Comment le gouvernement australien peut renforcer la résilience nationale en matière de cybersécurité et faire face aux menaces
L'année 2020 étant marquée par énorme augmentation du travail à distance, en plus de la poursuite des violations de données à grande échelle et de l'attention croissante portée aux conséquences d'une atteinte à la vie privée en ligne, le public n'a jamais accordé autant d'attention à la cybersécurité. En conséquence, les gouvernements du monde entier sont intervenus pour remodeler et mettre à jour leurs plans et infrastructures de cybersécurité, y compris les stratégies et les réglementations que les entreprises sont tenues de suivre lorsqu'elles gèrent nos ressources numériques les plus précieuses.
Les directives de protection stratégique en matière de cybersécurité ne sont pas un concept nouveau, et des organisations comme NIST ont influencé les politiques des ministères du monde entier pendant de nombreuses années. Alors que nous avons progressé à un rythme effréné dans le numérique, il est devenu difficile pour de nombreuses personnes de faire face au nombre de menaces, aux vecteurs d'attaque possibles et aux exigences de conformité qui font partie d'un paysage en constante évolution.
Un récent violation de 54 000 permis de conduire de la Nouvelle-Galles du Sud à la suite d'un compartiment S3 mal configuré et facilement accessible sur un serveur tiers, des milliers de personnes ont été compromises. Le chercheur en sécurité qui l'a signalé a reconnu que les données avaient peut-être déjà été vendues sur le dark web. Ce qui est triste, c'est qu'il s'agit d'une solution facile qui aurait été peu probable si la sécurité avait été une priorité pour ceux qui configurent le cache.
Le gouvernement australien a récemment publié le Stratégie australienne de cybersécurité 2020, mettant en avant de nouvelles initiatives et une augmentation de financement de 1,67 milliard de dollars à utiliser au cours de la prochaine décennie, pour réaliser leur « vision de créer un monde en ligne plus sécurisé pour les Australiens, leurs entreprises et les services essentiels dont nous dépendons tous ». Il s'agit clairement d'un examen très bienvenu et d'un plan actualisé, d'autant plus que l'un des principaux objectifs est le suivant :
«Mesures prises par les entreprises pour sécuriser leurs produits et services et protéger leurs clients contre les cybervulnérabilités connues«.
Alors que les organismes gouvernementaux ont tendance à se concentrer (comme il se doit) sur les mesures de sécurité concernant les infrastructures critiques d'un pays, c'est-à-dire des domaines qui se prêtent à une attaque organisée catastrophique, ce qui manquait par le passé, ce sont les directives destinées aux entreprises qui collectent et utilisent nos données au quotidien.
Maintenant, quand il s'agit de stratégie officielle comme celle-ci, il ne s'agit pas toujours de bière et de quilles. Cela peut être un peu difficile à interpréter et les détails sont vagues, laissant à l'équipe de sécurité de l'entreprise le soin d'élaborer un plan basé sur des directives non spécifiques. Ce problème n'est pas propre au gouvernement australien, mais analysons leur toute nouvelle version.
Mettre l'accent sur la réaction, pas sur la prévention.
La stratégie australienne de cybersécurité mise à jour constitue une amélioration plus pertinente par rapport à la dernière version de 2016, avec des plans assez complets pour les entreprises, en particulier les PME. La stratégie décrit les grandes lignes suivantes :
«Le gouvernement et les grandes entreprises aideront les petites et moyennes entreprises (PME) à se développer et à accroître leur sensibilisation et leurs capacités en matière de cybersécurité. Le gouvernement australien travaillera avec de grandes entreprises et des prestataires de services pour fournir aux PME des informations et des outils de cybersécurité dans le cadre de « lots » de services sécurisés (tels que le blocage des menaces, les antivirus et la formation de sensibilisation à la cybersécurité). »
Cela fournira aux PME une base de base décente sur laquelle elles pourront protéger leurs activités contre les cybermenaces, mais il s'agit en grande partie d'une approche réactive, et l'accent est mis sur les outils de détection, qui constituent une partie relativement restreinte du paysage de la cybersécurité.
Il existe également étonnamment peu d'informations sur la manière dont les grandes entreprises peuvent se protéger et réduire leurs vecteurs d'attaque. Bien que nombre d'entre eux puissent faire partie des plans visant à protéger les infrastructures critiques (telles que les télécommunications, les transports), services financiers, vente au détail, et de nombreux autres secteurs d'activité ont beaucoup à perdre en cas de cyberattaque réussie. Cela fera peut-être partie de la législation à venir, mais malgré cela, il est essentiel de souligner l'importance de bonnes pratiques méticuleuses en matière de cybersécurité au niveau de l'entreprise pour assister à des changements significatifs et à une baisse des données compromises et de la cybercriminalité.
Dans l'ensemble, si l'on considère la stratégie dans son ensemble, elle repose sur une approche réactive. Lutter contre les cyberattaques, perturber les cybercriminels actifs et garantir leur poursuite, ainsi que le partage de renseignements avec des alliés internationaux, sont tous des facteurs importants, mais imaginez si la norme de protection nationale était axée sur la prévention. Outre les mesures de protection des infrastructures critiques, si la sécurité était une priorité dans toutes les entreprises et que chaque personne touchant le code qui crée notre monde numérique était correctement équipée pour bloquer les attaques avant qu'elles ne se produisent, les économies de temps, d'argent et de chagrin pour les victimes sont incommensurables.
La résilience est possible, mais elle doit être planifiée.
Les efforts déployés par le gouvernement australien pour prendre au sérieux la cybersécurité montrent clairement que celle-ci a été identifiée comme un domaine à risque majeur au niveau national. Comme toute autre attaque malveillante susceptible de bouleverser notre mode de vie, la résilience est absolument cruciale, non seulement pour résister à une telle tentative, mais aussi pour empêcher qu'elle ne se produise. En fin de compte, même les acteurs de la menace peuvent être paresseux et ils se tourneront vers une cible plus facile pour atteindre leur objectif si trop d'obstacles entravent leur réussite.
À l'heure actuelle, nous sommes confrontés à une pénurie mondiale de compétences en cybersécurité, ce qui permet aux RSSI du monde entier de rester éveillés la nuit. Des milliards de lignes de code, des violations de données constantes à grande échelle et un risque accru de sanctions (Marriott uniquement) a reçu une amende de 123 millions de dollars américains en vertu du RGPD pour leur violation de données de 2018... et ils a connu une autre violation cette année) a plus que jamais créé un gouffre de demande pour les spécialistes de la sécurité qui, en réalité, a peu de chances d'être comblé. Il y a tout simplement trop de code et trop peu de ressources pour s'assurer qu'il est renforcé sous tous les angles.
Devons-nous donc renoncer à l'idée que nous serons un jour vraiment capables de faire face aux cybermenaces ? Aucune chance. La résilience nécessite d'utiliser toutes les ressources disponibles et de penser à une longueur d'avance. Et pour de nombreuses entreprises, leurs développeurs peuvent débloquer une puissante méthode de fortification dès l'écriture du code. Associé à une culture de sécurité visible et positive dans l'ensemble de l'entreprise, cela fournit une base sûre difficile à ébranler pour de nombreux attaquants. Cependant, cette méthode nécessite de prendre les suggestions de la stratégie australienne de cybersécurité, à titre d'exemple, et d'approfondir la manière dont elles peuvent être personnalisées pour soutenir des changements efficaces et pertinents pour l'entreprise.
À cette fin, il est important de détailler quelques conseils :
- Formation de sensibilisation à la sécurité : cette formation est spécifiquement destinée aux PME et, dans le contexte de l'ensemble du rapport, vise principalement à enseigner à l'ensemble du personnel les règles de base en matière de sécurité (par exemple, repérer les e-mails de phishing, ne pas cliquer sur des liens inconnus, etc.). En réalité, il doit aller bien plus loin que cela et devenir spécifique au rôle, en particulier pour ceux qui touchent au code, comme les développeurs. Il est impératif que la formation à la sensibilisation à la sécurité fasse partie des mesures préventives et du renforcement de la résilience
- Éducation : Dans le cadre d'un changement rafraîchissant, il existe un plan approfondi visant à remédier à la pénurie de compétences en cybersécurité au cours de la prochaine décennie, en mettant l'accent sur la formation en cybersécurité depuis les écoles primaires et secondaires jusqu'à l'enseignement supérieur. Cela est absolument nécessaire si nous voulons créer les superstars de la sécurité de demain, mais pour répondre aux besoins actuels des entreprises, une formation pratique au codage sécurisé pour la cohorte de développement est une nécessité absolue pour commencer à réduire les vulnérabilités courantes, et doit faire partie d'un programme de sécurité fonctionnel.
En tant qu'experts en sécurité, nous devons faire davantage pour aider les entreprises du monde entier à comprendre l'importance de mettre en place un programme de sécurité interne qui aille au-delà de simples mesures de sensibilisation fondamentales. Le fait de consacrer du temps à améliorer les compétences des développeurs soulage les spécialistes de la sécurité des applications surchargés de travail. Il est essentiel de veiller à ce que l'ensemble de l'entreprise soit aussi consciente que possible de la sécurité dans le contexte de son rôle afin de réduire la zone d'attaque superficielle des menaces dans les logiciels.
L'amélioration des compétences des développeurs est un temps bien investi, alors pourquoi tant d'entreprises l'ignorent-elles ?
Une récente enquête du DDLS a conclu que les organisations australiennes ne se soucient guère des priorités en matière de formation à la cybersécurité. En fait, il ne figurait même pas parmi les trois principales priorités en matière de formation, bien que 77 % des personnes interrogées considèrent la sensibilisation à la cybersécurité comme « extrêmement » ou « très importante » dans leur entreprise.
Il n'est donc pas étonnant que l'Australie peine à combler son déficit croissant de compétences et qu'elle ait encore du travail à faire pour créer une infrastructure plus résiliente, des services essentiels au commerce de détail, en passant par tout ce qui se trouve entre les deux.
Il y a là une énorme opportunité pour gouvernements pour créer une certification ou une réglementation de base des compétences en matière de sécurité, et la stratégie y fait allusion comme un moyen de travailler avec des ressources limitées. Cependant, une fois de plus, il s'agit d'une proposition tournée vers l'avenir, et nous disposons des outils nécessaires pour démarrer bien plus tôt si nous ciblons d'abord les zones à fort impact. Pour moi, l'espoir réside dans les équipes de développement de chaque organisation. Si elles disposent des outils et des connaissances nécessaires pour réussir, elles peuvent éliminer les vulnérabilités courantes au passage et réduire considérablement le risque de violation de données au sein de leur organisation.
En 2019, 24 % de toutes les violations de données ont été causées par une erreur humaine - à savoir les erreurs de configuration en matière de sécurité - qui sont généralement des correctifs relativement simples au niveau du code. Si la formation est considérée comme une priorité, en conjonction avec le renforcement de la sensibilisation à la sécurité à l'échelle de l'entreprise, je parie qu'il y aurait moins de RSSI qui signent les notifications de violation adressées à des milliers de clients compromis.
Les efforts déployés par le gouvernement australien pour prendre au sérieux la cybersécurité montrent clairement que celle-ci a été identifiée comme un domaine à risque majeur au niveau national, mais sa stratégie va-t-elle assez loin ?
Director General, Presidente y Cofundador
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
L'année 2020 étant marquée par énorme augmentation du travail à distance, en plus de la poursuite des violations de données à grande échelle et de l'attention croissante portée aux conséquences d'une atteinte à la vie privée en ligne, le public n'a jamais accordé autant d'attention à la cybersécurité. En conséquence, les gouvernements du monde entier sont intervenus pour remodeler et mettre à jour leurs plans et infrastructures de cybersécurité, y compris les stratégies et les réglementations que les entreprises sont tenues de suivre lorsqu'elles gèrent nos ressources numériques les plus précieuses.
Les directives de protection stratégique en matière de cybersécurité ne sont pas un concept nouveau, et des organisations comme NIST ont influencé les politiques des ministères du monde entier pendant de nombreuses années. Alors que nous avons progressé à un rythme effréné dans le numérique, il est devenu difficile pour de nombreuses personnes de faire face au nombre de menaces, aux vecteurs d'attaque possibles et aux exigences de conformité qui font partie d'un paysage en constante évolution.
Un récent violation de 54 000 permis de conduire de la Nouvelle-Galles du Sud à la suite d'un compartiment S3 mal configuré et facilement accessible sur un serveur tiers, des milliers de personnes ont été compromises. Le chercheur en sécurité qui l'a signalé a reconnu que les données avaient peut-être déjà été vendues sur le dark web. Ce qui est triste, c'est qu'il s'agit d'une solution facile qui aurait été peu probable si la sécurité avait été une priorité pour ceux qui configurent le cache.
Le gouvernement australien a récemment publié le Stratégie australienne de cybersécurité 2020, mettant en avant de nouvelles initiatives et une augmentation de financement de 1,67 milliard de dollars à utiliser au cours de la prochaine décennie, pour réaliser leur « vision de créer un monde en ligne plus sécurisé pour les Australiens, leurs entreprises et les services essentiels dont nous dépendons tous ». Il s'agit clairement d'un examen très bienvenu et d'un plan actualisé, d'autant plus que l'un des principaux objectifs est le suivant :
«Mesures prises par les entreprises pour sécuriser leurs produits et services et protéger leurs clients contre les cybervulnérabilités connues«.
Alors que les organismes gouvernementaux ont tendance à se concentrer (comme il se doit) sur les mesures de sécurité concernant les infrastructures critiques d'un pays, c'est-à-dire des domaines qui se prêtent à une attaque organisée catastrophique, ce qui manquait par le passé, ce sont les directives destinées aux entreprises qui collectent et utilisent nos données au quotidien.
Maintenant, quand il s'agit de stratégie officielle comme celle-ci, il ne s'agit pas toujours de bière et de quilles. Cela peut être un peu difficile à interpréter et les détails sont vagues, laissant à l'équipe de sécurité de l'entreprise le soin d'élaborer un plan basé sur des directives non spécifiques. Ce problème n'est pas propre au gouvernement australien, mais analysons leur toute nouvelle version.
Mettre l'accent sur la réaction, pas sur la prévention.
La stratégie australienne de cybersécurité mise à jour constitue une amélioration plus pertinente par rapport à la dernière version de 2016, avec des plans assez complets pour les entreprises, en particulier les PME. La stratégie décrit les grandes lignes suivantes :
«Le gouvernement et les grandes entreprises aideront les petites et moyennes entreprises (PME) à se développer et à accroître leur sensibilisation et leurs capacités en matière de cybersécurité. Le gouvernement australien travaillera avec de grandes entreprises et des prestataires de services pour fournir aux PME des informations et des outils de cybersécurité dans le cadre de « lots » de services sécurisés (tels que le blocage des menaces, les antivirus et la formation de sensibilisation à la cybersécurité). »
Cela fournira aux PME une base de base décente sur laquelle elles pourront protéger leurs activités contre les cybermenaces, mais il s'agit en grande partie d'une approche réactive, et l'accent est mis sur les outils de détection, qui constituent une partie relativement restreinte du paysage de la cybersécurité.
Il existe également étonnamment peu d'informations sur la manière dont les grandes entreprises peuvent se protéger et réduire leurs vecteurs d'attaque. Bien que nombre d'entre eux puissent faire partie des plans visant à protéger les infrastructures critiques (telles que les télécommunications, les transports), services financiers, vente au détail, et de nombreux autres secteurs d'activité ont beaucoup à perdre en cas de cyberattaque réussie. Cela fera peut-être partie de la législation à venir, mais malgré cela, il est essentiel de souligner l'importance de bonnes pratiques méticuleuses en matière de cybersécurité au niveau de l'entreprise pour assister à des changements significatifs et à une baisse des données compromises et de la cybercriminalité.
Dans l'ensemble, si l'on considère la stratégie dans son ensemble, elle repose sur une approche réactive. Lutter contre les cyberattaques, perturber les cybercriminels actifs et garantir leur poursuite, ainsi que le partage de renseignements avec des alliés internationaux, sont tous des facteurs importants, mais imaginez si la norme de protection nationale était axée sur la prévention. Outre les mesures de protection des infrastructures critiques, si la sécurité était une priorité dans toutes les entreprises et que chaque personne touchant le code qui crée notre monde numérique était correctement équipée pour bloquer les attaques avant qu'elles ne se produisent, les économies de temps, d'argent et de chagrin pour les victimes sont incommensurables.
La résilience est possible, mais elle doit être planifiée.
Les efforts déployés par le gouvernement australien pour prendre au sérieux la cybersécurité montrent clairement que celle-ci a été identifiée comme un domaine à risque majeur au niveau national. Comme toute autre attaque malveillante susceptible de bouleverser notre mode de vie, la résilience est absolument cruciale, non seulement pour résister à une telle tentative, mais aussi pour empêcher qu'elle ne se produise. En fin de compte, même les acteurs de la menace peuvent être paresseux et ils se tourneront vers une cible plus facile pour atteindre leur objectif si trop d'obstacles entravent leur réussite.
À l'heure actuelle, nous sommes confrontés à une pénurie mondiale de compétences en cybersécurité, ce qui permet aux RSSI du monde entier de rester éveillés la nuit. Des milliards de lignes de code, des violations de données constantes à grande échelle et un risque accru de sanctions (Marriott uniquement) a reçu une amende de 123 millions de dollars américains en vertu du RGPD pour leur violation de données de 2018... et ils a connu une autre violation cette année) a plus que jamais créé un gouffre de demande pour les spécialistes de la sécurité qui, en réalité, a peu de chances d'être comblé. Il y a tout simplement trop de code et trop peu de ressources pour s'assurer qu'il est renforcé sous tous les angles.
Devons-nous donc renoncer à l'idée que nous serons un jour vraiment capables de faire face aux cybermenaces ? Aucune chance. La résilience nécessite d'utiliser toutes les ressources disponibles et de penser à une longueur d'avance. Et pour de nombreuses entreprises, leurs développeurs peuvent débloquer une puissante méthode de fortification dès l'écriture du code. Associé à une culture de sécurité visible et positive dans l'ensemble de l'entreprise, cela fournit une base sûre difficile à ébranler pour de nombreux attaquants. Cependant, cette méthode nécessite de prendre les suggestions de la stratégie australienne de cybersécurité, à titre d'exemple, et d'approfondir la manière dont elles peuvent être personnalisées pour soutenir des changements efficaces et pertinents pour l'entreprise.
À cette fin, il est important de détailler quelques conseils :
- Formation de sensibilisation à la sécurité : cette formation est spécifiquement destinée aux PME et, dans le contexte de l'ensemble du rapport, vise principalement à enseigner à l'ensemble du personnel les règles de base en matière de sécurité (par exemple, repérer les e-mails de phishing, ne pas cliquer sur des liens inconnus, etc.). En réalité, il doit aller bien plus loin que cela et devenir spécifique au rôle, en particulier pour ceux qui touchent au code, comme les développeurs. Il est impératif que la formation à la sensibilisation à la sécurité fasse partie des mesures préventives et du renforcement de la résilience
- Éducation : Dans le cadre d'un changement rafraîchissant, il existe un plan approfondi visant à remédier à la pénurie de compétences en cybersécurité au cours de la prochaine décennie, en mettant l'accent sur la formation en cybersécurité depuis les écoles primaires et secondaires jusqu'à l'enseignement supérieur. Cela est absolument nécessaire si nous voulons créer les superstars de la sécurité de demain, mais pour répondre aux besoins actuels des entreprises, une formation pratique au codage sécurisé pour la cohorte de développement est une nécessité absolue pour commencer à réduire les vulnérabilités courantes, et doit faire partie d'un programme de sécurité fonctionnel.
En tant qu'experts en sécurité, nous devons faire davantage pour aider les entreprises du monde entier à comprendre l'importance de mettre en place un programme de sécurité interne qui aille au-delà de simples mesures de sensibilisation fondamentales. Le fait de consacrer du temps à améliorer les compétences des développeurs soulage les spécialistes de la sécurité des applications surchargés de travail. Il est essentiel de veiller à ce que l'ensemble de l'entreprise soit aussi consciente que possible de la sécurité dans le contexte de son rôle afin de réduire la zone d'attaque superficielle des menaces dans les logiciels.
L'amélioration des compétences des développeurs est un temps bien investi, alors pourquoi tant d'entreprises l'ignorent-elles ?
Une récente enquête du DDLS a conclu que les organisations australiennes ne se soucient guère des priorités en matière de formation à la cybersécurité. En fait, il ne figurait même pas parmi les trois principales priorités en matière de formation, bien que 77 % des personnes interrogées considèrent la sensibilisation à la cybersécurité comme « extrêmement » ou « très importante » dans leur entreprise.
Il n'est donc pas étonnant que l'Australie peine à combler son déficit croissant de compétences et qu'elle ait encore du travail à faire pour créer une infrastructure plus résiliente, des services essentiels au commerce de détail, en passant par tout ce qui se trouve entre les deux.
Il y a là une énorme opportunité pour gouvernements pour créer une certification ou une réglementation de base des compétences en matière de sécurité, et la stratégie y fait allusion comme un moyen de travailler avec des ressources limitées. Cependant, une fois de plus, il s'agit d'une proposition tournée vers l'avenir, et nous disposons des outils nécessaires pour démarrer bien plus tôt si nous ciblons d'abord les zones à fort impact. Pour moi, l'espoir réside dans les équipes de développement de chaque organisation. Si elles disposent des outils et des connaissances nécessaires pour réussir, elles peuvent éliminer les vulnérabilités courantes au passage et réduire considérablement le risque de violation de données au sein de leur organisation.
En 2019, 24 % de toutes les violations de données ont été causées par une erreur humaine - à savoir les erreurs de configuration en matière de sécurité - qui sont généralement des correctifs relativement simples au niveau du code. Si la formation est considérée comme une priorité, en conjonction avec le renforcement de la sensibilisation à la sécurité à l'échelle de l'entreprise, je parie qu'il y aurait moins de RSSI qui signent les notifications de violation adressées à des milliers de clients compromis.
L'année 2020 étant marquée par énorme augmentation du travail à distance, en plus de la poursuite des violations de données à grande échelle et de l'attention croissante portée aux conséquences d'une atteinte à la vie privée en ligne, le public n'a jamais accordé autant d'attention à la cybersécurité. En conséquence, les gouvernements du monde entier sont intervenus pour remodeler et mettre à jour leurs plans et infrastructures de cybersécurité, y compris les stratégies et les réglementations que les entreprises sont tenues de suivre lorsqu'elles gèrent nos ressources numériques les plus précieuses.
Les directives de protection stratégique en matière de cybersécurité ne sont pas un concept nouveau, et des organisations comme NIST ont influencé les politiques des ministères du monde entier pendant de nombreuses années. Alors que nous avons progressé à un rythme effréné dans le numérique, il est devenu difficile pour de nombreuses personnes de faire face au nombre de menaces, aux vecteurs d'attaque possibles et aux exigences de conformité qui font partie d'un paysage en constante évolution.
Un récent violation de 54 000 permis de conduire de la Nouvelle-Galles du Sud à la suite d'un compartiment S3 mal configuré et facilement accessible sur un serveur tiers, des milliers de personnes ont été compromises. Le chercheur en sécurité qui l'a signalé a reconnu que les données avaient peut-être déjà été vendues sur le dark web. Ce qui est triste, c'est qu'il s'agit d'une solution facile qui aurait été peu probable si la sécurité avait été une priorité pour ceux qui configurent le cache.
Le gouvernement australien a récemment publié le Stratégie australienne de cybersécurité 2020, mettant en avant de nouvelles initiatives et une augmentation de financement de 1,67 milliard de dollars à utiliser au cours de la prochaine décennie, pour réaliser leur « vision de créer un monde en ligne plus sécurisé pour les Australiens, leurs entreprises et les services essentiels dont nous dépendons tous ». Il s'agit clairement d'un examen très bienvenu et d'un plan actualisé, d'autant plus que l'un des principaux objectifs est le suivant :
«Mesures prises par les entreprises pour sécuriser leurs produits et services et protéger leurs clients contre les cybervulnérabilités connues«.
Alors que les organismes gouvernementaux ont tendance à se concentrer (comme il se doit) sur les mesures de sécurité concernant les infrastructures critiques d'un pays, c'est-à-dire des domaines qui se prêtent à une attaque organisée catastrophique, ce qui manquait par le passé, ce sont les directives destinées aux entreprises qui collectent et utilisent nos données au quotidien.
Maintenant, quand il s'agit de stratégie officielle comme celle-ci, il ne s'agit pas toujours de bière et de quilles. Cela peut être un peu difficile à interpréter et les détails sont vagues, laissant à l'équipe de sécurité de l'entreprise le soin d'élaborer un plan basé sur des directives non spécifiques. Ce problème n'est pas propre au gouvernement australien, mais analysons leur toute nouvelle version.
Mettre l'accent sur la réaction, pas sur la prévention.
La stratégie australienne de cybersécurité mise à jour constitue une amélioration plus pertinente par rapport à la dernière version de 2016, avec des plans assez complets pour les entreprises, en particulier les PME. La stratégie décrit les grandes lignes suivantes :
«Le gouvernement et les grandes entreprises aideront les petites et moyennes entreprises (PME) à se développer et à accroître leur sensibilisation et leurs capacités en matière de cybersécurité. Le gouvernement australien travaillera avec de grandes entreprises et des prestataires de services pour fournir aux PME des informations et des outils de cybersécurité dans le cadre de « lots » de services sécurisés (tels que le blocage des menaces, les antivirus et la formation de sensibilisation à la cybersécurité). »
Cela fournira aux PME une base de base décente sur laquelle elles pourront protéger leurs activités contre les cybermenaces, mais il s'agit en grande partie d'une approche réactive, et l'accent est mis sur les outils de détection, qui constituent une partie relativement restreinte du paysage de la cybersécurité.
Il existe également étonnamment peu d'informations sur la manière dont les grandes entreprises peuvent se protéger et réduire leurs vecteurs d'attaque. Bien que nombre d'entre eux puissent faire partie des plans visant à protéger les infrastructures critiques (telles que les télécommunications, les transports), services financiers, vente au détail, et de nombreux autres secteurs d'activité ont beaucoup à perdre en cas de cyberattaque réussie. Cela fera peut-être partie de la législation à venir, mais malgré cela, il est essentiel de souligner l'importance de bonnes pratiques méticuleuses en matière de cybersécurité au niveau de l'entreprise pour assister à des changements significatifs et à une baisse des données compromises et de la cybercriminalité.
Dans l'ensemble, si l'on considère la stratégie dans son ensemble, elle repose sur une approche réactive. Lutter contre les cyberattaques, perturber les cybercriminels actifs et garantir leur poursuite, ainsi que le partage de renseignements avec des alliés internationaux, sont tous des facteurs importants, mais imaginez si la norme de protection nationale était axée sur la prévention. Outre les mesures de protection des infrastructures critiques, si la sécurité était une priorité dans toutes les entreprises et que chaque personne touchant le code qui crée notre monde numérique était correctement équipée pour bloquer les attaques avant qu'elles ne se produisent, les économies de temps, d'argent et de chagrin pour les victimes sont incommensurables.
La résilience est possible, mais elle doit être planifiée.
Les efforts déployés par le gouvernement australien pour prendre au sérieux la cybersécurité montrent clairement que celle-ci a été identifiée comme un domaine à risque majeur au niveau national. Comme toute autre attaque malveillante susceptible de bouleverser notre mode de vie, la résilience est absolument cruciale, non seulement pour résister à une telle tentative, mais aussi pour empêcher qu'elle ne se produise. En fin de compte, même les acteurs de la menace peuvent être paresseux et ils se tourneront vers une cible plus facile pour atteindre leur objectif si trop d'obstacles entravent leur réussite.
À l'heure actuelle, nous sommes confrontés à une pénurie mondiale de compétences en cybersécurité, ce qui permet aux RSSI du monde entier de rester éveillés la nuit. Des milliards de lignes de code, des violations de données constantes à grande échelle et un risque accru de sanctions (Marriott uniquement) a reçu une amende de 123 millions de dollars américains en vertu du RGPD pour leur violation de données de 2018... et ils a connu une autre violation cette année) a plus que jamais créé un gouffre de demande pour les spécialistes de la sécurité qui, en réalité, a peu de chances d'être comblé. Il y a tout simplement trop de code et trop peu de ressources pour s'assurer qu'il est renforcé sous tous les angles.
Devons-nous donc renoncer à l'idée que nous serons un jour vraiment capables de faire face aux cybermenaces ? Aucune chance. La résilience nécessite d'utiliser toutes les ressources disponibles et de penser à une longueur d'avance. Et pour de nombreuses entreprises, leurs développeurs peuvent débloquer une puissante méthode de fortification dès l'écriture du code. Associé à une culture de sécurité visible et positive dans l'ensemble de l'entreprise, cela fournit une base sûre difficile à ébranler pour de nombreux attaquants. Cependant, cette méthode nécessite de prendre les suggestions de la stratégie australienne de cybersécurité, à titre d'exemple, et d'approfondir la manière dont elles peuvent être personnalisées pour soutenir des changements efficaces et pertinents pour l'entreprise.
À cette fin, il est important de détailler quelques conseils :
- Formation de sensibilisation à la sécurité : cette formation est spécifiquement destinée aux PME et, dans le contexte de l'ensemble du rapport, vise principalement à enseigner à l'ensemble du personnel les règles de base en matière de sécurité (par exemple, repérer les e-mails de phishing, ne pas cliquer sur des liens inconnus, etc.). En réalité, il doit aller bien plus loin que cela et devenir spécifique au rôle, en particulier pour ceux qui touchent au code, comme les développeurs. Il est impératif que la formation à la sensibilisation à la sécurité fasse partie des mesures préventives et du renforcement de la résilience
- Éducation : Dans le cadre d'un changement rafraîchissant, il existe un plan approfondi visant à remédier à la pénurie de compétences en cybersécurité au cours de la prochaine décennie, en mettant l'accent sur la formation en cybersécurité depuis les écoles primaires et secondaires jusqu'à l'enseignement supérieur. Cela est absolument nécessaire si nous voulons créer les superstars de la sécurité de demain, mais pour répondre aux besoins actuels des entreprises, une formation pratique au codage sécurisé pour la cohorte de développement est une nécessité absolue pour commencer à réduire les vulnérabilités courantes, et doit faire partie d'un programme de sécurité fonctionnel.
En tant qu'experts en sécurité, nous devons faire davantage pour aider les entreprises du monde entier à comprendre l'importance de mettre en place un programme de sécurité interne qui aille au-delà de simples mesures de sensibilisation fondamentales. Le fait de consacrer du temps à améliorer les compétences des développeurs soulage les spécialistes de la sécurité des applications surchargés de travail. Il est essentiel de veiller à ce que l'ensemble de l'entreprise soit aussi consciente que possible de la sécurité dans le contexte de son rôle afin de réduire la zone d'attaque superficielle des menaces dans les logiciels.
L'amélioration des compétences des développeurs est un temps bien investi, alors pourquoi tant d'entreprises l'ignorent-elles ?
Une récente enquête du DDLS a conclu que les organisations australiennes ne se soucient guère des priorités en matière de formation à la cybersécurité. En fait, il ne figurait même pas parmi les trois principales priorités en matière de formation, bien que 77 % des personnes interrogées considèrent la sensibilisation à la cybersécurité comme « extrêmement » ou « très importante » dans leur entreprise.
Il n'est donc pas étonnant que l'Australie peine à combler son déficit croissant de compétences et qu'elle ait encore du travail à faire pour créer une infrastructure plus résiliente, des services essentiels au commerce de détail, en passant par tout ce qui se trouve entre les deux.
Il y a là une énorme opportunité pour gouvernements pour créer une certification ou une réglementation de base des compétences en matière de sécurité, et la stratégie y fait allusion comme un moyen de travailler avec des ressources limitées. Cependant, une fois de plus, il s'agit d'une proposition tournée vers l'avenir, et nous disposons des outils nécessaires pour démarrer bien plus tôt si nous ciblons d'abord les zones à fort impact. Pour moi, l'espoir réside dans les équipes de développement de chaque organisation. Si elles disposent des outils et des connaissances nécessaires pour réussir, elles peuvent éliminer les vulnérabilités courantes au passage et réduire considérablement le risque de violation de données au sein de leur organisation.
En 2019, 24 % de toutes les violations de données ont été causées par une erreur humaine - à savoir les erreurs de configuration en matière de sécurité - qui sont généralement des correctifs relativement simples au niveau du code. Si la formation est considérée comme une priorité, en conjonction avec le renforcement de la sensibilisation à la sécurité à l'échelle de l'entreprise, je parie qu'il y aurait moins de RSSI qui signent les notifications de violation adressées à des milliers de clients compromis.
Haga clic en el enlace siguiente y descargue el PDF de este recurso.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Mostrar el informeReserve una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
L'année 2020 étant marquée par énorme augmentation du travail à distance, en plus de la poursuite des violations de données à grande échelle et de l'attention croissante portée aux conséquences d'une atteinte à la vie privée en ligne, le public n'a jamais accordé autant d'attention à la cybersécurité. En conséquence, les gouvernements du monde entier sont intervenus pour remodeler et mettre à jour leurs plans et infrastructures de cybersécurité, y compris les stratégies et les réglementations que les entreprises sont tenues de suivre lorsqu'elles gèrent nos ressources numériques les plus précieuses.
Les directives de protection stratégique en matière de cybersécurité ne sont pas un concept nouveau, et des organisations comme NIST ont influencé les politiques des ministères du monde entier pendant de nombreuses années. Alors que nous avons progressé à un rythme effréné dans le numérique, il est devenu difficile pour de nombreuses personnes de faire face au nombre de menaces, aux vecteurs d'attaque possibles et aux exigences de conformité qui font partie d'un paysage en constante évolution.
Un récent violation de 54 000 permis de conduire de la Nouvelle-Galles du Sud à la suite d'un compartiment S3 mal configuré et facilement accessible sur un serveur tiers, des milliers de personnes ont été compromises. Le chercheur en sécurité qui l'a signalé a reconnu que les données avaient peut-être déjà été vendues sur le dark web. Ce qui est triste, c'est qu'il s'agit d'une solution facile qui aurait été peu probable si la sécurité avait été une priorité pour ceux qui configurent le cache.
Le gouvernement australien a récemment publié le Stratégie australienne de cybersécurité 2020, mettant en avant de nouvelles initiatives et une augmentation de financement de 1,67 milliard de dollars à utiliser au cours de la prochaine décennie, pour réaliser leur « vision de créer un monde en ligne plus sécurisé pour les Australiens, leurs entreprises et les services essentiels dont nous dépendons tous ». Il s'agit clairement d'un examen très bienvenu et d'un plan actualisé, d'autant plus que l'un des principaux objectifs est le suivant :
«Mesures prises par les entreprises pour sécuriser leurs produits et services et protéger leurs clients contre les cybervulnérabilités connues«.
Alors que les organismes gouvernementaux ont tendance à se concentrer (comme il se doit) sur les mesures de sécurité concernant les infrastructures critiques d'un pays, c'est-à-dire des domaines qui se prêtent à une attaque organisée catastrophique, ce qui manquait par le passé, ce sont les directives destinées aux entreprises qui collectent et utilisent nos données au quotidien.
Maintenant, quand il s'agit de stratégie officielle comme celle-ci, il ne s'agit pas toujours de bière et de quilles. Cela peut être un peu difficile à interpréter et les détails sont vagues, laissant à l'équipe de sécurité de l'entreprise le soin d'élaborer un plan basé sur des directives non spécifiques. Ce problème n'est pas propre au gouvernement australien, mais analysons leur toute nouvelle version.
Mettre l'accent sur la réaction, pas sur la prévention.
La stratégie australienne de cybersécurité mise à jour constitue une amélioration plus pertinente par rapport à la dernière version de 2016, avec des plans assez complets pour les entreprises, en particulier les PME. La stratégie décrit les grandes lignes suivantes :
«Le gouvernement et les grandes entreprises aideront les petites et moyennes entreprises (PME) à se développer et à accroître leur sensibilisation et leurs capacités en matière de cybersécurité. Le gouvernement australien travaillera avec de grandes entreprises et des prestataires de services pour fournir aux PME des informations et des outils de cybersécurité dans le cadre de « lots » de services sécurisés (tels que le blocage des menaces, les antivirus et la formation de sensibilisation à la cybersécurité). »
Cela fournira aux PME une base de base décente sur laquelle elles pourront protéger leurs activités contre les cybermenaces, mais il s'agit en grande partie d'une approche réactive, et l'accent est mis sur les outils de détection, qui constituent une partie relativement restreinte du paysage de la cybersécurité.
Il existe également étonnamment peu d'informations sur la manière dont les grandes entreprises peuvent se protéger et réduire leurs vecteurs d'attaque. Bien que nombre d'entre eux puissent faire partie des plans visant à protéger les infrastructures critiques (telles que les télécommunications, les transports), services financiers, vente au détail, et de nombreux autres secteurs d'activité ont beaucoup à perdre en cas de cyberattaque réussie. Cela fera peut-être partie de la législation à venir, mais malgré cela, il est essentiel de souligner l'importance de bonnes pratiques méticuleuses en matière de cybersécurité au niveau de l'entreprise pour assister à des changements significatifs et à une baisse des données compromises et de la cybercriminalité.
Dans l'ensemble, si l'on considère la stratégie dans son ensemble, elle repose sur une approche réactive. Lutter contre les cyberattaques, perturber les cybercriminels actifs et garantir leur poursuite, ainsi que le partage de renseignements avec des alliés internationaux, sont tous des facteurs importants, mais imaginez si la norme de protection nationale était axée sur la prévention. Outre les mesures de protection des infrastructures critiques, si la sécurité était une priorité dans toutes les entreprises et que chaque personne touchant le code qui crée notre monde numérique était correctement équipée pour bloquer les attaques avant qu'elles ne se produisent, les économies de temps, d'argent et de chagrin pour les victimes sont incommensurables.
La résilience est possible, mais elle doit être planifiée.
Les efforts déployés par le gouvernement australien pour prendre au sérieux la cybersécurité montrent clairement que celle-ci a été identifiée comme un domaine à risque majeur au niveau national. Comme toute autre attaque malveillante susceptible de bouleverser notre mode de vie, la résilience est absolument cruciale, non seulement pour résister à une telle tentative, mais aussi pour empêcher qu'elle ne se produise. En fin de compte, même les acteurs de la menace peuvent être paresseux et ils se tourneront vers une cible plus facile pour atteindre leur objectif si trop d'obstacles entravent leur réussite.
À l'heure actuelle, nous sommes confrontés à une pénurie mondiale de compétences en cybersécurité, ce qui permet aux RSSI du monde entier de rester éveillés la nuit. Des milliards de lignes de code, des violations de données constantes à grande échelle et un risque accru de sanctions (Marriott uniquement) a reçu une amende de 123 millions de dollars américains en vertu du RGPD pour leur violation de données de 2018... et ils a connu une autre violation cette année) a plus que jamais créé un gouffre de demande pour les spécialistes de la sécurité qui, en réalité, a peu de chances d'être comblé. Il y a tout simplement trop de code et trop peu de ressources pour s'assurer qu'il est renforcé sous tous les angles.
Devons-nous donc renoncer à l'idée que nous serons un jour vraiment capables de faire face aux cybermenaces ? Aucune chance. La résilience nécessite d'utiliser toutes les ressources disponibles et de penser à une longueur d'avance. Et pour de nombreuses entreprises, leurs développeurs peuvent débloquer une puissante méthode de fortification dès l'écriture du code. Associé à une culture de sécurité visible et positive dans l'ensemble de l'entreprise, cela fournit une base sûre difficile à ébranler pour de nombreux attaquants. Cependant, cette méthode nécessite de prendre les suggestions de la stratégie australienne de cybersécurité, à titre d'exemple, et d'approfondir la manière dont elles peuvent être personnalisées pour soutenir des changements efficaces et pertinents pour l'entreprise.
À cette fin, il est important de détailler quelques conseils :
- Formation de sensibilisation à la sécurité : cette formation est spécifiquement destinée aux PME et, dans le contexte de l'ensemble du rapport, vise principalement à enseigner à l'ensemble du personnel les règles de base en matière de sécurité (par exemple, repérer les e-mails de phishing, ne pas cliquer sur des liens inconnus, etc.). En réalité, il doit aller bien plus loin que cela et devenir spécifique au rôle, en particulier pour ceux qui touchent au code, comme les développeurs. Il est impératif que la formation à la sensibilisation à la sécurité fasse partie des mesures préventives et du renforcement de la résilience
- Éducation : Dans le cadre d'un changement rafraîchissant, il existe un plan approfondi visant à remédier à la pénurie de compétences en cybersécurité au cours de la prochaine décennie, en mettant l'accent sur la formation en cybersécurité depuis les écoles primaires et secondaires jusqu'à l'enseignement supérieur. Cela est absolument nécessaire si nous voulons créer les superstars de la sécurité de demain, mais pour répondre aux besoins actuels des entreprises, une formation pratique au codage sécurisé pour la cohorte de développement est une nécessité absolue pour commencer à réduire les vulnérabilités courantes, et doit faire partie d'un programme de sécurité fonctionnel.
En tant qu'experts en sécurité, nous devons faire davantage pour aider les entreprises du monde entier à comprendre l'importance de mettre en place un programme de sécurité interne qui aille au-delà de simples mesures de sensibilisation fondamentales. Le fait de consacrer du temps à améliorer les compétences des développeurs soulage les spécialistes de la sécurité des applications surchargés de travail. Il est essentiel de veiller à ce que l'ensemble de l'entreprise soit aussi consciente que possible de la sécurité dans le contexte de son rôle afin de réduire la zone d'attaque superficielle des menaces dans les logiciels.
L'amélioration des compétences des développeurs est un temps bien investi, alors pourquoi tant d'entreprises l'ignorent-elles ?
Une récente enquête du DDLS a conclu que les organisations australiennes ne se soucient guère des priorités en matière de formation à la cybersécurité. En fait, il ne figurait même pas parmi les trois principales priorités en matière de formation, bien que 77 % des personnes interrogées considèrent la sensibilisation à la cybersécurité comme « extrêmement » ou « très importante » dans leur entreprise.
Il n'est donc pas étonnant que l'Australie peine à combler son déficit croissant de compétences et qu'elle ait encore du travail à faire pour créer une infrastructure plus résiliente, des services essentiels au commerce de détail, en passant par tout ce qui se trouve entre les deux.
Il y a là une énorme opportunité pour gouvernements pour créer une certification ou une réglementation de base des compétences en matière de sécurité, et la stratégie y fait allusion comme un moyen de travailler avec des ressources limitées. Cependant, une fois de plus, il s'agit d'une proposition tournée vers l'avenir, et nous disposons des outils nécessaires pour démarrer bien plus tôt si nous ciblons d'abord les zones à fort impact. Pour moi, l'espoir réside dans les équipes de développement de chaque organisation. Si elles disposent des outils et des connaissances nécessaires pour réussir, elles peuvent éliminer les vulnérabilités courantes au passage et réduire considérablement le risque de violation de données au sein de leur organisation.
En 2019, 24 % de toutes les violations de données ont été causées par une erreur humaine - à savoir les erreurs de configuration en matière de sécurité - qui sont généralement des correctifs relativement simples au niveau du code. Si la formation est considérée comme une priorité, en conjonction avec le renforcement de la sensibilisation à la sécurité à l'échelle de l'entreprise, je parie qu'il y aurait moins de RSSI qui signent les notifications de violation adressées à des milliers de clients compromis.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de formación sobre el código seguro
Nuestro contenido de vanguardia evoluciona constantemente para adaptarse al panorama en constante cambio del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la IA hasta la inyección de XQuery, ofrecidos para una variedad de puestos, desde arquitectos hasta ingenieros, pasando por jefes de producto y control de calidad. Descubra una visión general de lo que nuestro catálogo de contenidos tiene para ofrecer por tema y por función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon está de vuelta: las missions Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible todo el año en SCW. Implemente desafíos de seguridad avanzados relacionados con la IA y el LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la ley sobre ciberresiliencia: lo que significa para el desarrollo de software seguro desde el diseño.
Descubra qué exige la ley europea sobre ciberresiliencia (CRA), a quién se aplica y cómo los equipos de ingenieros pueden prepararse mediante prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el refuerzo de las capacidades de los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 da inicio a nuestra serie de 10 partes titulada «Facilitadores del éxito», mostrando cómo combinar la codificación segura con resultados comerciales, como la reducción de riesgos y la rapidez, para garantizar la madurez a largo plazo de los programas.
