Pour connaître les meilleures pratiques en matière de cybersécurité, tournez-vous vers le secteur financier
Publié à l'origine dans Réglementation Asie.
Avec l'augmentation des cyberattaques « touchant tous les types d'organisations dans tous les secteurs », la menace de violations de données coûteuses, embarrassantes et affectant les résultats financiers est bien réelle. Le problème n'est pas de diminuer, il se développe comme une tumeur.
On me demande souvent de donner des exemples d'organisations qui luttent contre ce problème, en explorant le « Far West » de la cybersécurité et des meilleures pratiques en matière d'AppSec avec une finesse et une maîtrise particulières. Je reviens plus souvent à une réponse qu'à d'autres : c'est le secteur financier qui s'en sort le mieux que la plupart des autres.
La réglementation : un facteur déterminant du leadership du secteur financier en matière de cybersécurité
L'une des raisons pour lesquelles le secteur financier joue si bien dans l'espace AppSec est qu'il est (du moins en partie) motivé par les préoccupations des régulateurs mondiaux, régionaux et nationaux concernant les impacts universels, voire catastrophiques, qui pourraient résulter d'une attaque de cybersécurité réussie ou d'un vol de données.
Le BCBS (Comité de Bâle sur le contrôle bancaire) a publié un rapport en décembre, qui détaille l'éventail des pratiques de cyber-résilience observées par les banques, les régulateurs et les autorités de supervision dans de nombreuses juridictions. Parmi ses principales conclusions figurait le problème de la pénurie de compétences en cybersécurité, un facteur auquel seules quelques juridictions se sont efforcées de faire face en mettant en œuvre des cybercertifications spécifiques.
« Certaines juridictions ont des normes informatiques spécifiques qui traitent des responsabilités du personnel informatique et des fonctions de sécurité de l'information, en accordant une attention particulière à la formation et aux compétences du personnel en cybersécurité », indique le rapport. Mais la plupart des juridictions n'en sont qu'aux « premières étapes » de la mise en œuvre de pratiques de supervision visant à contrôler les compétences et les ressources de la cybermain-d'œuvre d'une banque.
Dans la plupart des cas, les systèmes réglementaires obligent les entités réglementées à gérer les risques, mais il existe rarement une voie claire pour atténuer ces risques avec succès. Ils ne fixent pas d'exigences spécifiques (ni même de points de référence) concernant les compétences et les ressources du personnel en cybersécurité. La plupart des régulateurs évaluent le personnel de cybersécurité des institutions par le biais d'inspections sur site, où les questionnaires d'auto-évaluation sont une pratique courante, et les processus de formation sont particulièrement surveillés, mais ce n'est que dans quelques juridictions que les réglementations traitent spécifiquement des rôles et responsabilités du personnel informatique. En termes simples, la marge d'erreur est importante et l'accent mis sur la formation appropriée et l'évaluation ultérieure des compétences est plutôt faible.
Au Japon et en Corée du Sud, les autorités publiques ont défini des directives sur la gestion appropriée des effectifs de cybersécurité. Dans la plupart des autres juridictions, toutefois, les exigences réglementaires relatives à la gestion de la cybermain-d'œuvre se limitent aux attentes des superviseurs, où les superviseurs n'évaluent souvent pas les compétences en cybersécurité et la formation du personnel des organisations réglementées.
Seuls Hong Kong, Singapour et le Royaume-Uni ont publié des cadres dédiés pour certifier les aptitudes et les compétences du personnel informatique. Alors que des termes tels que « conformité » et « certification » ont tendance à faire froid dans le dos d'un développeur créatif et capable de résoudre des problèmes, chargé de créer des fonctionnalités logicielles exceptionnelles (dans ce domaine, la sécurité est souvent considérée comme le problème de quelqu'un d'autre, à savoir l'équipe de sécurité), les énormes quantités de données sensibles détenues par de nombreuses entités réglementées sont tout simplement trop précieuses pour être laissées entre les mains de ceux dont les compétences sont « assumées » plutôt que correctement vérifiées.
Heureusement, de nombreuses institutions bancaires et financières le reconnaissent sans nécessairement s'appuyer sur une voie réglementaire évidente. Les réglementations fournissent certainement une vue d'ensemble des attentes en matière de résultats finaux (c'est-à-dire des logiciels sécurisés), mais elles ont identifié que pour y parvenir, il fallait remédier à la pénurie de compétences en cybersécurité en formant les développeurs, en entretenant leurs relations avec les professionnels existants de la sécurité des applications et en développant une culture de sécurité positive qui favorise la responsabilité et l'appropriation.
Pourquoi le secteur financier dispose-t-il d'un « facteur X » en matière de cybersécurité ?
Quelques éléments entrent en jeu pour les entreprises du secteur bancaire, services financiers et les secteurs de l'assurance, qui constituent des piliers de force sur lesquels repose leur position de leader dans le paysage de la cybersécurité.
Bien entendu, en tant que gardiennes des finances mondiales (sans parler des millions d'enregistrements de données hautement sensibles), ce sont généralement des organisations très axées sur la conformité et réglementées. Les directives, réglementations et exigences mises à jour sont attendues et planifiées de manière significative. En conséquence, ils ont fait face à l'évolution des besoins en matière d'atténuation des cyberrisques, en adoptant certaines des politiques les plus strictes en matière de meilleures pratiques en matière de cybersécurité, ainsi que des processus de bout en bout visant à réduire leur exposition aux attaques potentielles.
Alors, qu'est-ce que les institutions financières font différemment des autres ? D'après mon expérience, ils ont jeté les bases pour être plus attentifs à la sécurité que les autres, en identifiant les besoins et en consacrant des ressources à des programmes de formation holistiques destinés non seulement aux professionnels de la sécurité des applications et aux testeurs d'intrusion, mais également à leurs équipes de développement (généralement très nombreuses et dispersées dans le monde entier).
La cybersécurité étant relativement récente dans la plupart des organisations, il est rafraîchissant de constater que les institutions financières font preuve d'une véritable ouverture d'esprit et d'innovation dans leur quête pour fournir des logiciels sûrs et sécurisés. Beaucoup ont vu les avantages de l'amélioration des compétences de la cohorte de développement avec une formation engageante qui les amène à sortir de la salle de classe et à vivre une expérience d'apprentissage pratique et pertinente qui les aide non seulement à résoudre les problèmes, mais aussi à comprendre l'importance d'un codage sécurisé en général.
Après tout, le codage sécurisé est un élément clé pour établir une relation solide et fonctionnelle entre les développeurs et l'équipe AppSec, ainsi que pour maintenir une solide culture de sécurité au sein de l'entreprise. Un autre facteur clé de la réussite d'un programme de sécurité est de s'assurer que les principales parties prenantes sont impliquées et en voient les avantages, même si elles ne sont pas elles-mêmes des professionnels de la sécurité.
Les institutions financières ont tendance à bien communiquer avec la direction générale, afin de s'assurer que les décideurs de haut niveau comprennent que les processus de sécurité ne sont pas des mesures « définies et oubliées » ; ils doivent évoluer aussi rapidement que la technologie utilisée et s'adapter à des risques variables.
Cela peut coûter du temps et de l'argent aujourd'hui, mais comme les vulnérabilités sont trente fois plus coûteuses à corriger dans du code validé, un programme de sécurité complet « qui inclut une formation de A à Z » permet d'économiser de l'argent à long terme : il est beaucoup moins coûteux lorsque les problèmes de sécurité sont résolus car ils sont écrits par des développeurs soucieux de la sécurité.
Les normes de sécurité commencent à suivre le rythme des risques croissants
L'un des principaux moteurs de la cyberconformité pour le secteur financier provient du Conseil des normes de sécurité PCI, qui reste déterminée à aider les organisations financières à mettre en œuvre des politiques de sécurité viables et à faire respecter les directives dans tous les domaines. Ils ont joué un rôle positif en aidant ce secteur à atteindre les normes de sécurité les plus élevées en matière de logiciels de paiement.
Cependant, force est de constater que nombre de nos clients du secteur financier ont même dépassé les directives actuelles du PCI Security Standards Council. Bien que ces directives recommandent une formation pour les développeurs (comme mentionné précédemment avec d'autres exemples d'informations réglementaires), elles ne spécifient pas de type particulier ni de point de référence à atteindre pour indiquer que la formation a été efficace.
Avec de nombreuses vulnérabilités, telles que l'injection SQL et le cross-site scripting (XSS), qui persistent depuis plus de vingt ans (et continuent de poser problème en 2019), force est de constater que toutes les formations ne sont pas équivalentes ou efficaces. En adoptant des formations pratiques, ludiques et sécurisées, les banques et autres sociétés de services financiers obtiennent de bien meilleurs résultats et une réelle réduction des vulnérabilités qui peuvent faire des ravages si elles sont exploitées.
La façon dont l'institution bancaire américaine Capital One a utilisé des techniques de formation ludiques dans le cadre de son Tech College innovant et de son système de certification en est un bon exemple. Selon Russell Wolfe, leur directeur de la formation à la cybersécurité et au cloud computing dans un récent webinaire, les programmes de formation volontaire et les tournois de codage ont rapidement gagné en popularité, suscitant une demande sans précédent et une motivation naturelle de la part des pairs à obtenir une certification et à aider à améliorer les compétences des autres.
Que peuvent faire les régulateurs pour s'assurer que le personnel de cybersécurité est correctement formé ?
Les régulateurs du monde entier peuvent réellement « améliorer » leurs politiques et directives existantes en matière de cyberréglementation, simplement en décrivant les méthodologies de formation et les normes acceptées que les personnes chargées de la protection de nos données doivent respecter. À l'heure actuelle, il semble que la plupart des politiques réglementaires fassent généralement référence à une exigence de formation, mais peu de mesures sont prises pour s'assurer que les personnes suivant une formation prescrite assimilent le contenu et les techniques nécessaires pour réellement contribuer à la lutte contre les cybermenaces.
La récente décision de la MAS (Autorité monétaire de Singapour) d'inclure l'adoption de programmes de formation en matière de sensibilisation à la sécurité et les meilleures pratiques de développement de logiciels sécurisés dans le dernière itération de ses directives en matière de risques technologiques est toutefois encourageante. Une fois que les directives entreront en vigueur, ils demanderont aux institutions financières de veiller à ce que leurs développeurs de logiciels soient formés pour appliquer le codage sécurisé, la révision du code source et les normes de test AppSec lors du développement de logiciels, ce qui devrait contribuer dans une large mesure à minimiser les bogues et les vulnérabilités.
Pour moi, former la cohorte de développeurs à l'aide de techniques pratiques et réelles est de loin la solution la plus intéressante et la plus pertinente pour leur travail, tout en jetant les bases d'une solide culture de sécurité que chaque organisation doit créer avant qu'il ne soit trop tard.
Compte tenu de la recrudescence des cyberattaques, qui touchent tous les types d'organisations dans tous les secteurs d'activité, la menace de violations de données coûteuses, embarrassantes et affectant les résultats financiers est bien réelle. Le problème n'est pas de diminuer, il se développe comme une tumeur.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Publié à l'origine dans Réglementation Asie.
Avec l'augmentation des cyberattaques « touchant tous les types d'organisations dans tous les secteurs », la menace de violations de données coûteuses, embarrassantes et affectant les résultats financiers est bien réelle. Le problème n'est pas de diminuer, il se développe comme une tumeur.
On me demande souvent de donner des exemples d'organisations qui luttent contre ce problème, en explorant le « Far West » de la cybersécurité et des meilleures pratiques en matière d'AppSec avec une finesse et une maîtrise particulières. Je reviens plus souvent à une réponse qu'à d'autres : c'est le secteur financier qui s'en sort le mieux que la plupart des autres.
La réglementation : un facteur déterminant du leadership du secteur financier en matière de cybersécurité
L'une des raisons pour lesquelles le secteur financier joue si bien dans l'espace AppSec est qu'il est (du moins en partie) motivé par les préoccupations des régulateurs mondiaux, régionaux et nationaux concernant les impacts universels, voire catastrophiques, qui pourraient résulter d'une attaque de cybersécurité réussie ou d'un vol de données.
Le BCBS (Comité de Bâle sur le contrôle bancaire) a publié un rapport en décembre, qui détaille l'éventail des pratiques de cyber-résilience observées par les banques, les régulateurs et les autorités de supervision dans de nombreuses juridictions. Parmi ses principales conclusions figurait le problème de la pénurie de compétences en cybersécurité, un facteur auquel seules quelques juridictions se sont efforcées de faire face en mettant en œuvre des cybercertifications spécifiques.
« Certaines juridictions ont des normes informatiques spécifiques qui traitent des responsabilités du personnel informatique et des fonctions de sécurité de l'information, en accordant une attention particulière à la formation et aux compétences du personnel en cybersécurité », indique le rapport. Mais la plupart des juridictions n'en sont qu'aux « premières étapes » de la mise en œuvre de pratiques de supervision visant à contrôler les compétences et les ressources de la cybermain-d'œuvre d'une banque.
Dans la plupart des cas, les systèmes réglementaires obligent les entités réglementées à gérer les risques, mais il existe rarement une voie claire pour atténuer ces risques avec succès. Ils ne fixent pas d'exigences spécifiques (ni même de points de référence) concernant les compétences et les ressources du personnel en cybersécurité. La plupart des régulateurs évaluent le personnel de cybersécurité des institutions par le biais d'inspections sur site, où les questionnaires d'auto-évaluation sont une pratique courante, et les processus de formation sont particulièrement surveillés, mais ce n'est que dans quelques juridictions que les réglementations traitent spécifiquement des rôles et responsabilités du personnel informatique. En termes simples, la marge d'erreur est importante et l'accent mis sur la formation appropriée et l'évaluation ultérieure des compétences est plutôt faible.
Au Japon et en Corée du Sud, les autorités publiques ont défini des directives sur la gestion appropriée des effectifs de cybersécurité. Dans la plupart des autres juridictions, toutefois, les exigences réglementaires relatives à la gestion de la cybermain-d'œuvre se limitent aux attentes des superviseurs, où les superviseurs n'évaluent souvent pas les compétences en cybersécurité et la formation du personnel des organisations réglementées.
Seuls Hong Kong, Singapour et le Royaume-Uni ont publié des cadres dédiés pour certifier les aptitudes et les compétences du personnel informatique. Alors que des termes tels que « conformité » et « certification » ont tendance à faire froid dans le dos d'un développeur créatif et capable de résoudre des problèmes, chargé de créer des fonctionnalités logicielles exceptionnelles (dans ce domaine, la sécurité est souvent considérée comme le problème de quelqu'un d'autre, à savoir l'équipe de sécurité), les énormes quantités de données sensibles détenues par de nombreuses entités réglementées sont tout simplement trop précieuses pour être laissées entre les mains de ceux dont les compétences sont « assumées » plutôt que correctement vérifiées.
Heureusement, de nombreuses institutions bancaires et financières le reconnaissent sans nécessairement s'appuyer sur une voie réglementaire évidente. Les réglementations fournissent certainement une vue d'ensemble des attentes en matière de résultats finaux (c'est-à-dire des logiciels sécurisés), mais elles ont identifié que pour y parvenir, il fallait remédier à la pénurie de compétences en cybersécurité en formant les développeurs, en entretenant leurs relations avec les professionnels existants de la sécurité des applications et en développant une culture de sécurité positive qui favorise la responsabilité et l'appropriation.
Pourquoi le secteur financier dispose-t-il d'un « facteur X » en matière de cybersécurité ?
Quelques éléments entrent en jeu pour les entreprises du secteur bancaire, services financiers et les secteurs de l'assurance, qui constituent des piliers de force sur lesquels repose leur position de leader dans le paysage de la cybersécurité.
Bien entendu, en tant que gardiennes des finances mondiales (sans parler des millions d'enregistrements de données hautement sensibles), ce sont généralement des organisations très axées sur la conformité et réglementées. Les directives, réglementations et exigences mises à jour sont attendues et planifiées de manière significative. En conséquence, ils ont fait face à l'évolution des besoins en matière d'atténuation des cyberrisques, en adoptant certaines des politiques les plus strictes en matière de meilleures pratiques en matière de cybersécurité, ainsi que des processus de bout en bout visant à réduire leur exposition aux attaques potentielles.
Alors, qu'est-ce que les institutions financières font différemment des autres ? D'après mon expérience, ils ont jeté les bases pour être plus attentifs à la sécurité que les autres, en identifiant les besoins et en consacrant des ressources à des programmes de formation holistiques destinés non seulement aux professionnels de la sécurité des applications et aux testeurs d'intrusion, mais également à leurs équipes de développement (généralement très nombreuses et dispersées dans le monde entier).
La cybersécurité étant relativement récente dans la plupart des organisations, il est rafraîchissant de constater que les institutions financières font preuve d'une véritable ouverture d'esprit et d'innovation dans leur quête pour fournir des logiciels sûrs et sécurisés. Beaucoup ont vu les avantages de l'amélioration des compétences de la cohorte de développement avec une formation engageante qui les amène à sortir de la salle de classe et à vivre une expérience d'apprentissage pratique et pertinente qui les aide non seulement à résoudre les problèmes, mais aussi à comprendre l'importance d'un codage sécurisé en général.
Après tout, le codage sécurisé est un élément clé pour établir une relation solide et fonctionnelle entre les développeurs et l'équipe AppSec, ainsi que pour maintenir une solide culture de sécurité au sein de l'entreprise. Un autre facteur clé de la réussite d'un programme de sécurité est de s'assurer que les principales parties prenantes sont impliquées et en voient les avantages, même si elles ne sont pas elles-mêmes des professionnels de la sécurité.
Les institutions financières ont tendance à bien communiquer avec la direction générale, afin de s'assurer que les décideurs de haut niveau comprennent que les processus de sécurité ne sont pas des mesures « définies et oubliées » ; ils doivent évoluer aussi rapidement que la technologie utilisée et s'adapter à des risques variables.
Cela peut coûter du temps et de l'argent aujourd'hui, mais comme les vulnérabilités sont trente fois plus coûteuses à corriger dans du code validé, un programme de sécurité complet « qui inclut une formation de A à Z » permet d'économiser de l'argent à long terme : il est beaucoup moins coûteux lorsque les problèmes de sécurité sont résolus car ils sont écrits par des développeurs soucieux de la sécurité.
Les normes de sécurité commencent à suivre le rythme des risques croissants
L'un des principaux moteurs de la cyberconformité pour le secteur financier provient du Conseil des normes de sécurité PCI, qui reste déterminée à aider les organisations financières à mettre en œuvre des politiques de sécurité viables et à faire respecter les directives dans tous les domaines. Ils ont joué un rôle positif en aidant ce secteur à atteindre les normes de sécurité les plus élevées en matière de logiciels de paiement.
Cependant, force est de constater que nombre de nos clients du secteur financier ont même dépassé les directives actuelles du PCI Security Standards Council. Bien que ces directives recommandent une formation pour les développeurs (comme mentionné précédemment avec d'autres exemples d'informations réglementaires), elles ne spécifient pas de type particulier ni de point de référence à atteindre pour indiquer que la formation a été efficace.
Avec de nombreuses vulnérabilités, telles que l'injection SQL et le cross-site scripting (XSS), qui persistent depuis plus de vingt ans (et continuent de poser problème en 2019), force est de constater que toutes les formations ne sont pas équivalentes ou efficaces. En adoptant des formations pratiques, ludiques et sécurisées, les banques et autres sociétés de services financiers obtiennent de bien meilleurs résultats et une réelle réduction des vulnérabilités qui peuvent faire des ravages si elles sont exploitées.
La façon dont l'institution bancaire américaine Capital One a utilisé des techniques de formation ludiques dans le cadre de son Tech College innovant et de son système de certification en est un bon exemple. Selon Russell Wolfe, leur directeur de la formation à la cybersécurité et au cloud computing dans un récent webinaire, les programmes de formation volontaire et les tournois de codage ont rapidement gagné en popularité, suscitant une demande sans précédent et une motivation naturelle de la part des pairs à obtenir une certification et à aider à améliorer les compétences des autres.
Que peuvent faire les régulateurs pour s'assurer que le personnel de cybersécurité est correctement formé ?
Les régulateurs du monde entier peuvent réellement « améliorer » leurs politiques et directives existantes en matière de cyberréglementation, simplement en décrivant les méthodologies de formation et les normes acceptées que les personnes chargées de la protection de nos données doivent respecter. À l'heure actuelle, il semble que la plupart des politiques réglementaires fassent généralement référence à une exigence de formation, mais peu de mesures sont prises pour s'assurer que les personnes suivant une formation prescrite assimilent le contenu et les techniques nécessaires pour réellement contribuer à la lutte contre les cybermenaces.
La récente décision de la MAS (Autorité monétaire de Singapour) d'inclure l'adoption de programmes de formation en matière de sensibilisation à la sécurité et les meilleures pratiques de développement de logiciels sécurisés dans le dernière itération de ses directives en matière de risques technologiques est toutefois encourageante. Une fois que les directives entreront en vigueur, ils demanderont aux institutions financières de veiller à ce que leurs développeurs de logiciels soient formés pour appliquer le codage sécurisé, la révision du code source et les normes de test AppSec lors du développement de logiciels, ce qui devrait contribuer dans une large mesure à minimiser les bogues et les vulnérabilités.
Pour moi, former la cohorte de développeurs à l'aide de techniques pratiques et réelles est de loin la solution la plus intéressante et la plus pertinente pour leur travail, tout en jetant les bases d'une solide culture de sécurité que chaque organisation doit créer avant qu'il ne soit trop tard.
Publié à l'origine dans Réglementation Asie.
Avec l'augmentation des cyberattaques « touchant tous les types d'organisations dans tous les secteurs », la menace de violations de données coûteuses, embarrassantes et affectant les résultats financiers est bien réelle. Le problème n'est pas de diminuer, il se développe comme une tumeur.
On me demande souvent de donner des exemples d'organisations qui luttent contre ce problème, en explorant le « Far West » de la cybersécurité et des meilleures pratiques en matière d'AppSec avec une finesse et une maîtrise particulières. Je reviens plus souvent à une réponse qu'à d'autres : c'est le secteur financier qui s'en sort le mieux que la plupart des autres.
La réglementation : un facteur déterminant du leadership du secteur financier en matière de cybersécurité
L'une des raisons pour lesquelles le secteur financier joue si bien dans l'espace AppSec est qu'il est (du moins en partie) motivé par les préoccupations des régulateurs mondiaux, régionaux et nationaux concernant les impacts universels, voire catastrophiques, qui pourraient résulter d'une attaque de cybersécurité réussie ou d'un vol de données.
Le BCBS (Comité de Bâle sur le contrôle bancaire) a publié un rapport en décembre, qui détaille l'éventail des pratiques de cyber-résilience observées par les banques, les régulateurs et les autorités de supervision dans de nombreuses juridictions. Parmi ses principales conclusions figurait le problème de la pénurie de compétences en cybersécurité, un facteur auquel seules quelques juridictions se sont efforcées de faire face en mettant en œuvre des cybercertifications spécifiques.
« Certaines juridictions ont des normes informatiques spécifiques qui traitent des responsabilités du personnel informatique et des fonctions de sécurité de l'information, en accordant une attention particulière à la formation et aux compétences du personnel en cybersécurité », indique le rapport. Mais la plupart des juridictions n'en sont qu'aux « premières étapes » de la mise en œuvre de pratiques de supervision visant à contrôler les compétences et les ressources de la cybermain-d'œuvre d'une banque.
Dans la plupart des cas, les systèmes réglementaires obligent les entités réglementées à gérer les risques, mais il existe rarement une voie claire pour atténuer ces risques avec succès. Ils ne fixent pas d'exigences spécifiques (ni même de points de référence) concernant les compétences et les ressources du personnel en cybersécurité. La plupart des régulateurs évaluent le personnel de cybersécurité des institutions par le biais d'inspections sur site, où les questionnaires d'auto-évaluation sont une pratique courante, et les processus de formation sont particulièrement surveillés, mais ce n'est que dans quelques juridictions que les réglementations traitent spécifiquement des rôles et responsabilités du personnel informatique. En termes simples, la marge d'erreur est importante et l'accent mis sur la formation appropriée et l'évaluation ultérieure des compétences est plutôt faible.
Au Japon et en Corée du Sud, les autorités publiques ont défini des directives sur la gestion appropriée des effectifs de cybersécurité. Dans la plupart des autres juridictions, toutefois, les exigences réglementaires relatives à la gestion de la cybermain-d'œuvre se limitent aux attentes des superviseurs, où les superviseurs n'évaluent souvent pas les compétences en cybersécurité et la formation du personnel des organisations réglementées.
Seuls Hong Kong, Singapour et le Royaume-Uni ont publié des cadres dédiés pour certifier les aptitudes et les compétences du personnel informatique. Alors que des termes tels que « conformité » et « certification » ont tendance à faire froid dans le dos d'un développeur créatif et capable de résoudre des problèmes, chargé de créer des fonctionnalités logicielles exceptionnelles (dans ce domaine, la sécurité est souvent considérée comme le problème de quelqu'un d'autre, à savoir l'équipe de sécurité), les énormes quantités de données sensibles détenues par de nombreuses entités réglementées sont tout simplement trop précieuses pour être laissées entre les mains de ceux dont les compétences sont « assumées » plutôt que correctement vérifiées.
Heureusement, de nombreuses institutions bancaires et financières le reconnaissent sans nécessairement s'appuyer sur une voie réglementaire évidente. Les réglementations fournissent certainement une vue d'ensemble des attentes en matière de résultats finaux (c'est-à-dire des logiciels sécurisés), mais elles ont identifié que pour y parvenir, il fallait remédier à la pénurie de compétences en cybersécurité en formant les développeurs, en entretenant leurs relations avec les professionnels existants de la sécurité des applications et en développant une culture de sécurité positive qui favorise la responsabilité et l'appropriation.
Pourquoi le secteur financier dispose-t-il d'un « facteur X » en matière de cybersécurité ?
Quelques éléments entrent en jeu pour les entreprises du secteur bancaire, services financiers et les secteurs de l'assurance, qui constituent des piliers de force sur lesquels repose leur position de leader dans le paysage de la cybersécurité.
Bien entendu, en tant que gardiennes des finances mondiales (sans parler des millions d'enregistrements de données hautement sensibles), ce sont généralement des organisations très axées sur la conformité et réglementées. Les directives, réglementations et exigences mises à jour sont attendues et planifiées de manière significative. En conséquence, ils ont fait face à l'évolution des besoins en matière d'atténuation des cyberrisques, en adoptant certaines des politiques les plus strictes en matière de meilleures pratiques en matière de cybersécurité, ainsi que des processus de bout en bout visant à réduire leur exposition aux attaques potentielles.
Alors, qu'est-ce que les institutions financières font différemment des autres ? D'après mon expérience, ils ont jeté les bases pour être plus attentifs à la sécurité que les autres, en identifiant les besoins et en consacrant des ressources à des programmes de formation holistiques destinés non seulement aux professionnels de la sécurité des applications et aux testeurs d'intrusion, mais également à leurs équipes de développement (généralement très nombreuses et dispersées dans le monde entier).
La cybersécurité étant relativement récente dans la plupart des organisations, il est rafraîchissant de constater que les institutions financières font preuve d'une véritable ouverture d'esprit et d'innovation dans leur quête pour fournir des logiciels sûrs et sécurisés. Beaucoup ont vu les avantages de l'amélioration des compétences de la cohorte de développement avec une formation engageante qui les amène à sortir de la salle de classe et à vivre une expérience d'apprentissage pratique et pertinente qui les aide non seulement à résoudre les problèmes, mais aussi à comprendre l'importance d'un codage sécurisé en général.
Après tout, le codage sécurisé est un élément clé pour établir une relation solide et fonctionnelle entre les développeurs et l'équipe AppSec, ainsi que pour maintenir une solide culture de sécurité au sein de l'entreprise. Un autre facteur clé de la réussite d'un programme de sécurité est de s'assurer que les principales parties prenantes sont impliquées et en voient les avantages, même si elles ne sont pas elles-mêmes des professionnels de la sécurité.
Les institutions financières ont tendance à bien communiquer avec la direction générale, afin de s'assurer que les décideurs de haut niveau comprennent que les processus de sécurité ne sont pas des mesures « définies et oubliées » ; ils doivent évoluer aussi rapidement que la technologie utilisée et s'adapter à des risques variables.
Cela peut coûter du temps et de l'argent aujourd'hui, mais comme les vulnérabilités sont trente fois plus coûteuses à corriger dans du code validé, un programme de sécurité complet « qui inclut une formation de A à Z » permet d'économiser de l'argent à long terme : il est beaucoup moins coûteux lorsque les problèmes de sécurité sont résolus car ils sont écrits par des développeurs soucieux de la sécurité.
Les normes de sécurité commencent à suivre le rythme des risques croissants
L'un des principaux moteurs de la cyberconformité pour le secteur financier provient du Conseil des normes de sécurité PCI, qui reste déterminée à aider les organisations financières à mettre en œuvre des politiques de sécurité viables et à faire respecter les directives dans tous les domaines. Ils ont joué un rôle positif en aidant ce secteur à atteindre les normes de sécurité les plus élevées en matière de logiciels de paiement.
Cependant, force est de constater que nombre de nos clients du secteur financier ont même dépassé les directives actuelles du PCI Security Standards Council. Bien que ces directives recommandent une formation pour les développeurs (comme mentionné précédemment avec d'autres exemples d'informations réglementaires), elles ne spécifient pas de type particulier ni de point de référence à atteindre pour indiquer que la formation a été efficace.
Avec de nombreuses vulnérabilités, telles que l'injection SQL et le cross-site scripting (XSS), qui persistent depuis plus de vingt ans (et continuent de poser problème en 2019), force est de constater que toutes les formations ne sont pas équivalentes ou efficaces. En adoptant des formations pratiques, ludiques et sécurisées, les banques et autres sociétés de services financiers obtiennent de bien meilleurs résultats et une réelle réduction des vulnérabilités qui peuvent faire des ravages si elles sont exploitées.
La façon dont l'institution bancaire américaine Capital One a utilisé des techniques de formation ludiques dans le cadre de son Tech College innovant et de son système de certification en est un bon exemple. Selon Russell Wolfe, leur directeur de la formation à la cybersécurité et au cloud computing dans un récent webinaire, les programmes de formation volontaire et les tournois de codage ont rapidement gagné en popularité, suscitant une demande sans précédent et une motivation naturelle de la part des pairs à obtenir une certification et à aider à améliorer les compétences des autres.
Que peuvent faire les régulateurs pour s'assurer que le personnel de cybersécurité est correctement formé ?
Les régulateurs du monde entier peuvent réellement « améliorer » leurs politiques et directives existantes en matière de cyberréglementation, simplement en décrivant les méthodologies de formation et les normes acceptées que les personnes chargées de la protection de nos données doivent respecter. À l'heure actuelle, il semble que la plupart des politiques réglementaires fassent généralement référence à une exigence de formation, mais peu de mesures sont prises pour s'assurer que les personnes suivant une formation prescrite assimilent le contenu et les techniques nécessaires pour réellement contribuer à la lutte contre les cybermenaces.
La récente décision de la MAS (Autorité monétaire de Singapour) d'inclure l'adoption de programmes de formation en matière de sensibilisation à la sécurité et les meilleures pratiques de développement de logiciels sécurisés dans le dernière itération de ses directives en matière de risques technologiques est toutefois encourageante. Une fois que les directives entreront en vigueur, ils demanderont aux institutions financières de veiller à ce que leurs développeurs de logiciels soient formés pour appliquer le codage sécurisé, la révision du code source et les normes de test AppSec lors du développement de logiciels, ce qui devrait contribuer dans une large mesure à minimiser les bogues et les vulnérabilités.
Pour moi, former la cohorte de développeurs à l'aide de techniques pratiques et réelles est de loin la solution la plus intéressante et la plus pertinente pour leur travail, tout en jetant les bases d'une solide culture de sécurité que chaque organisation doit créer avant qu'il ne soit trop tard.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Publié à l'origine dans Réglementation Asie.
Avec l'augmentation des cyberattaques « touchant tous les types d'organisations dans tous les secteurs », la menace de violations de données coûteuses, embarrassantes et affectant les résultats financiers est bien réelle. Le problème n'est pas de diminuer, il se développe comme une tumeur.
On me demande souvent de donner des exemples d'organisations qui luttent contre ce problème, en explorant le « Far West » de la cybersécurité et des meilleures pratiques en matière d'AppSec avec une finesse et une maîtrise particulières. Je reviens plus souvent à une réponse qu'à d'autres : c'est le secteur financier qui s'en sort le mieux que la plupart des autres.
La réglementation : un facteur déterminant du leadership du secteur financier en matière de cybersécurité
L'une des raisons pour lesquelles le secteur financier joue si bien dans l'espace AppSec est qu'il est (du moins en partie) motivé par les préoccupations des régulateurs mondiaux, régionaux et nationaux concernant les impacts universels, voire catastrophiques, qui pourraient résulter d'une attaque de cybersécurité réussie ou d'un vol de données.
Le BCBS (Comité de Bâle sur le contrôle bancaire) a publié un rapport en décembre, qui détaille l'éventail des pratiques de cyber-résilience observées par les banques, les régulateurs et les autorités de supervision dans de nombreuses juridictions. Parmi ses principales conclusions figurait le problème de la pénurie de compétences en cybersécurité, un facteur auquel seules quelques juridictions se sont efforcées de faire face en mettant en œuvre des cybercertifications spécifiques.
« Certaines juridictions ont des normes informatiques spécifiques qui traitent des responsabilités du personnel informatique et des fonctions de sécurité de l'information, en accordant une attention particulière à la formation et aux compétences du personnel en cybersécurité », indique le rapport. Mais la plupart des juridictions n'en sont qu'aux « premières étapes » de la mise en œuvre de pratiques de supervision visant à contrôler les compétences et les ressources de la cybermain-d'œuvre d'une banque.
Dans la plupart des cas, les systèmes réglementaires obligent les entités réglementées à gérer les risques, mais il existe rarement une voie claire pour atténuer ces risques avec succès. Ils ne fixent pas d'exigences spécifiques (ni même de points de référence) concernant les compétences et les ressources du personnel en cybersécurité. La plupart des régulateurs évaluent le personnel de cybersécurité des institutions par le biais d'inspections sur site, où les questionnaires d'auto-évaluation sont une pratique courante, et les processus de formation sont particulièrement surveillés, mais ce n'est que dans quelques juridictions que les réglementations traitent spécifiquement des rôles et responsabilités du personnel informatique. En termes simples, la marge d'erreur est importante et l'accent mis sur la formation appropriée et l'évaluation ultérieure des compétences est plutôt faible.
Au Japon et en Corée du Sud, les autorités publiques ont défini des directives sur la gestion appropriée des effectifs de cybersécurité. Dans la plupart des autres juridictions, toutefois, les exigences réglementaires relatives à la gestion de la cybermain-d'œuvre se limitent aux attentes des superviseurs, où les superviseurs n'évaluent souvent pas les compétences en cybersécurité et la formation du personnel des organisations réglementées.
Seuls Hong Kong, Singapour et le Royaume-Uni ont publié des cadres dédiés pour certifier les aptitudes et les compétences du personnel informatique. Alors que des termes tels que « conformité » et « certification » ont tendance à faire froid dans le dos d'un développeur créatif et capable de résoudre des problèmes, chargé de créer des fonctionnalités logicielles exceptionnelles (dans ce domaine, la sécurité est souvent considérée comme le problème de quelqu'un d'autre, à savoir l'équipe de sécurité), les énormes quantités de données sensibles détenues par de nombreuses entités réglementées sont tout simplement trop précieuses pour être laissées entre les mains de ceux dont les compétences sont « assumées » plutôt que correctement vérifiées.
Heureusement, de nombreuses institutions bancaires et financières le reconnaissent sans nécessairement s'appuyer sur une voie réglementaire évidente. Les réglementations fournissent certainement une vue d'ensemble des attentes en matière de résultats finaux (c'est-à-dire des logiciels sécurisés), mais elles ont identifié que pour y parvenir, il fallait remédier à la pénurie de compétences en cybersécurité en formant les développeurs, en entretenant leurs relations avec les professionnels existants de la sécurité des applications et en développant une culture de sécurité positive qui favorise la responsabilité et l'appropriation.
Pourquoi le secteur financier dispose-t-il d'un « facteur X » en matière de cybersécurité ?
Quelques éléments entrent en jeu pour les entreprises du secteur bancaire, services financiers et les secteurs de l'assurance, qui constituent des piliers de force sur lesquels repose leur position de leader dans le paysage de la cybersécurité.
Bien entendu, en tant que gardiennes des finances mondiales (sans parler des millions d'enregistrements de données hautement sensibles), ce sont généralement des organisations très axées sur la conformité et réglementées. Les directives, réglementations et exigences mises à jour sont attendues et planifiées de manière significative. En conséquence, ils ont fait face à l'évolution des besoins en matière d'atténuation des cyberrisques, en adoptant certaines des politiques les plus strictes en matière de meilleures pratiques en matière de cybersécurité, ainsi que des processus de bout en bout visant à réduire leur exposition aux attaques potentielles.
Alors, qu'est-ce que les institutions financières font différemment des autres ? D'après mon expérience, ils ont jeté les bases pour être plus attentifs à la sécurité que les autres, en identifiant les besoins et en consacrant des ressources à des programmes de formation holistiques destinés non seulement aux professionnels de la sécurité des applications et aux testeurs d'intrusion, mais également à leurs équipes de développement (généralement très nombreuses et dispersées dans le monde entier).
La cybersécurité étant relativement récente dans la plupart des organisations, il est rafraîchissant de constater que les institutions financières font preuve d'une véritable ouverture d'esprit et d'innovation dans leur quête pour fournir des logiciels sûrs et sécurisés. Beaucoup ont vu les avantages de l'amélioration des compétences de la cohorte de développement avec une formation engageante qui les amène à sortir de la salle de classe et à vivre une expérience d'apprentissage pratique et pertinente qui les aide non seulement à résoudre les problèmes, mais aussi à comprendre l'importance d'un codage sécurisé en général.
Après tout, le codage sécurisé est un élément clé pour établir une relation solide et fonctionnelle entre les développeurs et l'équipe AppSec, ainsi que pour maintenir une solide culture de sécurité au sein de l'entreprise. Un autre facteur clé de la réussite d'un programme de sécurité est de s'assurer que les principales parties prenantes sont impliquées et en voient les avantages, même si elles ne sont pas elles-mêmes des professionnels de la sécurité.
Les institutions financières ont tendance à bien communiquer avec la direction générale, afin de s'assurer que les décideurs de haut niveau comprennent que les processus de sécurité ne sont pas des mesures « définies et oubliées » ; ils doivent évoluer aussi rapidement que la technologie utilisée et s'adapter à des risques variables.
Cela peut coûter du temps et de l'argent aujourd'hui, mais comme les vulnérabilités sont trente fois plus coûteuses à corriger dans du code validé, un programme de sécurité complet « qui inclut une formation de A à Z » permet d'économiser de l'argent à long terme : il est beaucoup moins coûteux lorsque les problèmes de sécurité sont résolus car ils sont écrits par des développeurs soucieux de la sécurité.
Les normes de sécurité commencent à suivre le rythme des risques croissants
L'un des principaux moteurs de la cyberconformité pour le secteur financier provient du Conseil des normes de sécurité PCI, qui reste déterminée à aider les organisations financières à mettre en œuvre des politiques de sécurité viables et à faire respecter les directives dans tous les domaines. Ils ont joué un rôle positif en aidant ce secteur à atteindre les normes de sécurité les plus élevées en matière de logiciels de paiement.
Cependant, force est de constater que nombre de nos clients du secteur financier ont même dépassé les directives actuelles du PCI Security Standards Council. Bien que ces directives recommandent une formation pour les développeurs (comme mentionné précédemment avec d'autres exemples d'informations réglementaires), elles ne spécifient pas de type particulier ni de point de référence à atteindre pour indiquer que la formation a été efficace.
Avec de nombreuses vulnérabilités, telles que l'injection SQL et le cross-site scripting (XSS), qui persistent depuis plus de vingt ans (et continuent de poser problème en 2019), force est de constater que toutes les formations ne sont pas équivalentes ou efficaces. En adoptant des formations pratiques, ludiques et sécurisées, les banques et autres sociétés de services financiers obtiennent de bien meilleurs résultats et une réelle réduction des vulnérabilités qui peuvent faire des ravages si elles sont exploitées.
La façon dont l'institution bancaire américaine Capital One a utilisé des techniques de formation ludiques dans le cadre de son Tech College innovant et de son système de certification en est un bon exemple. Selon Russell Wolfe, leur directeur de la formation à la cybersécurité et au cloud computing dans un récent webinaire, les programmes de formation volontaire et les tournois de codage ont rapidement gagné en popularité, suscitant une demande sans précédent et une motivation naturelle de la part des pairs à obtenir une certification et à aider à améliorer les compétences des autres.
Que peuvent faire les régulateurs pour s'assurer que le personnel de cybersécurité est correctement formé ?
Les régulateurs du monde entier peuvent réellement « améliorer » leurs politiques et directives existantes en matière de cyberréglementation, simplement en décrivant les méthodologies de formation et les normes acceptées que les personnes chargées de la protection de nos données doivent respecter. À l'heure actuelle, il semble que la plupart des politiques réglementaires fassent généralement référence à une exigence de formation, mais peu de mesures sont prises pour s'assurer que les personnes suivant une formation prescrite assimilent le contenu et les techniques nécessaires pour réellement contribuer à la lutte contre les cybermenaces.
La récente décision de la MAS (Autorité monétaire de Singapour) d'inclure l'adoption de programmes de formation en matière de sensibilisation à la sécurité et les meilleures pratiques de développement de logiciels sécurisés dans le dernière itération de ses directives en matière de risques technologiques est toutefois encourageante. Une fois que les directives entreront en vigueur, ils demanderont aux institutions financières de veiller à ce que leurs développeurs de logiciels soient formés pour appliquer le codage sécurisé, la révision du code source et les normes de test AppSec lors du développement de logiciels, ce qui devrait contribuer dans une large mesure à minimiser les bogues et les vulnérabilités.
Pour moi, former la cohorte de développeurs à l'aide de techniques pratiques et réelles est de loin la solution la plus intéressante et la plus pertinente pour leur travail, tout en jetant les bases d'une solide culture de sécurité que chaque organisation doit créer avant qu'il ne soit trop tard.
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.
