La sécurité logicielle est dans le Far West (et elle va nous faire tuer)
Publié à l'origine dans CSO en ligne
En tant que hacker éthique (semi-retraité), professionnel de la sécurité et passionné d'informatique, on peut dire que je tiens beaucoup à la technologie. Je m'intéresse à la façon dont il a été conçu, à ce qu'il fait et à la manière dont il va améliorer ou rendre certains aspects de notre vie plus efficaces. Je regarde tout le temps « sous le capot » des appareils et je trouve certains des meilleurs (et des pires) exemples de code disponibles. Récemment, j'ai étudié comment mon système de climatisation pouvait être contrôlé à distance à l'aide d'une application Android (imaginez ma surprise lorsque j'ai découvert que n'importe qui sur le réseau WiFi pouvait contrôler cet appareil sans aucune authentification).
La sécurité des logiciels est toujours une priorité pour moi, tout comme le danger très réel que représente notre mode de vie de plus en plus numérique et axé sur le partage d'informations personnelles. Après tout, nous nous trouvons dans un territoire largement non réglementé, non supervisé et parfaitement ignoré. Nous sommes dans le Far West.
En tant que société collective, nous ne cherchons pas à dissimuler la technologie que nous utilisons au quotidien. Bien que des séries télévisées populaires et très acclamées comme Mr. Robot contribuent à sensibiliser le public, nous ne sommes pas soucieux de la sécurité... En fait, la plupart d'entre nous ne savent pas à quel point le logiciel est sécurisé parmi la myriade d'applications, de services et d'objets de plus en plus connectés que nous achetons et utilisons. Ce n'est même pas que nous leur faisons fondamentalement confiance, nous n'y pensons tout simplement pas du tout.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo ! , Facebook, Target : chacune de ces entreprises très utilisées a été victime d'une violation de données. Leur vulnérabilités logicielles ont été exploitées et des millions et des millions de dossiers clients ont été exposés. Ces exemples ne représentent qu'une fraction des violations mondiales qui ont eu lieu au cours des dix dernières années. Ils sont la conséquence coûteuse d'une mauvaise sécurité logicielle qui permet aux malfaiteurs de voler nos précieuses informations.
Lorsque la plupart des gens pensent aux violations de données, ils pensent aux failles de sécurité de l'information. Elles sont considérées comme un cauchemar pour l'entreprise concernée et peu pratiques pour les personnes dont les données personnelles ont été touchées, mais sérieusement, quel est le problème ? Si la sécurité continue d'être ignorée, les conséquences sont-elles vraiment si graves ? Rien cette des événements majeurs se sont produits jusqu'à présent : les violations de données ont de graves répercussions sur les entreprises qui en sont responsables, mais c'est leur problème, non ? Ils perdent des clients, ils perdent la confiance des consommateurs ; en fin de compte, c'est à eux de régler le problème et de payer les dégâts.
La sécurité logicielle doit être la priorité de chaque organisation.
La raison pour laquelle la sécurité logicielle n'est pas la principale préoccupation de toutes les entreprises dotées d'une équipe de développement est assez simple : trop peu de personnes ont perdu la vie et les connaissances sur les risques sont insuffisantes.
Morbide ? Peut-être. Mais c'est la vérité. La réglementation, les normes de construction et l'évolution des lois sont prêtées (par exemple, de la part des agences gouvernementales) lorsqu'il y a un véritable coût humain.
Prenons un pont, par exemple. Les ingénieurs civils (un métier vieux de plusieurs centaines d'années) considèrent la sécurité comme un élément essentiel de la construction d'un pont. Leur approche va bien au-delà de l'esthétique et de la fonctionnalité de base. Chaque pont construit est censé respecter des règles de sécurité strictes, les professionnels du génie civil et la société dans son ensemble apprenant au fil du temps à s'attendre à un niveau de sécurité élevé. Aujourd'hui, un pont qui ne répond pas aux exigences de sécurité est considéré comme dangereux et inutilisable. Il s'agit toujours d'une évolution que nous devons réaliser dans le domaine du génie logiciel.
À titre d'exemple plus moderne, examinons l'industrie du jouet. Les années 1950 ont vu forte hausse de la production et des ventes de jouets grâce au baby-boom de l'après-guerre. Il est intéressant de noter que le nombre de visites aux urgences liées à des incidents liés à des jouets aurait également augmenté au cours de cette période. Des flèches en forme de jouet causaient des blessures aux yeux, de petits jouets (et des pièces détachables de jouets plus grands) étaient ingérés, et fours à jouets destinés aux petites filles étaient capables de chauffer à des températures plus élevées que les fours domestiques ordinaires.
C'était un peu un « Far West » là-bas, avec peu de réglementation, à l'exception de quelques interdictions isolées et de rappels de produits dans les circonstances les plus difficiles. Les fabricants de jouets étaient essentiellement libres de produire les jouets de leur choix, tout problème de sécurité étant généralement signalé après que plusieurs incidents aient déjà été signalés. Ce n'est que lorsque des projets de loi comme Loi sur la sécurité des jouets de 1969 de Richard Nixon ont été promulguées pour que les tests et l'interdiction ultérieure des jouets dangereux soient devenus la norme, aux États-Unis et dans le monde entier. Bien que des accidents puissent toujours se produire, aujourd'hui, le processus général de fabrication des jouets adopte une politique de « sécurité d'abord », et nos enfants courent beaucoup moins de danger potentiel.
En matière de sécurité logicielle, nous sommes actuellement dans le Far West. Hormis les lois et réglementations évidentes en matière de confidentialité (en particulier récemment avec le RGPD) et de protection des données des clients, ainsi que la législation obligatoire en matière de signalement des violations dans certains pays, très peu de choses sont dites et faites dans les entreprises ou la communauté traditionnelles sur le niveau de sécurité intégré aux logiciels. Même ces lois concernent davantage la responsabilité de l'entreprise que les logiciels eux-mêmes réglementés ou soumis à une norme de sécurité obligatoire.
Nous y arriverons, mais il faudra peut-être d'abord emprunter la voie de la destruction.
Gartner estime qu'il y aura 8,4 milliards d'appareils connectés à Internet seront utilisés d'ici 2020; un chiffre qui représente une augmentation de 31 % depuis 2016. Cela inclut l'électronique grand public, ainsi que des équipements tels que les dispositifs médicaux et les équipements spécifiques à l'industrie. C'est une sacrée opportunité pour un hacker.
Imaginez que le logiciel qui fait fonctionner le stimulateur cardiaque de quelqu'un n'est pas sécurisé. Un pirate informatique pourrait entrer par effraction et potentiellement arrêter le cœur de sa victime (vous pensez que c'est ridicule ? Médecins a désactivé le WiFi dans le stimulateur cardiaque de Dick Cheney pour empêcher un éventuel assassinat par piratage informatique). Un four à micro-ondes ou une bouilloire connectés pourrait être explosé à distance (ainsi que toutes sortes d'appareils Internet des objets dont nous profitons chez nous), ou les freins d'une voiture électrique connectée pourraient être désactivés. Cela peut sembler être un film d'action hollywoodien tiré par les cheveux, mais si le logiciel de l'une de ces technologies connectées avancées peut être piraté, nous sommes vraiment confrontés à une catastrophe potentielle, tout comme les menaces que nous avons déjà couvertes avec les ramifications explosives des cyberattaques dans l'industrie pétrolière et gazière.
Nous pouvons prévenir les conséquences désastreuses du piratage informatique alors que nos vies deviennent de plus en plus dépendantes du numérique. Tout commence par susciter l'intérêt des développeurs pour le codage sécurisé et prendre au sérieux la nécessité de développer un état d'esprit et une culture solides en matière de sécurité au sein des équipes de développement.
Votre révolution logicielle commence ici. Le secteur bancaire montre la voie à suivre en adoptant la formation gamifiée pour lutter contre les mauvais codes, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (lire : ennuyeuse). En fait, chacune des six plus grandes banques d'Australie engage actuellement ses développeurs de cette manière, ce qui leur permet de renforcer leur état d'esprit en matière de sécurité. Découvrez ce que notre client, IAG Group, a fait avec son tournoi de niveau supérieur.
La sécurité des logiciels est toujours une priorité pour moi, tout comme le danger très réel que représente notre mode de vie de plus en plus numérique et axé sur le partage d'informations personnelles. Après tout, nous nous trouvons dans un territoire largement non réglementé, non supervisé et parfaitement ignoré. Nous sommes dans le Far West.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Publié à l'origine dans CSO en ligne
En tant que hacker éthique (semi-retraité), professionnel de la sécurité et passionné d'informatique, on peut dire que je tiens beaucoup à la technologie. Je m'intéresse à la façon dont il a été conçu, à ce qu'il fait et à la manière dont il va améliorer ou rendre certains aspects de notre vie plus efficaces. Je regarde tout le temps « sous le capot » des appareils et je trouve certains des meilleurs (et des pires) exemples de code disponibles. Récemment, j'ai étudié comment mon système de climatisation pouvait être contrôlé à distance à l'aide d'une application Android (imaginez ma surprise lorsque j'ai découvert que n'importe qui sur le réseau WiFi pouvait contrôler cet appareil sans aucune authentification).
La sécurité des logiciels est toujours une priorité pour moi, tout comme le danger très réel que représente notre mode de vie de plus en plus numérique et axé sur le partage d'informations personnelles. Après tout, nous nous trouvons dans un territoire largement non réglementé, non supervisé et parfaitement ignoré. Nous sommes dans le Far West.
En tant que société collective, nous ne cherchons pas à dissimuler la technologie que nous utilisons au quotidien. Bien que des séries télévisées populaires et très acclamées comme Mr. Robot contribuent à sensibiliser le public, nous ne sommes pas soucieux de la sécurité... En fait, la plupart d'entre nous ne savent pas à quel point le logiciel est sécurisé parmi la myriade d'applications, de services et d'objets de plus en plus connectés que nous achetons et utilisons. Ce n'est même pas que nous leur faisons fondamentalement confiance, nous n'y pensons tout simplement pas du tout.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo ! , Facebook, Target : chacune de ces entreprises très utilisées a été victime d'une violation de données. Leur vulnérabilités logicielles ont été exploitées et des millions et des millions de dossiers clients ont été exposés. Ces exemples ne représentent qu'une fraction des violations mondiales qui ont eu lieu au cours des dix dernières années. Ils sont la conséquence coûteuse d'une mauvaise sécurité logicielle qui permet aux malfaiteurs de voler nos précieuses informations.
Lorsque la plupart des gens pensent aux violations de données, ils pensent aux failles de sécurité de l'information. Elles sont considérées comme un cauchemar pour l'entreprise concernée et peu pratiques pour les personnes dont les données personnelles ont été touchées, mais sérieusement, quel est le problème ? Si la sécurité continue d'être ignorée, les conséquences sont-elles vraiment si graves ? Rien cette des événements majeurs se sont produits jusqu'à présent : les violations de données ont de graves répercussions sur les entreprises qui en sont responsables, mais c'est leur problème, non ? Ils perdent des clients, ils perdent la confiance des consommateurs ; en fin de compte, c'est à eux de régler le problème et de payer les dégâts.
La sécurité logicielle doit être la priorité de chaque organisation.
La raison pour laquelle la sécurité logicielle n'est pas la principale préoccupation de toutes les entreprises dotées d'une équipe de développement est assez simple : trop peu de personnes ont perdu la vie et les connaissances sur les risques sont insuffisantes.
Morbide ? Peut-être. Mais c'est la vérité. La réglementation, les normes de construction et l'évolution des lois sont prêtées (par exemple, de la part des agences gouvernementales) lorsqu'il y a un véritable coût humain.
Prenons un pont, par exemple. Les ingénieurs civils (un métier vieux de plusieurs centaines d'années) considèrent la sécurité comme un élément essentiel de la construction d'un pont. Leur approche va bien au-delà de l'esthétique et de la fonctionnalité de base. Chaque pont construit est censé respecter des règles de sécurité strictes, les professionnels du génie civil et la société dans son ensemble apprenant au fil du temps à s'attendre à un niveau de sécurité élevé. Aujourd'hui, un pont qui ne répond pas aux exigences de sécurité est considéré comme dangereux et inutilisable. Il s'agit toujours d'une évolution que nous devons réaliser dans le domaine du génie logiciel.
À titre d'exemple plus moderne, examinons l'industrie du jouet. Les années 1950 ont vu forte hausse de la production et des ventes de jouets grâce au baby-boom de l'après-guerre. Il est intéressant de noter que le nombre de visites aux urgences liées à des incidents liés à des jouets aurait également augmenté au cours de cette période. Des flèches en forme de jouet causaient des blessures aux yeux, de petits jouets (et des pièces détachables de jouets plus grands) étaient ingérés, et fours à jouets destinés aux petites filles étaient capables de chauffer à des températures plus élevées que les fours domestiques ordinaires.
C'était un peu un « Far West » là-bas, avec peu de réglementation, à l'exception de quelques interdictions isolées et de rappels de produits dans les circonstances les plus difficiles. Les fabricants de jouets étaient essentiellement libres de produire les jouets de leur choix, tout problème de sécurité étant généralement signalé après que plusieurs incidents aient déjà été signalés. Ce n'est que lorsque des projets de loi comme Loi sur la sécurité des jouets de 1969 de Richard Nixon ont été promulguées pour que les tests et l'interdiction ultérieure des jouets dangereux soient devenus la norme, aux États-Unis et dans le monde entier. Bien que des accidents puissent toujours se produire, aujourd'hui, le processus général de fabrication des jouets adopte une politique de « sécurité d'abord », et nos enfants courent beaucoup moins de danger potentiel.
En matière de sécurité logicielle, nous sommes actuellement dans le Far West. Hormis les lois et réglementations évidentes en matière de confidentialité (en particulier récemment avec le RGPD) et de protection des données des clients, ainsi que la législation obligatoire en matière de signalement des violations dans certains pays, très peu de choses sont dites et faites dans les entreprises ou la communauté traditionnelles sur le niveau de sécurité intégré aux logiciels. Même ces lois concernent davantage la responsabilité de l'entreprise que les logiciels eux-mêmes réglementés ou soumis à une norme de sécurité obligatoire.
Nous y arriverons, mais il faudra peut-être d'abord emprunter la voie de la destruction.
Gartner estime qu'il y aura 8,4 milliards d'appareils connectés à Internet seront utilisés d'ici 2020; un chiffre qui représente une augmentation de 31 % depuis 2016. Cela inclut l'électronique grand public, ainsi que des équipements tels que les dispositifs médicaux et les équipements spécifiques à l'industrie. C'est une sacrée opportunité pour un hacker.
Imaginez que le logiciel qui fait fonctionner le stimulateur cardiaque de quelqu'un n'est pas sécurisé. Un pirate informatique pourrait entrer par effraction et potentiellement arrêter le cœur de sa victime (vous pensez que c'est ridicule ? Médecins a désactivé le WiFi dans le stimulateur cardiaque de Dick Cheney pour empêcher un éventuel assassinat par piratage informatique). Un four à micro-ondes ou une bouilloire connectés pourrait être explosé à distance (ainsi que toutes sortes d'appareils Internet des objets dont nous profitons chez nous), ou les freins d'une voiture électrique connectée pourraient être désactivés. Cela peut sembler être un film d'action hollywoodien tiré par les cheveux, mais si le logiciel de l'une de ces technologies connectées avancées peut être piraté, nous sommes vraiment confrontés à une catastrophe potentielle, tout comme les menaces que nous avons déjà couvertes avec les ramifications explosives des cyberattaques dans l'industrie pétrolière et gazière.
Nous pouvons prévenir les conséquences désastreuses du piratage informatique alors que nos vies deviennent de plus en plus dépendantes du numérique. Tout commence par susciter l'intérêt des développeurs pour le codage sécurisé et prendre au sérieux la nécessité de développer un état d'esprit et une culture solides en matière de sécurité au sein des équipes de développement.
Votre révolution logicielle commence ici. Le secteur bancaire montre la voie à suivre en adoptant la formation gamifiée pour lutter contre les mauvais codes, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (lire : ennuyeuse). En fait, chacune des six plus grandes banques d'Australie engage actuellement ses développeurs de cette manière, ce qui leur permet de renforcer leur état d'esprit en matière de sécurité. Découvrez ce que notre client, IAG Group, a fait avec son tournoi de niveau supérieur.
Publié à l'origine dans CSO en ligne
En tant que hacker éthique (semi-retraité), professionnel de la sécurité et passionné d'informatique, on peut dire que je tiens beaucoup à la technologie. Je m'intéresse à la façon dont il a été conçu, à ce qu'il fait et à la manière dont il va améliorer ou rendre certains aspects de notre vie plus efficaces. Je regarde tout le temps « sous le capot » des appareils et je trouve certains des meilleurs (et des pires) exemples de code disponibles. Récemment, j'ai étudié comment mon système de climatisation pouvait être contrôlé à distance à l'aide d'une application Android (imaginez ma surprise lorsque j'ai découvert que n'importe qui sur le réseau WiFi pouvait contrôler cet appareil sans aucune authentification).
La sécurité des logiciels est toujours une priorité pour moi, tout comme le danger très réel que représente notre mode de vie de plus en plus numérique et axé sur le partage d'informations personnelles. Après tout, nous nous trouvons dans un territoire largement non réglementé, non supervisé et parfaitement ignoré. Nous sommes dans le Far West.
En tant que société collective, nous ne cherchons pas à dissimuler la technologie que nous utilisons au quotidien. Bien que des séries télévisées populaires et très acclamées comme Mr. Robot contribuent à sensibiliser le public, nous ne sommes pas soucieux de la sécurité... En fait, la plupart d'entre nous ne savent pas à quel point le logiciel est sécurisé parmi la myriade d'applications, de services et d'objets de plus en plus connectés que nous achetons et utilisons. Ce n'est même pas que nous leur faisons fondamentalement confiance, nous n'y pensons tout simplement pas du tout.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo ! , Facebook, Target : chacune de ces entreprises très utilisées a été victime d'une violation de données. Leur vulnérabilités logicielles ont été exploitées et des millions et des millions de dossiers clients ont été exposés. Ces exemples ne représentent qu'une fraction des violations mondiales qui ont eu lieu au cours des dix dernières années. Ils sont la conséquence coûteuse d'une mauvaise sécurité logicielle qui permet aux malfaiteurs de voler nos précieuses informations.
Lorsque la plupart des gens pensent aux violations de données, ils pensent aux failles de sécurité de l'information. Elles sont considérées comme un cauchemar pour l'entreprise concernée et peu pratiques pour les personnes dont les données personnelles ont été touchées, mais sérieusement, quel est le problème ? Si la sécurité continue d'être ignorée, les conséquences sont-elles vraiment si graves ? Rien cette des événements majeurs se sont produits jusqu'à présent : les violations de données ont de graves répercussions sur les entreprises qui en sont responsables, mais c'est leur problème, non ? Ils perdent des clients, ils perdent la confiance des consommateurs ; en fin de compte, c'est à eux de régler le problème et de payer les dégâts.
La sécurité logicielle doit être la priorité de chaque organisation.
La raison pour laquelle la sécurité logicielle n'est pas la principale préoccupation de toutes les entreprises dotées d'une équipe de développement est assez simple : trop peu de personnes ont perdu la vie et les connaissances sur les risques sont insuffisantes.
Morbide ? Peut-être. Mais c'est la vérité. La réglementation, les normes de construction et l'évolution des lois sont prêtées (par exemple, de la part des agences gouvernementales) lorsqu'il y a un véritable coût humain.
Prenons un pont, par exemple. Les ingénieurs civils (un métier vieux de plusieurs centaines d'années) considèrent la sécurité comme un élément essentiel de la construction d'un pont. Leur approche va bien au-delà de l'esthétique et de la fonctionnalité de base. Chaque pont construit est censé respecter des règles de sécurité strictes, les professionnels du génie civil et la société dans son ensemble apprenant au fil du temps à s'attendre à un niveau de sécurité élevé. Aujourd'hui, un pont qui ne répond pas aux exigences de sécurité est considéré comme dangereux et inutilisable. Il s'agit toujours d'une évolution que nous devons réaliser dans le domaine du génie logiciel.
À titre d'exemple plus moderne, examinons l'industrie du jouet. Les années 1950 ont vu forte hausse de la production et des ventes de jouets grâce au baby-boom de l'après-guerre. Il est intéressant de noter que le nombre de visites aux urgences liées à des incidents liés à des jouets aurait également augmenté au cours de cette période. Des flèches en forme de jouet causaient des blessures aux yeux, de petits jouets (et des pièces détachables de jouets plus grands) étaient ingérés, et fours à jouets destinés aux petites filles étaient capables de chauffer à des températures plus élevées que les fours domestiques ordinaires.
C'était un peu un « Far West » là-bas, avec peu de réglementation, à l'exception de quelques interdictions isolées et de rappels de produits dans les circonstances les plus difficiles. Les fabricants de jouets étaient essentiellement libres de produire les jouets de leur choix, tout problème de sécurité étant généralement signalé après que plusieurs incidents aient déjà été signalés. Ce n'est que lorsque des projets de loi comme Loi sur la sécurité des jouets de 1969 de Richard Nixon ont été promulguées pour que les tests et l'interdiction ultérieure des jouets dangereux soient devenus la norme, aux États-Unis et dans le monde entier. Bien que des accidents puissent toujours se produire, aujourd'hui, le processus général de fabrication des jouets adopte une politique de « sécurité d'abord », et nos enfants courent beaucoup moins de danger potentiel.
En matière de sécurité logicielle, nous sommes actuellement dans le Far West. Hormis les lois et réglementations évidentes en matière de confidentialité (en particulier récemment avec le RGPD) et de protection des données des clients, ainsi que la législation obligatoire en matière de signalement des violations dans certains pays, très peu de choses sont dites et faites dans les entreprises ou la communauté traditionnelles sur le niveau de sécurité intégré aux logiciels. Même ces lois concernent davantage la responsabilité de l'entreprise que les logiciels eux-mêmes réglementés ou soumis à une norme de sécurité obligatoire.
Nous y arriverons, mais il faudra peut-être d'abord emprunter la voie de la destruction.
Gartner estime qu'il y aura 8,4 milliards d'appareils connectés à Internet seront utilisés d'ici 2020; un chiffre qui représente une augmentation de 31 % depuis 2016. Cela inclut l'électronique grand public, ainsi que des équipements tels que les dispositifs médicaux et les équipements spécifiques à l'industrie. C'est une sacrée opportunité pour un hacker.
Imaginez que le logiciel qui fait fonctionner le stimulateur cardiaque de quelqu'un n'est pas sécurisé. Un pirate informatique pourrait entrer par effraction et potentiellement arrêter le cœur de sa victime (vous pensez que c'est ridicule ? Médecins a désactivé le WiFi dans le stimulateur cardiaque de Dick Cheney pour empêcher un éventuel assassinat par piratage informatique). Un four à micro-ondes ou une bouilloire connectés pourrait être explosé à distance (ainsi que toutes sortes d'appareils Internet des objets dont nous profitons chez nous), ou les freins d'une voiture électrique connectée pourraient être désactivés. Cela peut sembler être un film d'action hollywoodien tiré par les cheveux, mais si le logiciel de l'une de ces technologies connectées avancées peut être piraté, nous sommes vraiment confrontés à une catastrophe potentielle, tout comme les menaces que nous avons déjà couvertes avec les ramifications explosives des cyberattaques dans l'industrie pétrolière et gazière.
Nous pouvons prévenir les conséquences désastreuses du piratage informatique alors que nos vies deviennent de plus en plus dépendantes du numérique. Tout commence par susciter l'intérêt des développeurs pour le codage sécurisé et prendre au sérieux la nécessité de développer un état d'esprit et une culture solides en matière de sécurité au sein des équipes de développement.
Votre révolution logicielle commence ici. Le secteur bancaire montre la voie à suivre en adoptant la formation gamifiée pour lutter contre les mauvais codes, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (lire : ennuyeuse). En fait, chacune des six plus grandes banques d'Australie engage actuellement ses développeurs de cette manière, ce qui leur permet de renforcer leur état d'esprit en matière de sécurité. Découvrez ce que notre client, IAG Group, a fait avec son tournoi de niveau supérieur.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Publié à l'origine dans CSO en ligne
En tant que hacker éthique (semi-retraité), professionnel de la sécurité et passionné d'informatique, on peut dire que je tiens beaucoup à la technologie. Je m'intéresse à la façon dont il a été conçu, à ce qu'il fait et à la manière dont il va améliorer ou rendre certains aspects de notre vie plus efficaces. Je regarde tout le temps « sous le capot » des appareils et je trouve certains des meilleurs (et des pires) exemples de code disponibles. Récemment, j'ai étudié comment mon système de climatisation pouvait être contrôlé à distance à l'aide d'une application Android (imaginez ma surprise lorsque j'ai découvert que n'importe qui sur le réseau WiFi pouvait contrôler cet appareil sans aucune authentification).
La sécurité des logiciels est toujours une priorité pour moi, tout comme le danger très réel que représente notre mode de vie de plus en plus numérique et axé sur le partage d'informations personnelles. Après tout, nous nous trouvons dans un territoire largement non réglementé, non supervisé et parfaitement ignoré. Nous sommes dans le Far West.
En tant que société collective, nous ne cherchons pas à dissimuler la technologie que nous utilisons au quotidien. Bien que des séries télévisées populaires et très acclamées comme Mr. Robot contribuent à sensibiliser le public, nous ne sommes pas soucieux de la sécurité... En fait, la plupart d'entre nous ne savent pas à quel point le logiciel est sécurisé parmi la myriade d'applications, de services et d'objets de plus en plus connectés que nous achetons et utilisons. Ce n'est même pas que nous leur faisons fondamentalement confiance, nous n'y pensons tout simplement pas du tout.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo ! , Facebook, Target : chacune de ces entreprises très utilisées a été victime d'une violation de données. Leur vulnérabilités logicielles ont été exploitées et des millions et des millions de dossiers clients ont été exposés. Ces exemples ne représentent qu'une fraction des violations mondiales qui ont eu lieu au cours des dix dernières années. Ils sont la conséquence coûteuse d'une mauvaise sécurité logicielle qui permet aux malfaiteurs de voler nos précieuses informations.
Lorsque la plupart des gens pensent aux violations de données, ils pensent aux failles de sécurité de l'information. Elles sont considérées comme un cauchemar pour l'entreprise concernée et peu pratiques pour les personnes dont les données personnelles ont été touchées, mais sérieusement, quel est le problème ? Si la sécurité continue d'être ignorée, les conséquences sont-elles vraiment si graves ? Rien cette des événements majeurs se sont produits jusqu'à présent : les violations de données ont de graves répercussions sur les entreprises qui en sont responsables, mais c'est leur problème, non ? Ils perdent des clients, ils perdent la confiance des consommateurs ; en fin de compte, c'est à eux de régler le problème et de payer les dégâts.
La sécurité logicielle doit être la priorité de chaque organisation.
La raison pour laquelle la sécurité logicielle n'est pas la principale préoccupation de toutes les entreprises dotées d'une équipe de développement est assez simple : trop peu de personnes ont perdu la vie et les connaissances sur les risques sont insuffisantes.
Morbide ? Peut-être. Mais c'est la vérité. La réglementation, les normes de construction et l'évolution des lois sont prêtées (par exemple, de la part des agences gouvernementales) lorsqu'il y a un véritable coût humain.
Prenons un pont, par exemple. Les ingénieurs civils (un métier vieux de plusieurs centaines d'années) considèrent la sécurité comme un élément essentiel de la construction d'un pont. Leur approche va bien au-delà de l'esthétique et de la fonctionnalité de base. Chaque pont construit est censé respecter des règles de sécurité strictes, les professionnels du génie civil et la société dans son ensemble apprenant au fil du temps à s'attendre à un niveau de sécurité élevé. Aujourd'hui, un pont qui ne répond pas aux exigences de sécurité est considéré comme dangereux et inutilisable. Il s'agit toujours d'une évolution que nous devons réaliser dans le domaine du génie logiciel.
À titre d'exemple plus moderne, examinons l'industrie du jouet. Les années 1950 ont vu forte hausse de la production et des ventes de jouets grâce au baby-boom de l'après-guerre. Il est intéressant de noter que le nombre de visites aux urgences liées à des incidents liés à des jouets aurait également augmenté au cours de cette période. Des flèches en forme de jouet causaient des blessures aux yeux, de petits jouets (et des pièces détachables de jouets plus grands) étaient ingérés, et fours à jouets destinés aux petites filles étaient capables de chauffer à des températures plus élevées que les fours domestiques ordinaires.
C'était un peu un « Far West » là-bas, avec peu de réglementation, à l'exception de quelques interdictions isolées et de rappels de produits dans les circonstances les plus difficiles. Les fabricants de jouets étaient essentiellement libres de produire les jouets de leur choix, tout problème de sécurité étant généralement signalé après que plusieurs incidents aient déjà été signalés. Ce n'est que lorsque des projets de loi comme Loi sur la sécurité des jouets de 1969 de Richard Nixon ont été promulguées pour que les tests et l'interdiction ultérieure des jouets dangereux soient devenus la norme, aux États-Unis et dans le monde entier. Bien que des accidents puissent toujours se produire, aujourd'hui, le processus général de fabrication des jouets adopte une politique de « sécurité d'abord », et nos enfants courent beaucoup moins de danger potentiel.
En matière de sécurité logicielle, nous sommes actuellement dans le Far West. Hormis les lois et réglementations évidentes en matière de confidentialité (en particulier récemment avec le RGPD) et de protection des données des clients, ainsi que la législation obligatoire en matière de signalement des violations dans certains pays, très peu de choses sont dites et faites dans les entreprises ou la communauté traditionnelles sur le niveau de sécurité intégré aux logiciels. Même ces lois concernent davantage la responsabilité de l'entreprise que les logiciels eux-mêmes réglementés ou soumis à une norme de sécurité obligatoire.
Nous y arriverons, mais il faudra peut-être d'abord emprunter la voie de la destruction.
Gartner estime qu'il y aura 8,4 milliards d'appareils connectés à Internet seront utilisés d'ici 2020; un chiffre qui représente une augmentation de 31 % depuis 2016. Cela inclut l'électronique grand public, ainsi que des équipements tels que les dispositifs médicaux et les équipements spécifiques à l'industrie. C'est une sacrée opportunité pour un hacker.
Imaginez que le logiciel qui fait fonctionner le stimulateur cardiaque de quelqu'un n'est pas sécurisé. Un pirate informatique pourrait entrer par effraction et potentiellement arrêter le cœur de sa victime (vous pensez que c'est ridicule ? Médecins a désactivé le WiFi dans le stimulateur cardiaque de Dick Cheney pour empêcher un éventuel assassinat par piratage informatique). Un four à micro-ondes ou une bouilloire connectés pourrait être explosé à distance (ainsi que toutes sortes d'appareils Internet des objets dont nous profitons chez nous), ou les freins d'une voiture électrique connectée pourraient être désactivés. Cela peut sembler être un film d'action hollywoodien tiré par les cheveux, mais si le logiciel de l'une de ces technologies connectées avancées peut être piraté, nous sommes vraiment confrontés à une catastrophe potentielle, tout comme les menaces que nous avons déjà couvertes avec les ramifications explosives des cyberattaques dans l'industrie pétrolière et gazière.
Nous pouvons prévenir les conséquences désastreuses du piratage informatique alors que nos vies deviennent de plus en plus dépendantes du numérique. Tout commence par susciter l'intérêt des développeurs pour le codage sécurisé et prendre au sérieux la nécessité de développer un état d'esprit et une culture solides en matière de sécurité au sein des équipes de développement.
Votre révolution logicielle commence ici. Le secteur bancaire montre la voie à suivre en adoptant la formation gamifiée pour lutter contre les mauvais codes, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (lire : ennuyeuse). En fait, chacune des six plus grandes banques d'Australie engage actuellement ses développeurs de cette manière, ce qui leur permet de renforcer leur état d'esprit en matière de sécurité. Découvrez ce que notre client, IAG Group, a fait avec son tournoi de niveau supérieur.
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.
