Analyse du secteur de la cybersécurité : une autre vulnérabilité récurrente à corriger
Une version de cet article a été publiée dans Help Net Security. Il a été mis à jour et diffusé ici.
J'ai passé ma carrière à trouver, à corriger, à discuter et à décomposer vulnérabilités logicielles, d'une manière ou d'une autre. Je sais qu'en ce qui concerne certains bogues de sécurité courants, bien qu'ils soient sur notre orbite depuis les années 90, ils continuent de sévir dans nos logiciels et de provoquer des problèmes majeurs, même si le correctif (souvent simple) est connu depuis presque aussi longtemps. C'est vraiment comme le jour de la marmotte, où, en tant qu'industrie, nous semblons faire la même chose encore et encore et nous attendre à un résultat différent.
Il y a cependant un autre petit problème. Nous ne recevons pas de conseils réalistes, ni de solutions les plus rapides, pour combattre l'assaut incessant qu'est la cybersécurité moderne. Bien entendu, chaque faille est différente à sa manière, et de nombreux vecteurs d'attaque peuvent être exploités dans des logiciels vulnérables. Les conseils génériques réalisables seront limités, mais l'approche des meilleures pratiques semble de plus en plus imparfaite d'heure en heure.
À cette fin, je me demande pourquoi tant de commentaires et d'analyses sur la cybersécurité omettent les solutions qui s'attaquent réellement à la cause première de tant de vulnérabilités : les humains. Le plus récent rapport de Gartner Hype Cycle pour la sécurité des applications, et celui de Forrester L'état de la sécurité des applications en 2021, deux bibles destinées aux experts en sécurité qui contribuent sans aucun doute à façonner leur programme et à l'adoption potentielle de leurs produits, sont presque entièrement axées sur les outils. Un rapport publié par Aberdeen en 2017 a montré à quel point la technologie de sécurité moyenne était devenue indisciplinée, alors que les RSSI gèrent des centaines de produits dans le cadre de leurs stratégies de sécurité ; quatre ans plus tard, nous sommes confrontés à de nouveaux risques, à de nouvelles vulnérabilités et à de nouveaux ajouts à une pile technologique en pleine croissance.
L'outillage de sécurité est indispensable, mais nous devons avoir une vision plus large et rétablir l'équilibre entre la composante humaine de la défense de la sécurité.
L'automatisation, c'est l'avenir. Pourquoi devrions-nous nous intéresser à l'aspect humain de la cybersécurité ?
Pratiquement tout dans notre vie est alimenté par des logiciels, et il est vrai que l'automatisation remplace les éléments humains qui étaient autrefois présents dans de nombreux secteurs. C'est un signe de progrès dans un monde qui se numérise à toute vitesse, avec des sujets d'actualité liés à l'IA et à l'apprentissage automatique qui permettent à de nombreuses organisations de se concentrer sur l'avenir.
Alors, pourquoi une approche de la cybersécurité axée sur l'humain serait-elle autre chose qu'une solution obsolète à un problème technologiquement avancé ? Le fait que des milliards d'enregistrements de données aient été volés lors de violations au cours de l'année écoulée, y compris la plus récente violation de Facebook affectant plus d'un demi-milliard de comptes, devrait indiquer que nous n'en faisons pas assez (ou que nous n'adoptons pas la bonne approche) pour contrer sérieusement les acteurs de la menace.
Les outils de cybersécurité sont une composante indispensable de la cyberdéfense, et les outils auront toujours leur place. Les analystes ont tout à fait raison de recommander les outils les plus récents en matière d'approche d'atténuation des risques pour les entreprises, et cela ne changera pas. Cependant, étant donné que la qualité du code (et, par définition, la sécurité) est difficile à gérer au moment de la production de code, les outils ne peuvent pas faire le travail seuls. À ce jour, il n'existe pas d'outil unique capable de :
- Scannez toutes les vulnérabilités, dans tous les langages : framework
- Scannez rapidement
- Minimiser la double manipulation causée par les faux positifs et les faux négatifs
Les outils peuvent être lents, encombrants et peu maniables. Mais surtout, ils ne trouvent que des problèmes, ils ne les résolvent pas et ne recommandent pas de solutions. Dans ce dernier cas, des experts en sécurité, peu nombreux et surchargés de travail, doivent fouiller dans les poubelles pour trouver des trésors grâce à des résultats interminables de pentests et de scans.
Le fait est que, selon le rapport IBM Cyber Security Intelligence Index, l'erreur humaine joue un rôle dans 95 % de toutes les violations de données réussies. Presque la moitié d'entre eux directement liés à vulnérabilités logicielles, dont beaucoup pourraient être atténués s'il y avait une plus grande adhésion au codage sécurisé et une sensibilisation accrue dès les premiers stades du SDLC. Cependant, pour y parvenir, il est essentiel de mettre davantage l'accent sur la formation des développeurs, en plus de la rendre intrinsèque à leur flux de travail.
Que cela nous plaise ou non, les humains sont profondément ancrés dans le processus de développement logiciel et la cybersécurité est avant tout un problème humain. Les outils ne seront pas un fourre-tout pour corriger une faille fondamentale de notre approche, mais ils peuvent jouer un rôle de soutien clé dans la refonte de solutions humaines.
Et si nous créions simplement de meilleurs outils (et beaucoup d'entre eux) ?
Les outils de sécurité ne cessent de s'améliorer. Les outils SAST/DAST/IAST ont parcouru un long chemin, améliorant leur vitesse et leur intelligence, et le RASP devrait constituer une considération défensive sérieuse dans de nombreux environnements d'application. Pare-feux, gestionnaires de secrets, applications de sécurité du cloud et des réseaux : tout cela va de soi.
Les humains peuvent toujours s'efforcer de créer de meilleurs outils, mais l'innovation ne répond pas aux besoins de sécurité et de protection des données du monde numérique dans lequel nous vivons. Les outils sont, pour la plupart, conçus pour les robots. Ils peuvent être là pour aider les développeurs et l'équipe de sécurité à scanner, surveiller ou protéger le code, mais l'interaction est très limitée et très peu de solutions visent à renforcer la sensibilisation à la sécurité ou à améliorer les compétences de base susceptibles d'améliorer les résultats en matière de sécurité.
En fait, plus de la moitié des entreprises ne savent même pas si les outils fonctionnent pour elles, ils ne sont pas non plus convaincus de pouvoir éviter une violation de données dévastatrice. C'est un très mauvais sentiment, et dans un secteur obsédé par les outils qui n'est pas soutenu pour une approche différente, cela tend à consolider le statu quo et à résoudre les problèmes qui s'y rattachent.
Comment une organisation peut-elle tirer parti d'une approche de la sécurité dirigée par l'homme ?
Il ne fait aucun doute qu'il est bénéfique de rester à l'avant-garde des tendances en matière de technologie de sécurité des applications, et peut même aider à hiérarchiser les mises à niveau ou les consolidations au sein d'une pile technologique surchargée, mais renoncer à cibler la cause première des logiciels vulnérables, nous ne sommes que des humains, nous resterons du côté des perdants sur le front de la cybersécurité.
Si nous voulons sérieusement réduire le nombre de failles de sécurité au niveau du code, les développeurs doivent disposer des bases nécessaires pour réussir à partager la responsabilité en matière de sécurité. Ils ont besoin d'une formation pratique et pertinente, de compétences en cours d'emploi et d'outils fonctionnels qui ne perturbent pas leur flux de travail et ne font pas de la sécurité une corvée à développer. Dans l'idéal, certains outils seraient centrés sur les développeurs et conçus en mettant l'expérience utilisateur au premier plan.
À ce jour, il n'existe aucun programme de certification de sécurité officiel pour les développeurs, mais chaque entreprise peut bénéficier de l'analyse comparative et du développement des compétences en matière de codage sécurisé, en éliminant les vulnérabilités courantes tôt et souvent, avant que cette grande pile technologique ne doive entrer en action et tout ralentir.
Une équipe de développeurs soucieux de la sécurité est un trésor caché pour toute organisation, mais comme pour tout ce qui en vaut la peine, il faudra du temps et des efforts pour mettre en place une équipe de rêve efficace. Pour convaincre les développeurs de se soucier de la sécurité et de considérer le codage sécurisé comme la base de la qualité du code, l'ensemble de l'organisation doit s'engager à placer la sécurité au premier plan. Et lorsque des équipes entières sont sensibilisées à l'impact positif qu'elles peuvent jouer en éliminant les vulnérabilités courantes au fur et à mesure de l'écriture du code, aucun outil sur Terre ne peut rivaliser.
Nous ne recevons pas de conseils réalistes, ni de solutions les plus rapides, pour combattre l'assaut incessant qu'est la cybersécurité moderne. Bien entendu, chaque faille est différente à sa manière et de nombreux vecteurs d'attaque peuvent être exploités dans des logiciels vulnérables. Les conseils génériques réalisables seront limités, mais l'approche des meilleures pratiques semble de plus en plus imparfaite d'heure en heure.
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démo
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Une version de cet article a été publiée dans Help Net Security. Il a été mis à jour et diffusé ici.
J'ai passé ma carrière à trouver, à corriger, à discuter et à décomposer vulnérabilités logicielles, d'une manière ou d'une autre. Je sais qu'en ce qui concerne certains bogues de sécurité courants, bien qu'ils soient sur notre orbite depuis les années 90, ils continuent de sévir dans nos logiciels et de provoquer des problèmes majeurs, même si le correctif (souvent simple) est connu depuis presque aussi longtemps. C'est vraiment comme le jour de la marmotte, où, en tant qu'industrie, nous semblons faire la même chose encore et encore et nous attendre à un résultat différent.
Il y a cependant un autre petit problème. Nous ne recevons pas de conseils réalistes, ni de solutions les plus rapides, pour combattre l'assaut incessant qu'est la cybersécurité moderne. Bien entendu, chaque faille est différente à sa manière, et de nombreux vecteurs d'attaque peuvent être exploités dans des logiciels vulnérables. Les conseils génériques réalisables seront limités, mais l'approche des meilleures pratiques semble de plus en plus imparfaite d'heure en heure.
À cette fin, je me demande pourquoi tant de commentaires et d'analyses sur la cybersécurité omettent les solutions qui s'attaquent réellement à la cause première de tant de vulnérabilités : les humains. Le plus récent rapport de Gartner Hype Cycle pour la sécurité des applications, et celui de Forrester L'état de la sécurité des applications en 2021, deux bibles destinées aux experts en sécurité qui contribuent sans aucun doute à façonner leur programme et à l'adoption potentielle de leurs produits, sont presque entièrement axées sur les outils. Un rapport publié par Aberdeen en 2017 a montré à quel point la technologie de sécurité moyenne était devenue indisciplinée, alors que les RSSI gèrent des centaines de produits dans le cadre de leurs stratégies de sécurité ; quatre ans plus tard, nous sommes confrontés à de nouveaux risques, à de nouvelles vulnérabilités et à de nouveaux ajouts à une pile technologique en pleine croissance.
L'outillage de sécurité est indispensable, mais nous devons avoir une vision plus large et rétablir l'équilibre entre la composante humaine de la défense de la sécurité.
L'automatisation, c'est l'avenir. Pourquoi devrions-nous nous intéresser à l'aspect humain de la cybersécurité ?
Pratiquement tout dans notre vie est alimenté par des logiciels, et il est vrai que l'automatisation remplace les éléments humains qui étaient autrefois présents dans de nombreux secteurs. C'est un signe de progrès dans un monde qui se numérise à toute vitesse, avec des sujets d'actualité liés à l'IA et à l'apprentissage automatique qui permettent à de nombreuses organisations de se concentrer sur l'avenir.
Alors, pourquoi une approche de la cybersécurité axée sur l'humain serait-elle autre chose qu'une solution obsolète à un problème technologiquement avancé ? Le fait que des milliards d'enregistrements de données aient été volés lors de violations au cours de l'année écoulée, y compris la plus récente violation de Facebook affectant plus d'un demi-milliard de comptes, devrait indiquer que nous n'en faisons pas assez (ou que nous n'adoptons pas la bonne approche) pour contrer sérieusement les acteurs de la menace.
Les outils de cybersécurité sont une composante indispensable de la cyberdéfense, et les outils auront toujours leur place. Les analystes ont tout à fait raison de recommander les outils les plus récents en matière d'approche d'atténuation des risques pour les entreprises, et cela ne changera pas. Cependant, étant donné que la qualité du code (et, par définition, la sécurité) est difficile à gérer au moment de la production de code, les outils ne peuvent pas faire le travail seuls. À ce jour, il n'existe pas d'outil unique capable de :
- Scannez toutes les vulnérabilités, dans tous les langages : framework
- Scannez rapidement
- Minimiser la double manipulation causée par les faux positifs et les faux négatifs
Les outils peuvent être lents, encombrants et peu maniables. Mais surtout, ils ne trouvent que des problèmes, ils ne les résolvent pas et ne recommandent pas de solutions. Dans ce dernier cas, des experts en sécurité, peu nombreux et surchargés de travail, doivent fouiller dans les poubelles pour trouver des trésors grâce à des résultats interminables de pentests et de scans.
Le fait est que, selon le rapport IBM Cyber Security Intelligence Index, l'erreur humaine joue un rôle dans 95 % de toutes les violations de données réussies. Presque la moitié d'entre eux directement liés à vulnérabilités logicielles, dont beaucoup pourraient être atténués s'il y avait une plus grande adhésion au codage sécurisé et une sensibilisation accrue dès les premiers stades du SDLC. Cependant, pour y parvenir, il est essentiel de mettre davantage l'accent sur la formation des développeurs, en plus de la rendre intrinsèque à leur flux de travail.
Que cela nous plaise ou non, les humains sont profondément ancrés dans le processus de développement logiciel et la cybersécurité est avant tout un problème humain. Les outils ne seront pas un fourre-tout pour corriger une faille fondamentale de notre approche, mais ils peuvent jouer un rôle de soutien clé dans la refonte de solutions humaines.
Et si nous créions simplement de meilleurs outils (et beaucoup d'entre eux) ?
Les outils de sécurité ne cessent de s'améliorer. Les outils SAST/DAST/IAST ont parcouru un long chemin, améliorant leur vitesse et leur intelligence, et le RASP devrait constituer une considération défensive sérieuse dans de nombreux environnements d'application. Pare-feux, gestionnaires de secrets, applications de sécurité du cloud et des réseaux : tout cela va de soi.
Les humains peuvent toujours s'efforcer de créer de meilleurs outils, mais l'innovation ne répond pas aux besoins de sécurité et de protection des données du monde numérique dans lequel nous vivons. Les outils sont, pour la plupart, conçus pour les robots. Ils peuvent être là pour aider les développeurs et l'équipe de sécurité à scanner, surveiller ou protéger le code, mais l'interaction est très limitée et très peu de solutions visent à renforcer la sensibilisation à la sécurité ou à améliorer les compétences de base susceptibles d'améliorer les résultats en matière de sécurité.
En fait, plus de la moitié des entreprises ne savent même pas si les outils fonctionnent pour elles, ils ne sont pas non plus convaincus de pouvoir éviter une violation de données dévastatrice. C'est un très mauvais sentiment, et dans un secteur obsédé par les outils qui n'est pas soutenu pour une approche différente, cela tend à consolider le statu quo et à résoudre les problèmes qui s'y rattachent.
Comment une organisation peut-elle tirer parti d'une approche de la sécurité dirigée par l'homme ?
Il ne fait aucun doute qu'il est bénéfique de rester à l'avant-garde des tendances en matière de technologie de sécurité des applications, et peut même aider à hiérarchiser les mises à niveau ou les consolidations au sein d'une pile technologique surchargée, mais renoncer à cibler la cause première des logiciels vulnérables, nous ne sommes que des humains, nous resterons du côté des perdants sur le front de la cybersécurité.
Si nous voulons sérieusement réduire le nombre de failles de sécurité au niveau du code, les développeurs doivent disposer des bases nécessaires pour réussir à partager la responsabilité en matière de sécurité. Ils ont besoin d'une formation pratique et pertinente, de compétences en cours d'emploi et d'outils fonctionnels qui ne perturbent pas leur flux de travail et ne font pas de la sécurité une corvée à développer. Dans l'idéal, certains outils seraient centrés sur les développeurs et conçus en mettant l'expérience utilisateur au premier plan.
À ce jour, il n'existe aucun programme de certification de sécurité officiel pour les développeurs, mais chaque entreprise peut bénéficier de l'analyse comparative et du développement des compétences en matière de codage sécurisé, en éliminant les vulnérabilités courantes tôt et souvent, avant que cette grande pile technologique ne doive entrer en action et tout ralentir.
Une équipe de développeurs soucieux de la sécurité est un trésor caché pour toute organisation, mais comme pour tout ce qui en vaut la peine, il faudra du temps et des efforts pour mettre en place une équipe de rêve efficace. Pour convaincre les développeurs de se soucier de la sécurité et de considérer le codage sécurisé comme la base de la qualité du code, l'ensemble de l'organisation doit s'engager à placer la sécurité au premier plan. Et lorsque des équipes entières sont sensibilisées à l'impact positif qu'elles peuvent jouer en éliminant les vulnérabilités courantes au fur et à mesure de l'écriture du code, aucun outil sur Terre ne peut rivaliser.
Une version de cet article a été publiée dans Help Net Security. Il a été mis à jour et diffusé ici.
J'ai passé ma carrière à trouver, à corriger, à discuter et à décomposer vulnérabilités logicielles, d'une manière ou d'une autre. Je sais qu'en ce qui concerne certains bogues de sécurité courants, bien qu'ils soient sur notre orbite depuis les années 90, ils continuent de sévir dans nos logiciels et de provoquer des problèmes majeurs, même si le correctif (souvent simple) est connu depuis presque aussi longtemps. C'est vraiment comme le jour de la marmotte, où, en tant qu'industrie, nous semblons faire la même chose encore et encore et nous attendre à un résultat différent.
Il y a cependant un autre petit problème. Nous ne recevons pas de conseils réalistes, ni de solutions les plus rapides, pour combattre l'assaut incessant qu'est la cybersécurité moderne. Bien entendu, chaque faille est différente à sa manière, et de nombreux vecteurs d'attaque peuvent être exploités dans des logiciels vulnérables. Les conseils génériques réalisables seront limités, mais l'approche des meilleures pratiques semble de plus en plus imparfaite d'heure en heure.
À cette fin, je me demande pourquoi tant de commentaires et d'analyses sur la cybersécurité omettent les solutions qui s'attaquent réellement à la cause première de tant de vulnérabilités : les humains. Le plus récent rapport de Gartner Hype Cycle pour la sécurité des applications, et celui de Forrester L'état de la sécurité des applications en 2021, deux bibles destinées aux experts en sécurité qui contribuent sans aucun doute à façonner leur programme et à l'adoption potentielle de leurs produits, sont presque entièrement axées sur les outils. Un rapport publié par Aberdeen en 2017 a montré à quel point la technologie de sécurité moyenne était devenue indisciplinée, alors que les RSSI gèrent des centaines de produits dans le cadre de leurs stratégies de sécurité ; quatre ans plus tard, nous sommes confrontés à de nouveaux risques, à de nouvelles vulnérabilités et à de nouveaux ajouts à une pile technologique en pleine croissance.
L'outillage de sécurité est indispensable, mais nous devons avoir une vision plus large et rétablir l'équilibre entre la composante humaine de la défense de la sécurité.
L'automatisation, c'est l'avenir. Pourquoi devrions-nous nous intéresser à l'aspect humain de la cybersécurité ?
Pratiquement tout dans notre vie est alimenté par des logiciels, et il est vrai que l'automatisation remplace les éléments humains qui étaient autrefois présents dans de nombreux secteurs. C'est un signe de progrès dans un monde qui se numérise à toute vitesse, avec des sujets d'actualité liés à l'IA et à l'apprentissage automatique qui permettent à de nombreuses organisations de se concentrer sur l'avenir.
Alors, pourquoi une approche de la cybersécurité axée sur l'humain serait-elle autre chose qu'une solution obsolète à un problème technologiquement avancé ? Le fait que des milliards d'enregistrements de données aient été volés lors de violations au cours de l'année écoulée, y compris la plus récente violation de Facebook affectant plus d'un demi-milliard de comptes, devrait indiquer que nous n'en faisons pas assez (ou que nous n'adoptons pas la bonne approche) pour contrer sérieusement les acteurs de la menace.
Les outils de cybersécurité sont une composante indispensable de la cyberdéfense, et les outils auront toujours leur place. Les analystes ont tout à fait raison de recommander les outils les plus récents en matière d'approche d'atténuation des risques pour les entreprises, et cela ne changera pas. Cependant, étant donné que la qualité du code (et, par définition, la sécurité) est difficile à gérer au moment de la production de code, les outils ne peuvent pas faire le travail seuls. À ce jour, il n'existe pas d'outil unique capable de :
- Scannez toutes les vulnérabilités, dans tous les langages : framework
- Scannez rapidement
- Minimiser la double manipulation causée par les faux positifs et les faux négatifs
Les outils peuvent être lents, encombrants et peu maniables. Mais surtout, ils ne trouvent que des problèmes, ils ne les résolvent pas et ne recommandent pas de solutions. Dans ce dernier cas, des experts en sécurité, peu nombreux et surchargés de travail, doivent fouiller dans les poubelles pour trouver des trésors grâce à des résultats interminables de pentests et de scans.
Le fait est que, selon le rapport IBM Cyber Security Intelligence Index, l'erreur humaine joue un rôle dans 95 % de toutes les violations de données réussies. Presque la moitié d'entre eux directement liés à vulnérabilités logicielles, dont beaucoup pourraient être atténués s'il y avait une plus grande adhésion au codage sécurisé et une sensibilisation accrue dès les premiers stades du SDLC. Cependant, pour y parvenir, il est essentiel de mettre davantage l'accent sur la formation des développeurs, en plus de la rendre intrinsèque à leur flux de travail.
Que cela nous plaise ou non, les humains sont profondément ancrés dans le processus de développement logiciel et la cybersécurité est avant tout un problème humain. Les outils ne seront pas un fourre-tout pour corriger une faille fondamentale de notre approche, mais ils peuvent jouer un rôle de soutien clé dans la refonte de solutions humaines.
Et si nous créions simplement de meilleurs outils (et beaucoup d'entre eux) ?
Les outils de sécurité ne cessent de s'améliorer. Les outils SAST/DAST/IAST ont parcouru un long chemin, améliorant leur vitesse et leur intelligence, et le RASP devrait constituer une considération défensive sérieuse dans de nombreux environnements d'application. Pare-feux, gestionnaires de secrets, applications de sécurité du cloud et des réseaux : tout cela va de soi.
Les humains peuvent toujours s'efforcer de créer de meilleurs outils, mais l'innovation ne répond pas aux besoins de sécurité et de protection des données du monde numérique dans lequel nous vivons. Les outils sont, pour la plupart, conçus pour les robots. Ils peuvent être là pour aider les développeurs et l'équipe de sécurité à scanner, surveiller ou protéger le code, mais l'interaction est très limitée et très peu de solutions visent à renforcer la sensibilisation à la sécurité ou à améliorer les compétences de base susceptibles d'améliorer les résultats en matière de sécurité.
En fait, plus de la moitié des entreprises ne savent même pas si les outils fonctionnent pour elles, ils ne sont pas non plus convaincus de pouvoir éviter une violation de données dévastatrice. C'est un très mauvais sentiment, et dans un secteur obsédé par les outils qui n'est pas soutenu pour une approche différente, cela tend à consolider le statu quo et à résoudre les problèmes qui s'y rattachent.
Comment une organisation peut-elle tirer parti d'une approche de la sécurité dirigée par l'homme ?
Il ne fait aucun doute qu'il est bénéfique de rester à l'avant-garde des tendances en matière de technologie de sécurité des applications, et peut même aider à hiérarchiser les mises à niveau ou les consolidations au sein d'une pile technologique surchargée, mais renoncer à cibler la cause première des logiciels vulnérables, nous ne sommes que des humains, nous resterons du côté des perdants sur le front de la cybersécurité.
Si nous voulons sérieusement réduire le nombre de failles de sécurité au niveau du code, les développeurs doivent disposer des bases nécessaires pour réussir à partager la responsabilité en matière de sécurité. Ils ont besoin d'une formation pratique et pertinente, de compétences en cours d'emploi et d'outils fonctionnels qui ne perturbent pas leur flux de travail et ne font pas de la sécurité une corvée à développer. Dans l'idéal, certains outils seraient centrés sur les développeurs et conçus en mettant l'expérience utilisateur au premier plan.
À ce jour, il n'existe aucun programme de certification de sécurité officiel pour les développeurs, mais chaque entreprise peut bénéficier de l'analyse comparative et du développement des compétences en matière de codage sécurisé, en éliminant les vulnérabilités courantes tôt et souvent, avant que cette grande pile technologique ne doive entrer en action et tout ralentir.
Une équipe de développeurs soucieux de la sécurité est un trésor caché pour toute organisation, mais comme pour tout ce qui en vaut la peine, il faudra du temps et des efforts pour mettre en place une équipe de rêve efficace. Pour convaincre les développeurs de se soucier de la sécurité et de considérer le codage sécurisé comme la base de la qualité du code, l'ensemble de l'organisation doit s'engager à placer la sécurité au premier plan. Et lorsque des équipes entières sont sensibilisées à l'impact positif qu'elles peuvent jouer en éliminant les vulnérabilités courantes au fur et à mesure de l'écriture du code, aucun outil sur Terre ne peut rivaliser.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Afficher le rapportRéservez une démo
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Une version de cet article a été publiée dans Help Net Security. Il a été mis à jour et diffusé ici.
J'ai passé ma carrière à trouver, à corriger, à discuter et à décomposer vulnérabilités logicielles, d'une manière ou d'une autre. Je sais qu'en ce qui concerne certains bogues de sécurité courants, bien qu'ils soient sur notre orbite depuis les années 90, ils continuent de sévir dans nos logiciels et de provoquer des problèmes majeurs, même si le correctif (souvent simple) est connu depuis presque aussi longtemps. C'est vraiment comme le jour de la marmotte, où, en tant qu'industrie, nous semblons faire la même chose encore et encore et nous attendre à un résultat différent.
Il y a cependant un autre petit problème. Nous ne recevons pas de conseils réalistes, ni de solutions les plus rapides, pour combattre l'assaut incessant qu'est la cybersécurité moderne. Bien entendu, chaque faille est différente à sa manière, et de nombreux vecteurs d'attaque peuvent être exploités dans des logiciels vulnérables. Les conseils génériques réalisables seront limités, mais l'approche des meilleures pratiques semble de plus en plus imparfaite d'heure en heure.
À cette fin, je me demande pourquoi tant de commentaires et d'analyses sur la cybersécurité omettent les solutions qui s'attaquent réellement à la cause première de tant de vulnérabilités : les humains. Le plus récent rapport de Gartner Hype Cycle pour la sécurité des applications, et celui de Forrester L'état de la sécurité des applications en 2021, deux bibles destinées aux experts en sécurité qui contribuent sans aucun doute à façonner leur programme et à l'adoption potentielle de leurs produits, sont presque entièrement axées sur les outils. Un rapport publié par Aberdeen en 2017 a montré à quel point la technologie de sécurité moyenne était devenue indisciplinée, alors que les RSSI gèrent des centaines de produits dans le cadre de leurs stratégies de sécurité ; quatre ans plus tard, nous sommes confrontés à de nouveaux risques, à de nouvelles vulnérabilités et à de nouveaux ajouts à une pile technologique en pleine croissance.
L'outillage de sécurité est indispensable, mais nous devons avoir une vision plus large et rétablir l'équilibre entre la composante humaine de la défense de la sécurité.
L'automatisation, c'est l'avenir. Pourquoi devrions-nous nous intéresser à l'aspect humain de la cybersécurité ?
Pratiquement tout dans notre vie est alimenté par des logiciels, et il est vrai que l'automatisation remplace les éléments humains qui étaient autrefois présents dans de nombreux secteurs. C'est un signe de progrès dans un monde qui se numérise à toute vitesse, avec des sujets d'actualité liés à l'IA et à l'apprentissage automatique qui permettent à de nombreuses organisations de se concentrer sur l'avenir.
Alors, pourquoi une approche de la cybersécurité axée sur l'humain serait-elle autre chose qu'une solution obsolète à un problème technologiquement avancé ? Le fait que des milliards d'enregistrements de données aient été volés lors de violations au cours de l'année écoulée, y compris la plus récente violation de Facebook affectant plus d'un demi-milliard de comptes, devrait indiquer que nous n'en faisons pas assez (ou que nous n'adoptons pas la bonne approche) pour contrer sérieusement les acteurs de la menace.
Les outils de cybersécurité sont une composante indispensable de la cyberdéfense, et les outils auront toujours leur place. Les analystes ont tout à fait raison de recommander les outils les plus récents en matière d'approche d'atténuation des risques pour les entreprises, et cela ne changera pas. Cependant, étant donné que la qualité du code (et, par définition, la sécurité) est difficile à gérer au moment de la production de code, les outils ne peuvent pas faire le travail seuls. À ce jour, il n'existe pas d'outil unique capable de :
- Scannez toutes les vulnérabilités, dans tous les langages : framework
- Scannez rapidement
- Minimiser la double manipulation causée par les faux positifs et les faux négatifs
Les outils peuvent être lents, encombrants et peu maniables. Mais surtout, ils ne trouvent que des problèmes, ils ne les résolvent pas et ne recommandent pas de solutions. Dans ce dernier cas, des experts en sécurité, peu nombreux et surchargés de travail, doivent fouiller dans les poubelles pour trouver des trésors grâce à des résultats interminables de pentests et de scans.
Le fait est que, selon le rapport IBM Cyber Security Intelligence Index, l'erreur humaine joue un rôle dans 95 % de toutes les violations de données réussies. Presque la moitié d'entre eux directement liés à vulnérabilités logicielles, dont beaucoup pourraient être atténués s'il y avait une plus grande adhésion au codage sécurisé et une sensibilisation accrue dès les premiers stades du SDLC. Cependant, pour y parvenir, il est essentiel de mettre davantage l'accent sur la formation des développeurs, en plus de la rendre intrinsèque à leur flux de travail.
Que cela nous plaise ou non, les humains sont profondément ancrés dans le processus de développement logiciel et la cybersécurité est avant tout un problème humain. Les outils ne seront pas un fourre-tout pour corriger une faille fondamentale de notre approche, mais ils peuvent jouer un rôle de soutien clé dans la refonte de solutions humaines.
Et si nous créions simplement de meilleurs outils (et beaucoup d'entre eux) ?
Les outils de sécurité ne cessent de s'améliorer. Les outils SAST/DAST/IAST ont parcouru un long chemin, améliorant leur vitesse et leur intelligence, et le RASP devrait constituer une considération défensive sérieuse dans de nombreux environnements d'application. Pare-feux, gestionnaires de secrets, applications de sécurité du cloud et des réseaux : tout cela va de soi.
Les humains peuvent toujours s'efforcer de créer de meilleurs outils, mais l'innovation ne répond pas aux besoins de sécurité et de protection des données du monde numérique dans lequel nous vivons. Les outils sont, pour la plupart, conçus pour les robots. Ils peuvent être là pour aider les développeurs et l'équipe de sécurité à scanner, surveiller ou protéger le code, mais l'interaction est très limitée et très peu de solutions visent à renforcer la sensibilisation à la sécurité ou à améliorer les compétences de base susceptibles d'améliorer les résultats en matière de sécurité.
En fait, plus de la moitié des entreprises ne savent même pas si les outils fonctionnent pour elles, ils ne sont pas non plus convaincus de pouvoir éviter une violation de données dévastatrice. C'est un très mauvais sentiment, et dans un secteur obsédé par les outils qui n'est pas soutenu pour une approche différente, cela tend à consolider le statu quo et à résoudre les problèmes qui s'y rattachent.
Comment une organisation peut-elle tirer parti d'une approche de la sécurité dirigée par l'homme ?
Il ne fait aucun doute qu'il est bénéfique de rester à l'avant-garde des tendances en matière de technologie de sécurité des applications, et peut même aider à hiérarchiser les mises à niveau ou les consolidations au sein d'une pile technologique surchargée, mais renoncer à cibler la cause première des logiciels vulnérables, nous ne sommes que des humains, nous resterons du côté des perdants sur le front de la cybersécurité.
Si nous voulons sérieusement réduire le nombre de failles de sécurité au niveau du code, les développeurs doivent disposer des bases nécessaires pour réussir à partager la responsabilité en matière de sécurité. Ils ont besoin d'une formation pratique et pertinente, de compétences en cours d'emploi et d'outils fonctionnels qui ne perturbent pas leur flux de travail et ne font pas de la sécurité une corvée à développer. Dans l'idéal, certains outils seraient centrés sur les développeurs et conçus en mettant l'expérience utilisateur au premier plan.
À ce jour, il n'existe aucun programme de certification de sécurité officiel pour les développeurs, mais chaque entreprise peut bénéficier de l'analyse comparative et du développement des compétences en matière de codage sécurisé, en éliminant les vulnérabilités courantes tôt et souvent, avant que cette grande pile technologique ne doive entrer en action et tout ralentir.
Une équipe de développeurs soucieux de la sécurité est un trésor caché pour toute organisation, mais comme pour tout ce qui en vaut la peine, il faudra du temps et des efforts pour mettre en place une équipe de rêve efficace. Pour convaincre les développeurs de se soucier de la sécurité et de considérer le codage sécurisé comme la base de la qualité du code, l'ensemble de l'organisation doit s'engager à placer la sécurité au premier plan. Et lorsque des équipes entières sont sensibilisées à l'impact positif qu'elles peuvent jouer en éliminant les vulnérabilités courantes au fur et à mesure de l'écriture du code, aucun outil sur Terre ne peut rivaliser.
Table des matières
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démoTéléchargerRessources pour vous aider à démarrer
Sujets et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions d'IA Beat the Boss sont désormais disponibles à la demande
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Déployez des défis de sécurité avancés liés à l'IA et au LLM pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyberrésilience : ce que cela signifie pour le développement de logiciels sécurisés dès la conception
Découvrez ce que la loi européenne sur la cyberrésilience (CRA) exige, à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Enabler 1 donne le coup d'envoi de notre série en 10 parties intitulée Enablers of Success en montrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité pour assurer la maturité à long terme des programmes.
