Plus de violations, plus de problèmes : le coût de la confiance dans les applications tierces
Ce n'est un secret pour personne que notre mission principale est de sécuriser les logiciels et leur développement, en tenant compte de la sécurité dès le début de la production. Notre vision établit une nouvelle référence en matière de création de logiciels, où les développeurs disposent des compétences et des connaissances nécessaires pour détecter les codes vulnérables pendant le processus d'écriture et corrigez-le avant même que cela ne devienne un problème.
Dans cette optique, vous pouvez penser que nous sommes ravis d'apprendre que de nouvelles violations de données, cyberattaques et codes exploités touchent des entreprises du monde entier. Ces incidents soulignent certainement la nécessité de notre service dans de nombreux secteurs verticaux. À vrai dire, c'est assez frustrant. Il est clair qu'en tant qu'industrie, nous commettons les mêmes erreurs à maintes reprises, car la plupart des formations en matière de sécurité ne sont tout simplement pas suffisamment solides pour minimiser les risques et mettre fin à ces violations.
La dernière victime d'une violation de données est Ticketmaster. Si vous faisiez partie des milliers de clients concernés, vous auriez reçu un e-mail vous informant de l'incident et vous demandant de modifier votre mot de passe. Personne ne s'attend à ce que ses données personnelles soient violées simplement pour l'achat de billets pour un concert ou un événement sportif, et pourtant nous y sommes.
C'est une situation terrible pour tout le monde, qui nuit à la réputation de Ticketmaster et qui nuit carrément à l'expérience client. Il y a cependant un problème : ce n'était pas entièrement de leur faute.
Vous voyez, l'entreprise a utilisé les services d'une application de support client tierce d'Inbenta Technologies. Ticketmaster UK a découvert que le produit contenait un code malveillant, ce qui a compromis 5 % des données de ses clients mondiaux.
Et comment exactement les hackers ont-ils réussi à exploiter ce système ? Ils a manipulé une seule ligne de code JavaScript, personnalisé par Inbenta Technologies pour répondre aux besoins de Ticketmaster. Selon Inbenta, le code a été utilisé sur une page pour laquelle il n'a pas été créé et, s'ils l'avaient su, ils l'auraient identifié comme une faille de sécurité.
La vulnérabilité elle-même est essentiellement un problème de sécurité de la bibliothèque de chargement/stockage de fichiers, dans lequel une seule violation peut affecter tous les sites sur lesquels le même code est chargé. Le code peut être modifié pour collecter et rediriger les données personnelles vers les attaquants, pour commencer. Il s'agit d'un exploit simple avec un potentiel de dégâts considérable, contre lequel nous nous efforçons de nous défendre avec un gamme d'exercices d'entraînement intégrés à la plateforme pour les développeurs.
Bien entendu, il est pratiquement impossible de gérer une entreprise sans recourir à certaines applications tierces. Cependant, vous n'avez aucun contrôle sur la façon dont ils conçoivent leurs logiciels, et vous n'avez pratiquement aucune visibilité sur la sécurité de leur code. Cela devient un exercice de confiance. Si votre partenaire tiers fait preuve de laxisme dans ses pratiques de codage sécurisé, vous êtes peut-être en train d'ouvrir la porte à une violation de votreentreprise.
Alors, quelle est la solution ? En termes simples : nous devons tous faire mieux. Il faut arrêter de considérer la sécurité comme un obstacle gênant sur la voie de l'innovation des entreprises.
Il est plus facile que vous ne le pensez de fournir à votre équipe de développement les bons outils et les bonnes connaissances pour adopter la sécurité et stopper les mauvais codes. Nous avons été ravis de voir un si grand nombre des plus grandes et des plus connues entreprises du monde dans les domaines de la finance, des télécommunications, de la vente au détail et de la technologie adopter cette nouvelle approche, mais les entreprises du Fortune 100 ne devraient pas être les seules à prendre des mesures en matière de formation à la sécurité. Toutes les entreprises qui comptent des développeurs parmi leur personnel doivent mettre en place une formation pour aider les équipes à coder en toute sécurité.
Le livre blanc récemment publié que j'ai écrit en collaboration avec notre directeur technique Matias Madou présente les avantages de la création d'une culture de sécurité au sein de votre organisation. Nous expliquons pourquoi c'est la clé pour débloquer l'innovation, rester agile et réduire l'impact financier d'un code non sécurisé.
Vous y trouverez des conseils, notamment :
* Comment rendre la formation à la sécurité pertinente et intéressante pour les développeurs
* Comment apprendre aux développeurs à identifier et à résoudre leurs propres problèmes
* Comment aider les développeurs à créer leur propre code en toute sécurité.
Je vous invite à téléchargez cette ressource et utilisez-le pour renforcer la sécurité au sein de votre organisation, renforcer les compétences de votre équipe et être à l'avant-garde de l'établissement de normes de code plus strictes.
Il faut arrêter de considérer la sécurité comme un obstacle gênant sur la voie de l'innovation des entreprises.
Il faut arrêter de considérer la sécurité comme un obstacle gênant sur la voie de l'innovation des entreprises.
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démo
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Ce n'est un secret pour personne que notre mission principale est de sécuriser les logiciels et leur développement, en tenant compte de la sécurité dès le début de la production. Notre vision établit une nouvelle référence en matière de création de logiciels, où les développeurs disposent des compétences et des connaissances nécessaires pour détecter les codes vulnérables pendant le processus d'écriture et corrigez-le avant même que cela ne devienne un problème.
Dans cette optique, vous pouvez penser que nous sommes ravis d'apprendre que de nouvelles violations de données, cyberattaques et codes exploités touchent des entreprises du monde entier. Ces incidents soulignent certainement la nécessité de notre service dans de nombreux secteurs verticaux. À vrai dire, c'est assez frustrant. Il est clair qu'en tant qu'industrie, nous commettons les mêmes erreurs à maintes reprises, car la plupart des formations en matière de sécurité ne sont tout simplement pas suffisamment solides pour minimiser les risques et mettre fin à ces violations.
La dernière victime d'une violation de données est Ticketmaster. Si vous faisiez partie des milliers de clients concernés, vous auriez reçu un e-mail vous informant de l'incident et vous demandant de modifier votre mot de passe. Personne ne s'attend à ce que ses données personnelles soient violées simplement pour l'achat de billets pour un concert ou un événement sportif, et pourtant nous y sommes.
C'est une situation terrible pour tout le monde, qui nuit à la réputation de Ticketmaster et qui nuit carrément à l'expérience client. Il y a cependant un problème : ce n'était pas entièrement de leur faute.
Vous voyez, l'entreprise a utilisé les services d'une application de support client tierce d'Inbenta Technologies. Ticketmaster UK a découvert que le produit contenait un code malveillant, ce qui a compromis 5 % des données de ses clients mondiaux.
Et comment exactement les hackers ont-ils réussi à exploiter ce système ? Ils a manipulé une seule ligne de code JavaScript, personnalisé par Inbenta Technologies pour répondre aux besoins de Ticketmaster. Selon Inbenta, le code a été utilisé sur une page pour laquelle il n'a pas été créé et, s'ils l'avaient su, ils l'auraient identifié comme une faille de sécurité.
La vulnérabilité elle-même est essentiellement un problème de sécurité de la bibliothèque de chargement/stockage de fichiers, dans lequel une seule violation peut affecter tous les sites sur lesquels le même code est chargé. Le code peut être modifié pour collecter et rediriger les données personnelles vers les attaquants, pour commencer. Il s'agit d'un exploit simple avec un potentiel de dégâts considérable, contre lequel nous nous efforçons de nous défendre avec un gamme d'exercices d'entraînement intégrés à la plateforme pour les développeurs.
Bien entendu, il est pratiquement impossible de gérer une entreprise sans recourir à certaines applications tierces. Cependant, vous n'avez aucun contrôle sur la façon dont ils conçoivent leurs logiciels, et vous n'avez pratiquement aucune visibilité sur la sécurité de leur code. Cela devient un exercice de confiance. Si votre partenaire tiers fait preuve de laxisme dans ses pratiques de codage sécurisé, vous êtes peut-être en train d'ouvrir la porte à une violation de votreentreprise.
Alors, quelle est la solution ? En termes simples : nous devons tous faire mieux. Il faut arrêter de considérer la sécurité comme un obstacle gênant sur la voie de l'innovation des entreprises.
Il est plus facile que vous ne le pensez de fournir à votre équipe de développement les bons outils et les bonnes connaissances pour adopter la sécurité et stopper les mauvais codes. Nous avons été ravis de voir un si grand nombre des plus grandes et des plus connues entreprises du monde dans les domaines de la finance, des télécommunications, de la vente au détail et de la technologie adopter cette nouvelle approche, mais les entreprises du Fortune 100 ne devraient pas être les seules à prendre des mesures en matière de formation à la sécurité. Toutes les entreprises qui comptent des développeurs parmi leur personnel doivent mettre en place une formation pour aider les équipes à coder en toute sécurité.
Le livre blanc récemment publié que j'ai écrit en collaboration avec notre directeur technique Matias Madou présente les avantages de la création d'une culture de sécurité au sein de votre organisation. Nous expliquons pourquoi c'est la clé pour débloquer l'innovation, rester agile et réduire l'impact financier d'un code non sécurisé.
Vous y trouverez des conseils, notamment :
* Comment rendre la formation à la sécurité pertinente et intéressante pour les développeurs
* Comment apprendre aux développeurs à identifier et à résoudre leurs propres problèmes
* Comment aider les développeurs à créer leur propre code en toute sécurité.
Je vous invite à téléchargez cette ressource et utilisez-le pour renforcer la sécurité au sein de votre organisation, renforcer les compétences de votre équipe et être à l'avant-garde de l'établissement de normes de code plus strictes.
Il faut arrêter de considérer la sécurité comme un obstacle gênant sur la voie de l'innovation des entreprises.
Ce n'est un secret pour personne que notre mission principale est de sécuriser les logiciels et leur développement, en tenant compte de la sécurité dès le début de la production. Notre vision établit une nouvelle référence en matière de création de logiciels, où les développeurs disposent des compétences et des connaissances nécessaires pour détecter les codes vulnérables pendant le processus d'écriture et corrigez-le avant même que cela ne devienne un problème.
Dans cette optique, vous pouvez penser que nous sommes ravis d'apprendre que de nouvelles violations de données, cyberattaques et codes exploités touchent des entreprises du monde entier. Ces incidents soulignent certainement la nécessité de notre service dans de nombreux secteurs verticaux. À vrai dire, c'est assez frustrant. Il est clair qu'en tant qu'industrie, nous commettons les mêmes erreurs à maintes reprises, car la plupart des formations en matière de sécurité ne sont tout simplement pas suffisamment solides pour minimiser les risques et mettre fin à ces violations.
La dernière victime d'une violation de données est Ticketmaster. Si vous faisiez partie des milliers de clients concernés, vous auriez reçu un e-mail vous informant de l'incident et vous demandant de modifier votre mot de passe. Personne ne s'attend à ce que ses données personnelles soient violées simplement pour l'achat de billets pour un concert ou un événement sportif, et pourtant nous y sommes.
C'est une situation terrible pour tout le monde, qui nuit à la réputation de Ticketmaster et qui nuit carrément à l'expérience client. Il y a cependant un problème : ce n'était pas entièrement de leur faute.
Vous voyez, l'entreprise a utilisé les services d'une application de support client tierce d'Inbenta Technologies. Ticketmaster UK a découvert que le produit contenait un code malveillant, ce qui a compromis 5 % des données de ses clients mondiaux.
Et comment exactement les hackers ont-ils réussi à exploiter ce système ? Ils a manipulé une seule ligne de code JavaScript, personnalisé par Inbenta Technologies pour répondre aux besoins de Ticketmaster. Selon Inbenta, le code a été utilisé sur une page pour laquelle il n'a pas été créé et, s'ils l'avaient su, ils l'auraient identifié comme une faille de sécurité.
La vulnérabilité elle-même est essentiellement un problème de sécurité de la bibliothèque de chargement/stockage de fichiers, dans lequel une seule violation peut affecter tous les sites sur lesquels le même code est chargé. Le code peut être modifié pour collecter et rediriger les données personnelles vers les attaquants, pour commencer. Il s'agit d'un exploit simple avec un potentiel de dégâts considérable, contre lequel nous nous efforçons de nous défendre avec un gamme d'exercices d'entraînement intégrés à la plateforme pour les développeurs.
Bien entendu, il est pratiquement impossible de gérer une entreprise sans recourir à certaines applications tierces. Cependant, vous n'avez aucun contrôle sur la façon dont ils conçoivent leurs logiciels, et vous n'avez pratiquement aucune visibilité sur la sécurité de leur code. Cela devient un exercice de confiance. Si votre partenaire tiers fait preuve de laxisme dans ses pratiques de codage sécurisé, vous êtes peut-être en train d'ouvrir la porte à une violation de votreentreprise.
Alors, quelle est la solution ? En termes simples : nous devons tous faire mieux. Il faut arrêter de considérer la sécurité comme un obstacle gênant sur la voie de l'innovation des entreprises.
Il est plus facile que vous ne le pensez de fournir à votre équipe de développement les bons outils et les bonnes connaissances pour adopter la sécurité et stopper les mauvais codes. Nous avons été ravis de voir un si grand nombre des plus grandes et des plus connues entreprises du monde dans les domaines de la finance, des télécommunications, de la vente au détail et de la technologie adopter cette nouvelle approche, mais les entreprises du Fortune 100 ne devraient pas être les seules à prendre des mesures en matière de formation à la sécurité. Toutes les entreprises qui comptent des développeurs parmi leur personnel doivent mettre en place une formation pour aider les équipes à coder en toute sécurité.
Le livre blanc récemment publié que j'ai écrit en collaboration avec notre directeur technique Matias Madou présente les avantages de la création d'une culture de sécurité au sein de votre organisation. Nous expliquons pourquoi c'est la clé pour débloquer l'innovation, rester agile et réduire l'impact financier d'un code non sécurisé.
Vous y trouverez des conseils, notamment :
* Comment rendre la formation à la sécurité pertinente et intéressante pour les développeurs
* Comment apprendre aux développeurs à identifier et à résoudre leurs propres problèmes
* Comment aider les développeurs à créer leur propre code en toute sécurité.
Je vous invite à téléchargez cette ressource et utilisez-le pour renforcer la sécurité au sein de votre organisation, renforcer les compétences de votre équipe et être à l'avant-garde de l'établissement de normes de code plus strictes.
Il faut arrêter de considérer la sécurité comme un obstacle gênant sur la voie de l'innovation des entreprises.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Afficher le rapportRéservez une démo
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Ce n'est un secret pour personne que notre mission principale est de sécuriser les logiciels et leur développement, en tenant compte de la sécurité dès le début de la production. Notre vision établit une nouvelle référence en matière de création de logiciels, où les développeurs disposent des compétences et des connaissances nécessaires pour détecter les codes vulnérables pendant le processus d'écriture et corrigez-le avant même que cela ne devienne un problème.
Dans cette optique, vous pouvez penser que nous sommes ravis d'apprendre que de nouvelles violations de données, cyberattaques et codes exploités touchent des entreprises du monde entier. Ces incidents soulignent certainement la nécessité de notre service dans de nombreux secteurs verticaux. À vrai dire, c'est assez frustrant. Il est clair qu'en tant qu'industrie, nous commettons les mêmes erreurs à maintes reprises, car la plupart des formations en matière de sécurité ne sont tout simplement pas suffisamment solides pour minimiser les risques et mettre fin à ces violations.
La dernière victime d'une violation de données est Ticketmaster. Si vous faisiez partie des milliers de clients concernés, vous auriez reçu un e-mail vous informant de l'incident et vous demandant de modifier votre mot de passe. Personne ne s'attend à ce que ses données personnelles soient violées simplement pour l'achat de billets pour un concert ou un événement sportif, et pourtant nous y sommes.
C'est une situation terrible pour tout le monde, qui nuit à la réputation de Ticketmaster et qui nuit carrément à l'expérience client. Il y a cependant un problème : ce n'était pas entièrement de leur faute.
Vous voyez, l'entreprise a utilisé les services d'une application de support client tierce d'Inbenta Technologies. Ticketmaster UK a découvert que le produit contenait un code malveillant, ce qui a compromis 5 % des données de ses clients mondiaux.
Et comment exactement les hackers ont-ils réussi à exploiter ce système ? Ils a manipulé une seule ligne de code JavaScript, personnalisé par Inbenta Technologies pour répondre aux besoins de Ticketmaster. Selon Inbenta, le code a été utilisé sur une page pour laquelle il n'a pas été créé et, s'ils l'avaient su, ils l'auraient identifié comme une faille de sécurité.
La vulnérabilité elle-même est essentiellement un problème de sécurité de la bibliothèque de chargement/stockage de fichiers, dans lequel une seule violation peut affecter tous les sites sur lesquels le même code est chargé. Le code peut être modifié pour collecter et rediriger les données personnelles vers les attaquants, pour commencer. Il s'agit d'un exploit simple avec un potentiel de dégâts considérable, contre lequel nous nous efforçons de nous défendre avec un gamme d'exercices d'entraînement intégrés à la plateforme pour les développeurs.
Bien entendu, il est pratiquement impossible de gérer une entreprise sans recourir à certaines applications tierces. Cependant, vous n'avez aucun contrôle sur la façon dont ils conçoivent leurs logiciels, et vous n'avez pratiquement aucune visibilité sur la sécurité de leur code. Cela devient un exercice de confiance. Si votre partenaire tiers fait preuve de laxisme dans ses pratiques de codage sécurisé, vous êtes peut-être en train d'ouvrir la porte à une violation de votreentreprise.
Alors, quelle est la solution ? En termes simples : nous devons tous faire mieux. Il faut arrêter de considérer la sécurité comme un obstacle gênant sur la voie de l'innovation des entreprises.
Il est plus facile que vous ne le pensez de fournir à votre équipe de développement les bons outils et les bonnes connaissances pour adopter la sécurité et stopper les mauvais codes. Nous avons été ravis de voir un si grand nombre des plus grandes et des plus connues entreprises du monde dans les domaines de la finance, des télécommunications, de la vente au détail et de la technologie adopter cette nouvelle approche, mais les entreprises du Fortune 100 ne devraient pas être les seules à prendre des mesures en matière de formation à la sécurité. Toutes les entreprises qui comptent des développeurs parmi leur personnel doivent mettre en place une formation pour aider les équipes à coder en toute sécurité.
Le livre blanc récemment publié que j'ai écrit en collaboration avec notre directeur technique Matias Madou présente les avantages de la création d'une culture de sécurité au sein de votre organisation. Nous expliquons pourquoi c'est la clé pour débloquer l'innovation, rester agile et réduire l'impact financier d'un code non sécurisé.
Vous y trouverez des conseils, notamment :
* Comment rendre la formation à la sécurité pertinente et intéressante pour les développeurs
* Comment apprendre aux développeurs à identifier et à résoudre leurs propres problèmes
* Comment aider les développeurs à créer leur propre code en toute sécurité.
Je vous invite à téléchargez cette ressource et utilisez-le pour renforcer la sécurité au sein de votre organisation, renforcer les compétences de votre équipe et être à l'avant-garde de l'établissement de normes de code plus strictes.
Il faut arrêter de considérer la sécurité comme un obstacle gênant sur la voie de l'innovation des entreprises.
Table des matières
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démoTéléchargerRessources pour vous aider à démarrer
Sujets et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions d'IA Beat the Boss sont désormais disponibles à la demande
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Déployez des défis de sécurité avancés liés à l'IA et au LLM pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyberrésilience : ce que cela signifie pour le développement de logiciels sécurisés dès la conception
Découvrez ce que la loi européenne sur la cyberrésilience (CRA) exige, à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Enabler 1 donne le coup d'envoi de notre série en 10 parties intitulée Enablers of Success en montrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité pour assurer la maturité à long terme des programmes.
