L'avenir de la cybersécurité : ce qui ne se produira pas dans l'année à venir
Une version de cet article a été initialement publiée dans Lecture sombre. Il a été mis à jour pour la syndication ici.
Dans notre secteur, de nombreux experts en sécurité ont pris l'habitude de prévoir les problèmes les plus brûlants de l'année à venir (et je ne fais pas exception), mais avec plus de cinq milliards de données sensibles volées en 2019, j'ai pensé qu'il serait plus précis de prédire ce que ne sera pas ce qui se produira dans le domaine de la cybersécurité en 2020, voire dans un avenir prévisible.
J'ai rencontré mon cofondateur, Matias Madou, et nous avons bien ri en dressant cette liste. Cela se veut un peu léger, mais cela vous fait réfléchir au long chemin qui reste à parcourir pour renforcer chaque organisation contre les cyberattaques malveillantes.
Maintenant, regardons notre boule de cristal et révélons nos prédictions. Nous ne verrons pas :
Les injections SQL ont été supprimées de tous les logiciels
Je pense que tous les professionnels de la sécurité de la planète attendent le jour où ils ne seront plus dérangés pour identifier les bogues d'injection SQL, ad nauseam.
Malheureusement, cela fait plus de vingt ans que nous attendons ce jour, et nous en attendrons encore au moins un autre. C'est la vulnérabilité qui, comme un cafard, a survécu à toutes les tactiques utilisées jusqu'à présent pour l'éradiquer définitivement.
C'est pour le moins frustrant, car le remède est connu depuis à peu près aussi longtemps. Cependant, la priorité accordée aux meilleures pratiques de sécurité à chaque étape du développement logiciel (en particulier dès le début) reste trop faible, et certainement insuffisante compte tenu de la forte augmentation de la production de code depuis la découverte de l'injection SQL.
(Vous souhaitez en savoir plus sur les modèles de codage susceptibles de conduire à une injection SQL ? Relevez le défi ici).
Les développeurs et AppSec deviennent de meilleurs amis
Ah, les développeurs et l'équipe AppSec. S'entendront-ils un jour ou sont-ils voués à une vie de rivalité comme Rocky contre Apollo ? La réponse courte est oui, ils peuvent s'entendre, mais à l'heure actuelle, leurs priorités sont souvent très différentes.
Lorsqu'ils se rencontrent dans le cadre d'un projet, ils sont sur des pages opposées et s'affrontent juste au dernier obstacle : lorsque les spécialistes AppSec examinent le code d'un développeur. Le développeur a créé de belles fonctionnalités fonctionnelles (ce qui est leur priorité absolue) qui sont détruites si des failles de sécurité sont découvertes. Le gourou de la sécurité logicielle a en effet traité son bébé de laid et a obligé le développeur à revenir en arrière et à corriger les bogues, retardant souvent le déploiement.
Dans l'état actuel des choses, cela ne sera pas résolu tant que les développeurs et les équipes AppSec ne travailleront pas vers un objectif commun, à savoir la création de logiciels sécurisés. Cela ne se produira pas par défaut en 2020 (et pour de nombreuses entreprises, quelques années plus tard), mais avec l'avènement du mouvement DevSecOps et au-delà, les développeurs reconnaissent la nécessité d'améliorer leurs compétences en matière de sécurité et de travailler selon des normes plus élevées, en incluant des objectifs de sécurité dès le départ.
Une offre excédentaire de professionnels de la sécurité
En 2020, 2025, 2030... il est presque garanti que nous manquerons de personnel dans le monde entier en matière d'expertise en matière de sécurité.
Selon un rapport de l'ISC (2), il existe environ 2,93 millions de postes en cybersécurité actuellement vide. La situation va certainement empirer avant de s'améliorer, et il n'y a aucune armée de sécurité cachée prête à venir à notre secours au cours des prochaines années.
Dans un avenir immédiat, notre meilleure chance de remédier à cette pénurie de compétences est de faire de la sécurité une priorité organisationnelle et de renforcer les compétences de notre personnel existant, ce qui implique de donner aux développeurs la formation et les outils nécessaires pour coder en toute sécurité, ainsi que de créer une culture de sécurité à l'échelle de l'entreprise. La plupart des équipes AppSec actuelles luttent probablement contre d'anciens bogues de sécurité bien connus (voir point 1 ci-dessus). Si nous veillons à ce qu'ils n'aient pas à consacrer un temps et des efforts précieux à la résolution de ces problèmes courants, ils disposeront de plus de bande passante pour se concentrer sur les problèmes de sécurité les plus complexes (pour le moment, ils sont susceptibles d'inclure des problèmes liés aux API, ainsi que des outils de création adaptés aux pipelines de développement).
Moins de code produit
Le monde se numérise à un rythme effarant et la demande sociétale ne faiblira pas. Environ 111 milliards de lignes de code sont écrites chaque année, et ce chiffre ne fera que croître et devenir de plus en plus terrifiant (pour les équipes AppSec déjà sollicitées, en tout cas).
L'augmentation du volume de code augmente inévitablement les failles de sécurité potentielles. C'est pourquoi penser que 2020 sera une année plus lente en termes de production de logiciels et de violations est à peu près aussi réaliste que les courses de licornes organisées au Grand National.
Diminution du vol d'enregistrements de données
Comme je l'ai dit, plus de code signifie plus de vulnérabilités, ce qui offre plus de possibilités aux attaquants de trouver un moyen de voler des données.
Au moins 5,3 milliards de dossiers ont été volés dans le monde en 2019, et la défense contre les attaquants reste une tâche un peu désespérée et réactive. Ce chiffre ne doublera peut-être pas au cours des douze prochains mois, mais je pense qu'il se rapprochera.
À titre d'exemple, examinons les tendances historiques des données volées signalées aux États-Unis d'une année sur l'autre :
Si l'on considère la période allant de 2005 à 2010, on constate une hausse constante avec un léger flux et reflux entre les années. C'est intéressant, mais un facteur important à souligner est qu'en 2009, il y a eu une forte baisse du nombre de violations signalées par rapport à 2008. Cependant, il y a eu une nette augmentation du nombre de dossiers volés malgré la diminution du nombre de violations.
Les enregistrements de données sont la nouvelle or ; ils ont de la valeur pour un attaquant. Le graphique reflète une tendance générale à la hausse des violations et nombre de dossiers volés, avec un pic énorme en 2017. Le nombre d'attaques a connu une tendance à la baisse en 2018, peut-être en raison du renforcement des mesures de sécurité, mais le nombre d'enregistrements obtenus n'a jamais été aussi élevé. Les cyberattaques deviendront de plus en plus sophistiquées et de plus en plus volumineuses et ne disparaîtront pas de sitôt. Et à l'échelle mondiale, il est peu probable que nous assistions à un ralentissement en 2020, car les entreprises produisent rapidement plus de logiciels que jamais auparavant. Ils sont les gardiens de nos données et doivent travailler plus intelligemment pour protéger notre vie privée.
Les développeurs exigent des formations vidéo à la sécurité plus longues et plus fréquentes
S'il y a une chose que les développeurs adorent, c'est de regarder des heures et des heures de vidéos de formation assistée par ordinateur (TCC). En fait, la demande pour ce contenu captivant est telle que Netflix annoncera une toute nouvelle sous-catégorie dédiée aux vidéos génériques de formation à la sécurité.
Euh, non. Ni maintenant, ni en 2020, ni jamais.
Pour les développeurs, leur introduction à la sécurité se fait souvent par le biais d'une formation à la conformité sur le lieu de travail. Le codage sécurisé fait rarement partie de leurs études supérieures, et la formation en cours d'emploi peut être la toute première rencontre avec la sécurité logicielle. Et, comme on pouvait s'y attendre, cela ne leur plaît pas souvent.
Pour que les développeurs prennent la sécurité au sérieux, et pour que la formation soit utile, elle doit être pertinente, attrayante et contextuelle à leur travail. Une formation ponctuelle sur la conformité, ou un flux interminable de vidéos ennuyeuses, n'est pas la solution idéale pour les développeurs et ne permettra pas de réduire les vulnérabilités.
Si vous voulez que la cohorte de développeurs ait la moindre chance de devenir une force défensive consciente de la sécurité contre les vulnérabilités courantes, demandez-leur de travailler avec de vrais exemples de code, du type qu'ils trouveraient dans leurs tâches quotidiennes. Faites en sorte que l'apprentissage soit de la taille d'une bouchée, facile à développer, et incitez-le en vous amusant. Pour qu'une culture de sécurité prospère, elle doit être positive, engageante et développer de véritables compétences et solutions au sein de l'organisation.
Qui sait ? Avec une formation adaptée, un développeur peut reconnaître le champion de la sécurité qui sommeille en lui et diffuser largement les avantages du codage sécurisé.
Aucun décès dû à un incident lié à la cybersécurité
OK, donc ce n'est clairement pas une question de rire. J'ai dit à de nombreuses reprises que le monde ne se soucierait tout simplement pas de la cybersécurité tant que des personnes ne commenceraient pas à mourir à la suite d'un incident lié à une cyberattaque.
Le problème, c'est que cela s'est déjà produit et que cela est passé largement inaperçu.
Cyberattaques contre des hôpitaux américains ont été associés à une augmentation des décès par crise cardiaque en 2019. Bien entendu, les attaquants n'ont pas provoqué d'événements cardiaques mortels chez les patients, mais leurs attaques par rançongiciel contre les systèmes et équipements des hôpitaux ont ralenti les délais de traitement des soins intensifs.
Ce étude de l'Université de Floride centrale a analysé 3 000 hôpitaux, dont 311 avaient subi une violation de données. Parmi les personnes touchées par un incident de sécurité, il a fallu en moyenne 2,7 minutes de plus pour faire passer un ECG aux victimes présumées d'une crise cardiaque, probablement en raison de modifications procédurales, de nouvelles mesures de sécurité mises en œuvre et de problèmes d'assistance informatique qui ont pris plus de temps qu'auparavant. Identifier et traiter une crise cardiaque est une course contre la montre, et ces hôpitaux ont enregistré en moyenne 36 décès supplémentaires pour 10 000 crises cardiaques par an.
C'est choquant et, malheureusement, je pense que la situation ne fera qu'empirer avant de s'améliorer. Cela devrait nous rappeler brutalement que nous devons tous redoubler d'efforts pour améliorer la sécurité des logiciels et la placer au cœur de toutes les activités.
Moins d'images de stock de « hackers cagoulés »
Si vous tapez « hacker » dans une recherche d'images, vous découvrirez inévitablement des milliers d'images d'un personnage cagoulé et sans visage tapant sur un ordinateur portable, ou d'un personnage similaire masqué par Guy Fawkes.
Cette image stéréotypée d'un hacker est vraiment fatigante et fait passer tout le monde pour un méchant. Il existe de nombreuses personnes douées pour la sécurité, et les connotations négatives qui entourent l'image de « hacker » ne rendent pas service à tout le monde.
Est-ce que je pense que cela va bientôt changer ? Probablement pas, mais c'est agréable de rêver. Pour l'instant, il est important de se rappeler que la sécurité n'a pas à être effrayante.
Dans notre secteur, de nombreux experts en sécurité ont commencé à prévoir les principaux problèmes de l'année, mais avec plus de cinq milliards d'enregistrements de données sensibles volés en 2019, nous avons pensé qu'il serait plus précis de prévoir ce qui ne se passera pas en matière de cybersécurité dans un avenir proche.
Director General, Presidente y Cofundador
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été initialement publiée dans Lecture sombre. Il a été mis à jour pour la syndication ici.
Dans notre secteur, de nombreux experts en sécurité ont pris l'habitude de prévoir les problèmes les plus brûlants de l'année à venir (et je ne fais pas exception), mais avec plus de cinq milliards de données sensibles volées en 2019, j'ai pensé qu'il serait plus précis de prédire ce que ne sera pas ce qui se produira dans le domaine de la cybersécurité en 2020, voire dans un avenir prévisible.
J'ai rencontré mon cofondateur, Matias Madou, et nous avons bien ri en dressant cette liste. Cela se veut un peu léger, mais cela vous fait réfléchir au long chemin qui reste à parcourir pour renforcer chaque organisation contre les cyberattaques malveillantes.
Maintenant, regardons notre boule de cristal et révélons nos prédictions. Nous ne verrons pas :
Les injections SQL ont été supprimées de tous les logiciels
Je pense que tous les professionnels de la sécurité de la planète attendent le jour où ils ne seront plus dérangés pour identifier les bogues d'injection SQL, ad nauseam.
Malheureusement, cela fait plus de vingt ans que nous attendons ce jour, et nous en attendrons encore au moins un autre. C'est la vulnérabilité qui, comme un cafard, a survécu à toutes les tactiques utilisées jusqu'à présent pour l'éradiquer définitivement.
C'est pour le moins frustrant, car le remède est connu depuis à peu près aussi longtemps. Cependant, la priorité accordée aux meilleures pratiques de sécurité à chaque étape du développement logiciel (en particulier dès le début) reste trop faible, et certainement insuffisante compte tenu de la forte augmentation de la production de code depuis la découverte de l'injection SQL.
(Vous souhaitez en savoir plus sur les modèles de codage susceptibles de conduire à une injection SQL ? Relevez le défi ici).
Les développeurs et AppSec deviennent de meilleurs amis
Ah, les développeurs et l'équipe AppSec. S'entendront-ils un jour ou sont-ils voués à une vie de rivalité comme Rocky contre Apollo ? La réponse courte est oui, ils peuvent s'entendre, mais à l'heure actuelle, leurs priorités sont souvent très différentes.
Lorsqu'ils se rencontrent dans le cadre d'un projet, ils sont sur des pages opposées et s'affrontent juste au dernier obstacle : lorsque les spécialistes AppSec examinent le code d'un développeur. Le développeur a créé de belles fonctionnalités fonctionnelles (ce qui est leur priorité absolue) qui sont détruites si des failles de sécurité sont découvertes. Le gourou de la sécurité logicielle a en effet traité son bébé de laid et a obligé le développeur à revenir en arrière et à corriger les bogues, retardant souvent le déploiement.
Dans l'état actuel des choses, cela ne sera pas résolu tant que les développeurs et les équipes AppSec ne travailleront pas vers un objectif commun, à savoir la création de logiciels sécurisés. Cela ne se produira pas par défaut en 2020 (et pour de nombreuses entreprises, quelques années plus tard), mais avec l'avènement du mouvement DevSecOps et au-delà, les développeurs reconnaissent la nécessité d'améliorer leurs compétences en matière de sécurité et de travailler selon des normes plus élevées, en incluant des objectifs de sécurité dès le départ.
Une offre excédentaire de professionnels de la sécurité
En 2020, 2025, 2030... il est presque garanti que nous manquerons de personnel dans le monde entier en matière d'expertise en matière de sécurité.
Selon un rapport de l'ISC (2), il existe environ 2,93 millions de postes en cybersécurité actuellement vide. La situation va certainement empirer avant de s'améliorer, et il n'y a aucune armée de sécurité cachée prête à venir à notre secours au cours des prochaines années.
Dans un avenir immédiat, notre meilleure chance de remédier à cette pénurie de compétences est de faire de la sécurité une priorité organisationnelle et de renforcer les compétences de notre personnel existant, ce qui implique de donner aux développeurs la formation et les outils nécessaires pour coder en toute sécurité, ainsi que de créer une culture de sécurité à l'échelle de l'entreprise. La plupart des équipes AppSec actuelles luttent probablement contre d'anciens bogues de sécurité bien connus (voir point 1 ci-dessus). Si nous veillons à ce qu'ils n'aient pas à consacrer un temps et des efforts précieux à la résolution de ces problèmes courants, ils disposeront de plus de bande passante pour se concentrer sur les problèmes de sécurité les plus complexes (pour le moment, ils sont susceptibles d'inclure des problèmes liés aux API, ainsi que des outils de création adaptés aux pipelines de développement).
Moins de code produit
Le monde se numérise à un rythme effarant et la demande sociétale ne faiblira pas. Environ 111 milliards de lignes de code sont écrites chaque année, et ce chiffre ne fera que croître et devenir de plus en plus terrifiant (pour les équipes AppSec déjà sollicitées, en tout cas).
L'augmentation du volume de code augmente inévitablement les failles de sécurité potentielles. C'est pourquoi penser que 2020 sera une année plus lente en termes de production de logiciels et de violations est à peu près aussi réaliste que les courses de licornes organisées au Grand National.
Diminution du vol d'enregistrements de données
Comme je l'ai dit, plus de code signifie plus de vulnérabilités, ce qui offre plus de possibilités aux attaquants de trouver un moyen de voler des données.
Au moins 5,3 milliards de dossiers ont été volés dans le monde en 2019, et la défense contre les attaquants reste une tâche un peu désespérée et réactive. Ce chiffre ne doublera peut-être pas au cours des douze prochains mois, mais je pense qu'il se rapprochera.
À titre d'exemple, examinons les tendances historiques des données volées signalées aux États-Unis d'une année sur l'autre :
Si l'on considère la période allant de 2005 à 2010, on constate une hausse constante avec un léger flux et reflux entre les années. C'est intéressant, mais un facteur important à souligner est qu'en 2009, il y a eu une forte baisse du nombre de violations signalées par rapport à 2008. Cependant, il y a eu une nette augmentation du nombre de dossiers volés malgré la diminution du nombre de violations.
Les enregistrements de données sont la nouvelle or ; ils ont de la valeur pour un attaquant. Le graphique reflète une tendance générale à la hausse des violations et nombre de dossiers volés, avec un pic énorme en 2017. Le nombre d'attaques a connu une tendance à la baisse en 2018, peut-être en raison du renforcement des mesures de sécurité, mais le nombre d'enregistrements obtenus n'a jamais été aussi élevé. Les cyberattaques deviendront de plus en plus sophistiquées et de plus en plus volumineuses et ne disparaîtront pas de sitôt. Et à l'échelle mondiale, il est peu probable que nous assistions à un ralentissement en 2020, car les entreprises produisent rapidement plus de logiciels que jamais auparavant. Ils sont les gardiens de nos données et doivent travailler plus intelligemment pour protéger notre vie privée.
Les développeurs exigent des formations vidéo à la sécurité plus longues et plus fréquentes
S'il y a une chose que les développeurs adorent, c'est de regarder des heures et des heures de vidéos de formation assistée par ordinateur (TCC). En fait, la demande pour ce contenu captivant est telle que Netflix annoncera une toute nouvelle sous-catégorie dédiée aux vidéos génériques de formation à la sécurité.
Euh, non. Ni maintenant, ni en 2020, ni jamais.
Pour les développeurs, leur introduction à la sécurité se fait souvent par le biais d'une formation à la conformité sur le lieu de travail. Le codage sécurisé fait rarement partie de leurs études supérieures, et la formation en cours d'emploi peut être la toute première rencontre avec la sécurité logicielle. Et, comme on pouvait s'y attendre, cela ne leur plaît pas souvent.
Pour que les développeurs prennent la sécurité au sérieux, et pour que la formation soit utile, elle doit être pertinente, attrayante et contextuelle à leur travail. Une formation ponctuelle sur la conformité, ou un flux interminable de vidéos ennuyeuses, n'est pas la solution idéale pour les développeurs et ne permettra pas de réduire les vulnérabilités.
Si vous voulez que la cohorte de développeurs ait la moindre chance de devenir une force défensive consciente de la sécurité contre les vulnérabilités courantes, demandez-leur de travailler avec de vrais exemples de code, du type qu'ils trouveraient dans leurs tâches quotidiennes. Faites en sorte que l'apprentissage soit de la taille d'une bouchée, facile à développer, et incitez-le en vous amusant. Pour qu'une culture de sécurité prospère, elle doit être positive, engageante et développer de véritables compétences et solutions au sein de l'organisation.
Qui sait ? Avec une formation adaptée, un développeur peut reconnaître le champion de la sécurité qui sommeille en lui et diffuser largement les avantages du codage sécurisé.
Aucun décès dû à un incident lié à la cybersécurité
OK, donc ce n'est clairement pas une question de rire. J'ai dit à de nombreuses reprises que le monde ne se soucierait tout simplement pas de la cybersécurité tant que des personnes ne commenceraient pas à mourir à la suite d'un incident lié à une cyberattaque.
Le problème, c'est que cela s'est déjà produit et que cela est passé largement inaperçu.
Cyberattaques contre des hôpitaux américains ont été associés à une augmentation des décès par crise cardiaque en 2019. Bien entendu, les attaquants n'ont pas provoqué d'événements cardiaques mortels chez les patients, mais leurs attaques par rançongiciel contre les systèmes et équipements des hôpitaux ont ralenti les délais de traitement des soins intensifs.
Ce étude de l'Université de Floride centrale a analysé 3 000 hôpitaux, dont 311 avaient subi une violation de données. Parmi les personnes touchées par un incident de sécurité, il a fallu en moyenne 2,7 minutes de plus pour faire passer un ECG aux victimes présumées d'une crise cardiaque, probablement en raison de modifications procédurales, de nouvelles mesures de sécurité mises en œuvre et de problèmes d'assistance informatique qui ont pris plus de temps qu'auparavant. Identifier et traiter une crise cardiaque est une course contre la montre, et ces hôpitaux ont enregistré en moyenne 36 décès supplémentaires pour 10 000 crises cardiaques par an.
C'est choquant et, malheureusement, je pense que la situation ne fera qu'empirer avant de s'améliorer. Cela devrait nous rappeler brutalement que nous devons tous redoubler d'efforts pour améliorer la sécurité des logiciels et la placer au cœur de toutes les activités.
Moins d'images de stock de « hackers cagoulés »
Si vous tapez « hacker » dans une recherche d'images, vous découvrirez inévitablement des milliers d'images d'un personnage cagoulé et sans visage tapant sur un ordinateur portable, ou d'un personnage similaire masqué par Guy Fawkes.
Cette image stéréotypée d'un hacker est vraiment fatigante et fait passer tout le monde pour un méchant. Il existe de nombreuses personnes douées pour la sécurité, et les connotations négatives qui entourent l'image de « hacker » ne rendent pas service à tout le monde.
Est-ce que je pense que cela va bientôt changer ? Probablement pas, mais c'est agréable de rêver. Pour l'instant, il est important de se rappeler que la sécurité n'a pas à être effrayante.
Une version de cet article a été initialement publiée dans Lecture sombre. Il a été mis à jour pour la syndication ici.
Dans notre secteur, de nombreux experts en sécurité ont pris l'habitude de prévoir les problèmes les plus brûlants de l'année à venir (et je ne fais pas exception), mais avec plus de cinq milliards de données sensibles volées en 2019, j'ai pensé qu'il serait plus précis de prédire ce que ne sera pas ce qui se produira dans le domaine de la cybersécurité en 2020, voire dans un avenir prévisible.
J'ai rencontré mon cofondateur, Matias Madou, et nous avons bien ri en dressant cette liste. Cela se veut un peu léger, mais cela vous fait réfléchir au long chemin qui reste à parcourir pour renforcer chaque organisation contre les cyberattaques malveillantes.
Maintenant, regardons notre boule de cristal et révélons nos prédictions. Nous ne verrons pas :
Les injections SQL ont été supprimées de tous les logiciels
Je pense que tous les professionnels de la sécurité de la planète attendent le jour où ils ne seront plus dérangés pour identifier les bogues d'injection SQL, ad nauseam.
Malheureusement, cela fait plus de vingt ans que nous attendons ce jour, et nous en attendrons encore au moins un autre. C'est la vulnérabilité qui, comme un cafard, a survécu à toutes les tactiques utilisées jusqu'à présent pour l'éradiquer définitivement.
C'est pour le moins frustrant, car le remède est connu depuis à peu près aussi longtemps. Cependant, la priorité accordée aux meilleures pratiques de sécurité à chaque étape du développement logiciel (en particulier dès le début) reste trop faible, et certainement insuffisante compte tenu de la forte augmentation de la production de code depuis la découverte de l'injection SQL.
(Vous souhaitez en savoir plus sur les modèles de codage susceptibles de conduire à une injection SQL ? Relevez le défi ici).
Les développeurs et AppSec deviennent de meilleurs amis
Ah, les développeurs et l'équipe AppSec. S'entendront-ils un jour ou sont-ils voués à une vie de rivalité comme Rocky contre Apollo ? La réponse courte est oui, ils peuvent s'entendre, mais à l'heure actuelle, leurs priorités sont souvent très différentes.
Lorsqu'ils se rencontrent dans le cadre d'un projet, ils sont sur des pages opposées et s'affrontent juste au dernier obstacle : lorsque les spécialistes AppSec examinent le code d'un développeur. Le développeur a créé de belles fonctionnalités fonctionnelles (ce qui est leur priorité absolue) qui sont détruites si des failles de sécurité sont découvertes. Le gourou de la sécurité logicielle a en effet traité son bébé de laid et a obligé le développeur à revenir en arrière et à corriger les bogues, retardant souvent le déploiement.
Dans l'état actuel des choses, cela ne sera pas résolu tant que les développeurs et les équipes AppSec ne travailleront pas vers un objectif commun, à savoir la création de logiciels sécurisés. Cela ne se produira pas par défaut en 2020 (et pour de nombreuses entreprises, quelques années plus tard), mais avec l'avènement du mouvement DevSecOps et au-delà, les développeurs reconnaissent la nécessité d'améliorer leurs compétences en matière de sécurité et de travailler selon des normes plus élevées, en incluant des objectifs de sécurité dès le départ.
Une offre excédentaire de professionnels de la sécurité
En 2020, 2025, 2030... il est presque garanti que nous manquerons de personnel dans le monde entier en matière d'expertise en matière de sécurité.
Selon un rapport de l'ISC (2), il existe environ 2,93 millions de postes en cybersécurité actuellement vide. La situation va certainement empirer avant de s'améliorer, et il n'y a aucune armée de sécurité cachée prête à venir à notre secours au cours des prochaines années.
Dans un avenir immédiat, notre meilleure chance de remédier à cette pénurie de compétences est de faire de la sécurité une priorité organisationnelle et de renforcer les compétences de notre personnel existant, ce qui implique de donner aux développeurs la formation et les outils nécessaires pour coder en toute sécurité, ainsi que de créer une culture de sécurité à l'échelle de l'entreprise. La plupart des équipes AppSec actuelles luttent probablement contre d'anciens bogues de sécurité bien connus (voir point 1 ci-dessus). Si nous veillons à ce qu'ils n'aient pas à consacrer un temps et des efforts précieux à la résolution de ces problèmes courants, ils disposeront de plus de bande passante pour se concentrer sur les problèmes de sécurité les plus complexes (pour le moment, ils sont susceptibles d'inclure des problèmes liés aux API, ainsi que des outils de création adaptés aux pipelines de développement).
Moins de code produit
Le monde se numérise à un rythme effarant et la demande sociétale ne faiblira pas. Environ 111 milliards de lignes de code sont écrites chaque année, et ce chiffre ne fera que croître et devenir de plus en plus terrifiant (pour les équipes AppSec déjà sollicitées, en tout cas).
L'augmentation du volume de code augmente inévitablement les failles de sécurité potentielles. C'est pourquoi penser que 2020 sera une année plus lente en termes de production de logiciels et de violations est à peu près aussi réaliste que les courses de licornes organisées au Grand National.
Diminution du vol d'enregistrements de données
Comme je l'ai dit, plus de code signifie plus de vulnérabilités, ce qui offre plus de possibilités aux attaquants de trouver un moyen de voler des données.
Au moins 5,3 milliards de dossiers ont été volés dans le monde en 2019, et la défense contre les attaquants reste une tâche un peu désespérée et réactive. Ce chiffre ne doublera peut-être pas au cours des douze prochains mois, mais je pense qu'il se rapprochera.
À titre d'exemple, examinons les tendances historiques des données volées signalées aux États-Unis d'une année sur l'autre :
Si l'on considère la période allant de 2005 à 2010, on constate une hausse constante avec un léger flux et reflux entre les années. C'est intéressant, mais un facteur important à souligner est qu'en 2009, il y a eu une forte baisse du nombre de violations signalées par rapport à 2008. Cependant, il y a eu une nette augmentation du nombre de dossiers volés malgré la diminution du nombre de violations.
Les enregistrements de données sont la nouvelle or ; ils ont de la valeur pour un attaquant. Le graphique reflète une tendance générale à la hausse des violations et nombre de dossiers volés, avec un pic énorme en 2017. Le nombre d'attaques a connu une tendance à la baisse en 2018, peut-être en raison du renforcement des mesures de sécurité, mais le nombre d'enregistrements obtenus n'a jamais été aussi élevé. Les cyberattaques deviendront de plus en plus sophistiquées et de plus en plus volumineuses et ne disparaîtront pas de sitôt. Et à l'échelle mondiale, il est peu probable que nous assistions à un ralentissement en 2020, car les entreprises produisent rapidement plus de logiciels que jamais auparavant. Ils sont les gardiens de nos données et doivent travailler plus intelligemment pour protéger notre vie privée.
Les développeurs exigent des formations vidéo à la sécurité plus longues et plus fréquentes
S'il y a une chose que les développeurs adorent, c'est de regarder des heures et des heures de vidéos de formation assistée par ordinateur (TCC). En fait, la demande pour ce contenu captivant est telle que Netflix annoncera une toute nouvelle sous-catégorie dédiée aux vidéos génériques de formation à la sécurité.
Euh, non. Ni maintenant, ni en 2020, ni jamais.
Pour les développeurs, leur introduction à la sécurité se fait souvent par le biais d'une formation à la conformité sur le lieu de travail. Le codage sécurisé fait rarement partie de leurs études supérieures, et la formation en cours d'emploi peut être la toute première rencontre avec la sécurité logicielle. Et, comme on pouvait s'y attendre, cela ne leur plaît pas souvent.
Pour que les développeurs prennent la sécurité au sérieux, et pour que la formation soit utile, elle doit être pertinente, attrayante et contextuelle à leur travail. Une formation ponctuelle sur la conformité, ou un flux interminable de vidéos ennuyeuses, n'est pas la solution idéale pour les développeurs et ne permettra pas de réduire les vulnérabilités.
Si vous voulez que la cohorte de développeurs ait la moindre chance de devenir une force défensive consciente de la sécurité contre les vulnérabilités courantes, demandez-leur de travailler avec de vrais exemples de code, du type qu'ils trouveraient dans leurs tâches quotidiennes. Faites en sorte que l'apprentissage soit de la taille d'une bouchée, facile à développer, et incitez-le en vous amusant. Pour qu'une culture de sécurité prospère, elle doit être positive, engageante et développer de véritables compétences et solutions au sein de l'organisation.
Qui sait ? Avec une formation adaptée, un développeur peut reconnaître le champion de la sécurité qui sommeille en lui et diffuser largement les avantages du codage sécurisé.
Aucun décès dû à un incident lié à la cybersécurité
OK, donc ce n'est clairement pas une question de rire. J'ai dit à de nombreuses reprises que le monde ne se soucierait tout simplement pas de la cybersécurité tant que des personnes ne commenceraient pas à mourir à la suite d'un incident lié à une cyberattaque.
Le problème, c'est que cela s'est déjà produit et que cela est passé largement inaperçu.
Cyberattaques contre des hôpitaux américains ont été associés à une augmentation des décès par crise cardiaque en 2019. Bien entendu, les attaquants n'ont pas provoqué d'événements cardiaques mortels chez les patients, mais leurs attaques par rançongiciel contre les systèmes et équipements des hôpitaux ont ralenti les délais de traitement des soins intensifs.
Ce étude de l'Université de Floride centrale a analysé 3 000 hôpitaux, dont 311 avaient subi une violation de données. Parmi les personnes touchées par un incident de sécurité, il a fallu en moyenne 2,7 minutes de plus pour faire passer un ECG aux victimes présumées d'une crise cardiaque, probablement en raison de modifications procédurales, de nouvelles mesures de sécurité mises en œuvre et de problèmes d'assistance informatique qui ont pris plus de temps qu'auparavant. Identifier et traiter une crise cardiaque est une course contre la montre, et ces hôpitaux ont enregistré en moyenne 36 décès supplémentaires pour 10 000 crises cardiaques par an.
C'est choquant et, malheureusement, je pense que la situation ne fera qu'empirer avant de s'améliorer. Cela devrait nous rappeler brutalement que nous devons tous redoubler d'efforts pour améliorer la sécurité des logiciels et la placer au cœur de toutes les activités.
Moins d'images de stock de « hackers cagoulés »
Si vous tapez « hacker » dans une recherche d'images, vous découvrirez inévitablement des milliers d'images d'un personnage cagoulé et sans visage tapant sur un ordinateur portable, ou d'un personnage similaire masqué par Guy Fawkes.
Cette image stéréotypée d'un hacker est vraiment fatigante et fait passer tout le monde pour un méchant. Il existe de nombreuses personnes douées pour la sécurité, et les connotations négatives qui entourent l'image de « hacker » ne rendent pas service à tout le monde.
Est-ce que je pense que cela va bientôt changer ? Probablement pas, mais c'est agréable de rêver. Pour l'instant, il est important de se rappeler que la sécurité n'a pas à être effrayante.
Haga clic en el enlace siguiente y descargue el PDF de este recurso.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Mostrar el informeReserve una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été initialement publiée dans Lecture sombre. Il a été mis à jour pour la syndication ici.
Dans notre secteur, de nombreux experts en sécurité ont pris l'habitude de prévoir les problèmes les plus brûlants de l'année à venir (et je ne fais pas exception), mais avec plus de cinq milliards de données sensibles volées en 2019, j'ai pensé qu'il serait plus précis de prédire ce que ne sera pas ce qui se produira dans le domaine de la cybersécurité en 2020, voire dans un avenir prévisible.
J'ai rencontré mon cofondateur, Matias Madou, et nous avons bien ri en dressant cette liste. Cela se veut un peu léger, mais cela vous fait réfléchir au long chemin qui reste à parcourir pour renforcer chaque organisation contre les cyberattaques malveillantes.
Maintenant, regardons notre boule de cristal et révélons nos prédictions. Nous ne verrons pas :
Les injections SQL ont été supprimées de tous les logiciels
Je pense que tous les professionnels de la sécurité de la planète attendent le jour où ils ne seront plus dérangés pour identifier les bogues d'injection SQL, ad nauseam.
Malheureusement, cela fait plus de vingt ans que nous attendons ce jour, et nous en attendrons encore au moins un autre. C'est la vulnérabilité qui, comme un cafard, a survécu à toutes les tactiques utilisées jusqu'à présent pour l'éradiquer définitivement.
C'est pour le moins frustrant, car le remède est connu depuis à peu près aussi longtemps. Cependant, la priorité accordée aux meilleures pratiques de sécurité à chaque étape du développement logiciel (en particulier dès le début) reste trop faible, et certainement insuffisante compte tenu de la forte augmentation de la production de code depuis la découverte de l'injection SQL.
(Vous souhaitez en savoir plus sur les modèles de codage susceptibles de conduire à une injection SQL ? Relevez le défi ici).
Les développeurs et AppSec deviennent de meilleurs amis
Ah, les développeurs et l'équipe AppSec. S'entendront-ils un jour ou sont-ils voués à une vie de rivalité comme Rocky contre Apollo ? La réponse courte est oui, ils peuvent s'entendre, mais à l'heure actuelle, leurs priorités sont souvent très différentes.
Lorsqu'ils se rencontrent dans le cadre d'un projet, ils sont sur des pages opposées et s'affrontent juste au dernier obstacle : lorsque les spécialistes AppSec examinent le code d'un développeur. Le développeur a créé de belles fonctionnalités fonctionnelles (ce qui est leur priorité absolue) qui sont détruites si des failles de sécurité sont découvertes. Le gourou de la sécurité logicielle a en effet traité son bébé de laid et a obligé le développeur à revenir en arrière et à corriger les bogues, retardant souvent le déploiement.
Dans l'état actuel des choses, cela ne sera pas résolu tant que les développeurs et les équipes AppSec ne travailleront pas vers un objectif commun, à savoir la création de logiciels sécurisés. Cela ne se produira pas par défaut en 2020 (et pour de nombreuses entreprises, quelques années plus tard), mais avec l'avènement du mouvement DevSecOps et au-delà, les développeurs reconnaissent la nécessité d'améliorer leurs compétences en matière de sécurité et de travailler selon des normes plus élevées, en incluant des objectifs de sécurité dès le départ.
Une offre excédentaire de professionnels de la sécurité
En 2020, 2025, 2030... il est presque garanti que nous manquerons de personnel dans le monde entier en matière d'expertise en matière de sécurité.
Selon un rapport de l'ISC (2), il existe environ 2,93 millions de postes en cybersécurité actuellement vide. La situation va certainement empirer avant de s'améliorer, et il n'y a aucune armée de sécurité cachée prête à venir à notre secours au cours des prochaines années.
Dans un avenir immédiat, notre meilleure chance de remédier à cette pénurie de compétences est de faire de la sécurité une priorité organisationnelle et de renforcer les compétences de notre personnel existant, ce qui implique de donner aux développeurs la formation et les outils nécessaires pour coder en toute sécurité, ainsi que de créer une culture de sécurité à l'échelle de l'entreprise. La plupart des équipes AppSec actuelles luttent probablement contre d'anciens bogues de sécurité bien connus (voir point 1 ci-dessus). Si nous veillons à ce qu'ils n'aient pas à consacrer un temps et des efforts précieux à la résolution de ces problèmes courants, ils disposeront de plus de bande passante pour se concentrer sur les problèmes de sécurité les plus complexes (pour le moment, ils sont susceptibles d'inclure des problèmes liés aux API, ainsi que des outils de création adaptés aux pipelines de développement).
Moins de code produit
Le monde se numérise à un rythme effarant et la demande sociétale ne faiblira pas. Environ 111 milliards de lignes de code sont écrites chaque année, et ce chiffre ne fera que croître et devenir de plus en plus terrifiant (pour les équipes AppSec déjà sollicitées, en tout cas).
L'augmentation du volume de code augmente inévitablement les failles de sécurité potentielles. C'est pourquoi penser que 2020 sera une année plus lente en termes de production de logiciels et de violations est à peu près aussi réaliste que les courses de licornes organisées au Grand National.
Diminution du vol d'enregistrements de données
Comme je l'ai dit, plus de code signifie plus de vulnérabilités, ce qui offre plus de possibilités aux attaquants de trouver un moyen de voler des données.
Au moins 5,3 milliards de dossiers ont été volés dans le monde en 2019, et la défense contre les attaquants reste une tâche un peu désespérée et réactive. Ce chiffre ne doublera peut-être pas au cours des douze prochains mois, mais je pense qu'il se rapprochera.
À titre d'exemple, examinons les tendances historiques des données volées signalées aux États-Unis d'une année sur l'autre :
Si l'on considère la période allant de 2005 à 2010, on constate une hausse constante avec un léger flux et reflux entre les années. C'est intéressant, mais un facteur important à souligner est qu'en 2009, il y a eu une forte baisse du nombre de violations signalées par rapport à 2008. Cependant, il y a eu une nette augmentation du nombre de dossiers volés malgré la diminution du nombre de violations.
Les enregistrements de données sont la nouvelle or ; ils ont de la valeur pour un attaquant. Le graphique reflète une tendance générale à la hausse des violations et nombre de dossiers volés, avec un pic énorme en 2017. Le nombre d'attaques a connu une tendance à la baisse en 2018, peut-être en raison du renforcement des mesures de sécurité, mais le nombre d'enregistrements obtenus n'a jamais été aussi élevé. Les cyberattaques deviendront de plus en plus sophistiquées et de plus en plus volumineuses et ne disparaîtront pas de sitôt. Et à l'échelle mondiale, il est peu probable que nous assistions à un ralentissement en 2020, car les entreprises produisent rapidement plus de logiciels que jamais auparavant. Ils sont les gardiens de nos données et doivent travailler plus intelligemment pour protéger notre vie privée.
Les développeurs exigent des formations vidéo à la sécurité plus longues et plus fréquentes
S'il y a une chose que les développeurs adorent, c'est de regarder des heures et des heures de vidéos de formation assistée par ordinateur (TCC). En fait, la demande pour ce contenu captivant est telle que Netflix annoncera une toute nouvelle sous-catégorie dédiée aux vidéos génériques de formation à la sécurité.
Euh, non. Ni maintenant, ni en 2020, ni jamais.
Pour les développeurs, leur introduction à la sécurité se fait souvent par le biais d'une formation à la conformité sur le lieu de travail. Le codage sécurisé fait rarement partie de leurs études supérieures, et la formation en cours d'emploi peut être la toute première rencontre avec la sécurité logicielle. Et, comme on pouvait s'y attendre, cela ne leur plaît pas souvent.
Pour que les développeurs prennent la sécurité au sérieux, et pour que la formation soit utile, elle doit être pertinente, attrayante et contextuelle à leur travail. Une formation ponctuelle sur la conformité, ou un flux interminable de vidéos ennuyeuses, n'est pas la solution idéale pour les développeurs et ne permettra pas de réduire les vulnérabilités.
Si vous voulez que la cohorte de développeurs ait la moindre chance de devenir une force défensive consciente de la sécurité contre les vulnérabilités courantes, demandez-leur de travailler avec de vrais exemples de code, du type qu'ils trouveraient dans leurs tâches quotidiennes. Faites en sorte que l'apprentissage soit de la taille d'une bouchée, facile à développer, et incitez-le en vous amusant. Pour qu'une culture de sécurité prospère, elle doit être positive, engageante et développer de véritables compétences et solutions au sein de l'organisation.
Qui sait ? Avec une formation adaptée, un développeur peut reconnaître le champion de la sécurité qui sommeille en lui et diffuser largement les avantages du codage sécurisé.
Aucun décès dû à un incident lié à la cybersécurité
OK, donc ce n'est clairement pas une question de rire. J'ai dit à de nombreuses reprises que le monde ne se soucierait tout simplement pas de la cybersécurité tant que des personnes ne commenceraient pas à mourir à la suite d'un incident lié à une cyberattaque.
Le problème, c'est que cela s'est déjà produit et que cela est passé largement inaperçu.
Cyberattaques contre des hôpitaux américains ont été associés à une augmentation des décès par crise cardiaque en 2019. Bien entendu, les attaquants n'ont pas provoqué d'événements cardiaques mortels chez les patients, mais leurs attaques par rançongiciel contre les systèmes et équipements des hôpitaux ont ralenti les délais de traitement des soins intensifs.
Ce étude de l'Université de Floride centrale a analysé 3 000 hôpitaux, dont 311 avaient subi une violation de données. Parmi les personnes touchées par un incident de sécurité, il a fallu en moyenne 2,7 minutes de plus pour faire passer un ECG aux victimes présumées d'une crise cardiaque, probablement en raison de modifications procédurales, de nouvelles mesures de sécurité mises en œuvre et de problèmes d'assistance informatique qui ont pris plus de temps qu'auparavant. Identifier et traiter une crise cardiaque est une course contre la montre, et ces hôpitaux ont enregistré en moyenne 36 décès supplémentaires pour 10 000 crises cardiaques par an.
C'est choquant et, malheureusement, je pense que la situation ne fera qu'empirer avant de s'améliorer. Cela devrait nous rappeler brutalement que nous devons tous redoubler d'efforts pour améliorer la sécurité des logiciels et la placer au cœur de toutes les activités.
Moins d'images de stock de « hackers cagoulés »
Si vous tapez « hacker » dans une recherche d'images, vous découvrirez inévitablement des milliers d'images d'un personnage cagoulé et sans visage tapant sur un ordinateur portable, ou d'un personnage similaire masqué par Guy Fawkes.
Cette image stéréotypée d'un hacker est vraiment fatigante et fait passer tout le monde pour un méchant. Il existe de nombreuses personnes douées pour la sécurité, et les connotations négatives qui entourent l'image de « hacker » ne rendent pas service à tout le monde.
Est-ce que je pense que cela va bientôt changer ? Probablement pas, mais c'est agréable de rêver. Pour l'instant, il est important de se rappeler que la sécurité n'a pas à être effrayante.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de formación sobre el código seguro
Nuestro contenido de vanguardia evoluciona constantemente para adaptarse al panorama en constante cambio del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la IA hasta la inyección de XQuery, ofrecidos para una variedad de puestos, desde arquitectos hasta ingenieros, pasando por jefes de producto y control de calidad. Descubra una visión general de lo que nuestro catálogo de contenidos tiene para ofrecer por tema y por función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon está de vuelta: las missions Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible todo el año en SCW. Implemente desafíos de seguridad avanzados relacionados con la IA y el LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la ley sobre ciberresiliencia: lo que significa para el desarrollo de software seguro desde el diseño.
Descubra qué exige la ley europea sobre ciberresiliencia (CRA), a quién se aplica y cómo los equipos de ingenieros pueden prepararse mediante prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el refuerzo de las capacidades de los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 da inicio a nuestra serie de 10 partes titulada «Facilitadores del éxito», mostrando cómo combinar la codificación segura con resultados comerciales, como la reducción de riesgos y la rapidez, para garantizar la madurez a largo plazo de los programas.
