Le facteur humain oublié à l'origine des failles de sécurité des applications Web
Le rapport 2018 de Verizon sur les enquêtes sur les violations de données est une fois de plus une excellente lecture qui nous permet de rester au courant de l'actualité en matière de cybersécurité, notamment des tendances actuelles en matière de cybercriminalité et des facteurs d'incidents, des analyses et des informations qui peuvent aider les entreprises à faire évoluer leur programme de sécurité. Cette année, les enquêteurs de Verizon ont analysé plus de 53 000 incidents et quelque 2 200 violations. Ils ont tiré de nombreux enseignements tangibles sur ce qu'il faut surveiller et ne pas faire, ainsi que de précieuses recommandations sur les domaines sur lesquels concentrer les efforts de sécurité. Le rapport de 2018 semble avoir évolué avec le temps, être pertinent pour un public plus large d'entreprises à mesure que les impacts sur la sécurité s'étendent, et être de plus en plus reconnu comme un problème commercial courant.
Parmi les nombreuses conclusions intéressantes, le rapport de 2018 confirme que la plupart des piratages se produisent toujours par le biais de violations d'applications Web (il existe même un graphique interactif sympa qui le montre).
Les attaques d'applications Web consistent en tout incident au cours duquel une application Web a été le vecteur de l'attaque. Cela inclut l'exploitation des vulnérabilités au niveau du code de l'application ainsi que le blocage des mécanismes d'authentification. Il convient de noter que le nombre de violations de ce type est réduit en raison du filtrage des attaques liées aux botnets sur les applications Web à l'aide d'informations d'identification volées sur les appareils appartenant aux clients. L'utilisation d'informations d'identification volées reste la principale forme de piratage lors de violations impliquant des applications Web, suivie par SQLi (plus d'informations sur SQL plus tard...).
L'un des thèmes qui ressort du rapport de cette année est l'importance du « facteur humain » dans l'équation de la sécurité, à la fois en tant que partie intégrante du problème et de la solution. Le rapport traite à la fois des acteurs externes et internes, indiquant que les erreurs étaient à l'origine de près d'une violation sur cinq (17 %). Des violations se sont produites lorsque des employés n'ont pas réussi à détruire des informations confidentielles, lorsqu'ils ont envoyé un e-mail à la mauvaise personne et lorsque les serveurs Web étaient mal configurés. Le rapport souligne que même si aucune de ces mesures n'était délibérément mal intentionnée, elles pourraient toutes s'avérer coûteuses.
Mais il existe un facteur humain souvent oublié qui est à l'origine de nombreuses failles de sécurité, à savoir la fréquence élevée à laquelle les développeurs créent du code contenant des failles de sécurité, ce qui entraîne des vulnérabilités des applications Web, qui à leur tour entraînent ces incidents et ces violations.
Les tests d'applications réalisés au cours des 5 dernières années n'ont pas montré d'amélioration significative du nombre de vulnérabilités détectées et les mêmes failles réapparaissent à maintes reprises. Un rapport Veracode de 2017 basé sur 400 000 scans d'applications montre que les applications ont respecté la politique des 10 meilleures applications de l'OWASP dans 30 % des cas seulement. Étonnamment, les injections SQL sont apparues dans près d'une application récemment scannée sur trois au cours des 5 dernières années, y compris l'année dernière. Je dis « étonnant », car les injections SQL existent depuis 1999. Le fait que les mêmes failles, y compris les injections SQL, soient constamment découvertes prouve que ce problème de « facteur humain » chez les développeurs n'est pas traité de manière adéquate.
C'est à ce stade que je dois me lever et dire que je suis du côté des développeurs dans cet argument. Comment les développeurs sont-ils censés écrire du code sécurisé si personne ne leur explique pourquoi c'est important, quelles sont les conséquences d'un code non sécurisé et, surtout, comment éviter d'écrire ces vulnérabilités dans leurs frameworks de programmation respectifs ?
C'est ce que nous faisons chez Secure Code Warrior et nous constatons que les entreprises qui intègrent une formation pratique au code sécurisé dans la vie quotidienne de leurs développeurs réduisent le nombre de vulnérabilités créées dans les applications Web. Pour pouvoir écrire du code sécurisé, les développeurs ont besoin d'un accès régulier à des formations pratiques qui les incitent activement à développer leurs compétences en matière de codage sécurisé. Ils doivent se renseigner sur les vulnérabilités récemment identifiées, en code réel, et plus particulièrement dans leurs propres langages/frameworks. Cette expérience d'apprentissage devrait les aider à comprendre comment localiser, identifier et corriger les vulnérabilités connues. Les développeurs ont également besoin d'un ensemble d'outils de qualité dans leur processus qui facilite la sécurité, ne les ralentit pas et les oriente en temps réel sur les bons et les mauvais modèles de codage.
C'est ainsi que nous pouvons faire une différence tangible et positive en ce qui concerne le nombre de violations des applications Web.
Je suis totalement d'accord avec Verizon pour dire qu'il est nécessaire de renforcer la formation en matière de sensibilisation à la sécurité à l'échelle de l'entreprise. Mon message à ce sujet aux DSI et aux RSSI est « n'oubliez pas vos développeurs ! ». Ces architectes de vos entreprises modernes peuvent être un « facteur humain » important qui génère régulièrement des points d'accès pour les pirates informatiques, ou ils peuvent être votre première ligne de défense, vos héros de sécurité.
Une mise à niveau efficace des compétences en matière de sécurité pour les développeurs pourrait faire une réelle différence dans les résultats rapportés par Verizon dans ses prochains rapports. Il serait intéressant de voir que le rapport 2019 présente la formation des développeurs en matière de sécurité comme une stratégie clé de réduction des risques que les entreprises peuvent adopter. Je suis optimiste, mais je parie que si les entreprises apprenaient à leurs développeurs comment éviter de créer des failles d'injection, le nombre de vulnérabilités des applications Web mentionnées dans ce rapport diminuerait de manière significative.
Jetez un œil à notre plateforme en action pour découvrir comment les développeurs peuvent améliorer leurs compétences rapidement dans un environnement de formation idéal et ludique :
Jouez à un défi de codage sécurisé
Consultez nos ressources d'apprentissage gratuites
Comment les développeurs sont-ils censés écrire du code sécurisé si personne ne leur explique pourquoi c'est important, quelles sont les conséquences d'un code non sécurisé et, surtout, comment éviter d'écrire ces vulnérabilités dans leurs frameworks de programmation respectifs ?
Comment les développeurs sont-ils censés écrire du code sécurisé si personne ne leur explique pourquoi c'est important, quelles sont les conséquences d'un code non sécurisé et, surtout, comment éviter d'écrire ces vulnérabilités dans leurs frameworks de programmation respectifs ?
Director General, Presidente y Cofundador
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Le rapport 2018 de Verizon sur les enquêtes sur les violations de données est une fois de plus une excellente lecture qui nous permet de rester au courant de l'actualité en matière de cybersécurité, notamment des tendances actuelles en matière de cybercriminalité et des facteurs d'incidents, des analyses et des informations qui peuvent aider les entreprises à faire évoluer leur programme de sécurité. Cette année, les enquêteurs de Verizon ont analysé plus de 53 000 incidents et quelque 2 200 violations. Ils ont tiré de nombreux enseignements tangibles sur ce qu'il faut surveiller et ne pas faire, ainsi que de précieuses recommandations sur les domaines sur lesquels concentrer les efforts de sécurité. Le rapport de 2018 semble avoir évolué avec le temps, être pertinent pour un public plus large d'entreprises à mesure que les impacts sur la sécurité s'étendent, et être de plus en plus reconnu comme un problème commercial courant.
Parmi les nombreuses conclusions intéressantes, le rapport de 2018 confirme que la plupart des piratages se produisent toujours par le biais de violations d'applications Web (il existe même un graphique interactif sympa qui le montre).
Les attaques d'applications Web consistent en tout incident au cours duquel une application Web a été le vecteur de l'attaque. Cela inclut l'exploitation des vulnérabilités au niveau du code de l'application ainsi que le blocage des mécanismes d'authentification. Il convient de noter que le nombre de violations de ce type est réduit en raison du filtrage des attaques liées aux botnets sur les applications Web à l'aide d'informations d'identification volées sur les appareils appartenant aux clients. L'utilisation d'informations d'identification volées reste la principale forme de piratage lors de violations impliquant des applications Web, suivie par SQLi (plus d'informations sur SQL plus tard...).
L'un des thèmes qui ressort du rapport de cette année est l'importance du « facteur humain » dans l'équation de la sécurité, à la fois en tant que partie intégrante du problème et de la solution. Le rapport traite à la fois des acteurs externes et internes, indiquant que les erreurs étaient à l'origine de près d'une violation sur cinq (17 %). Des violations se sont produites lorsque des employés n'ont pas réussi à détruire des informations confidentielles, lorsqu'ils ont envoyé un e-mail à la mauvaise personne et lorsque les serveurs Web étaient mal configurés. Le rapport souligne que même si aucune de ces mesures n'était délibérément mal intentionnée, elles pourraient toutes s'avérer coûteuses.
Mais il existe un facteur humain souvent oublié qui est à l'origine de nombreuses failles de sécurité, à savoir la fréquence élevée à laquelle les développeurs créent du code contenant des failles de sécurité, ce qui entraîne des vulnérabilités des applications Web, qui à leur tour entraînent ces incidents et ces violations.
Les tests d'applications réalisés au cours des 5 dernières années n'ont pas montré d'amélioration significative du nombre de vulnérabilités détectées et les mêmes failles réapparaissent à maintes reprises. Un rapport Veracode de 2017 basé sur 400 000 scans d'applications montre que les applications ont respecté la politique des 10 meilleures applications de l'OWASP dans 30 % des cas seulement. Étonnamment, les injections SQL sont apparues dans près d'une application récemment scannée sur trois au cours des 5 dernières années, y compris l'année dernière. Je dis « étonnant », car les injections SQL existent depuis 1999. Le fait que les mêmes failles, y compris les injections SQL, soient constamment découvertes prouve que ce problème de « facteur humain » chez les développeurs n'est pas traité de manière adéquate.
C'est à ce stade que je dois me lever et dire que je suis du côté des développeurs dans cet argument. Comment les développeurs sont-ils censés écrire du code sécurisé si personne ne leur explique pourquoi c'est important, quelles sont les conséquences d'un code non sécurisé et, surtout, comment éviter d'écrire ces vulnérabilités dans leurs frameworks de programmation respectifs ?
C'est ce que nous faisons chez Secure Code Warrior et nous constatons que les entreprises qui intègrent une formation pratique au code sécurisé dans la vie quotidienne de leurs développeurs réduisent le nombre de vulnérabilités créées dans les applications Web. Pour pouvoir écrire du code sécurisé, les développeurs ont besoin d'un accès régulier à des formations pratiques qui les incitent activement à développer leurs compétences en matière de codage sécurisé. Ils doivent se renseigner sur les vulnérabilités récemment identifiées, en code réel, et plus particulièrement dans leurs propres langages/frameworks. Cette expérience d'apprentissage devrait les aider à comprendre comment localiser, identifier et corriger les vulnérabilités connues. Les développeurs ont également besoin d'un ensemble d'outils de qualité dans leur processus qui facilite la sécurité, ne les ralentit pas et les oriente en temps réel sur les bons et les mauvais modèles de codage.
C'est ainsi que nous pouvons faire une différence tangible et positive en ce qui concerne le nombre de violations des applications Web.
Je suis totalement d'accord avec Verizon pour dire qu'il est nécessaire de renforcer la formation en matière de sensibilisation à la sécurité à l'échelle de l'entreprise. Mon message à ce sujet aux DSI et aux RSSI est « n'oubliez pas vos développeurs ! ». Ces architectes de vos entreprises modernes peuvent être un « facteur humain » important qui génère régulièrement des points d'accès pour les pirates informatiques, ou ils peuvent être votre première ligne de défense, vos héros de sécurité.
Une mise à niveau efficace des compétences en matière de sécurité pour les développeurs pourrait faire une réelle différence dans les résultats rapportés par Verizon dans ses prochains rapports. Il serait intéressant de voir que le rapport 2019 présente la formation des développeurs en matière de sécurité comme une stratégie clé de réduction des risques que les entreprises peuvent adopter. Je suis optimiste, mais je parie que si les entreprises apprenaient à leurs développeurs comment éviter de créer des failles d'injection, le nombre de vulnérabilités des applications Web mentionnées dans ce rapport diminuerait de manière significative.
Jetez un œil à notre plateforme en action pour découvrir comment les développeurs peuvent améliorer leurs compétences rapidement dans un environnement de formation idéal et ludique :
Jouez à un défi de codage sécurisé
Consultez nos ressources d'apprentissage gratuites
Comment les développeurs sont-ils censés écrire du code sécurisé si personne ne leur explique pourquoi c'est important, quelles sont les conséquences d'un code non sécurisé et, surtout, comment éviter d'écrire ces vulnérabilités dans leurs frameworks de programmation respectifs ?
Le rapport 2018 de Verizon sur les enquêtes sur les violations de données est une fois de plus une excellente lecture qui nous permet de rester au courant de l'actualité en matière de cybersécurité, notamment des tendances actuelles en matière de cybercriminalité et des facteurs d'incidents, des analyses et des informations qui peuvent aider les entreprises à faire évoluer leur programme de sécurité. Cette année, les enquêteurs de Verizon ont analysé plus de 53 000 incidents et quelque 2 200 violations. Ils ont tiré de nombreux enseignements tangibles sur ce qu'il faut surveiller et ne pas faire, ainsi que de précieuses recommandations sur les domaines sur lesquels concentrer les efforts de sécurité. Le rapport de 2018 semble avoir évolué avec le temps, être pertinent pour un public plus large d'entreprises à mesure que les impacts sur la sécurité s'étendent, et être de plus en plus reconnu comme un problème commercial courant.
Parmi les nombreuses conclusions intéressantes, le rapport de 2018 confirme que la plupart des piratages se produisent toujours par le biais de violations d'applications Web (il existe même un graphique interactif sympa qui le montre).
Les attaques d'applications Web consistent en tout incident au cours duquel une application Web a été le vecteur de l'attaque. Cela inclut l'exploitation des vulnérabilités au niveau du code de l'application ainsi que le blocage des mécanismes d'authentification. Il convient de noter que le nombre de violations de ce type est réduit en raison du filtrage des attaques liées aux botnets sur les applications Web à l'aide d'informations d'identification volées sur les appareils appartenant aux clients. L'utilisation d'informations d'identification volées reste la principale forme de piratage lors de violations impliquant des applications Web, suivie par SQLi (plus d'informations sur SQL plus tard...).
L'un des thèmes qui ressort du rapport de cette année est l'importance du « facteur humain » dans l'équation de la sécurité, à la fois en tant que partie intégrante du problème et de la solution. Le rapport traite à la fois des acteurs externes et internes, indiquant que les erreurs étaient à l'origine de près d'une violation sur cinq (17 %). Des violations se sont produites lorsque des employés n'ont pas réussi à détruire des informations confidentielles, lorsqu'ils ont envoyé un e-mail à la mauvaise personne et lorsque les serveurs Web étaient mal configurés. Le rapport souligne que même si aucune de ces mesures n'était délibérément mal intentionnée, elles pourraient toutes s'avérer coûteuses.
Mais il existe un facteur humain souvent oublié qui est à l'origine de nombreuses failles de sécurité, à savoir la fréquence élevée à laquelle les développeurs créent du code contenant des failles de sécurité, ce qui entraîne des vulnérabilités des applications Web, qui à leur tour entraînent ces incidents et ces violations.
Les tests d'applications réalisés au cours des 5 dernières années n'ont pas montré d'amélioration significative du nombre de vulnérabilités détectées et les mêmes failles réapparaissent à maintes reprises. Un rapport Veracode de 2017 basé sur 400 000 scans d'applications montre que les applications ont respecté la politique des 10 meilleures applications de l'OWASP dans 30 % des cas seulement. Étonnamment, les injections SQL sont apparues dans près d'une application récemment scannée sur trois au cours des 5 dernières années, y compris l'année dernière. Je dis « étonnant », car les injections SQL existent depuis 1999. Le fait que les mêmes failles, y compris les injections SQL, soient constamment découvertes prouve que ce problème de « facteur humain » chez les développeurs n'est pas traité de manière adéquate.
C'est à ce stade que je dois me lever et dire que je suis du côté des développeurs dans cet argument. Comment les développeurs sont-ils censés écrire du code sécurisé si personne ne leur explique pourquoi c'est important, quelles sont les conséquences d'un code non sécurisé et, surtout, comment éviter d'écrire ces vulnérabilités dans leurs frameworks de programmation respectifs ?
C'est ce que nous faisons chez Secure Code Warrior et nous constatons que les entreprises qui intègrent une formation pratique au code sécurisé dans la vie quotidienne de leurs développeurs réduisent le nombre de vulnérabilités créées dans les applications Web. Pour pouvoir écrire du code sécurisé, les développeurs ont besoin d'un accès régulier à des formations pratiques qui les incitent activement à développer leurs compétences en matière de codage sécurisé. Ils doivent se renseigner sur les vulnérabilités récemment identifiées, en code réel, et plus particulièrement dans leurs propres langages/frameworks. Cette expérience d'apprentissage devrait les aider à comprendre comment localiser, identifier et corriger les vulnérabilités connues. Les développeurs ont également besoin d'un ensemble d'outils de qualité dans leur processus qui facilite la sécurité, ne les ralentit pas et les oriente en temps réel sur les bons et les mauvais modèles de codage.
C'est ainsi que nous pouvons faire une différence tangible et positive en ce qui concerne le nombre de violations des applications Web.
Je suis totalement d'accord avec Verizon pour dire qu'il est nécessaire de renforcer la formation en matière de sensibilisation à la sécurité à l'échelle de l'entreprise. Mon message à ce sujet aux DSI et aux RSSI est « n'oubliez pas vos développeurs ! ». Ces architectes de vos entreprises modernes peuvent être un « facteur humain » important qui génère régulièrement des points d'accès pour les pirates informatiques, ou ils peuvent être votre première ligne de défense, vos héros de sécurité.
Une mise à niveau efficace des compétences en matière de sécurité pour les développeurs pourrait faire une réelle différence dans les résultats rapportés par Verizon dans ses prochains rapports. Il serait intéressant de voir que le rapport 2019 présente la formation des développeurs en matière de sécurité comme une stratégie clé de réduction des risques que les entreprises peuvent adopter. Je suis optimiste, mais je parie que si les entreprises apprenaient à leurs développeurs comment éviter de créer des failles d'injection, le nombre de vulnérabilités des applications Web mentionnées dans ce rapport diminuerait de manière significative.
Jetez un œil à notre plateforme en action pour découvrir comment les développeurs peuvent améliorer leurs compétences rapidement dans un environnement de formation idéal et ludique :
Jouez à un défi de codage sécurisé
Consultez nos ressources d'apprentissage gratuites
Comment les développeurs sont-ils censés écrire du code sécurisé si personne ne leur explique pourquoi c'est important, quelles sont les conséquences d'un code non sécurisé et, surtout, comment éviter d'écrire ces vulnérabilités dans leurs frameworks de programmation respectifs ?
Haga clic en el enlace siguiente y descargue el PDF de este recurso.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Mostrar el informeReserve una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Le rapport 2018 de Verizon sur les enquêtes sur les violations de données est une fois de plus une excellente lecture qui nous permet de rester au courant de l'actualité en matière de cybersécurité, notamment des tendances actuelles en matière de cybercriminalité et des facteurs d'incidents, des analyses et des informations qui peuvent aider les entreprises à faire évoluer leur programme de sécurité. Cette année, les enquêteurs de Verizon ont analysé plus de 53 000 incidents et quelque 2 200 violations. Ils ont tiré de nombreux enseignements tangibles sur ce qu'il faut surveiller et ne pas faire, ainsi que de précieuses recommandations sur les domaines sur lesquels concentrer les efforts de sécurité. Le rapport de 2018 semble avoir évolué avec le temps, être pertinent pour un public plus large d'entreprises à mesure que les impacts sur la sécurité s'étendent, et être de plus en plus reconnu comme un problème commercial courant.
Parmi les nombreuses conclusions intéressantes, le rapport de 2018 confirme que la plupart des piratages se produisent toujours par le biais de violations d'applications Web (il existe même un graphique interactif sympa qui le montre).
Les attaques d'applications Web consistent en tout incident au cours duquel une application Web a été le vecteur de l'attaque. Cela inclut l'exploitation des vulnérabilités au niveau du code de l'application ainsi que le blocage des mécanismes d'authentification. Il convient de noter que le nombre de violations de ce type est réduit en raison du filtrage des attaques liées aux botnets sur les applications Web à l'aide d'informations d'identification volées sur les appareils appartenant aux clients. L'utilisation d'informations d'identification volées reste la principale forme de piratage lors de violations impliquant des applications Web, suivie par SQLi (plus d'informations sur SQL plus tard...).
L'un des thèmes qui ressort du rapport de cette année est l'importance du « facteur humain » dans l'équation de la sécurité, à la fois en tant que partie intégrante du problème et de la solution. Le rapport traite à la fois des acteurs externes et internes, indiquant que les erreurs étaient à l'origine de près d'une violation sur cinq (17 %). Des violations se sont produites lorsque des employés n'ont pas réussi à détruire des informations confidentielles, lorsqu'ils ont envoyé un e-mail à la mauvaise personne et lorsque les serveurs Web étaient mal configurés. Le rapport souligne que même si aucune de ces mesures n'était délibérément mal intentionnée, elles pourraient toutes s'avérer coûteuses.
Mais il existe un facteur humain souvent oublié qui est à l'origine de nombreuses failles de sécurité, à savoir la fréquence élevée à laquelle les développeurs créent du code contenant des failles de sécurité, ce qui entraîne des vulnérabilités des applications Web, qui à leur tour entraînent ces incidents et ces violations.
Les tests d'applications réalisés au cours des 5 dernières années n'ont pas montré d'amélioration significative du nombre de vulnérabilités détectées et les mêmes failles réapparaissent à maintes reprises. Un rapport Veracode de 2017 basé sur 400 000 scans d'applications montre que les applications ont respecté la politique des 10 meilleures applications de l'OWASP dans 30 % des cas seulement. Étonnamment, les injections SQL sont apparues dans près d'une application récemment scannée sur trois au cours des 5 dernières années, y compris l'année dernière. Je dis « étonnant », car les injections SQL existent depuis 1999. Le fait que les mêmes failles, y compris les injections SQL, soient constamment découvertes prouve que ce problème de « facteur humain » chez les développeurs n'est pas traité de manière adéquate.
C'est à ce stade que je dois me lever et dire que je suis du côté des développeurs dans cet argument. Comment les développeurs sont-ils censés écrire du code sécurisé si personne ne leur explique pourquoi c'est important, quelles sont les conséquences d'un code non sécurisé et, surtout, comment éviter d'écrire ces vulnérabilités dans leurs frameworks de programmation respectifs ?
C'est ce que nous faisons chez Secure Code Warrior et nous constatons que les entreprises qui intègrent une formation pratique au code sécurisé dans la vie quotidienne de leurs développeurs réduisent le nombre de vulnérabilités créées dans les applications Web. Pour pouvoir écrire du code sécurisé, les développeurs ont besoin d'un accès régulier à des formations pratiques qui les incitent activement à développer leurs compétences en matière de codage sécurisé. Ils doivent se renseigner sur les vulnérabilités récemment identifiées, en code réel, et plus particulièrement dans leurs propres langages/frameworks. Cette expérience d'apprentissage devrait les aider à comprendre comment localiser, identifier et corriger les vulnérabilités connues. Les développeurs ont également besoin d'un ensemble d'outils de qualité dans leur processus qui facilite la sécurité, ne les ralentit pas et les oriente en temps réel sur les bons et les mauvais modèles de codage.
C'est ainsi que nous pouvons faire une différence tangible et positive en ce qui concerne le nombre de violations des applications Web.
Je suis totalement d'accord avec Verizon pour dire qu'il est nécessaire de renforcer la formation en matière de sensibilisation à la sécurité à l'échelle de l'entreprise. Mon message à ce sujet aux DSI et aux RSSI est « n'oubliez pas vos développeurs ! ». Ces architectes de vos entreprises modernes peuvent être un « facteur humain » important qui génère régulièrement des points d'accès pour les pirates informatiques, ou ils peuvent être votre première ligne de défense, vos héros de sécurité.
Une mise à niveau efficace des compétences en matière de sécurité pour les développeurs pourrait faire une réelle différence dans les résultats rapportés par Verizon dans ses prochains rapports. Il serait intéressant de voir que le rapport 2019 présente la formation des développeurs en matière de sécurité comme une stratégie clé de réduction des risques que les entreprises peuvent adopter. Je suis optimiste, mais je parie que si les entreprises apprenaient à leurs développeurs comment éviter de créer des failles d'injection, le nombre de vulnérabilités des applications Web mentionnées dans ce rapport diminuerait de manière significative.
Jetez un œil à notre plateforme en action pour découvrir comment les développeurs peuvent améliorer leurs compétences rapidement dans un environnement de formation idéal et ludique :
Jouez à un défi de codage sécurisé
Consultez nos ressources d'apprentissage gratuites
Comment les développeurs sont-ils censés écrire du code sécurisé si personne ne leur explique pourquoi c'est important, quelles sont les conséquences d'un code non sécurisé et, surtout, comment éviter d'écrire ces vulnérabilités dans leurs frameworks de programmation respectifs ?
Índice
Director General, Presidente y Cofundador
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de formación sobre el código seguro
Nuestro contenido de vanguardia evoluciona constantemente para adaptarse al panorama en constante cambio del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la IA hasta la inyección de XQuery, ofrecidos para una variedad de puestos, desde arquitectos hasta ingenieros, pasando por jefes de producto y control de calidad. Descubra una visión general de lo que nuestro catálogo de contenidos tiene para ofrecer por tema y por función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon está de vuelta: las missions Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible todo el año en SCW. Implemente desafíos de seguridad avanzados relacionados con la IA y el LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la ley sobre ciberresiliencia: lo que significa para el desarrollo de software seguro desde el diseño.
Descubra qué exige la ley europea sobre ciberresiliencia (CRA), a quién se aplica y cómo los equipos de ingenieros pueden prepararse mediante prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el refuerzo de las capacidades de los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 da inicio a nuestra serie de 10 partes titulada «Facilitadores del éxito», mostrando cómo combinar la codificación segura con resultados comerciales, como la reducción de riesgos y la rapidez, para garantizar la madurez a largo plazo de los programas.
