Analyse du secteur de la cybersécurité : une autre vulnérabilité récurrente à corriger
Une version de cet article a été publiée dans Help Net Security. Il a été mis à jour et diffusé ici.
J'ai passé ma carrière à trouver, à corriger, à discuter et à décomposer vulnérabilités logicielles, d'une manière ou d'une autre. Je sais qu'en ce qui concerne certains bogues de sécurité courants, bien qu'ils soient sur notre orbite depuis les années 90, ils continuent de sévir dans nos logiciels et de provoquer des problèmes majeurs, même si le correctif (souvent simple) est connu depuis presque aussi longtemps. C'est vraiment comme le jour de la marmotte, où, en tant qu'industrie, nous semblons faire la même chose encore et encore et nous attendre à un résultat différent.
Il y a cependant un autre petit problème. Nous ne recevons pas de conseils réalistes, ni de solutions les plus rapides, pour combattre l'assaut incessant qu'est la cybersécurité moderne. Bien entendu, chaque faille est différente à sa manière, et de nombreux vecteurs d'attaque peuvent être exploités dans des logiciels vulnérables. Les conseils génériques réalisables seront limités, mais l'approche des meilleures pratiques semble de plus en plus imparfaite d'heure en heure.
À cette fin, je me demande pourquoi tant de commentaires et d'analyses sur la cybersécurité omettent les solutions qui s'attaquent réellement à la cause première de tant de vulnérabilités : les humains. Le plus récent rapport de Gartner Hype Cycle pour la sécurité des applications, et celui de Forrester L'état de la sécurité des applications en 2021, deux bibles destinées aux experts en sécurité qui contribuent sans aucun doute à façonner leur programme et à l'adoption potentielle de leurs produits, sont presque entièrement axées sur les outils. Un rapport publié par Aberdeen en 2017 a montré à quel point la technologie de sécurité moyenne était devenue indisciplinée, alors que les RSSI gèrent des centaines de produits dans le cadre de leurs stratégies de sécurité ; quatre ans plus tard, nous sommes confrontés à de nouveaux risques, à de nouvelles vulnérabilités et à de nouveaux ajouts à une pile technologique en pleine croissance.
L'outillage de sécurité est indispensable, mais nous devons avoir une vision plus large et rétablir l'équilibre entre la composante humaine de la défense de la sécurité.
L'automatisation, c'est l'avenir. Pourquoi devrions-nous nous intéresser à l'aspect humain de la cybersécurité ?
Pratiquement tout dans notre vie est alimenté par des logiciels, et il est vrai que l'automatisation remplace les éléments humains qui étaient autrefois présents dans de nombreux secteurs. C'est un signe de progrès dans un monde qui se numérise à toute vitesse, avec des sujets d'actualité liés à l'IA et à l'apprentissage automatique qui permettent à de nombreuses organisations de se concentrer sur l'avenir.
Alors, pourquoi une approche de la cybersécurité axée sur l'humain serait-elle autre chose qu'une solution obsolète à un problème technologiquement avancé ? Le fait que des milliards d'enregistrements de données aient été volés lors de violations au cours de l'année écoulée, y compris la plus récente violation de Facebook affectant plus d'un demi-milliard de comptes, devrait indiquer que nous n'en faisons pas assez (ou que nous n'adoptons pas la bonne approche) pour contrer sérieusement les acteurs de la menace.
Les outils de cybersécurité sont une composante indispensable de la cyberdéfense, et les outils auront toujours leur place. Les analystes ont tout à fait raison de recommander les outils les plus récents en matière d'approche d'atténuation des risques pour les entreprises, et cela ne changera pas. Cependant, étant donné que la qualité du code (et, par définition, la sécurité) est difficile à gérer au moment de la production de code, les outils ne peuvent pas faire le travail seuls. À ce jour, il n'existe pas d'outil unique capable de :
- Scannez toutes les vulnérabilités, dans tous les langages : framework
- Scannez rapidement
- Minimiser la double manipulation causée par les faux positifs et les faux négatifs
Les outils peuvent être lents, encombrants et peu maniables. Mais surtout, ils ne trouvent que des problèmes, ils ne les résolvent pas et ne recommandent pas de solutions. Dans ce dernier cas, des experts en sécurité, peu nombreux et surchargés de travail, doivent fouiller dans les poubelles pour trouver des trésors grâce à des résultats interminables de pentests et de scans.
Le fait est que, selon le rapport IBM Cyber Security Intelligence Index, l'erreur humaine joue un rôle dans 95 % de toutes les violations de données réussies. Presque la moitié d'entre eux directement liés à vulnérabilités logicielles, dont beaucoup pourraient être atténués s'il y avait une plus grande adhésion au codage sécurisé et une sensibilisation accrue dès les premiers stades du SDLC. Cependant, pour y parvenir, il est essentiel de mettre davantage l'accent sur la formation des développeurs, en plus de la rendre intrinsèque à leur flux de travail.
Que cela nous plaise ou non, les humains sont profondément ancrés dans le processus de développement logiciel et la cybersécurité est avant tout un problème humain. Les outils ne seront pas un fourre-tout pour corriger une faille fondamentale de notre approche, mais ils peuvent jouer un rôle de soutien clé dans la refonte de solutions humaines.
Et si nous créions simplement de meilleurs outils (et beaucoup d'entre eux) ?
Les outils de sécurité ne cessent de s'améliorer. Les outils SAST/DAST/IAST ont parcouru un long chemin, améliorant leur vitesse et leur intelligence, et le RASP devrait constituer une considération défensive sérieuse dans de nombreux environnements d'application. Pare-feux, gestionnaires de secrets, applications de sécurité du cloud et des réseaux : tout cela va de soi.
Les humains peuvent toujours s'efforcer de créer de meilleurs outils, mais l'innovation ne répond pas aux besoins de sécurité et de protection des données du monde numérique dans lequel nous vivons. Les outils sont, pour la plupart, conçus pour les robots. Ils peuvent être là pour aider les développeurs et l'équipe de sécurité à scanner, surveiller ou protéger le code, mais l'interaction est très limitée et très peu de solutions visent à renforcer la sensibilisation à la sécurité ou à améliorer les compétences de base susceptibles d'améliorer les résultats en matière de sécurité.
En fait, plus de la moitié des entreprises ne savent même pas si les outils fonctionnent pour elles, ils ne sont pas non plus convaincus de pouvoir éviter une violation de données dévastatrice. C'est un très mauvais sentiment, et dans un secteur obsédé par les outils qui n'est pas soutenu pour une approche différente, cela tend à consolider le statu quo et à résoudre les problèmes qui s'y rattachent.
Comment une organisation peut-elle tirer parti d'une approche de la sécurité dirigée par l'homme ?
Il ne fait aucun doute qu'il est bénéfique de rester à l'avant-garde des tendances en matière de technologie de sécurité des applications, et peut même aider à hiérarchiser les mises à niveau ou les consolidations au sein d'une pile technologique surchargée, mais renoncer à cibler la cause première des logiciels vulnérables, nous ne sommes que des humains, nous resterons du côté des perdants sur le front de la cybersécurité.
Si nous voulons sérieusement réduire le nombre de failles de sécurité au niveau du code, les développeurs doivent disposer des bases nécessaires pour réussir à partager la responsabilité en matière de sécurité. Ils ont besoin d'une formation pratique et pertinente, de compétences en cours d'emploi et d'outils fonctionnels qui ne perturbent pas leur flux de travail et ne font pas de la sécurité une corvée à développer. Dans l'idéal, certains outils seraient centrés sur les développeurs et conçus en mettant l'expérience utilisateur au premier plan.
À ce jour, il n'existe aucun programme de certification de sécurité officiel pour les développeurs, mais chaque entreprise peut bénéficier de l'analyse comparative et du développement des compétences en matière de codage sécurisé, en éliminant les vulnérabilités courantes tôt et souvent, avant que cette grande pile technologique ne doive entrer en action et tout ralentir.
Une équipe de développeurs soucieux de la sécurité est un trésor caché pour toute organisation, mais comme pour tout ce qui en vaut la peine, il faudra du temps et des efforts pour mettre en place une équipe de rêve efficace. Pour convaincre les développeurs de se soucier de la sécurité et de considérer le codage sécurisé comme la base de la qualité du code, l'ensemble de l'organisation doit s'engager à placer la sécurité au premier plan. Et lorsque des équipes entières sont sensibilisées à l'impact positif qu'elles peuvent jouer en éliminant les vulnérabilités courantes au fur et à mesure de l'écriture du code, aucun outil sur Terre ne peut rivaliser.
Nous ne recevons pas de conseils réalistes, ni de solutions les plus rapides, pour combattre l'assaut incessant qu'est la cybersécurité moderne. Bien entendu, chaque faille est différente à sa manière et de nombreux vecteurs d'attaque peuvent être exploités dans des logiciels vulnérables. Les conseils génériques réalisables seront limités, mais l'approche des meilleures pratiques semble de plus en plus imparfaite d'heure en heure.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été publiée dans Help Net Security. Il a été mis à jour et diffusé ici.
J'ai passé ma carrière à trouver, à corriger, à discuter et à décomposer vulnérabilités logicielles, d'une manière ou d'une autre. Je sais qu'en ce qui concerne certains bogues de sécurité courants, bien qu'ils soient sur notre orbite depuis les années 90, ils continuent de sévir dans nos logiciels et de provoquer des problèmes majeurs, même si le correctif (souvent simple) est connu depuis presque aussi longtemps. C'est vraiment comme le jour de la marmotte, où, en tant qu'industrie, nous semblons faire la même chose encore et encore et nous attendre à un résultat différent.
Il y a cependant un autre petit problème. Nous ne recevons pas de conseils réalistes, ni de solutions les plus rapides, pour combattre l'assaut incessant qu'est la cybersécurité moderne. Bien entendu, chaque faille est différente à sa manière, et de nombreux vecteurs d'attaque peuvent être exploités dans des logiciels vulnérables. Les conseils génériques réalisables seront limités, mais l'approche des meilleures pratiques semble de plus en plus imparfaite d'heure en heure.
À cette fin, je me demande pourquoi tant de commentaires et d'analyses sur la cybersécurité omettent les solutions qui s'attaquent réellement à la cause première de tant de vulnérabilités : les humains. Le plus récent rapport de Gartner Hype Cycle pour la sécurité des applications, et celui de Forrester L'état de la sécurité des applications en 2021, deux bibles destinées aux experts en sécurité qui contribuent sans aucun doute à façonner leur programme et à l'adoption potentielle de leurs produits, sont presque entièrement axées sur les outils. Un rapport publié par Aberdeen en 2017 a montré à quel point la technologie de sécurité moyenne était devenue indisciplinée, alors que les RSSI gèrent des centaines de produits dans le cadre de leurs stratégies de sécurité ; quatre ans plus tard, nous sommes confrontés à de nouveaux risques, à de nouvelles vulnérabilités et à de nouveaux ajouts à une pile technologique en pleine croissance.
L'outillage de sécurité est indispensable, mais nous devons avoir une vision plus large et rétablir l'équilibre entre la composante humaine de la défense de la sécurité.
L'automatisation, c'est l'avenir. Pourquoi devrions-nous nous intéresser à l'aspect humain de la cybersécurité ?
Pratiquement tout dans notre vie est alimenté par des logiciels, et il est vrai que l'automatisation remplace les éléments humains qui étaient autrefois présents dans de nombreux secteurs. C'est un signe de progrès dans un monde qui se numérise à toute vitesse, avec des sujets d'actualité liés à l'IA et à l'apprentissage automatique qui permettent à de nombreuses organisations de se concentrer sur l'avenir.
Alors, pourquoi une approche de la cybersécurité axée sur l'humain serait-elle autre chose qu'une solution obsolète à un problème technologiquement avancé ? Le fait que des milliards d'enregistrements de données aient été volés lors de violations au cours de l'année écoulée, y compris la plus récente violation de Facebook affectant plus d'un demi-milliard de comptes, devrait indiquer que nous n'en faisons pas assez (ou que nous n'adoptons pas la bonne approche) pour contrer sérieusement les acteurs de la menace.
Les outils de cybersécurité sont une composante indispensable de la cyberdéfense, et les outils auront toujours leur place. Les analystes ont tout à fait raison de recommander les outils les plus récents en matière d'approche d'atténuation des risques pour les entreprises, et cela ne changera pas. Cependant, étant donné que la qualité du code (et, par définition, la sécurité) est difficile à gérer au moment de la production de code, les outils ne peuvent pas faire le travail seuls. À ce jour, il n'existe pas d'outil unique capable de :
- Scannez toutes les vulnérabilités, dans tous les langages : framework
- Scannez rapidement
- Minimiser la double manipulation causée par les faux positifs et les faux négatifs
Les outils peuvent être lents, encombrants et peu maniables. Mais surtout, ils ne trouvent que des problèmes, ils ne les résolvent pas et ne recommandent pas de solutions. Dans ce dernier cas, des experts en sécurité, peu nombreux et surchargés de travail, doivent fouiller dans les poubelles pour trouver des trésors grâce à des résultats interminables de pentests et de scans.
Le fait est que, selon le rapport IBM Cyber Security Intelligence Index, l'erreur humaine joue un rôle dans 95 % de toutes les violations de données réussies. Presque la moitié d'entre eux directement liés à vulnérabilités logicielles, dont beaucoup pourraient être atténués s'il y avait une plus grande adhésion au codage sécurisé et une sensibilisation accrue dès les premiers stades du SDLC. Cependant, pour y parvenir, il est essentiel de mettre davantage l'accent sur la formation des développeurs, en plus de la rendre intrinsèque à leur flux de travail.
Que cela nous plaise ou non, les humains sont profondément ancrés dans le processus de développement logiciel et la cybersécurité est avant tout un problème humain. Les outils ne seront pas un fourre-tout pour corriger une faille fondamentale de notre approche, mais ils peuvent jouer un rôle de soutien clé dans la refonte de solutions humaines.
Et si nous créions simplement de meilleurs outils (et beaucoup d'entre eux) ?
Les outils de sécurité ne cessent de s'améliorer. Les outils SAST/DAST/IAST ont parcouru un long chemin, améliorant leur vitesse et leur intelligence, et le RASP devrait constituer une considération défensive sérieuse dans de nombreux environnements d'application. Pare-feux, gestionnaires de secrets, applications de sécurité du cloud et des réseaux : tout cela va de soi.
Les humains peuvent toujours s'efforcer de créer de meilleurs outils, mais l'innovation ne répond pas aux besoins de sécurité et de protection des données du monde numérique dans lequel nous vivons. Les outils sont, pour la plupart, conçus pour les robots. Ils peuvent être là pour aider les développeurs et l'équipe de sécurité à scanner, surveiller ou protéger le code, mais l'interaction est très limitée et très peu de solutions visent à renforcer la sensibilisation à la sécurité ou à améliorer les compétences de base susceptibles d'améliorer les résultats en matière de sécurité.
En fait, plus de la moitié des entreprises ne savent même pas si les outils fonctionnent pour elles, ils ne sont pas non plus convaincus de pouvoir éviter une violation de données dévastatrice. C'est un très mauvais sentiment, et dans un secteur obsédé par les outils qui n'est pas soutenu pour une approche différente, cela tend à consolider le statu quo et à résoudre les problèmes qui s'y rattachent.
Comment une organisation peut-elle tirer parti d'une approche de la sécurité dirigée par l'homme ?
Il ne fait aucun doute qu'il est bénéfique de rester à l'avant-garde des tendances en matière de technologie de sécurité des applications, et peut même aider à hiérarchiser les mises à niveau ou les consolidations au sein d'une pile technologique surchargée, mais renoncer à cibler la cause première des logiciels vulnérables, nous ne sommes que des humains, nous resterons du côté des perdants sur le front de la cybersécurité.
Si nous voulons sérieusement réduire le nombre de failles de sécurité au niveau du code, les développeurs doivent disposer des bases nécessaires pour réussir à partager la responsabilité en matière de sécurité. Ils ont besoin d'une formation pratique et pertinente, de compétences en cours d'emploi et d'outils fonctionnels qui ne perturbent pas leur flux de travail et ne font pas de la sécurité une corvée à développer. Dans l'idéal, certains outils seraient centrés sur les développeurs et conçus en mettant l'expérience utilisateur au premier plan.
À ce jour, il n'existe aucun programme de certification de sécurité officiel pour les développeurs, mais chaque entreprise peut bénéficier de l'analyse comparative et du développement des compétences en matière de codage sécurisé, en éliminant les vulnérabilités courantes tôt et souvent, avant que cette grande pile technologique ne doive entrer en action et tout ralentir.
Une équipe de développeurs soucieux de la sécurité est un trésor caché pour toute organisation, mais comme pour tout ce qui en vaut la peine, il faudra du temps et des efforts pour mettre en place une équipe de rêve efficace. Pour convaincre les développeurs de se soucier de la sécurité et de considérer le codage sécurisé comme la base de la qualité du code, l'ensemble de l'organisation doit s'engager à placer la sécurité au premier plan. Et lorsque des équipes entières sont sensibilisées à l'impact positif qu'elles peuvent jouer en éliminant les vulnérabilités courantes au fur et à mesure de l'écriture du code, aucun outil sur Terre ne peut rivaliser.
Une version de cet article a été publiée dans Help Net Security. Il a été mis à jour et diffusé ici.
J'ai passé ma carrière à trouver, à corriger, à discuter et à décomposer vulnérabilités logicielles, d'une manière ou d'une autre. Je sais qu'en ce qui concerne certains bogues de sécurité courants, bien qu'ils soient sur notre orbite depuis les années 90, ils continuent de sévir dans nos logiciels et de provoquer des problèmes majeurs, même si le correctif (souvent simple) est connu depuis presque aussi longtemps. C'est vraiment comme le jour de la marmotte, où, en tant qu'industrie, nous semblons faire la même chose encore et encore et nous attendre à un résultat différent.
Il y a cependant un autre petit problème. Nous ne recevons pas de conseils réalistes, ni de solutions les plus rapides, pour combattre l'assaut incessant qu'est la cybersécurité moderne. Bien entendu, chaque faille est différente à sa manière, et de nombreux vecteurs d'attaque peuvent être exploités dans des logiciels vulnérables. Les conseils génériques réalisables seront limités, mais l'approche des meilleures pratiques semble de plus en plus imparfaite d'heure en heure.
À cette fin, je me demande pourquoi tant de commentaires et d'analyses sur la cybersécurité omettent les solutions qui s'attaquent réellement à la cause première de tant de vulnérabilités : les humains. Le plus récent rapport de Gartner Hype Cycle pour la sécurité des applications, et celui de Forrester L'état de la sécurité des applications en 2021, deux bibles destinées aux experts en sécurité qui contribuent sans aucun doute à façonner leur programme et à l'adoption potentielle de leurs produits, sont presque entièrement axées sur les outils. Un rapport publié par Aberdeen en 2017 a montré à quel point la technologie de sécurité moyenne était devenue indisciplinée, alors que les RSSI gèrent des centaines de produits dans le cadre de leurs stratégies de sécurité ; quatre ans plus tard, nous sommes confrontés à de nouveaux risques, à de nouvelles vulnérabilités et à de nouveaux ajouts à une pile technologique en pleine croissance.
L'outillage de sécurité est indispensable, mais nous devons avoir une vision plus large et rétablir l'équilibre entre la composante humaine de la défense de la sécurité.
L'automatisation, c'est l'avenir. Pourquoi devrions-nous nous intéresser à l'aspect humain de la cybersécurité ?
Pratiquement tout dans notre vie est alimenté par des logiciels, et il est vrai que l'automatisation remplace les éléments humains qui étaient autrefois présents dans de nombreux secteurs. C'est un signe de progrès dans un monde qui se numérise à toute vitesse, avec des sujets d'actualité liés à l'IA et à l'apprentissage automatique qui permettent à de nombreuses organisations de se concentrer sur l'avenir.
Alors, pourquoi une approche de la cybersécurité axée sur l'humain serait-elle autre chose qu'une solution obsolète à un problème technologiquement avancé ? Le fait que des milliards d'enregistrements de données aient été volés lors de violations au cours de l'année écoulée, y compris la plus récente violation de Facebook affectant plus d'un demi-milliard de comptes, devrait indiquer que nous n'en faisons pas assez (ou que nous n'adoptons pas la bonne approche) pour contrer sérieusement les acteurs de la menace.
Les outils de cybersécurité sont une composante indispensable de la cyberdéfense, et les outils auront toujours leur place. Les analystes ont tout à fait raison de recommander les outils les plus récents en matière d'approche d'atténuation des risques pour les entreprises, et cela ne changera pas. Cependant, étant donné que la qualité du code (et, par définition, la sécurité) est difficile à gérer au moment de la production de code, les outils ne peuvent pas faire le travail seuls. À ce jour, il n'existe pas d'outil unique capable de :
- Scannez toutes les vulnérabilités, dans tous les langages : framework
- Scannez rapidement
- Minimiser la double manipulation causée par les faux positifs et les faux négatifs
Les outils peuvent être lents, encombrants et peu maniables. Mais surtout, ils ne trouvent que des problèmes, ils ne les résolvent pas et ne recommandent pas de solutions. Dans ce dernier cas, des experts en sécurité, peu nombreux et surchargés de travail, doivent fouiller dans les poubelles pour trouver des trésors grâce à des résultats interminables de pentests et de scans.
Le fait est que, selon le rapport IBM Cyber Security Intelligence Index, l'erreur humaine joue un rôle dans 95 % de toutes les violations de données réussies. Presque la moitié d'entre eux directement liés à vulnérabilités logicielles, dont beaucoup pourraient être atténués s'il y avait une plus grande adhésion au codage sécurisé et une sensibilisation accrue dès les premiers stades du SDLC. Cependant, pour y parvenir, il est essentiel de mettre davantage l'accent sur la formation des développeurs, en plus de la rendre intrinsèque à leur flux de travail.
Que cela nous plaise ou non, les humains sont profondément ancrés dans le processus de développement logiciel et la cybersécurité est avant tout un problème humain. Les outils ne seront pas un fourre-tout pour corriger une faille fondamentale de notre approche, mais ils peuvent jouer un rôle de soutien clé dans la refonte de solutions humaines.
Et si nous créions simplement de meilleurs outils (et beaucoup d'entre eux) ?
Les outils de sécurité ne cessent de s'améliorer. Les outils SAST/DAST/IAST ont parcouru un long chemin, améliorant leur vitesse et leur intelligence, et le RASP devrait constituer une considération défensive sérieuse dans de nombreux environnements d'application. Pare-feux, gestionnaires de secrets, applications de sécurité du cloud et des réseaux : tout cela va de soi.
Les humains peuvent toujours s'efforcer de créer de meilleurs outils, mais l'innovation ne répond pas aux besoins de sécurité et de protection des données du monde numérique dans lequel nous vivons. Les outils sont, pour la plupart, conçus pour les robots. Ils peuvent être là pour aider les développeurs et l'équipe de sécurité à scanner, surveiller ou protéger le code, mais l'interaction est très limitée et très peu de solutions visent à renforcer la sensibilisation à la sécurité ou à améliorer les compétences de base susceptibles d'améliorer les résultats en matière de sécurité.
En fait, plus de la moitié des entreprises ne savent même pas si les outils fonctionnent pour elles, ils ne sont pas non plus convaincus de pouvoir éviter une violation de données dévastatrice. C'est un très mauvais sentiment, et dans un secteur obsédé par les outils qui n'est pas soutenu pour une approche différente, cela tend à consolider le statu quo et à résoudre les problèmes qui s'y rattachent.
Comment une organisation peut-elle tirer parti d'une approche de la sécurité dirigée par l'homme ?
Il ne fait aucun doute qu'il est bénéfique de rester à l'avant-garde des tendances en matière de technologie de sécurité des applications, et peut même aider à hiérarchiser les mises à niveau ou les consolidations au sein d'une pile technologique surchargée, mais renoncer à cibler la cause première des logiciels vulnérables, nous ne sommes que des humains, nous resterons du côté des perdants sur le front de la cybersécurité.
Si nous voulons sérieusement réduire le nombre de failles de sécurité au niveau du code, les développeurs doivent disposer des bases nécessaires pour réussir à partager la responsabilité en matière de sécurité. Ils ont besoin d'une formation pratique et pertinente, de compétences en cours d'emploi et d'outils fonctionnels qui ne perturbent pas leur flux de travail et ne font pas de la sécurité une corvée à développer. Dans l'idéal, certains outils seraient centrés sur les développeurs et conçus en mettant l'expérience utilisateur au premier plan.
À ce jour, il n'existe aucun programme de certification de sécurité officiel pour les développeurs, mais chaque entreprise peut bénéficier de l'analyse comparative et du développement des compétences en matière de codage sécurisé, en éliminant les vulnérabilités courantes tôt et souvent, avant que cette grande pile technologique ne doive entrer en action et tout ralentir.
Une équipe de développeurs soucieux de la sécurité est un trésor caché pour toute organisation, mais comme pour tout ce qui en vaut la peine, il faudra du temps et des efforts pour mettre en place une équipe de rêve efficace. Pour convaincre les développeurs de se soucier de la sécurité et de considérer le codage sécurisé comme la base de la qualité du code, l'ensemble de l'organisation doit s'engager à placer la sécurité au premier plan. Et lorsque des équipes entières sont sensibilisées à l'impact positif qu'elles peuvent jouer en éliminant les vulnérabilités courantes au fur et à mesure de l'écriture du code, aucun outil sur Terre ne peut rivaliser.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été publiée dans Help Net Security. Il a été mis à jour et diffusé ici.
J'ai passé ma carrière à trouver, à corriger, à discuter et à décomposer vulnérabilités logicielles, d'une manière ou d'une autre. Je sais qu'en ce qui concerne certains bogues de sécurité courants, bien qu'ils soient sur notre orbite depuis les années 90, ils continuent de sévir dans nos logiciels et de provoquer des problèmes majeurs, même si le correctif (souvent simple) est connu depuis presque aussi longtemps. C'est vraiment comme le jour de la marmotte, où, en tant qu'industrie, nous semblons faire la même chose encore et encore et nous attendre à un résultat différent.
Il y a cependant un autre petit problème. Nous ne recevons pas de conseils réalistes, ni de solutions les plus rapides, pour combattre l'assaut incessant qu'est la cybersécurité moderne. Bien entendu, chaque faille est différente à sa manière, et de nombreux vecteurs d'attaque peuvent être exploités dans des logiciels vulnérables. Les conseils génériques réalisables seront limités, mais l'approche des meilleures pratiques semble de plus en plus imparfaite d'heure en heure.
À cette fin, je me demande pourquoi tant de commentaires et d'analyses sur la cybersécurité omettent les solutions qui s'attaquent réellement à la cause première de tant de vulnérabilités : les humains. Le plus récent rapport de Gartner Hype Cycle pour la sécurité des applications, et celui de Forrester L'état de la sécurité des applications en 2021, deux bibles destinées aux experts en sécurité qui contribuent sans aucun doute à façonner leur programme et à l'adoption potentielle de leurs produits, sont presque entièrement axées sur les outils. Un rapport publié par Aberdeen en 2017 a montré à quel point la technologie de sécurité moyenne était devenue indisciplinée, alors que les RSSI gèrent des centaines de produits dans le cadre de leurs stratégies de sécurité ; quatre ans plus tard, nous sommes confrontés à de nouveaux risques, à de nouvelles vulnérabilités et à de nouveaux ajouts à une pile technologique en pleine croissance.
L'outillage de sécurité est indispensable, mais nous devons avoir une vision plus large et rétablir l'équilibre entre la composante humaine de la défense de la sécurité.
L'automatisation, c'est l'avenir. Pourquoi devrions-nous nous intéresser à l'aspect humain de la cybersécurité ?
Pratiquement tout dans notre vie est alimenté par des logiciels, et il est vrai que l'automatisation remplace les éléments humains qui étaient autrefois présents dans de nombreux secteurs. C'est un signe de progrès dans un monde qui se numérise à toute vitesse, avec des sujets d'actualité liés à l'IA et à l'apprentissage automatique qui permettent à de nombreuses organisations de se concentrer sur l'avenir.
Alors, pourquoi une approche de la cybersécurité axée sur l'humain serait-elle autre chose qu'une solution obsolète à un problème technologiquement avancé ? Le fait que des milliards d'enregistrements de données aient été volés lors de violations au cours de l'année écoulée, y compris la plus récente violation de Facebook affectant plus d'un demi-milliard de comptes, devrait indiquer que nous n'en faisons pas assez (ou que nous n'adoptons pas la bonne approche) pour contrer sérieusement les acteurs de la menace.
Les outils de cybersécurité sont une composante indispensable de la cyberdéfense, et les outils auront toujours leur place. Les analystes ont tout à fait raison de recommander les outils les plus récents en matière d'approche d'atténuation des risques pour les entreprises, et cela ne changera pas. Cependant, étant donné que la qualité du code (et, par définition, la sécurité) est difficile à gérer au moment de la production de code, les outils ne peuvent pas faire le travail seuls. À ce jour, il n'existe pas d'outil unique capable de :
- Scannez toutes les vulnérabilités, dans tous les langages : framework
- Scannez rapidement
- Minimiser la double manipulation causée par les faux positifs et les faux négatifs
Les outils peuvent être lents, encombrants et peu maniables. Mais surtout, ils ne trouvent que des problèmes, ils ne les résolvent pas et ne recommandent pas de solutions. Dans ce dernier cas, des experts en sécurité, peu nombreux et surchargés de travail, doivent fouiller dans les poubelles pour trouver des trésors grâce à des résultats interminables de pentests et de scans.
Le fait est que, selon le rapport IBM Cyber Security Intelligence Index, l'erreur humaine joue un rôle dans 95 % de toutes les violations de données réussies. Presque la moitié d'entre eux directement liés à vulnérabilités logicielles, dont beaucoup pourraient être atténués s'il y avait une plus grande adhésion au codage sécurisé et une sensibilisation accrue dès les premiers stades du SDLC. Cependant, pour y parvenir, il est essentiel de mettre davantage l'accent sur la formation des développeurs, en plus de la rendre intrinsèque à leur flux de travail.
Que cela nous plaise ou non, les humains sont profondément ancrés dans le processus de développement logiciel et la cybersécurité est avant tout un problème humain. Les outils ne seront pas un fourre-tout pour corriger une faille fondamentale de notre approche, mais ils peuvent jouer un rôle de soutien clé dans la refonte de solutions humaines.
Et si nous créions simplement de meilleurs outils (et beaucoup d'entre eux) ?
Les outils de sécurité ne cessent de s'améliorer. Les outils SAST/DAST/IAST ont parcouru un long chemin, améliorant leur vitesse et leur intelligence, et le RASP devrait constituer une considération défensive sérieuse dans de nombreux environnements d'application. Pare-feux, gestionnaires de secrets, applications de sécurité du cloud et des réseaux : tout cela va de soi.
Les humains peuvent toujours s'efforcer de créer de meilleurs outils, mais l'innovation ne répond pas aux besoins de sécurité et de protection des données du monde numérique dans lequel nous vivons. Les outils sont, pour la plupart, conçus pour les robots. Ils peuvent être là pour aider les développeurs et l'équipe de sécurité à scanner, surveiller ou protéger le code, mais l'interaction est très limitée et très peu de solutions visent à renforcer la sensibilisation à la sécurité ou à améliorer les compétences de base susceptibles d'améliorer les résultats en matière de sécurité.
En fait, plus de la moitié des entreprises ne savent même pas si les outils fonctionnent pour elles, ils ne sont pas non plus convaincus de pouvoir éviter une violation de données dévastatrice. C'est un très mauvais sentiment, et dans un secteur obsédé par les outils qui n'est pas soutenu pour une approche différente, cela tend à consolider le statu quo et à résoudre les problèmes qui s'y rattachent.
Comment une organisation peut-elle tirer parti d'une approche de la sécurité dirigée par l'homme ?
Il ne fait aucun doute qu'il est bénéfique de rester à l'avant-garde des tendances en matière de technologie de sécurité des applications, et peut même aider à hiérarchiser les mises à niveau ou les consolidations au sein d'une pile technologique surchargée, mais renoncer à cibler la cause première des logiciels vulnérables, nous ne sommes que des humains, nous resterons du côté des perdants sur le front de la cybersécurité.
Si nous voulons sérieusement réduire le nombre de failles de sécurité au niveau du code, les développeurs doivent disposer des bases nécessaires pour réussir à partager la responsabilité en matière de sécurité. Ils ont besoin d'une formation pratique et pertinente, de compétences en cours d'emploi et d'outils fonctionnels qui ne perturbent pas leur flux de travail et ne font pas de la sécurité une corvée à développer. Dans l'idéal, certains outils seraient centrés sur les développeurs et conçus en mettant l'expérience utilisateur au premier plan.
À ce jour, il n'existe aucun programme de certification de sécurité officiel pour les développeurs, mais chaque entreprise peut bénéficier de l'analyse comparative et du développement des compétences en matière de codage sécurisé, en éliminant les vulnérabilités courantes tôt et souvent, avant que cette grande pile technologique ne doive entrer en action et tout ralentir.
Une équipe de développeurs soucieux de la sécurité est un trésor caché pour toute organisation, mais comme pour tout ce qui en vaut la peine, il faudra du temps et des efforts pour mettre en place une équipe de rêve efficace. Pour convaincre les développeurs de se soucier de la sécurité et de considérer le codage sécurisé comme la base de la qualité du code, l'ensemble de l'organisation doit s'engager à placer la sécurité au premier plan. Et lorsque des équipes entières sont sensibilisées à l'impact positif qu'elles peuvent jouer en éliminant les vulnérabilités courantes au fur et à mesure de l'écriture du code, aucun outil sur Terre ne peut rivaliser.
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.
