Analyse du secteur de la cybersécurité : une autre vulnérabilité récurrente à corriger
Une version de cet article a été publiée dans Help Net Security. Il a été mis à jour et diffusé ici.
J'ai passé ma carrière à trouver, à corriger, à discuter et à décomposer vulnérabilités logicielles, d'une manière ou d'une autre. Je sais qu'en ce qui concerne certains bogues de sécurité courants, bien qu'ils soient sur notre orbite depuis les années 90, ils continuent de sévir dans nos logiciels et de provoquer des problèmes majeurs, même si le correctif (souvent simple) est connu depuis presque aussi longtemps. C'est vraiment comme le jour de la marmotte, où, en tant qu'industrie, nous semblons faire la même chose encore et encore et nous attendre à un résultat différent.
Il y a cependant un autre petit problème. Nous ne recevons pas de conseils réalistes, ni de solutions les plus rapides, pour combattre l'assaut incessant qu'est la cybersécurité moderne. Bien entendu, chaque faille est différente à sa manière, et de nombreux vecteurs d'attaque peuvent être exploités dans des logiciels vulnérables. Les conseils génériques réalisables seront limités, mais l'approche des meilleures pratiques semble de plus en plus imparfaite d'heure en heure.
À cette fin, je me demande pourquoi tant de commentaires et d'analyses sur la cybersécurité omettent les solutions qui s'attaquent réellement à la cause première de tant de vulnérabilités : les humains. Le plus récent rapport de Gartner Hype Cycle pour la sécurité des applications, et celui de Forrester L'état de la sécurité des applications en 2021, deux bibles destinées aux experts en sécurité qui contribuent sans aucun doute à façonner leur programme et à l'adoption potentielle de leurs produits, sont presque entièrement axées sur les outils. Un rapport publié par Aberdeen en 2017 a montré à quel point la technologie de sécurité moyenne était devenue indisciplinée, alors que les RSSI gèrent des centaines de produits dans le cadre de leurs stratégies de sécurité ; quatre ans plus tard, nous sommes confrontés à de nouveaux risques, à de nouvelles vulnérabilités et à de nouveaux ajouts à une pile technologique en pleine croissance.
L'outillage de sécurité est indispensable, mais nous devons avoir une vision plus large et rétablir l'équilibre entre la composante humaine de la défense de la sécurité.
L'automatisation, c'est l'avenir. Pourquoi devrions-nous nous intéresser à l'aspect humain de la cybersécurité ?
Pratiquement tout dans notre vie est alimenté par des logiciels, et il est vrai que l'automatisation remplace les éléments humains qui étaient autrefois présents dans de nombreux secteurs. C'est un signe de progrès dans un monde qui se numérise à toute vitesse, avec des sujets d'actualité liés à l'IA et à l'apprentissage automatique qui permettent à de nombreuses organisations de se concentrer sur l'avenir.
Alors, pourquoi une approche de la cybersécurité axée sur l'humain serait-elle autre chose qu'une solution obsolète à un problème technologiquement avancé ? Le fait que des milliards d'enregistrements de données aient été volés lors de violations au cours de l'année écoulée, y compris la plus récente violation de Facebook affectant plus d'un demi-milliard de comptes, devrait indiquer que nous n'en faisons pas assez (ou que nous n'adoptons pas la bonne approche) pour contrer sérieusement les acteurs de la menace.
Les outils de cybersécurité sont une composante indispensable de la cyberdéfense, et les outils auront toujours leur place. Les analystes ont tout à fait raison de recommander les outils les plus récents en matière d'approche d'atténuation des risques pour les entreprises, et cela ne changera pas. Cependant, étant donné que la qualité du code (et, par définition, la sécurité) est difficile à gérer au moment de la production de code, les outils ne peuvent pas faire le travail seuls. À ce jour, il n'existe pas d'outil unique capable de :
- Scannez toutes les vulnérabilités, dans tous les langages : framework
- Scannez rapidement
- Minimiser la double manipulation causée par les faux positifs et les faux négatifs
Les outils peuvent être lents, encombrants et peu maniables. Mais surtout, ils ne trouvent que des problèmes, ils ne les résolvent pas et ne recommandent pas de solutions. Dans ce dernier cas, des experts en sécurité, peu nombreux et surchargés de travail, doivent fouiller dans les poubelles pour trouver des trésors grâce à des résultats interminables de pentests et de scans.
Le fait est que, selon le rapport IBM Cyber Security Intelligence Index, l'erreur humaine joue un rôle dans 95 % de toutes les violations de données réussies. Presque la moitié d'entre eux directement liés à vulnérabilités logicielles, dont beaucoup pourraient être atténués s'il y avait une plus grande adhésion au codage sécurisé et une sensibilisation accrue dès les premiers stades du SDLC. Cependant, pour y parvenir, il est essentiel de mettre davantage l'accent sur la formation des développeurs, en plus de la rendre intrinsèque à leur flux de travail.
Que cela nous plaise ou non, les humains sont profondément ancrés dans le processus de développement logiciel et la cybersécurité est avant tout un problème humain. Les outils ne seront pas un fourre-tout pour corriger une faille fondamentale de notre approche, mais ils peuvent jouer un rôle de soutien clé dans la refonte de solutions humaines.
Et si nous créions simplement de meilleurs outils (et beaucoup d'entre eux) ?
Les outils de sécurité ne cessent de s'améliorer. Les outils SAST/DAST/IAST ont parcouru un long chemin, améliorant leur vitesse et leur intelligence, et le RASP devrait constituer une considération défensive sérieuse dans de nombreux environnements d'application. Pare-feux, gestionnaires de secrets, applications de sécurité du cloud et des réseaux : tout cela va de soi.
Les humains peuvent toujours s'efforcer de créer de meilleurs outils, mais l'innovation ne répond pas aux besoins de sécurité et de protection des données du monde numérique dans lequel nous vivons. Les outils sont, pour la plupart, conçus pour les robots. Ils peuvent être là pour aider les développeurs et l'équipe de sécurité à scanner, surveiller ou protéger le code, mais l'interaction est très limitée et très peu de solutions visent à renforcer la sensibilisation à la sécurité ou à améliorer les compétences de base susceptibles d'améliorer les résultats en matière de sécurité.
En fait, plus de la moitié des entreprises ne savent même pas si les outils fonctionnent pour elles, ils ne sont pas non plus convaincus de pouvoir éviter une violation de données dévastatrice. C'est un très mauvais sentiment, et dans un secteur obsédé par les outils qui n'est pas soutenu pour une approche différente, cela tend à consolider le statu quo et à résoudre les problèmes qui s'y rattachent.
Comment une organisation peut-elle tirer parti d'une approche de la sécurité dirigée par l'homme ?
Il ne fait aucun doute qu'il est bénéfique de rester à l'avant-garde des tendances en matière de technologie de sécurité des applications, et peut même aider à hiérarchiser les mises à niveau ou les consolidations au sein d'une pile technologique surchargée, mais renoncer à cibler la cause première des logiciels vulnérables, nous ne sommes que des humains, nous resterons du côté des perdants sur le front de la cybersécurité.
Si nous voulons sérieusement réduire le nombre de failles de sécurité au niveau du code, les développeurs doivent disposer des bases nécessaires pour réussir à partager la responsabilité en matière de sécurité. Ils ont besoin d'une formation pratique et pertinente, de compétences en cours d'emploi et d'outils fonctionnels qui ne perturbent pas leur flux de travail et ne font pas de la sécurité une corvée à développer. Dans l'idéal, certains outils seraient centrés sur les développeurs et conçus en mettant l'expérience utilisateur au premier plan.
À ce jour, il n'existe aucun programme de certification de sécurité officiel pour les développeurs, mais chaque entreprise peut bénéficier de l'analyse comparative et du développement des compétences en matière de codage sécurisé, en éliminant les vulnérabilités courantes tôt et souvent, avant que cette grande pile technologique ne doive entrer en action et tout ralentir.
Une équipe de développeurs soucieux de la sécurité est un trésor caché pour toute organisation, mais comme pour tout ce qui en vaut la peine, il faudra du temps et des efforts pour mettre en place une équipe de rêve efficace. Pour convaincre les développeurs de se soucier de la sécurité et de considérer le codage sécurisé comme la base de la qualité du code, l'ensemble de l'organisation doit s'engager à placer la sécurité au premier plan. Et lorsque des équipes entières sont sensibilisées à l'impact positif qu'elles peuvent jouer en éliminant les vulnérabilités courantes au fur et à mesure de l'écriture du code, aucun outil sur Terre ne peut rivaliser.
Nous ne recevons pas de conseils réalistes, ni de solutions les plus rapides, pour combattre l'assaut incessant qu'est la cybersécurité moderne. Bien entendu, chaque faille est différente à sa manière et de nombreux vecteurs d'attaque peuvent être exploités dans des logiciels vulnérables. Les conseils génériques réalisables seront limités, mais l'approche des meilleures pratiques semble de plus en plus imparfaite d'heure en heure.
Director General, Presidente y Cofundador
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été publiée dans Help Net Security. Il a été mis à jour et diffusé ici.
J'ai passé ma carrière à trouver, à corriger, à discuter et à décomposer vulnérabilités logicielles, d'une manière ou d'une autre. Je sais qu'en ce qui concerne certains bogues de sécurité courants, bien qu'ils soient sur notre orbite depuis les années 90, ils continuent de sévir dans nos logiciels et de provoquer des problèmes majeurs, même si le correctif (souvent simple) est connu depuis presque aussi longtemps. C'est vraiment comme le jour de la marmotte, où, en tant qu'industrie, nous semblons faire la même chose encore et encore et nous attendre à un résultat différent.
Il y a cependant un autre petit problème. Nous ne recevons pas de conseils réalistes, ni de solutions les plus rapides, pour combattre l'assaut incessant qu'est la cybersécurité moderne. Bien entendu, chaque faille est différente à sa manière, et de nombreux vecteurs d'attaque peuvent être exploités dans des logiciels vulnérables. Les conseils génériques réalisables seront limités, mais l'approche des meilleures pratiques semble de plus en plus imparfaite d'heure en heure.
À cette fin, je me demande pourquoi tant de commentaires et d'analyses sur la cybersécurité omettent les solutions qui s'attaquent réellement à la cause première de tant de vulnérabilités : les humains. Le plus récent rapport de Gartner Hype Cycle pour la sécurité des applications, et celui de Forrester L'état de la sécurité des applications en 2021, deux bibles destinées aux experts en sécurité qui contribuent sans aucun doute à façonner leur programme et à l'adoption potentielle de leurs produits, sont presque entièrement axées sur les outils. Un rapport publié par Aberdeen en 2017 a montré à quel point la technologie de sécurité moyenne était devenue indisciplinée, alors que les RSSI gèrent des centaines de produits dans le cadre de leurs stratégies de sécurité ; quatre ans plus tard, nous sommes confrontés à de nouveaux risques, à de nouvelles vulnérabilités et à de nouveaux ajouts à une pile technologique en pleine croissance.
L'outillage de sécurité est indispensable, mais nous devons avoir une vision plus large et rétablir l'équilibre entre la composante humaine de la défense de la sécurité.
L'automatisation, c'est l'avenir. Pourquoi devrions-nous nous intéresser à l'aspect humain de la cybersécurité ?
Pratiquement tout dans notre vie est alimenté par des logiciels, et il est vrai que l'automatisation remplace les éléments humains qui étaient autrefois présents dans de nombreux secteurs. C'est un signe de progrès dans un monde qui se numérise à toute vitesse, avec des sujets d'actualité liés à l'IA et à l'apprentissage automatique qui permettent à de nombreuses organisations de se concentrer sur l'avenir.
Alors, pourquoi une approche de la cybersécurité axée sur l'humain serait-elle autre chose qu'une solution obsolète à un problème technologiquement avancé ? Le fait que des milliards d'enregistrements de données aient été volés lors de violations au cours de l'année écoulée, y compris la plus récente violation de Facebook affectant plus d'un demi-milliard de comptes, devrait indiquer que nous n'en faisons pas assez (ou que nous n'adoptons pas la bonne approche) pour contrer sérieusement les acteurs de la menace.
Les outils de cybersécurité sont une composante indispensable de la cyberdéfense, et les outils auront toujours leur place. Les analystes ont tout à fait raison de recommander les outils les plus récents en matière d'approche d'atténuation des risques pour les entreprises, et cela ne changera pas. Cependant, étant donné que la qualité du code (et, par définition, la sécurité) est difficile à gérer au moment de la production de code, les outils ne peuvent pas faire le travail seuls. À ce jour, il n'existe pas d'outil unique capable de :
- Scannez toutes les vulnérabilités, dans tous les langages : framework
- Scannez rapidement
- Minimiser la double manipulation causée par les faux positifs et les faux négatifs
Les outils peuvent être lents, encombrants et peu maniables. Mais surtout, ils ne trouvent que des problèmes, ils ne les résolvent pas et ne recommandent pas de solutions. Dans ce dernier cas, des experts en sécurité, peu nombreux et surchargés de travail, doivent fouiller dans les poubelles pour trouver des trésors grâce à des résultats interminables de pentests et de scans.
Le fait est que, selon le rapport IBM Cyber Security Intelligence Index, l'erreur humaine joue un rôle dans 95 % de toutes les violations de données réussies. Presque la moitié d'entre eux directement liés à vulnérabilités logicielles, dont beaucoup pourraient être atténués s'il y avait une plus grande adhésion au codage sécurisé et une sensibilisation accrue dès les premiers stades du SDLC. Cependant, pour y parvenir, il est essentiel de mettre davantage l'accent sur la formation des développeurs, en plus de la rendre intrinsèque à leur flux de travail.
Que cela nous plaise ou non, les humains sont profondément ancrés dans le processus de développement logiciel et la cybersécurité est avant tout un problème humain. Les outils ne seront pas un fourre-tout pour corriger une faille fondamentale de notre approche, mais ils peuvent jouer un rôle de soutien clé dans la refonte de solutions humaines.
Et si nous créions simplement de meilleurs outils (et beaucoup d'entre eux) ?
Les outils de sécurité ne cessent de s'améliorer. Les outils SAST/DAST/IAST ont parcouru un long chemin, améliorant leur vitesse et leur intelligence, et le RASP devrait constituer une considération défensive sérieuse dans de nombreux environnements d'application. Pare-feux, gestionnaires de secrets, applications de sécurité du cloud et des réseaux : tout cela va de soi.
Les humains peuvent toujours s'efforcer de créer de meilleurs outils, mais l'innovation ne répond pas aux besoins de sécurité et de protection des données du monde numérique dans lequel nous vivons. Les outils sont, pour la plupart, conçus pour les robots. Ils peuvent être là pour aider les développeurs et l'équipe de sécurité à scanner, surveiller ou protéger le code, mais l'interaction est très limitée et très peu de solutions visent à renforcer la sensibilisation à la sécurité ou à améliorer les compétences de base susceptibles d'améliorer les résultats en matière de sécurité.
En fait, plus de la moitié des entreprises ne savent même pas si les outils fonctionnent pour elles, ils ne sont pas non plus convaincus de pouvoir éviter une violation de données dévastatrice. C'est un très mauvais sentiment, et dans un secteur obsédé par les outils qui n'est pas soutenu pour une approche différente, cela tend à consolider le statu quo et à résoudre les problèmes qui s'y rattachent.
Comment une organisation peut-elle tirer parti d'une approche de la sécurité dirigée par l'homme ?
Il ne fait aucun doute qu'il est bénéfique de rester à l'avant-garde des tendances en matière de technologie de sécurité des applications, et peut même aider à hiérarchiser les mises à niveau ou les consolidations au sein d'une pile technologique surchargée, mais renoncer à cibler la cause première des logiciels vulnérables, nous ne sommes que des humains, nous resterons du côté des perdants sur le front de la cybersécurité.
Si nous voulons sérieusement réduire le nombre de failles de sécurité au niveau du code, les développeurs doivent disposer des bases nécessaires pour réussir à partager la responsabilité en matière de sécurité. Ils ont besoin d'une formation pratique et pertinente, de compétences en cours d'emploi et d'outils fonctionnels qui ne perturbent pas leur flux de travail et ne font pas de la sécurité une corvée à développer. Dans l'idéal, certains outils seraient centrés sur les développeurs et conçus en mettant l'expérience utilisateur au premier plan.
À ce jour, il n'existe aucun programme de certification de sécurité officiel pour les développeurs, mais chaque entreprise peut bénéficier de l'analyse comparative et du développement des compétences en matière de codage sécurisé, en éliminant les vulnérabilités courantes tôt et souvent, avant que cette grande pile technologique ne doive entrer en action et tout ralentir.
Une équipe de développeurs soucieux de la sécurité est un trésor caché pour toute organisation, mais comme pour tout ce qui en vaut la peine, il faudra du temps et des efforts pour mettre en place une équipe de rêve efficace. Pour convaincre les développeurs de se soucier de la sécurité et de considérer le codage sécurisé comme la base de la qualité du code, l'ensemble de l'organisation doit s'engager à placer la sécurité au premier plan. Et lorsque des équipes entières sont sensibilisées à l'impact positif qu'elles peuvent jouer en éliminant les vulnérabilités courantes au fur et à mesure de l'écriture du code, aucun outil sur Terre ne peut rivaliser.
Une version de cet article a été publiée dans Help Net Security. Il a été mis à jour et diffusé ici.
J'ai passé ma carrière à trouver, à corriger, à discuter et à décomposer vulnérabilités logicielles, d'une manière ou d'une autre. Je sais qu'en ce qui concerne certains bogues de sécurité courants, bien qu'ils soient sur notre orbite depuis les années 90, ils continuent de sévir dans nos logiciels et de provoquer des problèmes majeurs, même si le correctif (souvent simple) est connu depuis presque aussi longtemps. C'est vraiment comme le jour de la marmotte, où, en tant qu'industrie, nous semblons faire la même chose encore et encore et nous attendre à un résultat différent.
Il y a cependant un autre petit problème. Nous ne recevons pas de conseils réalistes, ni de solutions les plus rapides, pour combattre l'assaut incessant qu'est la cybersécurité moderne. Bien entendu, chaque faille est différente à sa manière, et de nombreux vecteurs d'attaque peuvent être exploités dans des logiciels vulnérables. Les conseils génériques réalisables seront limités, mais l'approche des meilleures pratiques semble de plus en plus imparfaite d'heure en heure.
À cette fin, je me demande pourquoi tant de commentaires et d'analyses sur la cybersécurité omettent les solutions qui s'attaquent réellement à la cause première de tant de vulnérabilités : les humains. Le plus récent rapport de Gartner Hype Cycle pour la sécurité des applications, et celui de Forrester L'état de la sécurité des applications en 2021, deux bibles destinées aux experts en sécurité qui contribuent sans aucun doute à façonner leur programme et à l'adoption potentielle de leurs produits, sont presque entièrement axées sur les outils. Un rapport publié par Aberdeen en 2017 a montré à quel point la technologie de sécurité moyenne était devenue indisciplinée, alors que les RSSI gèrent des centaines de produits dans le cadre de leurs stratégies de sécurité ; quatre ans plus tard, nous sommes confrontés à de nouveaux risques, à de nouvelles vulnérabilités et à de nouveaux ajouts à une pile technologique en pleine croissance.
L'outillage de sécurité est indispensable, mais nous devons avoir une vision plus large et rétablir l'équilibre entre la composante humaine de la défense de la sécurité.
L'automatisation, c'est l'avenir. Pourquoi devrions-nous nous intéresser à l'aspect humain de la cybersécurité ?
Pratiquement tout dans notre vie est alimenté par des logiciels, et il est vrai que l'automatisation remplace les éléments humains qui étaient autrefois présents dans de nombreux secteurs. C'est un signe de progrès dans un monde qui se numérise à toute vitesse, avec des sujets d'actualité liés à l'IA et à l'apprentissage automatique qui permettent à de nombreuses organisations de se concentrer sur l'avenir.
Alors, pourquoi une approche de la cybersécurité axée sur l'humain serait-elle autre chose qu'une solution obsolète à un problème technologiquement avancé ? Le fait que des milliards d'enregistrements de données aient été volés lors de violations au cours de l'année écoulée, y compris la plus récente violation de Facebook affectant plus d'un demi-milliard de comptes, devrait indiquer que nous n'en faisons pas assez (ou que nous n'adoptons pas la bonne approche) pour contrer sérieusement les acteurs de la menace.
Les outils de cybersécurité sont une composante indispensable de la cyberdéfense, et les outils auront toujours leur place. Les analystes ont tout à fait raison de recommander les outils les plus récents en matière d'approche d'atténuation des risques pour les entreprises, et cela ne changera pas. Cependant, étant donné que la qualité du code (et, par définition, la sécurité) est difficile à gérer au moment de la production de code, les outils ne peuvent pas faire le travail seuls. À ce jour, il n'existe pas d'outil unique capable de :
- Scannez toutes les vulnérabilités, dans tous les langages : framework
- Scannez rapidement
- Minimiser la double manipulation causée par les faux positifs et les faux négatifs
Les outils peuvent être lents, encombrants et peu maniables. Mais surtout, ils ne trouvent que des problèmes, ils ne les résolvent pas et ne recommandent pas de solutions. Dans ce dernier cas, des experts en sécurité, peu nombreux et surchargés de travail, doivent fouiller dans les poubelles pour trouver des trésors grâce à des résultats interminables de pentests et de scans.
Le fait est que, selon le rapport IBM Cyber Security Intelligence Index, l'erreur humaine joue un rôle dans 95 % de toutes les violations de données réussies. Presque la moitié d'entre eux directement liés à vulnérabilités logicielles, dont beaucoup pourraient être atténués s'il y avait une plus grande adhésion au codage sécurisé et une sensibilisation accrue dès les premiers stades du SDLC. Cependant, pour y parvenir, il est essentiel de mettre davantage l'accent sur la formation des développeurs, en plus de la rendre intrinsèque à leur flux de travail.
Que cela nous plaise ou non, les humains sont profondément ancrés dans le processus de développement logiciel et la cybersécurité est avant tout un problème humain. Les outils ne seront pas un fourre-tout pour corriger une faille fondamentale de notre approche, mais ils peuvent jouer un rôle de soutien clé dans la refonte de solutions humaines.
Et si nous créions simplement de meilleurs outils (et beaucoup d'entre eux) ?
Les outils de sécurité ne cessent de s'améliorer. Les outils SAST/DAST/IAST ont parcouru un long chemin, améliorant leur vitesse et leur intelligence, et le RASP devrait constituer une considération défensive sérieuse dans de nombreux environnements d'application. Pare-feux, gestionnaires de secrets, applications de sécurité du cloud et des réseaux : tout cela va de soi.
Les humains peuvent toujours s'efforcer de créer de meilleurs outils, mais l'innovation ne répond pas aux besoins de sécurité et de protection des données du monde numérique dans lequel nous vivons. Les outils sont, pour la plupart, conçus pour les robots. Ils peuvent être là pour aider les développeurs et l'équipe de sécurité à scanner, surveiller ou protéger le code, mais l'interaction est très limitée et très peu de solutions visent à renforcer la sensibilisation à la sécurité ou à améliorer les compétences de base susceptibles d'améliorer les résultats en matière de sécurité.
En fait, plus de la moitié des entreprises ne savent même pas si les outils fonctionnent pour elles, ils ne sont pas non plus convaincus de pouvoir éviter une violation de données dévastatrice. C'est un très mauvais sentiment, et dans un secteur obsédé par les outils qui n'est pas soutenu pour une approche différente, cela tend à consolider le statu quo et à résoudre les problèmes qui s'y rattachent.
Comment une organisation peut-elle tirer parti d'une approche de la sécurité dirigée par l'homme ?
Il ne fait aucun doute qu'il est bénéfique de rester à l'avant-garde des tendances en matière de technologie de sécurité des applications, et peut même aider à hiérarchiser les mises à niveau ou les consolidations au sein d'une pile technologique surchargée, mais renoncer à cibler la cause première des logiciels vulnérables, nous ne sommes que des humains, nous resterons du côté des perdants sur le front de la cybersécurité.
Si nous voulons sérieusement réduire le nombre de failles de sécurité au niveau du code, les développeurs doivent disposer des bases nécessaires pour réussir à partager la responsabilité en matière de sécurité. Ils ont besoin d'une formation pratique et pertinente, de compétences en cours d'emploi et d'outils fonctionnels qui ne perturbent pas leur flux de travail et ne font pas de la sécurité une corvée à développer. Dans l'idéal, certains outils seraient centrés sur les développeurs et conçus en mettant l'expérience utilisateur au premier plan.
À ce jour, il n'existe aucun programme de certification de sécurité officiel pour les développeurs, mais chaque entreprise peut bénéficier de l'analyse comparative et du développement des compétences en matière de codage sécurisé, en éliminant les vulnérabilités courantes tôt et souvent, avant que cette grande pile technologique ne doive entrer en action et tout ralentir.
Une équipe de développeurs soucieux de la sécurité est un trésor caché pour toute organisation, mais comme pour tout ce qui en vaut la peine, il faudra du temps et des efforts pour mettre en place une équipe de rêve efficace. Pour convaincre les développeurs de se soucier de la sécurité et de considérer le codage sécurisé comme la base de la qualité du code, l'ensemble de l'organisation doit s'engager à placer la sécurité au premier plan. Et lorsque des équipes entières sont sensibilisées à l'impact positif qu'elles peuvent jouer en éliminant les vulnérabilités courantes au fur et à mesure de l'écriture du code, aucun outil sur Terre ne peut rivaliser.
Haga clic en el enlace siguiente y descargue el PDF de este recurso.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Mostrar el informeReserve una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été publiée dans Help Net Security. Il a été mis à jour et diffusé ici.
J'ai passé ma carrière à trouver, à corriger, à discuter et à décomposer vulnérabilités logicielles, d'une manière ou d'une autre. Je sais qu'en ce qui concerne certains bogues de sécurité courants, bien qu'ils soient sur notre orbite depuis les années 90, ils continuent de sévir dans nos logiciels et de provoquer des problèmes majeurs, même si le correctif (souvent simple) est connu depuis presque aussi longtemps. C'est vraiment comme le jour de la marmotte, où, en tant qu'industrie, nous semblons faire la même chose encore et encore et nous attendre à un résultat différent.
Il y a cependant un autre petit problème. Nous ne recevons pas de conseils réalistes, ni de solutions les plus rapides, pour combattre l'assaut incessant qu'est la cybersécurité moderne. Bien entendu, chaque faille est différente à sa manière, et de nombreux vecteurs d'attaque peuvent être exploités dans des logiciels vulnérables. Les conseils génériques réalisables seront limités, mais l'approche des meilleures pratiques semble de plus en plus imparfaite d'heure en heure.
À cette fin, je me demande pourquoi tant de commentaires et d'analyses sur la cybersécurité omettent les solutions qui s'attaquent réellement à la cause première de tant de vulnérabilités : les humains. Le plus récent rapport de Gartner Hype Cycle pour la sécurité des applications, et celui de Forrester L'état de la sécurité des applications en 2021, deux bibles destinées aux experts en sécurité qui contribuent sans aucun doute à façonner leur programme et à l'adoption potentielle de leurs produits, sont presque entièrement axées sur les outils. Un rapport publié par Aberdeen en 2017 a montré à quel point la technologie de sécurité moyenne était devenue indisciplinée, alors que les RSSI gèrent des centaines de produits dans le cadre de leurs stratégies de sécurité ; quatre ans plus tard, nous sommes confrontés à de nouveaux risques, à de nouvelles vulnérabilités et à de nouveaux ajouts à une pile technologique en pleine croissance.
L'outillage de sécurité est indispensable, mais nous devons avoir une vision plus large et rétablir l'équilibre entre la composante humaine de la défense de la sécurité.
L'automatisation, c'est l'avenir. Pourquoi devrions-nous nous intéresser à l'aspect humain de la cybersécurité ?
Pratiquement tout dans notre vie est alimenté par des logiciels, et il est vrai que l'automatisation remplace les éléments humains qui étaient autrefois présents dans de nombreux secteurs. C'est un signe de progrès dans un monde qui se numérise à toute vitesse, avec des sujets d'actualité liés à l'IA et à l'apprentissage automatique qui permettent à de nombreuses organisations de se concentrer sur l'avenir.
Alors, pourquoi une approche de la cybersécurité axée sur l'humain serait-elle autre chose qu'une solution obsolète à un problème technologiquement avancé ? Le fait que des milliards d'enregistrements de données aient été volés lors de violations au cours de l'année écoulée, y compris la plus récente violation de Facebook affectant plus d'un demi-milliard de comptes, devrait indiquer que nous n'en faisons pas assez (ou que nous n'adoptons pas la bonne approche) pour contrer sérieusement les acteurs de la menace.
Les outils de cybersécurité sont une composante indispensable de la cyberdéfense, et les outils auront toujours leur place. Les analystes ont tout à fait raison de recommander les outils les plus récents en matière d'approche d'atténuation des risques pour les entreprises, et cela ne changera pas. Cependant, étant donné que la qualité du code (et, par définition, la sécurité) est difficile à gérer au moment de la production de code, les outils ne peuvent pas faire le travail seuls. À ce jour, il n'existe pas d'outil unique capable de :
- Scannez toutes les vulnérabilités, dans tous les langages : framework
- Scannez rapidement
- Minimiser la double manipulation causée par les faux positifs et les faux négatifs
Les outils peuvent être lents, encombrants et peu maniables. Mais surtout, ils ne trouvent que des problèmes, ils ne les résolvent pas et ne recommandent pas de solutions. Dans ce dernier cas, des experts en sécurité, peu nombreux et surchargés de travail, doivent fouiller dans les poubelles pour trouver des trésors grâce à des résultats interminables de pentests et de scans.
Le fait est que, selon le rapport IBM Cyber Security Intelligence Index, l'erreur humaine joue un rôle dans 95 % de toutes les violations de données réussies. Presque la moitié d'entre eux directement liés à vulnérabilités logicielles, dont beaucoup pourraient être atténués s'il y avait une plus grande adhésion au codage sécurisé et une sensibilisation accrue dès les premiers stades du SDLC. Cependant, pour y parvenir, il est essentiel de mettre davantage l'accent sur la formation des développeurs, en plus de la rendre intrinsèque à leur flux de travail.
Que cela nous plaise ou non, les humains sont profondément ancrés dans le processus de développement logiciel et la cybersécurité est avant tout un problème humain. Les outils ne seront pas un fourre-tout pour corriger une faille fondamentale de notre approche, mais ils peuvent jouer un rôle de soutien clé dans la refonte de solutions humaines.
Et si nous créions simplement de meilleurs outils (et beaucoup d'entre eux) ?
Les outils de sécurité ne cessent de s'améliorer. Les outils SAST/DAST/IAST ont parcouru un long chemin, améliorant leur vitesse et leur intelligence, et le RASP devrait constituer une considération défensive sérieuse dans de nombreux environnements d'application. Pare-feux, gestionnaires de secrets, applications de sécurité du cloud et des réseaux : tout cela va de soi.
Les humains peuvent toujours s'efforcer de créer de meilleurs outils, mais l'innovation ne répond pas aux besoins de sécurité et de protection des données du monde numérique dans lequel nous vivons. Les outils sont, pour la plupart, conçus pour les robots. Ils peuvent être là pour aider les développeurs et l'équipe de sécurité à scanner, surveiller ou protéger le code, mais l'interaction est très limitée et très peu de solutions visent à renforcer la sensibilisation à la sécurité ou à améliorer les compétences de base susceptibles d'améliorer les résultats en matière de sécurité.
En fait, plus de la moitié des entreprises ne savent même pas si les outils fonctionnent pour elles, ils ne sont pas non plus convaincus de pouvoir éviter une violation de données dévastatrice. C'est un très mauvais sentiment, et dans un secteur obsédé par les outils qui n'est pas soutenu pour une approche différente, cela tend à consolider le statu quo et à résoudre les problèmes qui s'y rattachent.
Comment une organisation peut-elle tirer parti d'une approche de la sécurité dirigée par l'homme ?
Il ne fait aucun doute qu'il est bénéfique de rester à l'avant-garde des tendances en matière de technologie de sécurité des applications, et peut même aider à hiérarchiser les mises à niveau ou les consolidations au sein d'une pile technologique surchargée, mais renoncer à cibler la cause première des logiciels vulnérables, nous ne sommes que des humains, nous resterons du côté des perdants sur le front de la cybersécurité.
Si nous voulons sérieusement réduire le nombre de failles de sécurité au niveau du code, les développeurs doivent disposer des bases nécessaires pour réussir à partager la responsabilité en matière de sécurité. Ils ont besoin d'une formation pratique et pertinente, de compétences en cours d'emploi et d'outils fonctionnels qui ne perturbent pas leur flux de travail et ne font pas de la sécurité une corvée à développer. Dans l'idéal, certains outils seraient centrés sur les développeurs et conçus en mettant l'expérience utilisateur au premier plan.
À ce jour, il n'existe aucun programme de certification de sécurité officiel pour les développeurs, mais chaque entreprise peut bénéficier de l'analyse comparative et du développement des compétences en matière de codage sécurisé, en éliminant les vulnérabilités courantes tôt et souvent, avant que cette grande pile technologique ne doive entrer en action et tout ralentir.
Une équipe de développeurs soucieux de la sécurité est un trésor caché pour toute organisation, mais comme pour tout ce qui en vaut la peine, il faudra du temps et des efforts pour mettre en place une équipe de rêve efficace. Pour convaincre les développeurs de se soucier de la sécurité et de considérer le codage sécurisé comme la base de la qualité du code, l'ensemble de l'organisation doit s'engager à placer la sécurité au premier plan. Et lorsque des équipes entières sont sensibilisées à l'impact positif qu'elles peuvent jouer en éliminant les vulnérabilités courantes au fur et à mesure de l'écriture du code, aucun outil sur Terre ne peut rivaliser.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de formación sobre el código seguro
Nuestro contenido de vanguardia evoluciona constantemente para adaptarse al panorama en constante cambio del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la IA hasta la inyección de XQuery, ofrecidos para una variedad de puestos, desde arquitectos hasta ingenieros, pasando por jefes de producto y control de calidad. Descubra una visión general de lo que nuestro catálogo de contenidos tiene para ofrecer por tema y por función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon está de vuelta: las missions Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible todo el año en SCW. Implemente desafíos de seguridad avanzados relacionados con la IA y el LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la ley sobre ciberresiliencia: lo que significa para el desarrollo de software seguro desde el diseño.
Descubra qué exige la ley europea sobre ciberresiliencia (CRA), a quién se aplica y cómo los equipos de ingenieros pueden prepararse mediante prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el refuerzo de las capacidades de los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 da inicio a nuestra serie de 10 partes titulada «Facilitadores del éxito», mostrando cómo combinar la codificación segura con resultados comerciales, como la reducción de riesgos y la rapidez, para garantizar la madurez a largo plazo de los programas.
