L'avenir de la cybersécurité : ce qui ne se produira pas dans l'année à venir
Une version de cet article a été initialement publiée dans Lecture sombre. Il a été mis à jour pour la syndication ici.
Dans notre secteur, de nombreux experts en sécurité ont pris l'habitude de prévoir les problèmes les plus brûlants de l'année à venir (et je ne fais pas exception), mais avec plus de cinq milliards de données sensibles volées en 2019, j'ai pensé qu'il serait plus précis de prédire ce que ne sera pas ce qui se produira dans le domaine de la cybersécurité en 2020, voire dans un avenir prévisible.
J'ai rencontré mon cofondateur, Matias Madou, et nous avons bien ri en dressant cette liste. Cela se veut un peu léger, mais cela vous fait réfléchir au long chemin qui reste à parcourir pour renforcer chaque organisation contre les cyberattaques malveillantes.
Maintenant, regardons notre boule de cristal et révélons nos prédictions. Nous ne verrons pas :
Les injections SQL ont été supprimées de tous les logiciels
Je pense que tous les professionnels de la sécurité de la planète attendent le jour où ils ne seront plus dérangés pour identifier les bogues d'injection SQL, ad nauseam.
Malheureusement, cela fait plus de vingt ans que nous attendons ce jour, et nous en attendrons encore au moins un autre. C'est la vulnérabilité qui, comme un cafard, a survécu à toutes les tactiques utilisées jusqu'à présent pour l'éradiquer définitivement.
C'est pour le moins frustrant, car le remède est connu depuis à peu près aussi longtemps. Cependant, la priorité accordée aux meilleures pratiques de sécurité à chaque étape du développement logiciel (en particulier dès le début) reste trop faible, et certainement insuffisante compte tenu de la forte augmentation de la production de code depuis la découverte de l'injection SQL.
(Vous souhaitez en savoir plus sur les modèles de codage susceptibles de conduire à une injection SQL ? Relevez le défi ici).
Les développeurs et AppSec deviennent de meilleurs amis
Ah, les développeurs et l'équipe AppSec. S'entendront-ils un jour ou sont-ils voués à une vie de rivalité comme Rocky contre Apollo ? La réponse courte est oui, ils peuvent s'entendre, mais à l'heure actuelle, leurs priorités sont souvent très différentes.
Lorsqu'ils se rencontrent dans le cadre d'un projet, ils sont sur des pages opposées et s'affrontent juste au dernier obstacle : lorsque les spécialistes AppSec examinent le code d'un développeur. Le développeur a créé de belles fonctionnalités fonctionnelles (ce qui est leur priorité absolue) qui sont détruites si des failles de sécurité sont découvertes. Le gourou de la sécurité logicielle a en effet traité son bébé de laid et a obligé le développeur à revenir en arrière et à corriger les bogues, retardant souvent le déploiement.
Dans l'état actuel des choses, cela ne sera pas résolu tant que les développeurs et les équipes AppSec ne travailleront pas vers un objectif commun, à savoir la création de logiciels sécurisés. Cela ne se produira pas par défaut en 2020 (et pour de nombreuses entreprises, quelques années plus tard), mais avec l'avènement du mouvement DevSecOps et au-delà, les développeurs reconnaissent la nécessité d'améliorer leurs compétences en matière de sécurité et de travailler selon des normes plus élevées, en incluant des objectifs de sécurité dès le départ.
Une offre excédentaire de professionnels de la sécurité
En 2020, 2025, 2030... il est presque garanti que nous manquerons de personnel dans le monde entier en matière d'expertise en matière de sécurité.
Selon un rapport de l'ISC (2), il existe environ 2,93 millions de postes en cybersécurité actuellement vide. La situation va certainement empirer avant de s'améliorer, et il n'y a aucune armée de sécurité cachée prête à venir à notre secours au cours des prochaines années.
Dans un avenir immédiat, notre meilleure chance de remédier à cette pénurie de compétences est de faire de la sécurité une priorité organisationnelle et de renforcer les compétences de notre personnel existant, ce qui implique de donner aux développeurs la formation et les outils nécessaires pour coder en toute sécurité, ainsi que de créer une culture de sécurité à l'échelle de l'entreprise. La plupart des équipes AppSec actuelles luttent probablement contre d'anciens bogues de sécurité bien connus (voir point 1 ci-dessus). Si nous veillons à ce qu'ils n'aient pas à consacrer un temps et des efforts précieux à la résolution de ces problèmes courants, ils disposeront de plus de bande passante pour se concentrer sur les problèmes de sécurité les plus complexes (pour le moment, ils sont susceptibles d'inclure des problèmes liés aux API, ainsi que des outils de création adaptés aux pipelines de développement).
Moins de code produit
Le monde se numérise à un rythme effarant et la demande sociétale ne faiblira pas. Environ 111 milliards de lignes de code sont écrites chaque année, et ce chiffre ne fera que croître et devenir de plus en plus terrifiant (pour les équipes AppSec déjà sollicitées, en tout cas).
L'augmentation du volume de code augmente inévitablement les failles de sécurité potentielles. C'est pourquoi penser que 2020 sera une année plus lente en termes de production de logiciels et de violations est à peu près aussi réaliste que les courses de licornes organisées au Grand National.
Diminution du vol d'enregistrements de données
Comme je l'ai dit, plus de code signifie plus de vulnérabilités, ce qui offre plus de possibilités aux attaquants de trouver un moyen de voler des données.
Au moins 5,3 milliards de dossiers ont été volés dans le monde en 2019, et la défense contre les attaquants reste une tâche un peu désespérée et réactive. Ce chiffre ne doublera peut-être pas au cours des douze prochains mois, mais je pense qu'il se rapprochera.
À titre d'exemple, examinons les tendances historiques des données volées signalées aux États-Unis d'une année sur l'autre :
Si l'on considère la période allant de 2005 à 2010, on constate une hausse constante avec un léger flux et reflux entre les années. C'est intéressant, mais un facteur important à souligner est qu'en 2009, il y a eu une forte baisse du nombre de violations signalées par rapport à 2008. Cependant, il y a eu une nette augmentation du nombre de dossiers volés malgré la diminution du nombre de violations.
Les enregistrements de données sont la nouvelle or ; ils ont de la valeur pour un attaquant. Le graphique reflète une tendance générale à la hausse des violations et nombre de dossiers volés, avec un pic énorme en 2017. Le nombre d'attaques a connu une tendance à la baisse en 2018, peut-être en raison du renforcement des mesures de sécurité, mais le nombre d'enregistrements obtenus n'a jamais été aussi élevé. Les cyberattaques deviendront de plus en plus sophistiquées et de plus en plus volumineuses et ne disparaîtront pas de sitôt. Et à l'échelle mondiale, il est peu probable que nous assistions à un ralentissement en 2020, car les entreprises produisent rapidement plus de logiciels que jamais auparavant. Ils sont les gardiens de nos données et doivent travailler plus intelligemment pour protéger notre vie privée.
Les développeurs exigent des formations vidéo à la sécurité plus longues et plus fréquentes
S'il y a une chose que les développeurs adorent, c'est de regarder des heures et des heures de vidéos de formation assistée par ordinateur (TCC). En fait, la demande pour ce contenu captivant est telle que Netflix annoncera une toute nouvelle sous-catégorie dédiée aux vidéos génériques de formation à la sécurité.
Euh, non. Ni maintenant, ni en 2020, ni jamais.
Pour les développeurs, leur introduction à la sécurité se fait souvent par le biais d'une formation à la conformité sur le lieu de travail. Le codage sécurisé fait rarement partie de leurs études supérieures, et la formation en cours d'emploi peut être la toute première rencontre avec la sécurité logicielle. Et, comme on pouvait s'y attendre, cela ne leur plaît pas souvent.
Pour que les développeurs prennent la sécurité au sérieux, et pour que la formation soit utile, elle doit être pertinente, attrayante et contextuelle à leur travail. Une formation ponctuelle sur la conformité, ou un flux interminable de vidéos ennuyeuses, n'est pas la solution idéale pour les développeurs et ne permettra pas de réduire les vulnérabilités.
Si vous voulez que la cohorte de développeurs ait la moindre chance de devenir une force défensive consciente de la sécurité contre les vulnérabilités courantes, demandez-leur de travailler avec de vrais exemples de code, du type qu'ils trouveraient dans leurs tâches quotidiennes. Faites en sorte que l'apprentissage soit de la taille d'une bouchée, facile à développer, et incitez-le en vous amusant. Pour qu'une culture de sécurité prospère, elle doit être positive, engageante et développer de véritables compétences et solutions au sein de l'organisation.
Qui sait ? Avec une formation adaptée, un développeur peut reconnaître le champion de la sécurité qui sommeille en lui et diffuser largement les avantages du codage sécurisé.
Aucun décès dû à un incident lié à la cybersécurité
OK, donc ce n'est clairement pas une question de rire. J'ai dit à de nombreuses reprises que le monde ne se soucierait tout simplement pas de la cybersécurité tant que des personnes ne commenceraient pas à mourir à la suite d'un incident lié à une cyberattaque.
Le problème, c'est que cela s'est déjà produit et que cela est passé largement inaperçu.
Cyberattaques contre des hôpitaux américains ont été associés à une augmentation des décès par crise cardiaque en 2019. Bien entendu, les attaquants n'ont pas provoqué d'événements cardiaques mortels chez les patients, mais leurs attaques par rançongiciel contre les systèmes et équipements des hôpitaux ont ralenti les délais de traitement des soins intensifs.
Ce étude de l'Université de Floride centrale a analysé 3 000 hôpitaux, dont 311 avaient subi une violation de données. Parmi les personnes touchées par un incident de sécurité, il a fallu en moyenne 2,7 minutes de plus pour faire passer un ECG aux victimes présumées d'une crise cardiaque, probablement en raison de modifications procédurales, de nouvelles mesures de sécurité mises en œuvre et de problèmes d'assistance informatique qui ont pris plus de temps qu'auparavant. Identifier et traiter une crise cardiaque est une course contre la montre, et ces hôpitaux ont enregistré en moyenne 36 décès supplémentaires pour 10 000 crises cardiaques par an.
C'est choquant et, malheureusement, je pense que la situation ne fera qu'empirer avant de s'améliorer. Cela devrait nous rappeler brutalement que nous devons tous redoubler d'efforts pour améliorer la sécurité des logiciels et la placer au cœur de toutes les activités.
Moins d'images de stock de « hackers cagoulés »
Si vous tapez « hacker » dans une recherche d'images, vous découvrirez inévitablement des milliers d'images d'un personnage cagoulé et sans visage tapant sur un ordinateur portable, ou d'un personnage similaire masqué par Guy Fawkes.
Cette image stéréotypée d'un hacker est vraiment fatigante et fait passer tout le monde pour un méchant. Il existe de nombreuses personnes douées pour la sécurité, et les connotations négatives qui entourent l'image de « hacker » ne rendent pas service à tout le monde.
Est-ce que je pense que cela va bientôt changer ? Probablement pas, mais c'est agréable de rêver. Pour l'instant, il est important de se rappeler que la sécurité n'a pas à être effrayante.
Dans notre secteur, de nombreux experts en sécurité ont commencé à prévoir les principaux problèmes de l'année, mais avec plus de cinq milliards d'enregistrements de données sensibles volés en 2019, nous avons pensé qu'il serait plus précis de prévoir ce qui ne se passera pas en matière de cybersécurité dans un avenir proche.
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démo
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Une version de cet article a été initialement publiée dans Lecture sombre. Il a été mis à jour pour la syndication ici.
Dans notre secteur, de nombreux experts en sécurité ont pris l'habitude de prévoir les problèmes les plus brûlants de l'année à venir (et je ne fais pas exception), mais avec plus de cinq milliards de données sensibles volées en 2019, j'ai pensé qu'il serait plus précis de prédire ce que ne sera pas ce qui se produira dans le domaine de la cybersécurité en 2020, voire dans un avenir prévisible.
J'ai rencontré mon cofondateur, Matias Madou, et nous avons bien ri en dressant cette liste. Cela se veut un peu léger, mais cela vous fait réfléchir au long chemin qui reste à parcourir pour renforcer chaque organisation contre les cyberattaques malveillantes.
Maintenant, regardons notre boule de cristal et révélons nos prédictions. Nous ne verrons pas :
Les injections SQL ont été supprimées de tous les logiciels
Je pense que tous les professionnels de la sécurité de la planète attendent le jour où ils ne seront plus dérangés pour identifier les bogues d'injection SQL, ad nauseam.
Malheureusement, cela fait plus de vingt ans que nous attendons ce jour, et nous en attendrons encore au moins un autre. C'est la vulnérabilité qui, comme un cafard, a survécu à toutes les tactiques utilisées jusqu'à présent pour l'éradiquer définitivement.
C'est pour le moins frustrant, car le remède est connu depuis à peu près aussi longtemps. Cependant, la priorité accordée aux meilleures pratiques de sécurité à chaque étape du développement logiciel (en particulier dès le début) reste trop faible, et certainement insuffisante compte tenu de la forte augmentation de la production de code depuis la découverte de l'injection SQL.
(Vous souhaitez en savoir plus sur les modèles de codage susceptibles de conduire à une injection SQL ? Relevez le défi ici).
Les développeurs et AppSec deviennent de meilleurs amis
Ah, les développeurs et l'équipe AppSec. S'entendront-ils un jour ou sont-ils voués à une vie de rivalité comme Rocky contre Apollo ? La réponse courte est oui, ils peuvent s'entendre, mais à l'heure actuelle, leurs priorités sont souvent très différentes.
Lorsqu'ils se rencontrent dans le cadre d'un projet, ils sont sur des pages opposées et s'affrontent juste au dernier obstacle : lorsque les spécialistes AppSec examinent le code d'un développeur. Le développeur a créé de belles fonctionnalités fonctionnelles (ce qui est leur priorité absolue) qui sont détruites si des failles de sécurité sont découvertes. Le gourou de la sécurité logicielle a en effet traité son bébé de laid et a obligé le développeur à revenir en arrière et à corriger les bogues, retardant souvent le déploiement.
Dans l'état actuel des choses, cela ne sera pas résolu tant que les développeurs et les équipes AppSec ne travailleront pas vers un objectif commun, à savoir la création de logiciels sécurisés. Cela ne se produira pas par défaut en 2020 (et pour de nombreuses entreprises, quelques années plus tard), mais avec l'avènement du mouvement DevSecOps et au-delà, les développeurs reconnaissent la nécessité d'améliorer leurs compétences en matière de sécurité et de travailler selon des normes plus élevées, en incluant des objectifs de sécurité dès le départ.
Une offre excédentaire de professionnels de la sécurité
En 2020, 2025, 2030... il est presque garanti que nous manquerons de personnel dans le monde entier en matière d'expertise en matière de sécurité.
Selon un rapport de l'ISC (2), il existe environ 2,93 millions de postes en cybersécurité actuellement vide. La situation va certainement empirer avant de s'améliorer, et il n'y a aucune armée de sécurité cachée prête à venir à notre secours au cours des prochaines années.
Dans un avenir immédiat, notre meilleure chance de remédier à cette pénurie de compétences est de faire de la sécurité une priorité organisationnelle et de renforcer les compétences de notre personnel existant, ce qui implique de donner aux développeurs la formation et les outils nécessaires pour coder en toute sécurité, ainsi que de créer une culture de sécurité à l'échelle de l'entreprise. La plupart des équipes AppSec actuelles luttent probablement contre d'anciens bogues de sécurité bien connus (voir point 1 ci-dessus). Si nous veillons à ce qu'ils n'aient pas à consacrer un temps et des efforts précieux à la résolution de ces problèmes courants, ils disposeront de plus de bande passante pour se concentrer sur les problèmes de sécurité les plus complexes (pour le moment, ils sont susceptibles d'inclure des problèmes liés aux API, ainsi que des outils de création adaptés aux pipelines de développement).
Moins de code produit
Le monde se numérise à un rythme effarant et la demande sociétale ne faiblira pas. Environ 111 milliards de lignes de code sont écrites chaque année, et ce chiffre ne fera que croître et devenir de plus en plus terrifiant (pour les équipes AppSec déjà sollicitées, en tout cas).
L'augmentation du volume de code augmente inévitablement les failles de sécurité potentielles. C'est pourquoi penser que 2020 sera une année plus lente en termes de production de logiciels et de violations est à peu près aussi réaliste que les courses de licornes organisées au Grand National.
Diminution du vol d'enregistrements de données
Comme je l'ai dit, plus de code signifie plus de vulnérabilités, ce qui offre plus de possibilités aux attaquants de trouver un moyen de voler des données.
Au moins 5,3 milliards de dossiers ont été volés dans le monde en 2019, et la défense contre les attaquants reste une tâche un peu désespérée et réactive. Ce chiffre ne doublera peut-être pas au cours des douze prochains mois, mais je pense qu'il se rapprochera.
À titre d'exemple, examinons les tendances historiques des données volées signalées aux États-Unis d'une année sur l'autre :
Si l'on considère la période allant de 2005 à 2010, on constate une hausse constante avec un léger flux et reflux entre les années. C'est intéressant, mais un facteur important à souligner est qu'en 2009, il y a eu une forte baisse du nombre de violations signalées par rapport à 2008. Cependant, il y a eu une nette augmentation du nombre de dossiers volés malgré la diminution du nombre de violations.
Les enregistrements de données sont la nouvelle or ; ils ont de la valeur pour un attaquant. Le graphique reflète une tendance générale à la hausse des violations et nombre de dossiers volés, avec un pic énorme en 2017. Le nombre d'attaques a connu une tendance à la baisse en 2018, peut-être en raison du renforcement des mesures de sécurité, mais le nombre d'enregistrements obtenus n'a jamais été aussi élevé. Les cyberattaques deviendront de plus en plus sophistiquées et de plus en plus volumineuses et ne disparaîtront pas de sitôt. Et à l'échelle mondiale, il est peu probable que nous assistions à un ralentissement en 2020, car les entreprises produisent rapidement plus de logiciels que jamais auparavant. Ils sont les gardiens de nos données et doivent travailler plus intelligemment pour protéger notre vie privée.
Les développeurs exigent des formations vidéo à la sécurité plus longues et plus fréquentes
S'il y a une chose que les développeurs adorent, c'est de regarder des heures et des heures de vidéos de formation assistée par ordinateur (TCC). En fait, la demande pour ce contenu captivant est telle que Netflix annoncera une toute nouvelle sous-catégorie dédiée aux vidéos génériques de formation à la sécurité.
Euh, non. Ni maintenant, ni en 2020, ni jamais.
Pour les développeurs, leur introduction à la sécurité se fait souvent par le biais d'une formation à la conformité sur le lieu de travail. Le codage sécurisé fait rarement partie de leurs études supérieures, et la formation en cours d'emploi peut être la toute première rencontre avec la sécurité logicielle. Et, comme on pouvait s'y attendre, cela ne leur plaît pas souvent.
Pour que les développeurs prennent la sécurité au sérieux, et pour que la formation soit utile, elle doit être pertinente, attrayante et contextuelle à leur travail. Une formation ponctuelle sur la conformité, ou un flux interminable de vidéos ennuyeuses, n'est pas la solution idéale pour les développeurs et ne permettra pas de réduire les vulnérabilités.
Si vous voulez que la cohorte de développeurs ait la moindre chance de devenir une force défensive consciente de la sécurité contre les vulnérabilités courantes, demandez-leur de travailler avec de vrais exemples de code, du type qu'ils trouveraient dans leurs tâches quotidiennes. Faites en sorte que l'apprentissage soit de la taille d'une bouchée, facile à développer, et incitez-le en vous amusant. Pour qu'une culture de sécurité prospère, elle doit être positive, engageante et développer de véritables compétences et solutions au sein de l'organisation.
Qui sait ? Avec une formation adaptée, un développeur peut reconnaître le champion de la sécurité qui sommeille en lui et diffuser largement les avantages du codage sécurisé.
Aucun décès dû à un incident lié à la cybersécurité
OK, donc ce n'est clairement pas une question de rire. J'ai dit à de nombreuses reprises que le monde ne se soucierait tout simplement pas de la cybersécurité tant que des personnes ne commenceraient pas à mourir à la suite d'un incident lié à une cyberattaque.
Le problème, c'est que cela s'est déjà produit et que cela est passé largement inaperçu.
Cyberattaques contre des hôpitaux américains ont été associés à une augmentation des décès par crise cardiaque en 2019. Bien entendu, les attaquants n'ont pas provoqué d'événements cardiaques mortels chez les patients, mais leurs attaques par rançongiciel contre les systèmes et équipements des hôpitaux ont ralenti les délais de traitement des soins intensifs.
Ce étude de l'Université de Floride centrale a analysé 3 000 hôpitaux, dont 311 avaient subi une violation de données. Parmi les personnes touchées par un incident de sécurité, il a fallu en moyenne 2,7 minutes de plus pour faire passer un ECG aux victimes présumées d'une crise cardiaque, probablement en raison de modifications procédurales, de nouvelles mesures de sécurité mises en œuvre et de problèmes d'assistance informatique qui ont pris plus de temps qu'auparavant. Identifier et traiter une crise cardiaque est une course contre la montre, et ces hôpitaux ont enregistré en moyenne 36 décès supplémentaires pour 10 000 crises cardiaques par an.
C'est choquant et, malheureusement, je pense que la situation ne fera qu'empirer avant de s'améliorer. Cela devrait nous rappeler brutalement que nous devons tous redoubler d'efforts pour améliorer la sécurité des logiciels et la placer au cœur de toutes les activités.
Moins d'images de stock de « hackers cagoulés »
Si vous tapez « hacker » dans une recherche d'images, vous découvrirez inévitablement des milliers d'images d'un personnage cagoulé et sans visage tapant sur un ordinateur portable, ou d'un personnage similaire masqué par Guy Fawkes.
Cette image stéréotypée d'un hacker est vraiment fatigante et fait passer tout le monde pour un méchant. Il existe de nombreuses personnes douées pour la sécurité, et les connotations négatives qui entourent l'image de « hacker » ne rendent pas service à tout le monde.
Est-ce que je pense que cela va bientôt changer ? Probablement pas, mais c'est agréable de rêver. Pour l'instant, il est important de se rappeler que la sécurité n'a pas à être effrayante.
Une version de cet article a été initialement publiée dans Lecture sombre. Il a été mis à jour pour la syndication ici.
Dans notre secteur, de nombreux experts en sécurité ont pris l'habitude de prévoir les problèmes les plus brûlants de l'année à venir (et je ne fais pas exception), mais avec plus de cinq milliards de données sensibles volées en 2019, j'ai pensé qu'il serait plus précis de prédire ce que ne sera pas ce qui se produira dans le domaine de la cybersécurité en 2020, voire dans un avenir prévisible.
J'ai rencontré mon cofondateur, Matias Madou, et nous avons bien ri en dressant cette liste. Cela se veut un peu léger, mais cela vous fait réfléchir au long chemin qui reste à parcourir pour renforcer chaque organisation contre les cyberattaques malveillantes.
Maintenant, regardons notre boule de cristal et révélons nos prédictions. Nous ne verrons pas :
Les injections SQL ont été supprimées de tous les logiciels
Je pense que tous les professionnels de la sécurité de la planète attendent le jour où ils ne seront plus dérangés pour identifier les bogues d'injection SQL, ad nauseam.
Malheureusement, cela fait plus de vingt ans que nous attendons ce jour, et nous en attendrons encore au moins un autre. C'est la vulnérabilité qui, comme un cafard, a survécu à toutes les tactiques utilisées jusqu'à présent pour l'éradiquer définitivement.
C'est pour le moins frustrant, car le remède est connu depuis à peu près aussi longtemps. Cependant, la priorité accordée aux meilleures pratiques de sécurité à chaque étape du développement logiciel (en particulier dès le début) reste trop faible, et certainement insuffisante compte tenu de la forte augmentation de la production de code depuis la découverte de l'injection SQL.
(Vous souhaitez en savoir plus sur les modèles de codage susceptibles de conduire à une injection SQL ? Relevez le défi ici).
Les développeurs et AppSec deviennent de meilleurs amis
Ah, les développeurs et l'équipe AppSec. S'entendront-ils un jour ou sont-ils voués à une vie de rivalité comme Rocky contre Apollo ? La réponse courte est oui, ils peuvent s'entendre, mais à l'heure actuelle, leurs priorités sont souvent très différentes.
Lorsqu'ils se rencontrent dans le cadre d'un projet, ils sont sur des pages opposées et s'affrontent juste au dernier obstacle : lorsque les spécialistes AppSec examinent le code d'un développeur. Le développeur a créé de belles fonctionnalités fonctionnelles (ce qui est leur priorité absolue) qui sont détruites si des failles de sécurité sont découvertes. Le gourou de la sécurité logicielle a en effet traité son bébé de laid et a obligé le développeur à revenir en arrière et à corriger les bogues, retardant souvent le déploiement.
Dans l'état actuel des choses, cela ne sera pas résolu tant que les développeurs et les équipes AppSec ne travailleront pas vers un objectif commun, à savoir la création de logiciels sécurisés. Cela ne se produira pas par défaut en 2020 (et pour de nombreuses entreprises, quelques années plus tard), mais avec l'avènement du mouvement DevSecOps et au-delà, les développeurs reconnaissent la nécessité d'améliorer leurs compétences en matière de sécurité et de travailler selon des normes plus élevées, en incluant des objectifs de sécurité dès le départ.
Une offre excédentaire de professionnels de la sécurité
En 2020, 2025, 2030... il est presque garanti que nous manquerons de personnel dans le monde entier en matière d'expertise en matière de sécurité.
Selon un rapport de l'ISC (2), il existe environ 2,93 millions de postes en cybersécurité actuellement vide. La situation va certainement empirer avant de s'améliorer, et il n'y a aucune armée de sécurité cachée prête à venir à notre secours au cours des prochaines années.
Dans un avenir immédiat, notre meilleure chance de remédier à cette pénurie de compétences est de faire de la sécurité une priorité organisationnelle et de renforcer les compétences de notre personnel existant, ce qui implique de donner aux développeurs la formation et les outils nécessaires pour coder en toute sécurité, ainsi que de créer une culture de sécurité à l'échelle de l'entreprise. La plupart des équipes AppSec actuelles luttent probablement contre d'anciens bogues de sécurité bien connus (voir point 1 ci-dessus). Si nous veillons à ce qu'ils n'aient pas à consacrer un temps et des efforts précieux à la résolution de ces problèmes courants, ils disposeront de plus de bande passante pour se concentrer sur les problèmes de sécurité les plus complexes (pour le moment, ils sont susceptibles d'inclure des problèmes liés aux API, ainsi que des outils de création adaptés aux pipelines de développement).
Moins de code produit
Le monde se numérise à un rythme effarant et la demande sociétale ne faiblira pas. Environ 111 milliards de lignes de code sont écrites chaque année, et ce chiffre ne fera que croître et devenir de plus en plus terrifiant (pour les équipes AppSec déjà sollicitées, en tout cas).
L'augmentation du volume de code augmente inévitablement les failles de sécurité potentielles. C'est pourquoi penser que 2020 sera une année plus lente en termes de production de logiciels et de violations est à peu près aussi réaliste que les courses de licornes organisées au Grand National.
Diminution du vol d'enregistrements de données
Comme je l'ai dit, plus de code signifie plus de vulnérabilités, ce qui offre plus de possibilités aux attaquants de trouver un moyen de voler des données.
Au moins 5,3 milliards de dossiers ont été volés dans le monde en 2019, et la défense contre les attaquants reste une tâche un peu désespérée et réactive. Ce chiffre ne doublera peut-être pas au cours des douze prochains mois, mais je pense qu'il se rapprochera.
À titre d'exemple, examinons les tendances historiques des données volées signalées aux États-Unis d'une année sur l'autre :
Si l'on considère la période allant de 2005 à 2010, on constate une hausse constante avec un léger flux et reflux entre les années. C'est intéressant, mais un facteur important à souligner est qu'en 2009, il y a eu une forte baisse du nombre de violations signalées par rapport à 2008. Cependant, il y a eu une nette augmentation du nombre de dossiers volés malgré la diminution du nombre de violations.
Les enregistrements de données sont la nouvelle or ; ils ont de la valeur pour un attaquant. Le graphique reflète une tendance générale à la hausse des violations et nombre de dossiers volés, avec un pic énorme en 2017. Le nombre d'attaques a connu une tendance à la baisse en 2018, peut-être en raison du renforcement des mesures de sécurité, mais le nombre d'enregistrements obtenus n'a jamais été aussi élevé. Les cyberattaques deviendront de plus en plus sophistiquées et de plus en plus volumineuses et ne disparaîtront pas de sitôt. Et à l'échelle mondiale, il est peu probable que nous assistions à un ralentissement en 2020, car les entreprises produisent rapidement plus de logiciels que jamais auparavant. Ils sont les gardiens de nos données et doivent travailler plus intelligemment pour protéger notre vie privée.
Les développeurs exigent des formations vidéo à la sécurité plus longues et plus fréquentes
S'il y a une chose que les développeurs adorent, c'est de regarder des heures et des heures de vidéos de formation assistée par ordinateur (TCC). En fait, la demande pour ce contenu captivant est telle que Netflix annoncera une toute nouvelle sous-catégorie dédiée aux vidéos génériques de formation à la sécurité.
Euh, non. Ni maintenant, ni en 2020, ni jamais.
Pour les développeurs, leur introduction à la sécurité se fait souvent par le biais d'une formation à la conformité sur le lieu de travail. Le codage sécurisé fait rarement partie de leurs études supérieures, et la formation en cours d'emploi peut être la toute première rencontre avec la sécurité logicielle. Et, comme on pouvait s'y attendre, cela ne leur plaît pas souvent.
Pour que les développeurs prennent la sécurité au sérieux, et pour que la formation soit utile, elle doit être pertinente, attrayante et contextuelle à leur travail. Une formation ponctuelle sur la conformité, ou un flux interminable de vidéos ennuyeuses, n'est pas la solution idéale pour les développeurs et ne permettra pas de réduire les vulnérabilités.
Si vous voulez que la cohorte de développeurs ait la moindre chance de devenir une force défensive consciente de la sécurité contre les vulnérabilités courantes, demandez-leur de travailler avec de vrais exemples de code, du type qu'ils trouveraient dans leurs tâches quotidiennes. Faites en sorte que l'apprentissage soit de la taille d'une bouchée, facile à développer, et incitez-le en vous amusant. Pour qu'une culture de sécurité prospère, elle doit être positive, engageante et développer de véritables compétences et solutions au sein de l'organisation.
Qui sait ? Avec une formation adaptée, un développeur peut reconnaître le champion de la sécurité qui sommeille en lui et diffuser largement les avantages du codage sécurisé.
Aucun décès dû à un incident lié à la cybersécurité
OK, donc ce n'est clairement pas une question de rire. J'ai dit à de nombreuses reprises que le monde ne se soucierait tout simplement pas de la cybersécurité tant que des personnes ne commenceraient pas à mourir à la suite d'un incident lié à une cyberattaque.
Le problème, c'est que cela s'est déjà produit et que cela est passé largement inaperçu.
Cyberattaques contre des hôpitaux américains ont été associés à une augmentation des décès par crise cardiaque en 2019. Bien entendu, les attaquants n'ont pas provoqué d'événements cardiaques mortels chez les patients, mais leurs attaques par rançongiciel contre les systèmes et équipements des hôpitaux ont ralenti les délais de traitement des soins intensifs.
Ce étude de l'Université de Floride centrale a analysé 3 000 hôpitaux, dont 311 avaient subi une violation de données. Parmi les personnes touchées par un incident de sécurité, il a fallu en moyenne 2,7 minutes de plus pour faire passer un ECG aux victimes présumées d'une crise cardiaque, probablement en raison de modifications procédurales, de nouvelles mesures de sécurité mises en œuvre et de problèmes d'assistance informatique qui ont pris plus de temps qu'auparavant. Identifier et traiter une crise cardiaque est une course contre la montre, et ces hôpitaux ont enregistré en moyenne 36 décès supplémentaires pour 10 000 crises cardiaques par an.
C'est choquant et, malheureusement, je pense que la situation ne fera qu'empirer avant de s'améliorer. Cela devrait nous rappeler brutalement que nous devons tous redoubler d'efforts pour améliorer la sécurité des logiciels et la placer au cœur de toutes les activités.
Moins d'images de stock de « hackers cagoulés »
Si vous tapez « hacker » dans une recherche d'images, vous découvrirez inévitablement des milliers d'images d'un personnage cagoulé et sans visage tapant sur un ordinateur portable, ou d'un personnage similaire masqué par Guy Fawkes.
Cette image stéréotypée d'un hacker est vraiment fatigante et fait passer tout le monde pour un méchant. Il existe de nombreuses personnes douées pour la sécurité, et les connotations négatives qui entourent l'image de « hacker » ne rendent pas service à tout le monde.
Est-ce que je pense que cela va bientôt changer ? Probablement pas, mais c'est agréable de rêver. Pour l'instant, il est important de se rappeler que la sécurité n'a pas à être effrayante.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Afficher le rapportRéservez une démo
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Une version de cet article a été initialement publiée dans Lecture sombre. Il a été mis à jour pour la syndication ici.
Dans notre secteur, de nombreux experts en sécurité ont pris l'habitude de prévoir les problèmes les plus brûlants de l'année à venir (et je ne fais pas exception), mais avec plus de cinq milliards de données sensibles volées en 2019, j'ai pensé qu'il serait plus précis de prédire ce que ne sera pas ce qui se produira dans le domaine de la cybersécurité en 2020, voire dans un avenir prévisible.
J'ai rencontré mon cofondateur, Matias Madou, et nous avons bien ri en dressant cette liste. Cela se veut un peu léger, mais cela vous fait réfléchir au long chemin qui reste à parcourir pour renforcer chaque organisation contre les cyberattaques malveillantes.
Maintenant, regardons notre boule de cristal et révélons nos prédictions. Nous ne verrons pas :
Les injections SQL ont été supprimées de tous les logiciels
Je pense que tous les professionnels de la sécurité de la planète attendent le jour où ils ne seront plus dérangés pour identifier les bogues d'injection SQL, ad nauseam.
Malheureusement, cela fait plus de vingt ans que nous attendons ce jour, et nous en attendrons encore au moins un autre. C'est la vulnérabilité qui, comme un cafard, a survécu à toutes les tactiques utilisées jusqu'à présent pour l'éradiquer définitivement.
C'est pour le moins frustrant, car le remède est connu depuis à peu près aussi longtemps. Cependant, la priorité accordée aux meilleures pratiques de sécurité à chaque étape du développement logiciel (en particulier dès le début) reste trop faible, et certainement insuffisante compte tenu de la forte augmentation de la production de code depuis la découverte de l'injection SQL.
(Vous souhaitez en savoir plus sur les modèles de codage susceptibles de conduire à une injection SQL ? Relevez le défi ici).
Les développeurs et AppSec deviennent de meilleurs amis
Ah, les développeurs et l'équipe AppSec. S'entendront-ils un jour ou sont-ils voués à une vie de rivalité comme Rocky contre Apollo ? La réponse courte est oui, ils peuvent s'entendre, mais à l'heure actuelle, leurs priorités sont souvent très différentes.
Lorsqu'ils se rencontrent dans le cadre d'un projet, ils sont sur des pages opposées et s'affrontent juste au dernier obstacle : lorsque les spécialistes AppSec examinent le code d'un développeur. Le développeur a créé de belles fonctionnalités fonctionnelles (ce qui est leur priorité absolue) qui sont détruites si des failles de sécurité sont découvertes. Le gourou de la sécurité logicielle a en effet traité son bébé de laid et a obligé le développeur à revenir en arrière et à corriger les bogues, retardant souvent le déploiement.
Dans l'état actuel des choses, cela ne sera pas résolu tant que les développeurs et les équipes AppSec ne travailleront pas vers un objectif commun, à savoir la création de logiciels sécurisés. Cela ne se produira pas par défaut en 2020 (et pour de nombreuses entreprises, quelques années plus tard), mais avec l'avènement du mouvement DevSecOps et au-delà, les développeurs reconnaissent la nécessité d'améliorer leurs compétences en matière de sécurité et de travailler selon des normes plus élevées, en incluant des objectifs de sécurité dès le départ.
Une offre excédentaire de professionnels de la sécurité
En 2020, 2025, 2030... il est presque garanti que nous manquerons de personnel dans le monde entier en matière d'expertise en matière de sécurité.
Selon un rapport de l'ISC (2), il existe environ 2,93 millions de postes en cybersécurité actuellement vide. La situation va certainement empirer avant de s'améliorer, et il n'y a aucune armée de sécurité cachée prête à venir à notre secours au cours des prochaines années.
Dans un avenir immédiat, notre meilleure chance de remédier à cette pénurie de compétences est de faire de la sécurité une priorité organisationnelle et de renforcer les compétences de notre personnel existant, ce qui implique de donner aux développeurs la formation et les outils nécessaires pour coder en toute sécurité, ainsi que de créer une culture de sécurité à l'échelle de l'entreprise. La plupart des équipes AppSec actuelles luttent probablement contre d'anciens bogues de sécurité bien connus (voir point 1 ci-dessus). Si nous veillons à ce qu'ils n'aient pas à consacrer un temps et des efforts précieux à la résolution de ces problèmes courants, ils disposeront de plus de bande passante pour se concentrer sur les problèmes de sécurité les plus complexes (pour le moment, ils sont susceptibles d'inclure des problèmes liés aux API, ainsi que des outils de création adaptés aux pipelines de développement).
Moins de code produit
Le monde se numérise à un rythme effarant et la demande sociétale ne faiblira pas. Environ 111 milliards de lignes de code sont écrites chaque année, et ce chiffre ne fera que croître et devenir de plus en plus terrifiant (pour les équipes AppSec déjà sollicitées, en tout cas).
L'augmentation du volume de code augmente inévitablement les failles de sécurité potentielles. C'est pourquoi penser que 2020 sera une année plus lente en termes de production de logiciels et de violations est à peu près aussi réaliste que les courses de licornes organisées au Grand National.
Diminution du vol d'enregistrements de données
Comme je l'ai dit, plus de code signifie plus de vulnérabilités, ce qui offre plus de possibilités aux attaquants de trouver un moyen de voler des données.
Au moins 5,3 milliards de dossiers ont été volés dans le monde en 2019, et la défense contre les attaquants reste une tâche un peu désespérée et réactive. Ce chiffre ne doublera peut-être pas au cours des douze prochains mois, mais je pense qu'il se rapprochera.
À titre d'exemple, examinons les tendances historiques des données volées signalées aux États-Unis d'une année sur l'autre :
Si l'on considère la période allant de 2005 à 2010, on constate une hausse constante avec un léger flux et reflux entre les années. C'est intéressant, mais un facteur important à souligner est qu'en 2009, il y a eu une forte baisse du nombre de violations signalées par rapport à 2008. Cependant, il y a eu une nette augmentation du nombre de dossiers volés malgré la diminution du nombre de violations.
Les enregistrements de données sont la nouvelle or ; ils ont de la valeur pour un attaquant. Le graphique reflète une tendance générale à la hausse des violations et nombre de dossiers volés, avec un pic énorme en 2017. Le nombre d'attaques a connu une tendance à la baisse en 2018, peut-être en raison du renforcement des mesures de sécurité, mais le nombre d'enregistrements obtenus n'a jamais été aussi élevé. Les cyberattaques deviendront de plus en plus sophistiquées et de plus en plus volumineuses et ne disparaîtront pas de sitôt. Et à l'échelle mondiale, il est peu probable que nous assistions à un ralentissement en 2020, car les entreprises produisent rapidement plus de logiciels que jamais auparavant. Ils sont les gardiens de nos données et doivent travailler plus intelligemment pour protéger notre vie privée.
Les développeurs exigent des formations vidéo à la sécurité plus longues et plus fréquentes
S'il y a une chose que les développeurs adorent, c'est de regarder des heures et des heures de vidéos de formation assistée par ordinateur (TCC). En fait, la demande pour ce contenu captivant est telle que Netflix annoncera une toute nouvelle sous-catégorie dédiée aux vidéos génériques de formation à la sécurité.
Euh, non. Ni maintenant, ni en 2020, ni jamais.
Pour les développeurs, leur introduction à la sécurité se fait souvent par le biais d'une formation à la conformité sur le lieu de travail. Le codage sécurisé fait rarement partie de leurs études supérieures, et la formation en cours d'emploi peut être la toute première rencontre avec la sécurité logicielle. Et, comme on pouvait s'y attendre, cela ne leur plaît pas souvent.
Pour que les développeurs prennent la sécurité au sérieux, et pour que la formation soit utile, elle doit être pertinente, attrayante et contextuelle à leur travail. Une formation ponctuelle sur la conformité, ou un flux interminable de vidéos ennuyeuses, n'est pas la solution idéale pour les développeurs et ne permettra pas de réduire les vulnérabilités.
Si vous voulez que la cohorte de développeurs ait la moindre chance de devenir une force défensive consciente de la sécurité contre les vulnérabilités courantes, demandez-leur de travailler avec de vrais exemples de code, du type qu'ils trouveraient dans leurs tâches quotidiennes. Faites en sorte que l'apprentissage soit de la taille d'une bouchée, facile à développer, et incitez-le en vous amusant. Pour qu'une culture de sécurité prospère, elle doit être positive, engageante et développer de véritables compétences et solutions au sein de l'organisation.
Qui sait ? Avec une formation adaptée, un développeur peut reconnaître le champion de la sécurité qui sommeille en lui et diffuser largement les avantages du codage sécurisé.
Aucun décès dû à un incident lié à la cybersécurité
OK, donc ce n'est clairement pas une question de rire. J'ai dit à de nombreuses reprises que le monde ne se soucierait tout simplement pas de la cybersécurité tant que des personnes ne commenceraient pas à mourir à la suite d'un incident lié à une cyberattaque.
Le problème, c'est que cela s'est déjà produit et que cela est passé largement inaperçu.
Cyberattaques contre des hôpitaux américains ont été associés à une augmentation des décès par crise cardiaque en 2019. Bien entendu, les attaquants n'ont pas provoqué d'événements cardiaques mortels chez les patients, mais leurs attaques par rançongiciel contre les systèmes et équipements des hôpitaux ont ralenti les délais de traitement des soins intensifs.
Ce étude de l'Université de Floride centrale a analysé 3 000 hôpitaux, dont 311 avaient subi une violation de données. Parmi les personnes touchées par un incident de sécurité, il a fallu en moyenne 2,7 minutes de plus pour faire passer un ECG aux victimes présumées d'une crise cardiaque, probablement en raison de modifications procédurales, de nouvelles mesures de sécurité mises en œuvre et de problèmes d'assistance informatique qui ont pris plus de temps qu'auparavant. Identifier et traiter une crise cardiaque est une course contre la montre, et ces hôpitaux ont enregistré en moyenne 36 décès supplémentaires pour 10 000 crises cardiaques par an.
C'est choquant et, malheureusement, je pense que la situation ne fera qu'empirer avant de s'améliorer. Cela devrait nous rappeler brutalement que nous devons tous redoubler d'efforts pour améliorer la sécurité des logiciels et la placer au cœur de toutes les activités.
Moins d'images de stock de « hackers cagoulés »
Si vous tapez « hacker » dans une recherche d'images, vous découvrirez inévitablement des milliers d'images d'un personnage cagoulé et sans visage tapant sur un ordinateur portable, ou d'un personnage similaire masqué par Guy Fawkes.
Cette image stéréotypée d'un hacker est vraiment fatigante et fait passer tout le monde pour un méchant. Il existe de nombreuses personnes douées pour la sécurité, et les connotations négatives qui entourent l'image de « hacker » ne rendent pas service à tout le monde.
Est-ce que je pense que cela va bientôt changer ? Probablement pas, mais c'est agréable de rêver. Pour l'instant, il est important de se rappeler que la sécurité n'a pas à être effrayante.
Table des matières
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démoTéléchargerRessources pour vous aider à démarrer
Sujets et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions d'IA Beat the Boss sont désormais disponibles à la demande
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Déployez des défis de sécurité avancés liés à l'IA et au LLM pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyberrésilience : ce que cela signifie pour le développement de logiciels sécurisés dès la conception
Découvrez ce que la loi européenne sur la cyberrésilience (CRA) exige, à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Enabler 1 donne le coup d'envoi de notre série en 10 parties intitulée Enablers of Success en montrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité pour assurer la maturité à long terme des programmes.
