des vulnérabilités de codage aux utilisateurs.

2. Améliorer ses compétences, sans exagérer.

Une fois que vous avez décidé de fournir aux développeurs les connaissances nécessaires pour créer un code sécurisé, veuillez choisir judicieusement votre approche. Les ateliers de formation internes qui interrompent le processus de programmation peuvent être source de frustration pour les développeurs et les responsables. Les cours hors site qui nécessitent une participation en soirée ou le week-end sont encore moins appréciés. La meilleure approche consiste à développer progressivement les compétences en programmation, en fournissant les informations pertinentes au fur et à mesure du processus de codage, c'est-à-dire en améliorant les compétences sans distraire de manière significative les développeurs ni ralentir le processus de développement.

3. Encourager, ne pas présumer

Les développeurs ne devraient pas considérer l'amélioration de leurs compétences en matière de sécurité comme une sanction ou une tâche pénible. Les responsables doivent motiver les développeurs en leur expliquant le rôle essentiel que joue le code sécurisé dans la réussite de l'entreprise. Il est également important de leur faire comprendre que les développeurs spécialisés dans la sécurité ont plus de valeur pour l'entreprise et bénéficieront à l'avenir de meilleures opportunités professionnelles.

Le gouvernement Biden a accueilli favorablement cette initiative. Le décret présidentiel a renforcé l'attention portée à la cybersécurité et la nécessité « d'intégrer des critères d'évaluation des pratiques de sécurité des développeurs et des fournisseurs eux-mêmes, et d'identifier des outils ou des méthodes innovants pour prouver leur conformité aux pratiques de sécurité ». Cependant, bien que ces outils soient indispensables,ils ne suffisent pas. Aucun outil ne peut éliminer complètement la capacité des individus à négliger, mal comprendre, abuser ou contourner d'une manière ou d'une autre les systèmes et outils mis en place. Afin de maximiser la sécurité des entreprises, les responsables de la sécurité des systèmes d'information doivent tirer parti du facteur humain et encourager les développeurs à devenir des défenseurs et des praticiens volontaires de la sécurité.