La sécurité logicielle est dans le Far West (et elle va nous faire tuer)
Publié à l'origine dans CSO en ligne
En tant que hacker éthique (semi-retraité), professionnel de la sécurité et passionné d'informatique, on peut dire que je tiens beaucoup à la technologie. Je m'intéresse à la façon dont il a été conçu, à ce qu'il fait et à la manière dont il va améliorer ou rendre certains aspects de notre vie plus efficaces. Je regarde tout le temps « sous le capot » des appareils et je trouve certains des meilleurs (et des pires) exemples de code disponibles. Récemment, j'ai étudié comment mon système de climatisation pouvait être contrôlé à distance à l'aide d'une application Android (imaginez ma surprise lorsque j'ai découvert que n'importe qui sur le réseau WiFi pouvait contrôler cet appareil sans aucune authentification).
La sécurité des logiciels est toujours une priorité pour moi, tout comme le danger très réel que représente notre mode de vie de plus en plus numérique et axé sur le partage d'informations personnelles. Après tout, nous nous trouvons dans un territoire largement non réglementé, non supervisé et parfaitement ignoré. Nous sommes dans le Far West.
En tant que société collective, nous ne cherchons pas à dissimuler la technologie que nous utilisons au quotidien. Bien que des séries télévisées populaires et très acclamées comme Mr. Robot contribuent à sensibiliser le public, nous ne sommes pas soucieux de la sécurité... En fait, la plupart d'entre nous ne savent pas à quel point le logiciel est sécurisé parmi la myriade d'applications, de services et d'objets de plus en plus connectés que nous achetons et utilisons. Ce n'est même pas que nous leur faisons fondamentalement confiance, nous n'y pensons tout simplement pas du tout.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo ! , Facebook, Target : chacune de ces entreprises très utilisées a été victime d'une violation de données. Leur vulnérabilités logicielles ont été exploitées et des millions et des millions de dossiers clients ont été exposés. Ces exemples ne représentent qu'une fraction des violations mondiales qui ont eu lieu au cours des dix dernières années. Ils sont la conséquence coûteuse d'une mauvaise sécurité logicielle qui permet aux malfaiteurs de voler nos précieuses informations.
Lorsque la plupart des gens pensent aux violations de données, ils pensent aux failles de sécurité de l'information. Elles sont considérées comme un cauchemar pour l'entreprise concernée et peu pratiques pour les personnes dont les données personnelles ont été touchées, mais sérieusement, quel est le problème ? Si la sécurité continue d'être ignorée, les conséquences sont-elles vraiment si graves ? Rien cette des événements majeurs se sont produits jusqu'à présent : les violations de données ont de graves répercussions sur les entreprises qui en sont responsables, mais c'est leur problème, non ? Ils perdent des clients, ils perdent la confiance des consommateurs ; en fin de compte, c'est à eux de régler le problème et de payer les dégâts.
La sécurité logicielle doit être la priorité de chaque organisation.
La raison pour laquelle la sécurité logicielle n'est pas la principale préoccupation de toutes les entreprises dotées d'une équipe de développement est assez simple : trop peu de personnes ont perdu la vie et les connaissances sur les risques sont insuffisantes.
Morbide ? Peut-être. Mais c'est la vérité. La réglementation, les normes de construction et l'évolution des lois sont prêtées (par exemple, de la part des agences gouvernementales) lorsqu'il y a un véritable coût humain.
Prenons un pont, par exemple. Les ingénieurs civils (un métier vieux de plusieurs centaines d'années) considèrent la sécurité comme un élément essentiel de la construction d'un pont. Leur approche va bien au-delà de l'esthétique et de la fonctionnalité de base. Chaque pont construit est censé respecter des règles de sécurité strictes, les professionnels du génie civil et la société dans son ensemble apprenant au fil du temps à s'attendre à un niveau de sécurité élevé. Aujourd'hui, un pont qui ne répond pas aux exigences de sécurité est considéré comme dangereux et inutilisable. Il s'agit toujours d'une évolution que nous devons réaliser dans le domaine du génie logiciel.
À titre d'exemple plus moderne, examinons l'industrie du jouet. Les années 1950 ont vu forte hausse de la production et des ventes de jouets grâce au baby-boom de l'après-guerre. Il est intéressant de noter que le nombre de visites aux urgences liées à des incidents liés à des jouets aurait également augmenté au cours de cette période. Des flèches en forme de jouet causaient des blessures aux yeux, de petits jouets (et des pièces détachables de jouets plus grands) étaient ingérés, et fours à jouets destinés aux petites filles étaient capables de chauffer à des températures plus élevées que les fours domestiques ordinaires.
C'était un peu un « Far West » là-bas, avec peu de réglementation, à l'exception de quelques interdictions isolées et de rappels de produits dans les circonstances les plus difficiles. Les fabricants de jouets étaient essentiellement libres de produire les jouets de leur choix, tout problème de sécurité étant généralement signalé après que plusieurs incidents aient déjà été signalés. Ce n'est que lorsque des projets de loi comme Loi sur la sécurité des jouets de 1969 de Richard Nixon ont été promulguées pour que les tests et l'interdiction ultérieure des jouets dangereux soient devenus la norme, aux États-Unis et dans le monde entier. Bien que des accidents puissent toujours se produire, aujourd'hui, le processus général de fabrication des jouets adopte une politique de « sécurité d'abord », et nos enfants courent beaucoup moins de danger potentiel.
En matière de sécurité logicielle, nous sommes actuellement dans le Far West. Hormis les lois et réglementations évidentes en matière de confidentialité (en particulier récemment avec le RGPD) et de protection des données des clients, ainsi que la législation obligatoire en matière de signalement des violations dans certains pays, très peu de choses sont dites et faites dans les entreprises ou la communauté traditionnelles sur le niveau de sécurité intégré aux logiciels. Même ces lois concernent davantage la responsabilité de l'entreprise que les logiciels eux-mêmes réglementés ou soumis à une norme de sécurité obligatoire.
Nous y arriverons, mais il faudra peut-être d'abord emprunter la voie de la destruction.
Gartner estime qu'il y aura 8,4 milliards d'appareils connectés à Internet seront utilisés d'ici 2020; un chiffre qui représente une augmentation de 31 % depuis 2016. Cela inclut l'électronique grand public, ainsi que des équipements tels que les dispositifs médicaux et les équipements spécifiques à l'industrie. C'est une sacrée opportunité pour un hacker.
Imaginez que le logiciel qui fait fonctionner le stimulateur cardiaque de quelqu'un n'est pas sécurisé. Un pirate informatique pourrait entrer par effraction et potentiellement arrêter le cœur de sa victime (vous pensez que c'est ridicule ? Médecins a désactivé le WiFi dans le stimulateur cardiaque de Dick Cheney pour empêcher un éventuel assassinat par piratage informatique). Un four à micro-ondes ou une bouilloire connectés pourrait être explosé à distance (ainsi que toutes sortes d'appareils Internet des objets dont nous profitons chez nous), ou les freins d'une voiture électrique connectée pourraient être désactivés. Cela peut sembler être un film d'action hollywoodien tiré par les cheveux, mais si le logiciel de l'une de ces technologies connectées avancées peut être piraté, nous sommes vraiment confrontés à une catastrophe potentielle, tout comme les menaces que nous avons déjà couvertes avec les ramifications explosives des cyberattaques dans l'industrie pétrolière et gazière.
Nous pouvons prévenir les conséquences désastreuses du piratage informatique alors que nos vies deviennent de plus en plus dépendantes du numérique. Tout commence par susciter l'intérêt des développeurs pour le codage sécurisé et prendre au sérieux la nécessité de développer un état d'esprit et une culture solides en matière de sécurité au sein des équipes de développement.
Votre révolution logicielle commence ici. Le secteur bancaire montre la voie à suivre en adoptant la formation gamifiée pour lutter contre les mauvais codes, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (lire : ennuyeuse). En fait, chacune des six plus grandes banques d'Australie engage actuellement ses développeurs de cette manière, ce qui leur permet de renforcer leur état d'esprit en matière de sécurité. Découvrez ce que notre client, IAG Group, a fait avec son tournoi de niveau supérieur.
La sécurité des logiciels est toujours une priorité pour moi, tout comme le danger très réel que représente notre mode de vie de plus en plus numérique et axé sur le partage d'informations personnelles. Après tout, nous nous trouvons dans un territoire largement non réglementé, non supervisé et parfaitement ignoré. Nous sommes dans le Far West.
Director General, Presidente y Cofundador
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Publié à l'origine dans CSO en ligne
En tant que hacker éthique (semi-retraité), professionnel de la sécurité et passionné d'informatique, on peut dire que je tiens beaucoup à la technologie. Je m'intéresse à la façon dont il a été conçu, à ce qu'il fait et à la manière dont il va améliorer ou rendre certains aspects de notre vie plus efficaces. Je regarde tout le temps « sous le capot » des appareils et je trouve certains des meilleurs (et des pires) exemples de code disponibles. Récemment, j'ai étudié comment mon système de climatisation pouvait être contrôlé à distance à l'aide d'une application Android (imaginez ma surprise lorsque j'ai découvert que n'importe qui sur le réseau WiFi pouvait contrôler cet appareil sans aucune authentification).
La sécurité des logiciels est toujours une priorité pour moi, tout comme le danger très réel que représente notre mode de vie de plus en plus numérique et axé sur le partage d'informations personnelles. Après tout, nous nous trouvons dans un territoire largement non réglementé, non supervisé et parfaitement ignoré. Nous sommes dans le Far West.
En tant que société collective, nous ne cherchons pas à dissimuler la technologie que nous utilisons au quotidien. Bien que des séries télévisées populaires et très acclamées comme Mr. Robot contribuent à sensibiliser le public, nous ne sommes pas soucieux de la sécurité... En fait, la plupart d'entre nous ne savent pas à quel point le logiciel est sécurisé parmi la myriade d'applications, de services et d'objets de plus en plus connectés que nous achetons et utilisons. Ce n'est même pas que nous leur faisons fondamentalement confiance, nous n'y pensons tout simplement pas du tout.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo ! , Facebook, Target : chacune de ces entreprises très utilisées a été victime d'une violation de données. Leur vulnérabilités logicielles ont été exploitées et des millions et des millions de dossiers clients ont été exposés. Ces exemples ne représentent qu'une fraction des violations mondiales qui ont eu lieu au cours des dix dernières années. Ils sont la conséquence coûteuse d'une mauvaise sécurité logicielle qui permet aux malfaiteurs de voler nos précieuses informations.
Lorsque la plupart des gens pensent aux violations de données, ils pensent aux failles de sécurité de l'information. Elles sont considérées comme un cauchemar pour l'entreprise concernée et peu pratiques pour les personnes dont les données personnelles ont été touchées, mais sérieusement, quel est le problème ? Si la sécurité continue d'être ignorée, les conséquences sont-elles vraiment si graves ? Rien cette des événements majeurs se sont produits jusqu'à présent : les violations de données ont de graves répercussions sur les entreprises qui en sont responsables, mais c'est leur problème, non ? Ils perdent des clients, ils perdent la confiance des consommateurs ; en fin de compte, c'est à eux de régler le problème et de payer les dégâts.
La sécurité logicielle doit être la priorité de chaque organisation.
La raison pour laquelle la sécurité logicielle n'est pas la principale préoccupation de toutes les entreprises dotées d'une équipe de développement est assez simple : trop peu de personnes ont perdu la vie et les connaissances sur les risques sont insuffisantes.
Morbide ? Peut-être. Mais c'est la vérité. La réglementation, les normes de construction et l'évolution des lois sont prêtées (par exemple, de la part des agences gouvernementales) lorsqu'il y a un véritable coût humain.
Prenons un pont, par exemple. Les ingénieurs civils (un métier vieux de plusieurs centaines d'années) considèrent la sécurité comme un élément essentiel de la construction d'un pont. Leur approche va bien au-delà de l'esthétique et de la fonctionnalité de base. Chaque pont construit est censé respecter des règles de sécurité strictes, les professionnels du génie civil et la société dans son ensemble apprenant au fil du temps à s'attendre à un niveau de sécurité élevé. Aujourd'hui, un pont qui ne répond pas aux exigences de sécurité est considéré comme dangereux et inutilisable. Il s'agit toujours d'une évolution que nous devons réaliser dans le domaine du génie logiciel.
À titre d'exemple plus moderne, examinons l'industrie du jouet. Les années 1950 ont vu forte hausse de la production et des ventes de jouets grâce au baby-boom de l'après-guerre. Il est intéressant de noter que le nombre de visites aux urgences liées à des incidents liés à des jouets aurait également augmenté au cours de cette période. Des flèches en forme de jouet causaient des blessures aux yeux, de petits jouets (et des pièces détachables de jouets plus grands) étaient ingérés, et fours à jouets destinés aux petites filles étaient capables de chauffer à des températures plus élevées que les fours domestiques ordinaires.
C'était un peu un « Far West » là-bas, avec peu de réglementation, à l'exception de quelques interdictions isolées et de rappels de produits dans les circonstances les plus difficiles. Les fabricants de jouets étaient essentiellement libres de produire les jouets de leur choix, tout problème de sécurité étant généralement signalé après que plusieurs incidents aient déjà été signalés. Ce n'est que lorsque des projets de loi comme Loi sur la sécurité des jouets de 1969 de Richard Nixon ont été promulguées pour que les tests et l'interdiction ultérieure des jouets dangereux soient devenus la norme, aux États-Unis et dans le monde entier. Bien que des accidents puissent toujours se produire, aujourd'hui, le processus général de fabrication des jouets adopte une politique de « sécurité d'abord », et nos enfants courent beaucoup moins de danger potentiel.
En matière de sécurité logicielle, nous sommes actuellement dans le Far West. Hormis les lois et réglementations évidentes en matière de confidentialité (en particulier récemment avec le RGPD) et de protection des données des clients, ainsi que la législation obligatoire en matière de signalement des violations dans certains pays, très peu de choses sont dites et faites dans les entreprises ou la communauté traditionnelles sur le niveau de sécurité intégré aux logiciels. Même ces lois concernent davantage la responsabilité de l'entreprise que les logiciels eux-mêmes réglementés ou soumis à une norme de sécurité obligatoire.
Nous y arriverons, mais il faudra peut-être d'abord emprunter la voie de la destruction.
Gartner estime qu'il y aura 8,4 milliards d'appareils connectés à Internet seront utilisés d'ici 2020; un chiffre qui représente une augmentation de 31 % depuis 2016. Cela inclut l'électronique grand public, ainsi que des équipements tels que les dispositifs médicaux et les équipements spécifiques à l'industrie. C'est une sacrée opportunité pour un hacker.
Imaginez que le logiciel qui fait fonctionner le stimulateur cardiaque de quelqu'un n'est pas sécurisé. Un pirate informatique pourrait entrer par effraction et potentiellement arrêter le cœur de sa victime (vous pensez que c'est ridicule ? Médecins a désactivé le WiFi dans le stimulateur cardiaque de Dick Cheney pour empêcher un éventuel assassinat par piratage informatique). Un four à micro-ondes ou une bouilloire connectés pourrait être explosé à distance (ainsi que toutes sortes d'appareils Internet des objets dont nous profitons chez nous), ou les freins d'une voiture électrique connectée pourraient être désactivés. Cela peut sembler être un film d'action hollywoodien tiré par les cheveux, mais si le logiciel de l'une de ces technologies connectées avancées peut être piraté, nous sommes vraiment confrontés à une catastrophe potentielle, tout comme les menaces que nous avons déjà couvertes avec les ramifications explosives des cyberattaques dans l'industrie pétrolière et gazière.
Nous pouvons prévenir les conséquences désastreuses du piratage informatique alors que nos vies deviennent de plus en plus dépendantes du numérique. Tout commence par susciter l'intérêt des développeurs pour le codage sécurisé et prendre au sérieux la nécessité de développer un état d'esprit et une culture solides en matière de sécurité au sein des équipes de développement.
Votre révolution logicielle commence ici. Le secteur bancaire montre la voie à suivre en adoptant la formation gamifiée pour lutter contre les mauvais codes, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (lire : ennuyeuse). En fait, chacune des six plus grandes banques d'Australie engage actuellement ses développeurs de cette manière, ce qui leur permet de renforcer leur état d'esprit en matière de sécurité. Découvrez ce que notre client, IAG Group, a fait avec son tournoi de niveau supérieur.
Publié à l'origine dans CSO en ligne
En tant que hacker éthique (semi-retraité), professionnel de la sécurité et passionné d'informatique, on peut dire que je tiens beaucoup à la technologie. Je m'intéresse à la façon dont il a été conçu, à ce qu'il fait et à la manière dont il va améliorer ou rendre certains aspects de notre vie plus efficaces. Je regarde tout le temps « sous le capot » des appareils et je trouve certains des meilleurs (et des pires) exemples de code disponibles. Récemment, j'ai étudié comment mon système de climatisation pouvait être contrôlé à distance à l'aide d'une application Android (imaginez ma surprise lorsque j'ai découvert que n'importe qui sur le réseau WiFi pouvait contrôler cet appareil sans aucune authentification).
La sécurité des logiciels est toujours une priorité pour moi, tout comme le danger très réel que représente notre mode de vie de plus en plus numérique et axé sur le partage d'informations personnelles. Après tout, nous nous trouvons dans un territoire largement non réglementé, non supervisé et parfaitement ignoré. Nous sommes dans le Far West.
En tant que société collective, nous ne cherchons pas à dissimuler la technologie que nous utilisons au quotidien. Bien que des séries télévisées populaires et très acclamées comme Mr. Robot contribuent à sensibiliser le public, nous ne sommes pas soucieux de la sécurité... En fait, la plupart d'entre nous ne savent pas à quel point le logiciel est sécurisé parmi la myriade d'applications, de services et d'objets de plus en plus connectés que nous achetons et utilisons. Ce n'est même pas que nous leur faisons fondamentalement confiance, nous n'y pensons tout simplement pas du tout.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo ! , Facebook, Target : chacune de ces entreprises très utilisées a été victime d'une violation de données. Leur vulnérabilités logicielles ont été exploitées et des millions et des millions de dossiers clients ont été exposés. Ces exemples ne représentent qu'une fraction des violations mondiales qui ont eu lieu au cours des dix dernières années. Ils sont la conséquence coûteuse d'une mauvaise sécurité logicielle qui permet aux malfaiteurs de voler nos précieuses informations.
Lorsque la plupart des gens pensent aux violations de données, ils pensent aux failles de sécurité de l'information. Elles sont considérées comme un cauchemar pour l'entreprise concernée et peu pratiques pour les personnes dont les données personnelles ont été touchées, mais sérieusement, quel est le problème ? Si la sécurité continue d'être ignorée, les conséquences sont-elles vraiment si graves ? Rien cette des événements majeurs se sont produits jusqu'à présent : les violations de données ont de graves répercussions sur les entreprises qui en sont responsables, mais c'est leur problème, non ? Ils perdent des clients, ils perdent la confiance des consommateurs ; en fin de compte, c'est à eux de régler le problème et de payer les dégâts.
La sécurité logicielle doit être la priorité de chaque organisation.
La raison pour laquelle la sécurité logicielle n'est pas la principale préoccupation de toutes les entreprises dotées d'une équipe de développement est assez simple : trop peu de personnes ont perdu la vie et les connaissances sur les risques sont insuffisantes.
Morbide ? Peut-être. Mais c'est la vérité. La réglementation, les normes de construction et l'évolution des lois sont prêtées (par exemple, de la part des agences gouvernementales) lorsqu'il y a un véritable coût humain.
Prenons un pont, par exemple. Les ingénieurs civils (un métier vieux de plusieurs centaines d'années) considèrent la sécurité comme un élément essentiel de la construction d'un pont. Leur approche va bien au-delà de l'esthétique et de la fonctionnalité de base. Chaque pont construit est censé respecter des règles de sécurité strictes, les professionnels du génie civil et la société dans son ensemble apprenant au fil du temps à s'attendre à un niveau de sécurité élevé. Aujourd'hui, un pont qui ne répond pas aux exigences de sécurité est considéré comme dangereux et inutilisable. Il s'agit toujours d'une évolution que nous devons réaliser dans le domaine du génie logiciel.
À titre d'exemple plus moderne, examinons l'industrie du jouet. Les années 1950 ont vu forte hausse de la production et des ventes de jouets grâce au baby-boom de l'après-guerre. Il est intéressant de noter que le nombre de visites aux urgences liées à des incidents liés à des jouets aurait également augmenté au cours de cette période. Des flèches en forme de jouet causaient des blessures aux yeux, de petits jouets (et des pièces détachables de jouets plus grands) étaient ingérés, et fours à jouets destinés aux petites filles étaient capables de chauffer à des températures plus élevées que les fours domestiques ordinaires.
C'était un peu un « Far West » là-bas, avec peu de réglementation, à l'exception de quelques interdictions isolées et de rappels de produits dans les circonstances les plus difficiles. Les fabricants de jouets étaient essentiellement libres de produire les jouets de leur choix, tout problème de sécurité étant généralement signalé après que plusieurs incidents aient déjà été signalés. Ce n'est que lorsque des projets de loi comme Loi sur la sécurité des jouets de 1969 de Richard Nixon ont été promulguées pour que les tests et l'interdiction ultérieure des jouets dangereux soient devenus la norme, aux États-Unis et dans le monde entier. Bien que des accidents puissent toujours se produire, aujourd'hui, le processus général de fabrication des jouets adopte une politique de « sécurité d'abord », et nos enfants courent beaucoup moins de danger potentiel.
En matière de sécurité logicielle, nous sommes actuellement dans le Far West. Hormis les lois et réglementations évidentes en matière de confidentialité (en particulier récemment avec le RGPD) et de protection des données des clients, ainsi que la législation obligatoire en matière de signalement des violations dans certains pays, très peu de choses sont dites et faites dans les entreprises ou la communauté traditionnelles sur le niveau de sécurité intégré aux logiciels. Même ces lois concernent davantage la responsabilité de l'entreprise que les logiciels eux-mêmes réglementés ou soumis à une norme de sécurité obligatoire.
Nous y arriverons, mais il faudra peut-être d'abord emprunter la voie de la destruction.
Gartner estime qu'il y aura 8,4 milliards d'appareils connectés à Internet seront utilisés d'ici 2020; un chiffre qui représente une augmentation de 31 % depuis 2016. Cela inclut l'électronique grand public, ainsi que des équipements tels que les dispositifs médicaux et les équipements spécifiques à l'industrie. C'est une sacrée opportunité pour un hacker.
Imaginez que le logiciel qui fait fonctionner le stimulateur cardiaque de quelqu'un n'est pas sécurisé. Un pirate informatique pourrait entrer par effraction et potentiellement arrêter le cœur de sa victime (vous pensez que c'est ridicule ? Médecins a désactivé le WiFi dans le stimulateur cardiaque de Dick Cheney pour empêcher un éventuel assassinat par piratage informatique). Un four à micro-ondes ou une bouilloire connectés pourrait être explosé à distance (ainsi que toutes sortes d'appareils Internet des objets dont nous profitons chez nous), ou les freins d'une voiture électrique connectée pourraient être désactivés. Cela peut sembler être un film d'action hollywoodien tiré par les cheveux, mais si le logiciel de l'une de ces technologies connectées avancées peut être piraté, nous sommes vraiment confrontés à une catastrophe potentielle, tout comme les menaces que nous avons déjà couvertes avec les ramifications explosives des cyberattaques dans l'industrie pétrolière et gazière.
Nous pouvons prévenir les conséquences désastreuses du piratage informatique alors que nos vies deviennent de plus en plus dépendantes du numérique. Tout commence par susciter l'intérêt des développeurs pour le codage sécurisé et prendre au sérieux la nécessité de développer un état d'esprit et une culture solides en matière de sécurité au sein des équipes de développement.
Votre révolution logicielle commence ici. Le secteur bancaire montre la voie à suivre en adoptant la formation gamifiée pour lutter contre les mauvais codes, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (lire : ennuyeuse). En fait, chacune des six plus grandes banques d'Australie engage actuellement ses développeurs de cette manière, ce qui leur permet de renforcer leur état d'esprit en matière de sécurité. Découvrez ce que notre client, IAG Group, a fait avec son tournoi de niveau supérieur.
Haga clic en el enlace siguiente y descargue el PDF de este recurso.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Mostrar el informeReserve una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Publié à l'origine dans CSO en ligne
En tant que hacker éthique (semi-retraité), professionnel de la sécurité et passionné d'informatique, on peut dire que je tiens beaucoup à la technologie. Je m'intéresse à la façon dont il a été conçu, à ce qu'il fait et à la manière dont il va améliorer ou rendre certains aspects de notre vie plus efficaces. Je regarde tout le temps « sous le capot » des appareils et je trouve certains des meilleurs (et des pires) exemples de code disponibles. Récemment, j'ai étudié comment mon système de climatisation pouvait être contrôlé à distance à l'aide d'une application Android (imaginez ma surprise lorsque j'ai découvert que n'importe qui sur le réseau WiFi pouvait contrôler cet appareil sans aucune authentification).
La sécurité des logiciels est toujours une priorité pour moi, tout comme le danger très réel que représente notre mode de vie de plus en plus numérique et axé sur le partage d'informations personnelles. Après tout, nous nous trouvons dans un territoire largement non réglementé, non supervisé et parfaitement ignoré. Nous sommes dans le Far West.
En tant que société collective, nous ne cherchons pas à dissimuler la technologie que nous utilisons au quotidien. Bien que des séries télévisées populaires et très acclamées comme Mr. Robot contribuent à sensibiliser le public, nous ne sommes pas soucieux de la sécurité... En fait, la plupart d'entre nous ne savent pas à quel point le logiciel est sécurisé parmi la myriade d'applications, de services et d'objets de plus en plus connectés que nous achetons et utilisons. Ce n'est même pas que nous leur faisons fondamentalement confiance, nous n'y pensons tout simplement pas du tout.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo ! , Facebook, Target : chacune de ces entreprises très utilisées a été victime d'une violation de données. Leur vulnérabilités logicielles ont été exploitées et des millions et des millions de dossiers clients ont été exposés. Ces exemples ne représentent qu'une fraction des violations mondiales qui ont eu lieu au cours des dix dernières années. Ils sont la conséquence coûteuse d'une mauvaise sécurité logicielle qui permet aux malfaiteurs de voler nos précieuses informations.
Lorsque la plupart des gens pensent aux violations de données, ils pensent aux failles de sécurité de l'information. Elles sont considérées comme un cauchemar pour l'entreprise concernée et peu pratiques pour les personnes dont les données personnelles ont été touchées, mais sérieusement, quel est le problème ? Si la sécurité continue d'être ignorée, les conséquences sont-elles vraiment si graves ? Rien cette des événements majeurs se sont produits jusqu'à présent : les violations de données ont de graves répercussions sur les entreprises qui en sont responsables, mais c'est leur problème, non ? Ils perdent des clients, ils perdent la confiance des consommateurs ; en fin de compte, c'est à eux de régler le problème et de payer les dégâts.
La sécurité logicielle doit être la priorité de chaque organisation.
La raison pour laquelle la sécurité logicielle n'est pas la principale préoccupation de toutes les entreprises dotées d'une équipe de développement est assez simple : trop peu de personnes ont perdu la vie et les connaissances sur les risques sont insuffisantes.
Morbide ? Peut-être. Mais c'est la vérité. La réglementation, les normes de construction et l'évolution des lois sont prêtées (par exemple, de la part des agences gouvernementales) lorsqu'il y a un véritable coût humain.
Prenons un pont, par exemple. Les ingénieurs civils (un métier vieux de plusieurs centaines d'années) considèrent la sécurité comme un élément essentiel de la construction d'un pont. Leur approche va bien au-delà de l'esthétique et de la fonctionnalité de base. Chaque pont construit est censé respecter des règles de sécurité strictes, les professionnels du génie civil et la société dans son ensemble apprenant au fil du temps à s'attendre à un niveau de sécurité élevé. Aujourd'hui, un pont qui ne répond pas aux exigences de sécurité est considéré comme dangereux et inutilisable. Il s'agit toujours d'une évolution que nous devons réaliser dans le domaine du génie logiciel.
À titre d'exemple plus moderne, examinons l'industrie du jouet. Les années 1950 ont vu forte hausse de la production et des ventes de jouets grâce au baby-boom de l'après-guerre. Il est intéressant de noter que le nombre de visites aux urgences liées à des incidents liés à des jouets aurait également augmenté au cours de cette période. Des flèches en forme de jouet causaient des blessures aux yeux, de petits jouets (et des pièces détachables de jouets plus grands) étaient ingérés, et fours à jouets destinés aux petites filles étaient capables de chauffer à des températures plus élevées que les fours domestiques ordinaires.
C'était un peu un « Far West » là-bas, avec peu de réglementation, à l'exception de quelques interdictions isolées et de rappels de produits dans les circonstances les plus difficiles. Les fabricants de jouets étaient essentiellement libres de produire les jouets de leur choix, tout problème de sécurité étant généralement signalé après que plusieurs incidents aient déjà été signalés. Ce n'est que lorsque des projets de loi comme Loi sur la sécurité des jouets de 1969 de Richard Nixon ont été promulguées pour que les tests et l'interdiction ultérieure des jouets dangereux soient devenus la norme, aux États-Unis et dans le monde entier. Bien que des accidents puissent toujours se produire, aujourd'hui, le processus général de fabrication des jouets adopte une politique de « sécurité d'abord », et nos enfants courent beaucoup moins de danger potentiel.
En matière de sécurité logicielle, nous sommes actuellement dans le Far West. Hormis les lois et réglementations évidentes en matière de confidentialité (en particulier récemment avec le RGPD) et de protection des données des clients, ainsi que la législation obligatoire en matière de signalement des violations dans certains pays, très peu de choses sont dites et faites dans les entreprises ou la communauté traditionnelles sur le niveau de sécurité intégré aux logiciels. Même ces lois concernent davantage la responsabilité de l'entreprise que les logiciels eux-mêmes réglementés ou soumis à une norme de sécurité obligatoire.
Nous y arriverons, mais il faudra peut-être d'abord emprunter la voie de la destruction.
Gartner estime qu'il y aura 8,4 milliards d'appareils connectés à Internet seront utilisés d'ici 2020; un chiffre qui représente une augmentation de 31 % depuis 2016. Cela inclut l'électronique grand public, ainsi que des équipements tels que les dispositifs médicaux et les équipements spécifiques à l'industrie. C'est une sacrée opportunité pour un hacker.
Imaginez que le logiciel qui fait fonctionner le stimulateur cardiaque de quelqu'un n'est pas sécurisé. Un pirate informatique pourrait entrer par effraction et potentiellement arrêter le cœur de sa victime (vous pensez que c'est ridicule ? Médecins a désactivé le WiFi dans le stimulateur cardiaque de Dick Cheney pour empêcher un éventuel assassinat par piratage informatique). Un four à micro-ondes ou une bouilloire connectés pourrait être explosé à distance (ainsi que toutes sortes d'appareils Internet des objets dont nous profitons chez nous), ou les freins d'une voiture électrique connectée pourraient être désactivés. Cela peut sembler être un film d'action hollywoodien tiré par les cheveux, mais si le logiciel de l'une de ces technologies connectées avancées peut être piraté, nous sommes vraiment confrontés à une catastrophe potentielle, tout comme les menaces que nous avons déjà couvertes avec les ramifications explosives des cyberattaques dans l'industrie pétrolière et gazière.
Nous pouvons prévenir les conséquences désastreuses du piratage informatique alors que nos vies deviennent de plus en plus dépendantes du numérique. Tout commence par susciter l'intérêt des développeurs pour le codage sécurisé et prendre au sérieux la nécessité de développer un état d'esprit et une culture solides en matière de sécurité au sein des équipes de développement.
Votre révolution logicielle commence ici. Le secteur bancaire montre la voie à suivre en adoptant la formation gamifiée pour lutter contre les mauvais codes, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (lire : ennuyeuse). En fait, chacune des six plus grandes banques d'Australie engage actuellement ses développeurs de cette manière, ce qui leur permet de renforcer leur état d'esprit en matière de sécurité. Découvrez ce que notre client, IAG Group, a fait avec son tournoi de niveau supérieur.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de formación sobre el código seguro
Nuestro contenido de vanguardia evoluciona constantemente para adaptarse al panorama en constante cambio del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la IA hasta la inyección de XQuery, ofrecidos para una variedad de puestos, desde arquitectos hasta ingenieros, pasando por jefes de producto y control de calidad. Descubra una visión general de lo que nuestro catálogo de contenidos tiene para ofrecer por tema y por función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon está de vuelta: las missions Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible todo el año en SCW. Implemente desafíos de seguridad avanzados relacionados con la IA y el LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la ley sobre ciberresiliencia: lo que significa para el desarrollo de software seguro desde el diseño.
Descubra qué exige la ley europea sobre ciberresiliencia (CRA), a quién se aplica y cómo los equipos de ingenieros pueden prepararse mediante prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el refuerzo de las capacidades de los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 da inicio a nuestra serie de 10 partes titulada «Facilitadores del éxito», mostrando cómo combinar la codificación segura con resultados comerciales, como la reducción de riesgos y la rapidez, para garantizar la madurez a largo plazo de los programas.
