La conformité à FinServ dépend de la sécurité logicielle
Les institutions de services financiers ont de bonnes raisons de s'assurer que le code logiciel qu'elles utilisent est sécurisé. Une motivation évidente, bien entendu, est la nécessité de protéger leurs données contre une violation, qui peut être coûteuse en termes de fuite d'informations personnelles, de frais de nettoyage, d'amendes et de restitution, et d'atteinte à la réputation d'une organisation. Une autre raison persistante est la nécessité de rester en conformité avec un éventail de réglementations industrielles et gouvernementales.
Parce qu'ils traitent de nombreuses informations sensibles, personnelles et financières, ainsi que l'argent des gens, les services financiers sont un secteur hautement réglementé. En fonction des services qu'elles fournissent, les entreprises doivent se conformer à un ensemble de règles et d'exigences.
La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est bien connue pour ses règles relatives à la protection des données des titulaires de cartes, par exemple. Les exigences de la Loi Sarbanes-Oxely régir la gestion des dossiers financiers. Les entreprises qui opèrent à l'international connaissent bien le Loi sur la résilience opérationnelle numérique (DORA), qui est un cadre de gestion des risques contraignant, et les normes mondiales pour les transferts de fonds établies par le Société pour les télécommunications financières interbancaires mondiales, connu sous le nom de Swift.
Et des lois telles que la Loi californienne sur la confidentialité des consommateurs (CCPA) et celui de l'UE Règlement général sur la protection des données (RGPD) fixe des exigences pour protéger la confidentialité et les informations personnelles des clients. Il en existe d'autres, comme les réglementations établies par l'Office of the Controller of the Currency (OCC) des États-Unis et la Banque centrale européenne (BCE).
Si cela ne suffit pas, Stratégie nationale de cybersécurité stipule notamment que les fabricants de logiciels devraient être tenus responsables de l'inefficacité de la sécurité des logiciels. Et l'Agence de cybersécurité et de sécurité des infrastructures (CISA), aux côtés de 17 partenaires américains et internationaux, a publié des directives sur Sécurisé dès la conception principes pour le développement de logiciels.
Un point commun pour les sociétés de services financiers est que le code sécurisé est un élément essentiel pour atteindre les objectifs de ces réglementations, ce qui peut faciliter la démonstration de leur conformité. Et cela montre pourquoi les développeurs ont besoin de formation et de perfectionnement pour garantir que la sécurité est appliquée au code dès le début du processus de développement.
À titre d'exemple de son fonctionnement, examinons la dernière version de la norme PCI DSS.
Le codage sécurisé (et la formation des développeurs) sont au cœur de la norme PCI DSS 4.0
PCI DSS 4.0, qui est devenue obligatoire le 1er avril 2024, inclut plusieurs mises à jour importantes de la norme PCI DSS 3.2.1, notamment l'accent sur le rôle que jouent les développeurs pour garantir la sécurité du code logiciel.
Dans le passé, PCI a reconnu depuis longtemps l'importance des logiciels sécurisés. La version 2.0, publiée en 2017, comprenait conseils pour les développeurs sur la garantie de transactions sécurisées sur les appareils mobiles. Les conseils de la version 4.0 mettent désormais l'accent sur l'application des meilleures pratiques de sécurité au développement de logiciels et incluent des conseils spécifiques sur la formation des développeurs.
Les exigences sont souvent énoncées de manière générale, bien que les entreprises puissent souhaiter mettre en œuvre une approche plus approfondie.
Par exemple, une exigence de la version 4.0 stipule que « les processus et les mécanismes de développement et de maintenance de systèmes et de logiciels sécurisés sont définis et compris ». Un bon moyen de s'en assurer est que les développeurs reçoivent une formation précise sur les langages de programmation et les frameworks qu'ils utilisent afin de combler les lacunes en matière de connaissances.
Une autre exigence stipule que les développeurs travaillant sur des logiciels sur mesure doivent suivre une formation au moins une fois tous les 12 mois, portant sur :
- Sécurité logicielle adaptée à leur fonction et à leurs langages de développement.
- Techniques de conception et de codage de logiciels sécurisés.
- Comment utiliser les outils de test de sécurité, s'ils sont utilisés, pour détecter les vulnérabilités des logiciels.
En réalité, une fois par an n'est pas assez fréquente pour résoudre les problèmes de sécurité fondamentaux et briser les mauvaises habitudes de codage. La formation doit être continue et mesurée, avec un processus de vérification des compétences pour s'assurer qu'elle est utilisée à bon escient.
La norme PCI DSS 4.0 inclut plus d'une demi-douzaine d'autres exigences qui concernent des domaines tels que la prévention et l'atténuation de divers types d'attaques, la documentation des composants logiciels tiers, l'identification et la gestion des vulnérabilités et d'autres mesures de sécurité. Dans tous les cas, les organisations seraient bien avisées de poursuivre ces mesures de manière approfondie. La formation sur les vecteurs d'attaque devrait être fréquente plutôt qu'annuelle. Les composants tiers, souvent source de vulnérabilités, doivent être soigneusement inventoriés par le biais d'un programme SBOM (Software Bill of Materials). Et les organisations doivent s'assurer de définir clairement les rôles en matière de gestion des vulnérabilités.
La nouvelle version donne également aux organisations une certaine flexibilité pour répondre à leurs exigences, en se concentrant sur les résultats plutôt que sur les cases à cocher, tout en ajoutant de nouvelles exigences pour les contrôles d'authentification, la longueur des mots de passe, les comptes partagés et d'autres facteurs.
La conformité commence au début du SDLC
Le point commun de ces réglementations est qu'elles visent à établir des normes élevées en matière de protection des données et des transactions dans le secteur des services financiers. Et, comme dans le cas de la dernière version de la norme PCI DSS, ils insistent de plus en plus sur l'importance d'un code sécurisé au début du cycle de vie du développement logiciel (SDLC). La stratégie nationale de cybersécurité et les principes Secure by Design de la CISA confient également la responsabilité de la sécurité aux fabricants de logiciels, avant leur expédition, de sorte que même les entreprises qui ne sont pas directement régies par la réglementation des services financiers doivent s'y conformer.
Les entreprises doivent combler le fossé qui existe entre les équipes DevOps (qui se concentrent sur la rapidité du développement) et les équipes AppSec (qui s'empressent d'intégrer la sécurité au processus) en formant les développeurs à intégrer la sécurité à leur approche. Cela nécessite toutefois un ensemble complexe de compétences, qui implique plus que des sessions de formation annuelles ou des programmes éducatifs standard et stagnants. La formation doit être continue et souple, conçue pour impliquer les apprenants dans des scénarios actifs et réels et dispensée en petites périodes adaptées à leurs horaires de travail.
Les sociétés de services financiers doivent garantir la sécurité à la fois pour se protéger contre les violations et pour rester en conformité avec des réglementations de plus en plus strictes. Les coûts liés à la non-conformité peuvent être aussi dommageables qu'une violation en termes d'impact sur la réputation d'une entreprise et de coûts financiers. Les IBM Rapport sur le coût d'une violation de données 2023, par exemple, a constaté que les organisations présentant un niveau élevé de non-conformité étaient confrontées, en moyenne, à des amendes et à d'autres coûts totalisant 5,05 millions de dollars, soit un demi-million de dollars plus supérieur au coût moyen d'une véritable violation de données.
La croissance continue des environnements basés sur le cloud et des transactions numériques a donné une importance capitale à la sécurité des logiciels dans le secteur des services financiers, ce que reconnaissent les réglementations telles que la norme PCI DSS. Le meilleur moyen de garantir la sécurité des logiciels est d'utiliser un codage sécurisé au début du SDLC. Et pour y parvenir, il faut former efficacement les développeurs aux pratiques de codage sécurisées.
Pour un aperçu complet de la manière dont le codage sécurisé peut contribuer à garantir le succès, la sécurité et les bénéfices des sociétés de services financiers, vous pouvez lire le nouveau livre électronique Secure Code Warrior : Le guide ultime des tendances en matière de sécurité dans les services financiers.
Consultez le Secure Code Warrior des pages de blog pour en savoir plus sur la cybersécurité, le paysage des menaces de plus en plus dangereuses, et pour savoir comment vous pouvez utiliser des technologies innovantes et des formations pour mieux protéger votre organisation et vos clients.
Les réglementations régissant le secteur des services financiers, telles que la norme PCI DSS, soulignent l'importance d'un code sécurisé et la nécessité de former les développeurs aux meilleures pratiques en matière de sécurité.
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
Les institutions de services financiers ont de bonnes raisons de s'assurer que le code logiciel qu'elles utilisent est sécurisé. Une motivation évidente, bien entendu, est la nécessité de protéger leurs données contre une violation, qui peut être coûteuse en termes de fuite d'informations personnelles, de frais de nettoyage, d'amendes et de restitution, et d'atteinte à la réputation d'une organisation. Une autre raison persistante est la nécessité de rester en conformité avec un éventail de réglementations industrielles et gouvernementales.
Parce qu'ils traitent de nombreuses informations sensibles, personnelles et financières, ainsi que l'argent des gens, les services financiers sont un secteur hautement réglementé. En fonction des services qu'elles fournissent, les entreprises doivent se conformer à un ensemble de règles et d'exigences.
La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est bien connue pour ses règles relatives à la protection des données des titulaires de cartes, par exemple. Les exigences de la Loi Sarbanes-Oxely régir la gestion des dossiers financiers. Les entreprises qui opèrent à l'international connaissent bien le Loi sur la résilience opérationnelle numérique (DORA), qui est un cadre de gestion des risques contraignant, et les normes mondiales pour les transferts de fonds établies par le Société pour les télécommunications financières interbancaires mondiales, connu sous le nom de Swift.
Et des lois telles que la Loi californienne sur la confidentialité des consommateurs (CCPA) et celui de l'UE Règlement général sur la protection des données (RGPD) fixe des exigences pour protéger la confidentialité et les informations personnelles des clients. Il en existe d'autres, comme les réglementations établies par l'Office of the Controller of the Currency (OCC) des États-Unis et la Banque centrale européenne (BCE).
Si cela ne suffit pas, Stratégie nationale de cybersécurité stipule notamment que les fabricants de logiciels devraient être tenus responsables de l'inefficacité de la sécurité des logiciels. Et l'Agence de cybersécurité et de sécurité des infrastructures (CISA), aux côtés de 17 partenaires américains et internationaux, a publié des directives sur Sécurisé dès la conception principes pour le développement de logiciels.
Un point commun pour les sociétés de services financiers est que le code sécurisé est un élément essentiel pour atteindre les objectifs de ces réglementations, ce qui peut faciliter la démonstration de leur conformité. Et cela montre pourquoi les développeurs ont besoin de formation et de perfectionnement pour garantir que la sécurité est appliquée au code dès le début du processus de développement.
À titre d'exemple de son fonctionnement, examinons la dernière version de la norme PCI DSS.
Le codage sécurisé (et la formation des développeurs) sont au cœur de la norme PCI DSS 4.0
PCI DSS 4.0, qui est devenue obligatoire le 1er avril 2024, inclut plusieurs mises à jour importantes de la norme PCI DSS 3.2.1, notamment l'accent sur le rôle que jouent les développeurs pour garantir la sécurité du code logiciel.
Dans le passé, PCI a reconnu depuis longtemps l'importance des logiciels sécurisés. La version 2.0, publiée en 2017, comprenait conseils pour les développeurs sur la garantie de transactions sécurisées sur les appareils mobiles. Les conseils de la version 4.0 mettent désormais l'accent sur l'application des meilleures pratiques de sécurité au développement de logiciels et incluent des conseils spécifiques sur la formation des développeurs.
Les exigences sont souvent énoncées de manière générale, bien que les entreprises puissent souhaiter mettre en œuvre une approche plus approfondie.
Par exemple, une exigence de la version 4.0 stipule que « les processus et les mécanismes de développement et de maintenance de systèmes et de logiciels sécurisés sont définis et compris ». Un bon moyen de s'en assurer est que les développeurs reçoivent une formation précise sur les langages de programmation et les frameworks qu'ils utilisent afin de combler les lacunes en matière de connaissances.
Une autre exigence stipule que les développeurs travaillant sur des logiciels sur mesure doivent suivre une formation au moins une fois tous les 12 mois, portant sur :
- Sécurité logicielle adaptée à leur fonction et à leurs langages de développement.
- Techniques de conception et de codage de logiciels sécurisés.
- Comment utiliser les outils de test de sécurité, s'ils sont utilisés, pour détecter les vulnérabilités des logiciels.
En réalité, une fois par an n'est pas assez fréquente pour résoudre les problèmes de sécurité fondamentaux et briser les mauvaises habitudes de codage. La formation doit être continue et mesurée, avec un processus de vérification des compétences pour s'assurer qu'elle est utilisée à bon escient.
La norme PCI DSS 4.0 inclut plus d'une demi-douzaine d'autres exigences qui concernent des domaines tels que la prévention et l'atténuation de divers types d'attaques, la documentation des composants logiciels tiers, l'identification et la gestion des vulnérabilités et d'autres mesures de sécurité. Dans tous les cas, les organisations seraient bien avisées de poursuivre ces mesures de manière approfondie. La formation sur les vecteurs d'attaque devrait être fréquente plutôt qu'annuelle. Les composants tiers, souvent source de vulnérabilités, doivent être soigneusement inventoriés par le biais d'un programme SBOM (Software Bill of Materials). Et les organisations doivent s'assurer de définir clairement les rôles en matière de gestion des vulnérabilités.
La nouvelle version donne également aux organisations une certaine flexibilité pour répondre à leurs exigences, en se concentrant sur les résultats plutôt que sur les cases à cocher, tout en ajoutant de nouvelles exigences pour les contrôles d'authentification, la longueur des mots de passe, les comptes partagés et d'autres facteurs.
La conformité commence au début du SDLC
Le point commun de ces réglementations est qu'elles visent à établir des normes élevées en matière de protection des données et des transactions dans le secteur des services financiers. Et, comme dans le cas de la dernière version de la norme PCI DSS, ils insistent de plus en plus sur l'importance d'un code sécurisé au début du cycle de vie du développement logiciel (SDLC). La stratégie nationale de cybersécurité et les principes Secure by Design de la CISA confient également la responsabilité de la sécurité aux fabricants de logiciels, avant leur expédition, de sorte que même les entreprises qui ne sont pas directement régies par la réglementation des services financiers doivent s'y conformer.
Les entreprises doivent combler le fossé qui existe entre les équipes DevOps (qui se concentrent sur la rapidité du développement) et les équipes AppSec (qui s'empressent d'intégrer la sécurité au processus) en formant les développeurs à intégrer la sécurité à leur approche. Cela nécessite toutefois un ensemble complexe de compétences, qui implique plus que des sessions de formation annuelles ou des programmes éducatifs standard et stagnants. La formation doit être continue et souple, conçue pour impliquer les apprenants dans des scénarios actifs et réels et dispensée en petites périodes adaptées à leurs horaires de travail.
Les sociétés de services financiers doivent garantir la sécurité à la fois pour se protéger contre les violations et pour rester en conformité avec des réglementations de plus en plus strictes. Les coûts liés à la non-conformité peuvent être aussi dommageables qu'une violation en termes d'impact sur la réputation d'une entreprise et de coûts financiers. Les IBM Rapport sur le coût d'une violation de données 2023, par exemple, a constaté que les organisations présentant un niveau élevé de non-conformité étaient confrontées, en moyenne, à des amendes et à d'autres coûts totalisant 5,05 millions de dollars, soit un demi-million de dollars plus supérieur au coût moyen d'une véritable violation de données.
La croissance continue des environnements basés sur le cloud et des transactions numériques a donné une importance capitale à la sécurité des logiciels dans le secteur des services financiers, ce que reconnaissent les réglementations telles que la norme PCI DSS. Le meilleur moyen de garantir la sécurité des logiciels est d'utiliser un codage sécurisé au début du SDLC. Et pour y parvenir, il faut former efficacement les développeurs aux pratiques de codage sécurisées.
Pour un aperçu complet de la manière dont le codage sécurisé peut contribuer à garantir le succès, la sécurité et les bénéfices des sociétés de services financiers, vous pouvez lire le nouveau livre électronique Secure Code Warrior : Le guide ultime des tendances en matière de sécurité dans les services financiers.
Consultez le Secure Code Warrior des pages de blog pour en savoir plus sur la cybersécurité, le paysage des menaces de plus en plus dangereuses, et pour savoir comment vous pouvez utiliser des technologies innovantes et des formations pour mieux protéger votre organisation et vos clients.
Les institutions de services financiers ont de bonnes raisons de s'assurer que le code logiciel qu'elles utilisent est sécurisé. Une motivation évidente, bien entendu, est la nécessité de protéger leurs données contre une violation, qui peut être coûteuse en termes de fuite d'informations personnelles, de frais de nettoyage, d'amendes et de restitution, et d'atteinte à la réputation d'une organisation. Une autre raison persistante est la nécessité de rester en conformité avec un éventail de réglementations industrielles et gouvernementales.
Parce qu'ils traitent de nombreuses informations sensibles, personnelles et financières, ainsi que l'argent des gens, les services financiers sont un secteur hautement réglementé. En fonction des services qu'elles fournissent, les entreprises doivent se conformer à un ensemble de règles et d'exigences.
La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est bien connue pour ses règles relatives à la protection des données des titulaires de cartes, par exemple. Les exigences de la Loi Sarbanes-Oxely régir la gestion des dossiers financiers. Les entreprises qui opèrent à l'international connaissent bien le Loi sur la résilience opérationnelle numérique (DORA), qui est un cadre de gestion des risques contraignant, et les normes mondiales pour les transferts de fonds établies par le Société pour les télécommunications financières interbancaires mondiales, connu sous le nom de Swift.
Et des lois telles que la Loi californienne sur la confidentialité des consommateurs (CCPA) et celui de l'UE Règlement général sur la protection des données (RGPD) fixe des exigences pour protéger la confidentialité et les informations personnelles des clients. Il en existe d'autres, comme les réglementations établies par l'Office of the Controller of the Currency (OCC) des États-Unis et la Banque centrale européenne (BCE).
Si cela ne suffit pas, Stratégie nationale de cybersécurité stipule notamment que les fabricants de logiciels devraient être tenus responsables de l'inefficacité de la sécurité des logiciels. Et l'Agence de cybersécurité et de sécurité des infrastructures (CISA), aux côtés de 17 partenaires américains et internationaux, a publié des directives sur Sécurisé dès la conception principes pour le développement de logiciels.
Un point commun pour les sociétés de services financiers est que le code sécurisé est un élément essentiel pour atteindre les objectifs de ces réglementations, ce qui peut faciliter la démonstration de leur conformité. Et cela montre pourquoi les développeurs ont besoin de formation et de perfectionnement pour garantir que la sécurité est appliquée au code dès le début du processus de développement.
À titre d'exemple de son fonctionnement, examinons la dernière version de la norme PCI DSS.
Le codage sécurisé (et la formation des développeurs) sont au cœur de la norme PCI DSS 4.0
PCI DSS 4.0, qui est devenue obligatoire le 1er avril 2024, inclut plusieurs mises à jour importantes de la norme PCI DSS 3.2.1, notamment l'accent sur le rôle que jouent les développeurs pour garantir la sécurité du code logiciel.
Dans le passé, PCI a reconnu depuis longtemps l'importance des logiciels sécurisés. La version 2.0, publiée en 2017, comprenait conseils pour les développeurs sur la garantie de transactions sécurisées sur les appareils mobiles. Les conseils de la version 4.0 mettent désormais l'accent sur l'application des meilleures pratiques de sécurité au développement de logiciels et incluent des conseils spécifiques sur la formation des développeurs.
Les exigences sont souvent énoncées de manière générale, bien que les entreprises puissent souhaiter mettre en œuvre une approche plus approfondie.
Par exemple, une exigence de la version 4.0 stipule que « les processus et les mécanismes de développement et de maintenance de systèmes et de logiciels sécurisés sont définis et compris ». Un bon moyen de s'en assurer est que les développeurs reçoivent une formation précise sur les langages de programmation et les frameworks qu'ils utilisent afin de combler les lacunes en matière de connaissances.
Une autre exigence stipule que les développeurs travaillant sur des logiciels sur mesure doivent suivre une formation au moins une fois tous les 12 mois, portant sur :
- Sécurité logicielle adaptée à leur fonction et à leurs langages de développement.
- Techniques de conception et de codage de logiciels sécurisés.
- Comment utiliser les outils de test de sécurité, s'ils sont utilisés, pour détecter les vulnérabilités des logiciels.
En réalité, une fois par an n'est pas assez fréquente pour résoudre les problèmes de sécurité fondamentaux et briser les mauvaises habitudes de codage. La formation doit être continue et mesurée, avec un processus de vérification des compétences pour s'assurer qu'elle est utilisée à bon escient.
La norme PCI DSS 4.0 inclut plus d'une demi-douzaine d'autres exigences qui concernent des domaines tels que la prévention et l'atténuation de divers types d'attaques, la documentation des composants logiciels tiers, l'identification et la gestion des vulnérabilités et d'autres mesures de sécurité. Dans tous les cas, les organisations seraient bien avisées de poursuivre ces mesures de manière approfondie. La formation sur les vecteurs d'attaque devrait être fréquente plutôt qu'annuelle. Les composants tiers, souvent source de vulnérabilités, doivent être soigneusement inventoriés par le biais d'un programme SBOM (Software Bill of Materials). Et les organisations doivent s'assurer de définir clairement les rôles en matière de gestion des vulnérabilités.
La nouvelle version donne également aux organisations une certaine flexibilité pour répondre à leurs exigences, en se concentrant sur les résultats plutôt que sur les cases à cocher, tout en ajoutant de nouvelles exigences pour les contrôles d'authentification, la longueur des mots de passe, les comptes partagés et d'autres facteurs.
La conformité commence au début du SDLC
Le point commun de ces réglementations est qu'elles visent à établir des normes élevées en matière de protection des données et des transactions dans le secteur des services financiers. Et, comme dans le cas de la dernière version de la norme PCI DSS, ils insistent de plus en plus sur l'importance d'un code sécurisé au début du cycle de vie du développement logiciel (SDLC). La stratégie nationale de cybersécurité et les principes Secure by Design de la CISA confient également la responsabilité de la sécurité aux fabricants de logiciels, avant leur expédition, de sorte que même les entreprises qui ne sont pas directement régies par la réglementation des services financiers doivent s'y conformer.
Les entreprises doivent combler le fossé qui existe entre les équipes DevOps (qui se concentrent sur la rapidité du développement) et les équipes AppSec (qui s'empressent d'intégrer la sécurité au processus) en formant les développeurs à intégrer la sécurité à leur approche. Cela nécessite toutefois un ensemble complexe de compétences, qui implique plus que des sessions de formation annuelles ou des programmes éducatifs standard et stagnants. La formation doit être continue et souple, conçue pour impliquer les apprenants dans des scénarios actifs et réels et dispensée en petites périodes adaptées à leurs horaires de travail.
Les sociétés de services financiers doivent garantir la sécurité à la fois pour se protéger contre les violations et pour rester en conformité avec des réglementations de plus en plus strictes. Les coûts liés à la non-conformité peuvent être aussi dommageables qu'une violation en termes d'impact sur la réputation d'une entreprise et de coûts financiers. Les IBM Rapport sur le coût d'une violation de données 2023, par exemple, a constaté que les organisations présentant un niveau élevé de non-conformité étaient confrontées, en moyenne, à des amendes et à d'autres coûts totalisant 5,05 millions de dollars, soit un demi-million de dollars plus supérieur au coût moyen d'une véritable violation de données.
La croissance continue des environnements basés sur le cloud et des transactions numériques a donné une importance capitale à la sécurité des logiciels dans le secteur des services financiers, ce que reconnaissent les réglementations telles que la norme PCI DSS. Le meilleur moyen de garantir la sécurité des logiciels est d'utiliser un codage sécurisé au début du SDLC. Et pour y parvenir, il faut former efficacement les développeurs aux pratiques de codage sécurisées.
Pour un aperçu complet de la manière dont le codage sécurisé peut contribuer à garantir le succès, la sécurité et les bénéfices des sociétés de services financiers, vous pouvez lire le nouveau livre électronique Secure Code Warrior : Le guide ultime des tendances en matière de sécurité dans les services financiers.
Consultez le Secure Code Warrior des pages de blog pour en savoir plus sur la cybersécurité, le paysage des menaces de plus en plus dangereuses, et pour savoir comment vous pouvez utiliser des technologies innovantes et des formations pour mieux protéger votre organisation et vos clients.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
Les institutions de services financiers ont de bonnes raisons de s'assurer que le code logiciel qu'elles utilisent est sécurisé. Une motivation évidente, bien entendu, est la nécessité de protéger leurs données contre une violation, qui peut être coûteuse en termes de fuite d'informations personnelles, de frais de nettoyage, d'amendes et de restitution, et d'atteinte à la réputation d'une organisation. Une autre raison persistante est la nécessité de rester en conformité avec un éventail de réglementations industrielles et gouvernementales.
Parce qu'ils traitent de nombreuses informations sensibles, personnelles et financières, ainsi que l'argent des gens, les services financiers sont un secteur hautement réglementé. En fonction des services qu'elles fournissent, les entreprises doivent se conformer à un ensemble de règles et d'exigences.
La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est bien connue pour ses règles relatives à la protection des données des titulaires de cartes, par exemple. Les exigences de la Loi Sarbanes-Oxely régir la gestion des dossiers financiers. Les entreprises qui opèrent à l'international connaissent bien le Loi sur la résilience opérationnelle numérique (DORA), qui est un cadre de gestion des risques contraignant, et les normes mondiales pour les transferts de fonds établies par le Société pour les télécommunications financières interbancaires mondiales, connu sous le nom de Swift.
Et des lois telles que la Loi californienne sur la confidentialité des consommateurs (CCPA) et celui de l'UE Règlement général sur la protection des données (RGPD) fixe des exigences pour protéger la confidentialité et les informations personnelles des clients. Il en existe d'autres, comme les réglementations établies par l'Office of the Controller of the Currency (OCC) des États-Unis et la Banque centrale européenne (BCE).
Si cela ne suffit pas, Stratégie nationale de cybersécurité stipule notamment que les fabricants de logiciels devraient être tenus responsables de l'inefficacité de la sécurité des logiciels. Et l'Agence de cybersécurité et de sécurité des infrastructures (CISA), aux côtés de 17 partenaires américains et internationaux, a publié des directives sur Sécurisé dès la conception principes pour le développement de logiciels.
Un point commun pour les sociétés de services financiers est que le code sécurisé est un élément essentiel pour atteindre les objectifs de ces réglementations, ce qui peut faciliter la démonstration de leur conformité. Et cela montre pourquoi les développeurs ont besoin de formation et de perfectionnement pour garantir que la sécurité est appliquée au code dès le début du processus de développement.
À titre d'exemple de son fonctionnement, examinons la dernière version de la norme PCI DSS.
Le codage sécurisé (et la formation des développeurs) sont au cœur de la norme PCI DSS 4.0
PCI DSS 4.0, qui est devenue obligatoire le 1er avril 2024, inclut plusieurs mises à jour importantes de la norme PCI DSS 3.2.1, notamment l'accent sur le rôle que jouent les développeurs pour garantir la sécurité du code logiciel.
Dans le passé, PCI a reconnu depuis longtemps l'importance des logiciels sécurisés. La version 2.0, publiée en 2017, comprenait conseils pour les développeurs sur la garantie de transactions sécurisées sur les appareils mobiles. Les conseils de la version 4.0 mettent désormais l'accent sur l'application des meilleures pratiques de sécurité au développement de logiciels et incluent des conseils spécifiques sur la formation des développeurs.
Les exigences sont souvent énoncées de manière générale, bien que les entreprises puissent souhaiter mettre en œuvre une approche plus approfondie.
Par exemple, une exigence de la version 4.0 stipule que « les processus et les mécanismes de développement et de maintenance de systèmes et de logiciels sécurisés sont définis et compris ». Un bon moyen de s'en assurer est que les développeurs reçoivent une formation précise sur les langages de programmation et les frameworks qu'ils utilisent afin de combler les lacunes en matière de connaissances.
Une autre exigence stipule que les développeurs travaillant sur des logiciels sur mesure doivent suivre une formation au moins une fois tous les 12 mois, portant sur :
- Sécurité logicielle adaptée à leur fonction et à leurs langages de développement.
- Techniques de conception et de codage de logiciels sécurisés.
- Comment utiliser les outils de test de sécurité, s'ils sont utilisés, pour détecter les vulnérabilités des logiciels.
En réalité, une fois par an n'est pas assez fréquente pour résoudre les problèmes de sécurité fondamentaux et briser les mauvaises habitudes de codage. La formation doit être continue et mesurée, avec un processus de vérification des compétences pour s'assurer qu'elle est utilisée à bon escient.
La norme PCI DSS 4.0 inclut plus d'une demi-douzaine d'autres exigences qui concernent des domaines tels que la prévention et l'atténuation de divers types d'attaques, la documentation des composants logiciels tiers, l'identification et la gestion des vulnérabilités et d'autres mesures de sécurité. Dans tous les cas, les organisations seraient bien avisées de poursuivre ces mesures de manière approfondie. La formation sur les vecteurs d'attaque devrait être fréquente plutôt qu'annuelle. Les composants tiers, souvent source de vulnérabilités, doivent être soigneusement inventoriés par le biais d'un programme SBOM (Software Bill of Materials). Et les organisations doivent s'assurer de définir clairement les rôles en matière de gestion des vulnérabilités.
La nouvelle version donne également aux organisations une certaine flexibilité pour répondre à leurs exigences, en se concentrant sur les résultats plutôt que sur les cases à cocher, tout en ajoutant de nouvelles exigences pour les contrôles d'authentification, la longueur des mots de passe, les comptes partagés et d'autres facteurs.
La conformité commence au début du SDLC
Le point commun de ces réglementations est qu'elles visent à établir des normes élevées en matière de protection des données et des transactions dans le secteur des services financiers. Et, comme dans le cas de la dernière version de la norme PCI DSS, ils insistent de plus en plus sur l'importance d'un code sécurisé au début du cycle de vie du développement logiciel (SDLC). La stratégie nationale de cybersécurité et les principes Secure by Design de la CISA confient également la responsabilité de la sécurité aux fabricants de logiciels, avant leur expédition, de sorte que même les entreprises qui ne sont pas directement régies par la réglementation des services financiers doivent s'y conformer.
Les entreprises doivent combler le fossé qui existe entre les équipes DevOps (qui se concentrent sur la rapidité du développement) et les équipes AppSec (qui s'empressent d'intégrer la sécurité au processus) en formant les développeurs à intégrer la sécurité à leur approche. Cela nécessite toutefois un ensemble complexe de compétences, qui implique plus que des sessions de formation annuelles ou des programmes éducatifs standard et stagnants. La formation doit être continue et souple, conçue pour impliquer les apprenants dans des scénarios actifs et réels et dispensée en petites périodes adaptées à leurs horaires de travail.
Les sociétés de services financiers doivent garantir la sécurité à la fois pour se protéger contre les violations et pour rester en conformité avec des réglementations de plus en plus strictes. Les coûts liés à la non-conformité peuvent être aussi dommageables qu'une violation en termes d'impact sur la réputation d'une entreprise et de coûts financiers. Les IBM Rapport sur le coût d'une violation de données 2023, par exemple, a constaté que les organisations présentant un niveau élevé de non-conformité étaient confrontées, en moyenne, à des amendes et à d'autres coûts totalisant 5,05 millions de dollars, soit un demi-million de dollars plus supérieur au coût moyen d'une véritable violation de données.
La croissance continue des environnements basés sur le cloud et des transactions numériques a donné une importance capitale à la sécurité des logiciels dans le secteur des services financiers, ce que reconnaissent les réglementations telles que la norme PCI DSS. Le meilleur moyen de garantir la sécurité des logiciels est d'utiliser un codage sécurisé au début du SDLC. Et pour y parvenir, il faut former efficacement les développeurs aux pratiques de codage sécurisées.
Pour un aperçu complet de la manière dont le codage sécurisé peut contribuer à garantir le succès, la sécurité et les bénéfices des sociétés de services financiers, vous pouvez lire le nouveau livre électronique Secure Code Warrior : Le guide ultime des tendances en matière de sécurité dans les services financiers.
Consultez le Secure Code Warrior des pages de blog pour en savoir plus sur la cybersécurité, le paysage des menaces de plus en plus dangereuses, et pour savoir comment vous pouvez utiliser des technologies innovantes et des formations pour mieux protéger votre organisation et vos clients.
Inhaltsverzeichnis
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.
