Transformer la fastidieuse conformité PCI-DSS en un exercice pertinent pour tous : partie 1 - AppSec
Il s'agit de la première partie d'une série en deux parties sur la conformité réussie à la norme PCI-DSS au sein d'une organisation. Dans ce chapitre, nous expliquons comment les spécialistes AppSec peuvent travailler en étroite collaboration avec les responsables du développement pour responsabiliser les développeurs, renforcer le SSDLC et obtenir des résultats spécifiques grâce à la législation générale.
Le mot « conformité » n'est pas très intéressant. C'est formel, sec, directif... même un peu restrictif dans son ton. S'il avait une couleur, ce serait le beige. Et bien, cela semble aller à l'encontre de tout type d'environnement créatif ou d'innovation.
En tant que développeur, mon expérience de « conformité » impliquait généralement la lecture (verticale) de certaines directives ou le visionnage d'une présentation, avant de revenir au codage des fonctionnalités et de me concentrer sur la création de logiciels que les clients utiliseront et adoreront. Tout le monde fait ce qu'il peut au moment présent (et essaie de faire ce qu'il faut à tout moment), mais les directives de conformité, en particulier celles qui concernent les meilleures pratiques de sécurité, ne sont généralement pas rédigées avec les développeurs comme public cible, et les actions requises peuvent être floues. Dans ce scénario, il est trop facile de se contenter de rester concentré sur les objectifs actuels.
Le fait est que le développement de logiciels sécurisés n'est plus un avantage pour aucune entreprise ; il est (ou devrait être) une priorité dans toutes les organisations... Et si elle détient de grandes quantités d'informations sensibles sur ses clients, cette entreprise est prête à faire le choix en matière de cyberattaques. Les développeurs sont les premiers à se familiariser avec le code et, à ce titre, devraient être tout aussi impliqués que le reste de l'équipe dans toutes les mesures de conformité en matière de sécurité.
Mais attendez... écoutez-moi. Cela ne signifie pas que tout le monde doit devenir l'esclave d'un développement et de résultats logiciels rigides et sans créativité. Cela signifie que l'entreprise a la possibilité et le pouvoir de créer ensemble un niveau de code plus élevé. Lentement, le monde se rend compte qu'à ce jour, les développeurs ne disposent pas des bons outils pour faire de la sécurité une priorité (et les spécialistes de la sécurité cloisonnés ne peuvent pas en assumer seuls la responsabilité). Cependant, alors que le secteur évolue vers un avenir DevSecOps où la sécurité est une responsabilité partagée, ils peuvent contribuer à endiguer le flux de vulnérabilités récurrentes lorsqu'ils sont configurés pour réussir.
Les directives PCI-DSS couvrent la conformité en matière de sécurité en ligne pour les passerelles de paiement par carte, un service que la plupart d'entre nous utilisent régulièrement. Ces directives sont applicables dans le monde entier, et elles ont en fait décrit en détail ce que les développeurs doivent faire pour maintenir les normes conformément à leurs mandats, aux côtés plusieurs documents de conformité dans tous les aspects du commerce électronique.
Les violations de données constituent des risques effrayants et destructeurs de réputation que les entreprises ne peuvent pas se permettre, et Cyber Security Ventures donne des conseils sur les violations du jour zéro pour atteindre un par jour en 2021, chacun des acteurs du processus de fourniture de logiciels peut contribuer à lutter contre ce problème.
Décrivons les recommandations PCI-DSS et expliquons comment elles peuvent fonctionner au sein de l'équipe :
Bonjour, équipes AppSec et Compliance : toutes les formations destinées aux développeurs ne se valent pas
Les développeurs des grandes (ou même des petites) organisations participent rarement pleinement à la formation qu'ils reçoivent sur le tas. Afin de conserver les meilleurs employés, certaines entreprises proposent des programmes complets, mais ceux-ci sont encore moins courants qu'ils ne devraient l'être. Le besoin de formation en matière de sécurité représente une excellente occasion non seulement de lancer la mise en conformité de l'organisation sans ennuyer tout le monde, mais également de commencer à nouer des relations glaciales avec l'équipe de développement.
En termes de conformité PCI, vous pouvez constater que leurs directives sont spécifiques quant aux résultats qu'ils peuvent attendre de tout logiciel exécutant des passerelles de paiement ; entre autres objectifs, ils souhaitent que les applications soient renforcées (vital pour contrecarrer les programmes malveillants). injection de code ou falsification), des contrôles de moindre privilège et une prise de conscience complète des vulnérabilités courantes... au minimum. Tout le personnel travaillant avec les données des titulaires de cartes doit être correctement formé, et pour les développeurs, cette formation peut faire ou défaire leur réussite en matière d'écriture de code sécurisé dès le début de leur processus.
L'officiel Meilleures pratiques pour maintenir la conformité à la norme PCI-DSS le document détaille certains concepts directs liés à la sensibilisation à la sécurité, aux besoins des développeurs et à la formation appropriée, tels que :
Tous droits réservés © 2006 - 2020 Conseil des normes de sécurité PCI, LLC. Tous droits réservés.
Cela donne un aperçu de la formation spécifique et approfondie requise pour doter les développeurs des compétences nécessaires, mais aucun type particulier de solutions pédagogiques n'est plus efficace qu'un autre. Le guide PCI-DSS pour les développeurs est un peu plus direct, identifiant le Top 10 de l'OWASP comme une référence pour apprendre à identifier et à corriger les vulnérabilités les plus courantes, ainsi que certains programmes de certification.
Mais... voici le hic. Comme vous le savez sans doute grâce aux diverses initiatives de formation et de conformité en milieu de travail, leur qualité et leur succès futur peuvent varier considérablement. Et en ce qui concerne les développeurs, de nombreux programmes de formation au codage sécurisé ne semblent pas répondre de manière significative à nos besoins, à nos méthodes de travail ou même à notre travail quotidien. Dans ce scénario, toutes les formations ne sont pas créées de la même manière, et toutes les formations n'aboutiront pas à un logiciel plus sécurisé. Bien entendu, c'est exactement le contraire du résultat que vous souhaitez obtenir, et cela ne réduira pas de manière significative le stress lié à votre travail. Si vous voulez réduire le fardeau et empêcher les vulnérabilités courantes de provoquer des catastrophes potentielles, vous devrez construire un pont.
Combler le déficit de compétences en matière de sécurité en faisant appel à des responsables de l'ingénierie
Travailler directement avec les responsables de l'ingénierie pour trouver une solution adaptée à l'objectif, tout en étant adoptée par les personnes réellement chargées de la mettre en œuvre, permet d'obtenir rapidement des résultats positifs en matière de sécurité. Ils auront un aperçu plus immédiat de leur propre équipe et pourront parler à tous les bloqueurs qui ont déjà rendu la formation à la conformité difficile (si ce n'est pas une expérience formidable, la plupart du temps).
Les formations en classe, la vidéo à la demande et tous les exercices ponctuels à cocher font qu'il est très difficile de rester à jour ; il s'agit de solutions statiques qui ne peuvent pas suivre le rythme du paysage en constante évolution qu'est le secteur de la cybersécurité. En fin de compte, le responsable de l'ingénierie souhaitera valoriser le temps qui lui est consacré. Il est important de travailler avec lui et de proposer des options viables qui répondent à l'objectif commun de tous : un code plus sécurisé et plus conforme.
Alors, à quoi ressemble un bon entraînement ? Il ne sert à rien d'apprendre à coder en toute sécurité en saisissant de gros volumes d'informations une seule fois. Un processus d'apprentissage progressif et de petite envergure le rend beaucoup plus facile à mémoriser et à appliquer en contexte, et il doit absolument être dans les langages et les cadres utilisés au quotidien. Personnellement, je veux relever des défis et je veux voir un but à mes efforts. Nous sommes tous assez occupés en l'état, n'est-ce pas ?
Pour se conformer aux meilleures pratiques PCI-DSS décrites ci-dessus, en fonction de la solution choisie, les responsables peuvent être amenés à créer une mosaïque de cours couvrant tous les langages et frameworks utilisés dans l'entreprise. C'est là que les choses se compliquent, sans parler des difficultés à évaluer pour les équipes de sécurité et de conformité des applications en termes d'impact sur la sécurité et la réduction des vulnérabilités des logiciels. Travaillez ensemble pour trouver la solution idéale, au lieu de vous précipiter dans la mauvaise option pour obtenir un résultat rapide. Sinon, vous pourriez vous retrouver avec une solution d'entraînement Frankenstein... et ça a l'air très effrayant.
Merci d'avoir consulté la première partie de cette mini-série PCI-DSS. Dans le dernier chapitre, nous verrons comment les RSSI et les directeurs techniques peuvent contribuer à cette transformation de la culture, donner des moyens aux équipes, et comment les acteurs de première ligne en matière de sécurité, « votre cohorte de développeurs », peuvent tirer parti de la sensibilisation et de la conformité à la norme PCI-DSS à leur avantage.
Il s'agit de la première partie d'une série en deux parties sur la conformité réussie à la norme PCI-DSS au sein d'une organisation. Dans ce chapitre, nous expliquons comment les spécialistes AppSec peuvent travailler en étroite collaboration avec les responsables du développement pour responsabiliser les développeurs, renforcer le SSDLC et obtenir des résultats spécifiques grâce à la législation générale.
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démo
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
Il s'agit de la première partie d'une série en deux parties sur la conformité réussie à la norme PCI-DSS au sein d'une organisation. Dans ce chapitre, nous expliquons comment les spécialistes AppSec peuvent travailler en étroite collaboration avec les responsables du développement pour responsabiliser les développeurs, renforcer le SSDLC et obtenir des résultats spécifiques grâce à la législation générale.
Le mot « conformité » n'est pas très intéressant. C'est formel, sec, directif... même un peu restrictif dans son ton. S'il avait une couleur, ce serait le beige. Et bien, cela semble aller à l'encontre de tout type d'environnement créatif ou d'innovation.
En tant que développeur, mon expérience de « conformité » impliquait généralement la lecture (verticale) de certaines directives ou le visionnage d'une présentation, avant de revenir au codage des fonctionnalités et de me concentrer sur la création de logiciels que les clients utiliseront et adoreront. Tout le monde fait ce qu'il peut au moment présent (et essaie de faire ce qu'il faut à tout moment), mais les directives de conformité, en particulier celles qui concernent les meilleures pratiques de sécurité, ne sont généralement pas rédigées avec les développeurs comme public cible, et les actions requises peuvent être floues. Dans ce scénario, il est trop facile de se contenter de rester concentré sur les objectifs actuels.
Le fait est que le développement de logiciels sécurisés n'est plus un avantage pour aucune entreprise ; il est (ou devrait être) une priorité dans toutes les organisations... Et si elle détient de grandes quantités d'informations sensibles sur ses clients, cette entreprise est prête à faire le choix en matière de cyberattaques. Les développeurs sont les premiers à se familiariser avec le code et, à ce titre, devraient être tout aussi impliqués que le reste de l'équipe dans toutes les mesures de conformité en matière de sécurité.
Mais attendez... écoutez-moi. Cela ne signifie pas que tout le monde doit devenir l'esclave d'un développement et de résultats logiciels rigides et sans créativité. Cela signifie que l'entreprise a la possibilité et le pouvoir de créer ensemble un niveau de code plus élevé. Lentement, le monde se rend compte qu'à ce jour, les développeurs ne disposent pas des bons outils pour faire de la sécurité une priorité (et les spécialistes de la sécurité cloisonnés ne peuvent pas en assumer seuls la responsabilité). Cependant, alors que le secteur évolue vers un avenir DevSecOps où la sécurité est une responsabilité partagée, ils peuvent contribuer à endiguer le flux de vulnérabilités récurrentes lorsqu'ils sont configurés pour réussir.
Les directives PCI-DSS couvrent la conformité en matière de sécurité en ligne pour les passerelles de paiement par carte, un service que la plupart d'entre nous utilisent régulièrement. Ces directives sont applicables dans le monde entier, et elles ont en fait décrit en détail ce que les développeurs doivent faire pour maintenir les normes conformément à leurs mandats, aux côtés plusieurs documents de conformité dans tous les aspects du commerce électronique.
Les violations de données constituent des risques effrayants et destructeurs de réputation que les entreprises ne peuvent pas se permettre, et Cyber Security Ventures donne des conseils sur les violations du jour zéro pour atteindre un par jour en 2021, chacun des acteurs du processus de fourniture de logiciels peut contribuer à lutter contre ce problème.
Décrivons les recommandations PCI-DSS et expliquons comment elles peuvent fonctionner au sein de l'équipe :
Bonjour, équipes AppSec et Compliance : toutes les formations destinées aux développeurs ne se valent pas
Les développeurs des grandes (ou même des petites) organisations participent rarement pleinement à la formation qu'ils reçoivent sur le tas. Afin de conserver les meilleurs employés, certaines entreprises proposent des programmes complets, mais ceux-ci sont encore moins courants qu'ils ne devraient l'être. Le besoin de formation en matière de sécurité représente une excellente occasion non seulement de lancer la mise en conformité de l'organisation sans ennuyer tout le monde, mais également de commencer à nouer des relations glaciales avec l'équipe de développement.
En termes de conformité PCI, vous pouvez constater que leurs directives sont spécifiques quant aux résultats qu'ils peuvent attendre de tout logiciel exécutant des passerelles de paiement ; entre autres objectifs, ils souhaitent que les applications soient renforcées (vital pour contrecarrer les programmes malveillants). injection de code ou falsification), des contrôles de moindre privilège et une prise de conscience complète des vulnérabilités courantes... au minimum. Tout le personnel travaillant avec les données des titulaires de cartes doit être correctement formé, et pour les développeurs, cette formation peut faire ou défaire leur réussite en matière d'écriture de code sécurisé dès le début de leur processus.
L'officiel Meilleures pratiques pour maintenir la conformité à la norme PCI-DSS le document détaille certains concepts directs liés à la sensibilisation à la sécurité, aux besoins des développeurs et à la formation appropriée, tels que :
Tous droits réservés © 2006 - 2020 Conseil des normes de sécurité PCI, LLC. Tous droits réservés.
Cela donne un aperçu de la formation spécifique et approfondie requise pour doter les développeurs des compétences nécessaires, mais aucun type particulier de solutions pédagogiques n'est plus efficace qu'un autre. Le guide PCI-DSS pour les développeurs est un peu plus direct, identifiant le Top 10 de l'OWASP comme une référence pour apprendre à identifier et à corriger les vulnérabilités les plus courantes, ainsi que certains programmes de certification.
Mais... voici le hic. Comme vous le savez sans doute grâce aux diverses initiatives de formation et de conformité en milieu de travail, leur qualité et leur succès futur peuvent varier considérablement. Et en ce qui concerne les développeurs, de nombreux programmes de formation au codage sécurisé ne semblent pas répondre de manière significative à nos besoins, à nos méthodes de travail ou même à notre travail quotidien. Dans ce scénario, toutes les formations ne sont pas créées de la même manière, et toutes les formations n'aboutiront pas à un logiciel plus sécurisé. Bien entendu, c'est exactement le contraire du résultat que vous souhaitez obtenir, et cela ne réduira pas de manière significative le stress lié à votre travail. Si vous voulez réduire le fardeau et empêcher les vulnérabilités courantes de provoquer des catastrophes potentielles, vous devrez construire un pont.
Combler le déficit de compétences en matière de sécurité en faisant appel à des responsables de l'ingénierie
Travailler directement avec les responsables de l'ingénierie pour trouver une solution adaptée à l'objectif, tout en étant adoptée par les personnes réellement chargées de la mettre en œuvre, permet d'obtenir rapidement des résultats positifs en matière de sécurité. Ils auront un aperçu plus immédiat de leur propre équipe et pourront parler à tous les bloqueurs qui ont déjà rendu la formation à la conformité difficile (si ce n'est pas une expérience formidable, la plupart du temps).
Les formations en classe, la vidéo à la demande et tous les exercices ponctuels à cocher font qu'il est très difficile de rester à jour ; il s'agit de solutions statiques qui ne peuvent pas suivre le rythme du paysage en constante évolution qu'est le secteur de la cybersécurité. En fin de compte, le responsable de l'ingénierie souhaitera valoriser le temps qui lui est consacré. Il est important de travailler avec lui et de proposer des options viables qui répondent à l'objectif commun de tous : un code plus sécurisé et plus conforme.
Alors, à quoi ressemble un bon entraînement ? Il ne sert à rien d'apprendre à coder en toute sécurité en saisissant de gros volumes d'informations une seule fois. Un processus d'apprentissage progressif et de petite envergure le rend beaucoup plus facile à mémoriser et à appliquer en contexte, et il doit absolument être dans les langages et les cadres utilisés au quotidien. Personnellement, je veux relever des défis et je veux voir un but à mes efforts. Nous sommes tous assez occupés en l'état, n'est-ce pas ?
Pour se conformer aux meilleures pratiques PCI-DSS décrites ci-dessus, en fonction de la solution choisie, les responsables peuvent être amenés à créer une mosaïque de cours couvrant tous les langages et frameworks utilisés dans l'entreprise. C'est là que les choses se compliquent, sans parler des difficultés à évaluer pour les équipes de sécurité et de conformité des applications en termes d'impact sur la sécurité et la réduction des vulnérabilités des logiciels. Travaillez ensemble pour trouver la solution idéale, au lieu de vous précipiter dans la mauvaise option pour obtenir un résultat rapide. Sinon, vous pourriez vous retrouver avec une solution d'entraînement Frankenstein... et ça a l'air très effrayant.
Merci d'avoir consulté la première partie de cette mini-série PCI-DSS. Dans le dernier chapitre, nous verrons comment les RSSI et les directeurs techniques peuvent contribuer à cette transformation de la culture, donner des moyens aux équipes, et comment les acteurs de première ligne en matière de sécurité, « votre cohorte de développeurs », peuvent tirer parti de la sensibilisation et de la conformité à la norme PCI-DSS à leur avantage.
Il s'agit de la première partie d'une série en deux parties sur la conformité réussie à la norme PCI-DSS au sein d'une organisation. Dans ce chapitre, nous expliquons comment les spécialistes AppSec peuvent travailler en étroite collaboration avec les responsables du développement pour responsabiliser les développeurs, renforcer le SSDLC et obtenir des résultats spécifiques grâce à la législation générale.
Le mot « conformité » n'est pas très intéressant. C'est formel, sec, directif... même un peu restrictif dans son ton. S'il avait une couleur, ce serait le beige. Et bien, cela semble aller à l'encontre de tout type d'environnement créatif ou d'innovation.
En tant que développeur, mon expérience de « conformité » impliquait généralement la lecture (verticale) de certaines directives ou le visionnage d'une présentation, avant de revenir au codage des fonctionnalités et de me concentrer sur la création de logiciels que les clients utiliseront et adoreront. Tout le monde fait ce qu'il peut au moment présent (et essaie de faire ce qu'il faut à tout moment), mais les directives de conformité, en particulier celles qui concernent les meilleures pratiques de sécurité, ne sont généralement pas rédigées avec les développeurs comme public cible, et les actions requises peuvent être floues. Dans ce scénario, il est trop facile de se contenter de rester concentré sur les objectifs actuels.
Le fait est que le développement de logiciels sécurisés n'est plus un avantage pour aucune entreprise ; il est (ou devrait être) une priorité dans toutes les organisations... Et si elle détient de grandes quantités d'informations sensibles sur ses clients, cette entreprise est prête à faire le choix en matière de cyberattaques. Les développeurs sont les premiers à se familiariser avec le code et, à ce titre, devraient être tout aussi impliqués que le reste de l'équipe dans toutes les mesures de conformité en matière de sécurité.
Mais attendez... écoutez-moi. Cela ne signifie pas que tout le monde doit devenir l'esclave d'un développement et de résultats logiciels rigides et sans créativité. Cela signifie que l'entreprise a la possibilité et le pouvoir de créer ensemble un niveau de code plus élevé. Lentement, le monde se rend compte qu'à ce jour, les développeurs ne disposent pas des bons outils pour faire de la sécurité une priorité (et les spécialistes de la sécurité cloisonnés ne peuvent pas en assumer seuls la responsabilité). Cependant, alors que le secteur évolue vers un avenir DevSecOps où la sécurité est une responsabilité partagée, ils peuvent contribuer à endiguer le flux de vulnérabilités récurrentes lorsqu'ils sont configurés pour réussir.
Les directives PCI-DSS couvrent la conformité en matière de sécurité en ligne pour les passerelles de paiement par carte, un service que la plupart d'entre nous utilisent régulièrement. Ces directives sont applicables dans le monde entier, et elles ont en fait décrit en détail ce que les développeurs doivent faire pour maintenir les normes conformément à leurs mandats, aux côtés plusieurs documents de conformité dans tous les aspects du commerce électronique.
Les violations de données constituent des risques effrayants et destructeurs de réputation que les entreprises ne peuvent pas se permettre, et Cyber Security Ventures donne des conseils sur les violations du jour zéro pour atteindre un par jour en 2021, chacun des acteurs du processus de fourniture de logiciels peut contribuer à lutter contre ce problème.
Décrivons les recommandations PCI-DSS et expliquons comment elles peuvent fonctionner au sein de l'équipe :
Bonjour, équipes AppSec et Compliance : toutes les formations destinées aux développeurs ne se valent pas
Les développeurs des grandes (ou même des petites) organisations participent rarement pleinement à la formation qu'ils reçoivent sur le tas. Afin de conserver les meilleurs employés, certaines entreprises proposent des programmes complets, mais ceux-ci sont encore moins courants qu'ils ne devraient l'être. Le besoin de formation en matière de sécurité représente une excellente occasion non seulement de lancer la mise en conformité de l'organisation sans ennuyer tout le monde, mais également de commencer à nouer des relations glaciales avec l'équipe de développement.
En termes de conformité PCI, vous pouvez constater que leurs directives sont spécifiques quant aux résultats qu'ils peuvent attendre de tout logiciel exécutant des passerelles de paiement ; entre autres objectifs, ils souhaitent que les applications soient renforcées (vital pour contrecarrer les programmes malveillants). injection de code ou falsification), des contrôles de moindre privilège et une prise de conscience complète des vulnérabilités courantes... au minimum. Tout le personnel travaillant avec les données des titulaires de cartes doit être correctement formé, et pour les développeurs, cette formation peut faire ou défaire leur réussite en matière d'écriture de code sécurisé dès le début de leur processus.
L'officiel Meilleures pratiques pour maintenir la conformité à la norme PCI-DSS le document détaille certains concepts directs liés à la sensibilisation à la sécurité, aux besoins des développeurs et à la formation appropriée, tels que :
Tous droits réservés © 2006 - 2020 Conseil des normes de sécurité PCI, LLC. Tous droits réservés.
Cela donne un aperçu de la formation spécifique et approfondie requise pour doter les développeurs des compétences nécessaires, mais aucun type particulier de solutions pédagogiques n'est plus efficace qu'un autre. Le guide PCI-DSS pour les développeurs est un peu plus direct, identifiant le Top 10 de l'OWASP comme une référence pour apprendre à identifier et à corriger les vulnérabilités les plus courantes, ainsi que certains programmes de certification.
Mais... voici le hic. Comme vous le savez sans doute grâce aux diverses initiatives de formation et de conformité en milieu de travail, leur qualité et leur succès futur peuvent varier considérablement. Et en ce qui concerne les développeurs, de nombreux programmes de formation au codage sécurisé ne semblent pas répondre de manière significative à nos besoins, à nos méthodes de travail ou même à notre travail quotidien. Dans ce scénario, toutes les formations ne sont pas créées de la même manière, et toutes les formations n'aboutiront pas à un logiciel plus sécurisé. Bien entendu, c'est exactement le contraire du résultat que vous souhaitez obtenir, et cela ne réduira pas de manière significative le stress lié à votre travail. Si vous voulez réduire le fardeau et empêcher les vulnérabilités courantes de provoquer des catastrophes potentielles, vous devrez construire un pont.
Combler le déficit de compétences en matière de sécurité en faisant appel à des responsables de l'ingénierie
Travailler directement avec les responsables de l'ingénierie pour trouver une solution adaptée à l'objectif, tout en étant adoptée par les personnes réellement chargées de la mettre en œuvre, permet d'obtenir rapidement des résultats positifs en matière de sécurité. Ils auront un aperçu plus immédiat de leur propre équipe et pourront parler à tous les bloqueurs qui ont déjà rendu la formation à la conformité difficile (si ce n'est pas une expérience formidable, la plupart du temps).
Les formations en classe, la vidéo à la demande et tous les exercices ponctuels à cocher font qu'il est très difficile de rester à jour ; il s'agit de solutions statiques qui ne peuvent pas suivre le rythme du paysage en constante évolution qu'est le secteur de la cybersécurité. En fin de compte, le responsable de l'ingénierie souhaitera valoriser le temps qui lui est consacré. Il est important de travailler avec lui et de proposer des options viables qui répondent à l'objectif commun de tous : un code plus sécurisé et plus conforme.
Alors, à quoi ressemble un bon entraînement ? Il ne sert à rien d'apprendre à coder en toute sécurité en saisissant de gros volumes d'informations une seule fois. Un processus d'apprentissage progressif et de petite envergure le rend beaucoup plus facile à mémoriser et à appliquer en contexte, et il doit absolument être dans les langages et les cadres utilisés au quotidien. Personnellement, je veux relever des défis et je veux voir un but à mes efforts. Nous sommes tous assez occupés en l'état, n'est-ce pas ?
Pour se conformer aux meilleures pratiques PCI-DSS décrites ci-dessus, en fonction de la solution choisie, les responsables peuvent être amenés à créer une mosaïque de cours couvrant tous les langages et frameworks utilisés dans l'entreprise. C'est là que les choses se compliquent, sans parler des difficultés à évaluer pour les équipes de sécurité et de conformité des applications en termes d'impact sur la sécurité et la réduction des vulnérabilités des logiciels. Travaillez ensemble pour trouver la solution idéale, au lieu de vous précipiter dans la mauvaise option pour obtenir un résultat rapide. Sinon, vous pourriez vous retrouver avec une solution d'entraînement Frankenstein... et ça a l'air très effrayant.
Merci d'avoir consulté la première partie de cette mini-série PCI-DSS. Dans le dernier chapitre, nous verrons comment les RSSI et les directeurs techniques peuvent contribuer à cette transformation de la culture, donner des moyens aux équipes, et comment les acteurs de première ligne en matière de sécurité, « votre cohorte de développeurs », peuvent tirer parti de la sensibilisation et de la conformité à la norme PCI-DSS à leur avantage.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Afficher le rapportRéservez une démo
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
Il s'agit de la première partie d'une série en deux parties sur la conformité réussie à la norme PCI-DSS au sein d'une organisation. Dans ce chapitre, nous expliquons comment les spécialistes AppSec peuvent travailler en étroite collaboration avec les responsables du développement pour responsabiliser les développeurs, renforcer le SSDLC et obtenir des résultats spécifiques grâce à la législation générale.
Le mot « conformité » n'est pas très intéressant. C'est formel, sec, directif... même un peu restrictif dans son ton. S'il avait une couleur, ce serait le beige. Et bien, cela semble aller à l'encontre de tout type d'environnement créatif ou d'innovation.
En tant que développeur, mon expérience de « conformité » impliquait généralement la lecture (verticale) de certaines directives ou le visionnage d'une présentation, avant de revenir au codage des fonctionnalités et de me concentrer sur la création de logiciels que les clients utiliseront et adoreront. Tout le monde fait ce qu'il peut au moment présent (et essaie de faire ce qu'il faut à tout moment), mais les directives de conformité, en particulier celles qui concernent les meilleures pratiques de sécurité, ne sont généralement pas rédigées avec les développeurs comme public cible, et les actions requises peuvent être floues. Dans ce scénario, il est trop facile de se contenter de rester concentré sur les objectifs actuels.
Le fait est que le développement de logiciels sécurisés n'est plus un avantage pour aucune entreprise ; il est (ou devrait être) une priorité dans toutes les organisations... Et si elle détient de grandes quantités d'informations sensibles sur ses clients, cette entreprise est prête à faire le choix en matière de cyberattaques. Les développeurs sont les premiers à se familiariser avec le code et, à ce titre, devraient être tout aussi impliqués que le reste de l'équipe dans toutes les mesures de conformité en matière de sécurité.
Mais attendez... écoutez-moi. Cela ne signifie pas que tout le monde doit devenir l'esclave d'un développement et de résultats logiciels rigides et sans créativité. Cela signifie que l'entreprise a la possibilité et le pouvoir de créer ensemble un niveau de code plus élevé. Lentement, le monde se rend compte qu'à ce jour, les développeurs ne disposent pas des bons outils pour faire de la sécurité une priorité (et les spécialistes de la sécurité cloisonnés ne peuvent pas en assumer seuls la responsabilité). Cependant, alors que le secteur évolue vers un avenir DevSecOps où la sécurité est une responsabilité partagée, ils peuvent contribuer à endiguer le flux de vulnérabilités récurrentes lorsqu'ils sont configurés pour réussir.
Les directives PCI-DSS couvrent la conformité en matière de sécurité en ligne pour les passerelles de paiement par carte, un service que la plupart d'entre nous utilisent régulièrement. Ces directives sont applicables dans le monde entier, et elles ont en fait décrit en détail ce que les développeurs doivent faire pour maintenir les normes conformément à leurs mandats, aux côtés plusieurs documents de conformité dans tous les aspects du commerce électronique.
Les violations de données constituent des risques effrayants et destructeurs de réputation que les entreprises ne peuvent pas se permettre, et Cyber Security Ventures donne des conseils sur les violations du jour zéro pour atteindre un par jour en 2021, chacun des acteurs du processus de fourniture de logiciels peut contribuer à lutter contre ce problème.
Décrivons les recommandations PCI-DSS et expliquons comment elles peuvent fonctionner au sein de l'équipe :
Bonjour, équipes AppSec et Compliance : toutes les formations destinées aux développeurs ne se valent pas
Les développeurs des grandes (ou même des petites) organisations participent rarement pleinement à la formation qu'ils reçoivent sur le tas. Afin de conserver les meilleurs employés, certaines entreprises proposent des programmes complets, mais ceux-ci sont encore moins courants qu'ils ne devraient l'être. Le besoin de formation en matière de sécurité représente une excellente occasion non seulement de lancer la mise en conformité de l'organisation sans ennuyer tout le monde, mais également de commencer à nouer des relations glaciales avec l'équipe de développement.
En termes de conformité PCI, vous pouvez constater que leurs directives sont spécifiques quant aux résultats qu'ils peuvent attendre de tout logiciel exécutant des passerelles de paiement ; entre autres objectifs, ils souhaitent que les applications soient renforcées (vital pour contrecarrer les programmes malveillants). injection de code ou falsification), des contrôles de moindre privilège et une prise de conscience complète des vulnérabilités courantes... au minimum. Tout le personnel travaillant avec les données des titulaires de cartes doit être correctement formé, et pour les développeurs, cette formation peut faire ou défaire leur réussite en matière d'écriture de code sécurisé dès le début de leur processus.
L'officiel Meilleures pratiques pour maintenir la conformité à la norme PCI-DSS le document détaille certains concepts directs liés à la sensibilisation à la sécurité, aux besoins des développeurs et à la formation appropriée, tels que :
Tous droits réservés © 2006 - 2020 Conseil des normes de sécurité PCI, LLC. Tous droits réservés.
Cela donne un aperçu de la formation spécifique et approfondie requise pour doter les développeurs des compétences nécessaires, mais aucun type particulier de solutions pédagogiques n'est plus efficace qu'un autre. Le guide PCI-DSS pour les développeurs est un peu plus direct, identifiant le Top 10 de l'OWASP comme une référence pour apprendre à identifier et à corriger les vulnérabilités les plus courantes, ainsi que certains programmes de certification.
Mais... voici le hic. Comme vous le savez sans doute grâce aux diverses initiatives de formation et de conformité en milieu de travail, leur qualité et leur succès futur peuvent varier considérablement. Et en ce qui concerne les développeurs, de nombreux programmes de formation au codage sécurisé ne semblent pas répondre de manière significative à nos besoins, à nos méthodes de travail ou même à notre travail quotidien. Dans ce scénario, toutes les formations ne sont pas créées de la même manière, et toutes les formations n'aboutiront pas à un logiciel plus sécurisé. Bien entendu, c'est exactement le contraire du résultat que vous souhaitez obtenir, et cela ne réduira pas de manière significative le stress lié à votre travail. Si vous voulez réduire le fardeau et empêcher les vulnérabilités courantes de provoquer des catastrophes potentielles, vous devrez construire un pont.
Combler le déficit de compétences en matière de sécurité en faisant appel à des responsables de l'ingénierie
Travailler directement avec les responsables de l'ingénierie pour trouver une solution adaptée à l'objectif, tout en étant adoptée par les personnes réellement chargées de la mettre en œuvre, permet d'obtenir rapidement des résultats positifs en matière de sécurité. Ils auront un aperçu plus immédiat de leur propre équipe et pourront parler à tous les bloqueurs qui ont déjà rendu la formation à la conformité difficile (si ce n'est pas une expérience formidable, la plupart du temps).
Les formations en classe, la vidéo à la demande et tous les exercices ponctuels à cocher font qu'il est très difficile de rester à jour ; il s'agit de solutions statiques qui ne peuvent pas suivre le rythme du paysage en constante évolution qu'est le secteur de la cybersécurité. En fin de compte, le responsable de l'ingénierie souhaitera valoriser le temps qui lui est consacré. Il est important de travailler avec lui et de proposer des options viables qui répondent à l'objectif commun de tous : un code plus sécurisé et plus conforme.
Alors, à quoi ressemble un bon entraînement ? Il ne sert à rien d'apprendre à coder en toute sécurité en saisissant de gros volumes d'informations une seule fois. Un processus d'apprentissage progressif et de petite envergure le rend beaucoup plus facile à mémoriser et à appliquer en contexte, et il doit absolument être dans les langages et les cadres utilisés au quotidien. Personnellement, je veux relever des défis et je veux voir un but à mes efforts. Nous sommes tous assez occupés en l'état, n'est-ce pas ?
Pour se conformer aux meilleures pratiques PCI-DSS décrites ci-dessus, en fonction de la solution choisie, les responsables peuvent être amenés à créer une mosaïque de cours couvrant tous les langages et frameworks utilisés dans l'entreprise. C'est là que les choses se compliquent, sans parler des difficultés à évaluer pour les équipes de sécurité et de conformité des applications en termes d'impact sur la sécurité et la réduction des vulnérabilités des logiciels. Travaillez ensemble pour trouver la solution idéale, au lieu de vous précipiter dans la mauvaise option pour obtenir un résultat rapide. Sinon, vous pourriez vous retrouver avec une solution d'entraînement Frankenstein... et ça a l'air très effrayant.
Merci d'avoir consulté la première partie de cette mini-série PCI-DSS. Dans le dernier chapitre, nous verrons comment les RSSI et les directeurs techniques peuvent contribuer à cette transformation de la culture, donner des moyens aux équipes, et comment les acteurs de première ligne en matière de sécurité, « votre cohorte de développeurs », peuvent tirer parti de la sensibilisation et de la conformité à la norme PCI-DSS à leur avantage.
Table des matières
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démoTéléchargerRessources pour vous aider à démarrer
Sujets et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions d'IA Beat the Boss sont désormais disponibles à la demande
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Déployez des défis de sécurité avancés liés à l'IA et au LLM pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyberrésilience : ce que cela signifie pour le développement de logiciels sécurisés dès la conception
Découvrez ce que la loi européenne sur la cyberrésilience (CRA) exige, à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Enabler 1 donne le coup d'envoi de notre série en 10 parties intitulée Enablers of Success en montrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité pour assurer la maturité à long terme des programmes.
