Plus de violations, plus de problèmes : le coût de la confiance dans les applications tierces
Ce n'est un secret pour personne que notre mission principale est de sécuriser les logiciels et leur développement, en tenant compte de la sécurité dès le début de la production. Notre vision établit une nouvelle référence en matière de création de logiciels, où les développeurs disposent des compétences et des connaissances nécessaires pour détecter les codes vulnérables pendant le processus d'écriture et corrigez-le avant même que cela ne devienne un problème.
Dans cette optique, vous pouvez penser que nous sommes ravis d'apprendre que de nouvelles violations de données, cyberattaques et codes exploités touchent des entreprises du monde entier. Ces incidents soulignent certainement la nécessité de notre service dans de nombreux secteurs verticaux. À vrai dire, c'est assez frustrant. Il est clair qu'en tant qu'industrie, nous commettons les mêmes erreurs à maintes reprises, car la plupart des formations en matière de sécurité ne sont tout simplement pas suffisamment solides pour minimiser les risques et mettre fin à ces violations.
La dernière victime d'une violation de données est Ticketmaster. Si vous faisiez partie des milliers de clients concernés, vous auriez reçu un e-mail vous informant de l'incident et vous demandant de modifier votre mot de passe. Personne ne s'attend à ce que ses données personnelles soient violées simplement pour l'achat de billets pour un concert ou un événement sportif, et pourtant nous y sommes.
C'est une situation terrible pour tout le monde, qui nuit à la réputation de Ticketmaster et qui nuit carrément à l'expérience client. Il y a cependant un problème : ce n'était pas entièrement de leur faute.
Vous voyez, l'entreprise a utilisé les services d'une application de support client tierce d'Inbenta Technologies. Ticketmaster UK a découvert que le produit contenait un code malveillant, ce qui a compromis 5 % des données de ses clients mondiaux.
Et comment exactement les hackers ont-ils réussi à exploiter ce système ? Ils a manipulé une seule ligne de code JavaScript, personnalisé par Inbenta Technologies pour répondre aux besoins de Ticketmaster. Selon Inbenta, le code a été utilisé sur une page pour laquelle il n'a pas été créé et, s'ils l'avaient su, ils l'auraient identifié comme une faille de sécurité.
La vulnérabilité elle-même est essentiellement un problème de sécurité de la bibliothèque de chargement/stockage de fichiers, dans lequel une seule violation peut affecter tous les sites sur lesquels le même code est chargé. Le code peut être modifié pour collecter et rediriger les données personnelles vers les attaquants, pour commencer. Il s'agit d'un exploit simple avec un potentiel de dégâts considérable, contre lequel nous nous efforçons de nous défendre avec un gamme d'exercices d'entraînement intégrés à la plateforme pour les développeurs.
Bien entendu, il est pratiquement impossible de gérer une entreprise sans recourir à certaines applications tierces. Cependant, vous n'avez aucun contrôle sur la façon dont ils conçoivent leurs logiciels, et vous n'avez pratiquement aucune visibilité sur la sécurité de leur code. Cela devient un exercice de confiance. Si votre partenaire tiers fait preuve de laxisme dans ses pratiques de codage sécurisé, vous êtes peut-être en train d'ouvrir la porte à une violation de votreentreprise.
Alors, quelle est la solution ? En termes simples : nous devons tous faire mieux. Il faut arrêter de considérer la sécurité comme un obstacle gênant sur la voie de l'innovation des entreprises.
Il est plus facile que vous ne le pensez de fournir à votre équipe de développement les bons outils et les bonnes connaissances pour adopter la sécurité et stopper les mauvais codes. Nous avons été ravis de voir un si grand nombre des plus grandes et des plus connues entreprises du monde dans les domaines de la finance, des télécommunications, de la vente au détail et de la technologie adopter cette nouvelle approche, mais les entreprises du Fortune 100 ne devraient pas être les seules à prendre des mesures en matière de formation à la sécurité. Toutes les entreprises qui comptent des développeurs parmi leur personnel doivent mettre en place une formation pour aider les équipes à coder en toute sécurité.
Le livre blanc récemment publié que j'ai écrit en collaboration avec notre directeur technique Matias Madou présente les avantages de la création d'une culture de sécurité au sein de votre organisation. Nous expliquons pourquoi c'est la clé pour débloquer l'innovation, rester agile et réduire l'impact financier d'un code non sécurisé.
Vous y trouverez des conseils, notamment :
* Comment rendre la formation à la sécurité pertinente et intéressante pour les développeurs
* Comment apprendre aux développeurs à identifier et à résoudre leurs propres problèmes
* Comment aider les développeurs à créer leur propre code en toute sécurité.
Je vous invite à téléchargez cette ressource et utilisez-le pour renforcer la sécurité au sein de votre organisation, renforcer les compétences de votre équipe et être à l'avant-garde de l'établissement de normes de code plus strictes.
Il faut arrêter de considérer la sécurité comme un obstacle gênant sur la voie de l'innovation des entreprises.
Il faut arrêter de considérer la sécurité comme un obstacle gênant sur la voie de l'innovation des entreprises.
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démo
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Ce n'est un secret pour personne que notre mission principale est de sécuriser les logiciels et leur développement, en tenant compte de la sécurité dès le début de la production. Notre vision établit une nouvelle référence en matière de création de logiciels, où les développeurs disposent des compétences et des connaissances nécessaires pour détecter les codes vulnérables pendant le processus d'écriture et corrigez-le avant même que cela ne devienne un problème.
Dans cette optique, vous pouvez penser que nous sommes ravis d'apprendre que de nouvelles violations de données, cyberattaques et codes exploités touchent des entreprises du monde entier. Ces incidents soulignent certainement la nécessité de notre service dans de nombreux secteurs verticaux. À vrai dire, c'est assez frustrant. Il est clair qu'en tant qu'industrie, nous commettons les mêmes erreurs à maintes reprises, car la plupart des formations en matière de sécurité ne sont tout simplement pas suffisamment solides pour minimiser les risques et mettre fin à ces violations.
La dernière victime d'une violation de données est Ticketmaster. Si vous faisiez partie des milliers de clients concernés, vous auriez reçu un e-mail vous informant de l'incident et vous demandant de modifier votre mot de passe. Personne ne s'attend à ce que ses données personnelles soient violées simplement pour l'achat de billets pour un concert ou un événement sportif, et pourtant nous y sommes.
C'est une situation terrible pour tout le monde, qui nuit à la réputation de Ticketmaster et qui nuit carrément à l'expérience client. Il y a cependant un problème : ce n'était pas entièrement de leur faute.
Vous voyez, l'entreprise a utilisé les services d'une application de support client tierce d'Inbenta Technologies. Ticketmaster UK a découvert que le produit contenait un code malveillant, ce qui a compromis 5 % des données de ses clients mondiaux.
Et comment exactement les hackers ont-ils réussi à exploiter ce système ? Ils a manipulé une seule ligne de code JavaScript, personnalisé par Inbenta Technologies pour répondre aux besoins de Ticketmaster. Selon Inbenta, le code a été utilisé sur une page pour laquelle il n'a pas été créé et, s'ils l'avaient su, ils l'auraient identifié comme une faille de sécurité.
La vulnérabilité elle-même est essentiellement un problème de sécurité de la bibliothèque de chargement/stockage de fichiers, dans lequel une seule violation peut affecter tous les sites sur lesquels le même code est chargé. Le code peut être modifié pour collecter et rediriger les données personnelles vers les attaquants, pour commencer. Il s'agit d'un exploit simple avec un potentiel de dégâts considérable, contre lequel nous nous efforçons de nous défendre avec un gamme d'exercices d'entraînement intégrés à la plateforme pour les développeurs.
Bien entendu, il est pratiquement impossible de gérer une entreprise sans recourir à certaines applications tierces. Cependant, vous n'avez aucun contrôle sur la façon dont ils conçoivent leurs logiciels, et vous n'avez pratiquement aucune visibilité sur la sécurité de leur code. Cela devient un exercice de confiance. Si votre partenaire tiers fait preuve de laxisme dans ses pratiques de codage sécurisé, vous êtes peut-être en train d'ouvrir la porte à une violation de votreentreprise.
Alors, quelle est la solution ? En termes simples : nous devons tous faire mieux. Il faut arrêter de considérer la sécurité comme un obstacle gênant sur la voie de l'innovation des entreprises.
Il est plus facile que vous ne le pensez de fournir à votre équipe de développement les bons outils et les bonnes connaissances pour adopter la sécurité et stopper les mauvais codes. Nous avons été ravis de voir un si grand nombre des plus grandes et des plus connues entreprises du monde dans les domaines de la finance, des télécommunications, de la vente au détail et de la technologie adopter cette nouvelle approche, mais les entreprises du Fortune 100 ne devraient pas être les seules à prendre des mesures en matière de formation à la sécurité. Toutes les entreprises qui comptent des développeurs parmi leur personnel doivent mettre en place une formation pour aider les équipes à coder en toute sécurité.
Le livre blanc récemment publié que j'ai écrit en collaboration avec notre directeur technique Matias Madou présente les avantages de la création d'une culture de sécurité au sein de votre organisation. Nous expliquons pourquoi c'est la clé pour débloquer l'innovation, rester agile et réduire l'impact financier d'un code non sécurisé.
Vous y trouverez des conseils, notamment :
* Comment rendre la formation à la sécurité pertinente et intéressante pour les développeurs
* Comment apprendre aux développeurs à identifier et à résoudre leurs propres problèmes
* Comment aider les développeurs à créer leur propre code en toute sécurité.
Je vous invite à téléchargez cette ressource et utilisez-le pour renforcer la sécurité au sein de votre organisation, renforcer les compétences de votre équipe et être à l'avant-garde de l'établissement de normes de code plus strictes.
Il faut arrêter de considérer la sécurité comme un obstacle gênant sur la voie de l'innovation des entreprises.
Ce n'est un secret pour personne que notre mission principale est de sécuriser les logiciels et leur développement, en tenant compte de la sécurité dès le début de la production. Notre vision établit une nouvelle référence en matière de création de logiciels, où les développeurs disposent des compétences et des connaissances nécessaires pour détecter les codes vulnérables pendant le processus d'écriture et corrigez-le avant même que cela ne devienne un problème.
Dans cette optique, vous pouvez penser que nous sommes ravis d'apprendre que de nouvelles violations de données, cyberattaques et codes exploités touchent des entreprises du monde entier. Ces incidents soulignent certainement la nécessité de notre service dans de nombreux secteurs verticaux. À vrai dire, c'est assez frustrant. Il est clair qu'en tant qu'industrie, nous commettons les mêmes erreurs à maintes reprises, car la plupart des formations en matière de sécurité ne sont tout simplement pas suffisamment solides pour minimiser les risques et mettre fin à ces violations.
La dernière victime d'une violation de données est Ticketmaster. Si vous faisiez partie des milliers de clients concernés, vous auriez reçu un e-mail vous informant de l'incident et vous demandant de modifier votre mot de passe. Personne ne s'attend à ce que ses données personnelles soient violées simplement pour l'achat de billets pour un concert ou un événement sportif, et pourtant nous y sommes.
C'est une situation terrible pour tout le monde, qui nuit à la réputation de Ticketmaster et qui nuit carrément à l'expérience client. Il y a cependant un problème : ce n'était pas entièrement de leur faute.
Vous voyez, l'entreprise a utilisé les services d'une application de support client tierce d'Inbenta Technologies. Ticketmaster UK a découvert que le produit contenait un code malveillant, ce qui a compromis 5 % des données de ses clients mondiaux.
Et comment exactement les hackers ont-ils réussi à exploiter ce système ? Ils a manipulé une seule ligne de code JavaScript, personnalisé par Inbenta Technologies pour répondre aux besoins de Ticketmaster. Selon Inbenta, le code a été utilisé sur une page pour laquelle il n'a pas été créé et, s'ils l'avaient su, ils l'auraient identifié comme une faille de sécurité.
La vulnérabilité elle-même est essentiellement un problème de sécurité de la bibliothèque de chargement/stockage de fichiers, dans lequel une seule violation peut affecter tous les sites sur lesquels le même code est chargé. Le code peut être modifié pour collecter et rediriger les données personnelles vers les attaquants, pour commencer. Il s'agit d'un exploit simple avec un potentiel de dégâts considérable, contre lequel nous nous efforçons de nous défendre avec un gamme d'exercices d'entraînement intégrés à la plateforme pour les développeurs.
Bien entendu, il est pratiquement impossible de gérer une entreprise sans recourir à certaines applications tierces. Cependant, vous n'avez aucun contrôle sur la façon dont ils conçoivent leurs logiciels, et vous n'avez pratiquement aucune visibilité sur la sécurité de leur code. Cela devient un exercice de confiance. Si votre partenaire tiers fait preuve de laxisme dans ses pratiques de codage sécurisé, vous êtes peut-être en train d'ouvrir la porte à une violation de votreentreprise.
Alors, quelle est la solution ? En termes simples : nous devons tous faire mieux. Il faut arrêter de considérer la sécurité comme un obstacle gênant sur la voie de l'innovation des entreprises.
Il est plus facile que vous ne le pensez de fournir à votre équipe de développement les bons outils et les bonnes connaissances pour adopter la sécurité et stopper les mauvais codes. Nous avons été ravis de voir un si grand nombre des plus grandes et des plus connues entreprises du monde dans les domaines de la finance, des télécommunications, de la vente au détail et de la technologie adopter cette nouvelle approche, mais les entreprises du Fortune 100 ne devraient pas être les seules à prendre des mesures en matière de formation à la sécurité. Toutes les entreprises qui comptent des développeurs parmi leur personnel doivent mettre en place une formation pour aider les équipes à coder en toute sécurité.
Le livre blanc récemment publié que j'ai écrit en collaboration avec notre directeur technique Matias Madou présente les avantages de la création d'une culture de sécurité au sein de votre organisation. Nous expliquons pourquoi c'est la clé pour débloquer l'innovation, rester agile et réduire l'impact financier d'un code non sécurisé.
Vous y trouverez des conseils, notamment :
* Comment rendre la formation à la sécurité pertinente et intéressante pour les développeurs
* Comment apprendre aux développeurs à identifier et à résoudre leurs propres problèmes
* Comment aider les développeurs à créer leur propre code en toute sécurité.
Je vous invite à téléchargez cette ressource et utilisez-le pour renforcer la sécurité au sein de votre organisation, renforcer les compétences de votre équipe et être à l'avant-garde de l'établissement de normes de code plus strictes.
Il faut arrêter de considérer la sécurité comme un obstacle gênant sur la voie de l'innovation des entreprises.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Afficher le rapportRéservez une démo
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Ce n'est un secret pour personne que notre mission principale est de sécuriser les logiciels et leur développement, en tenant compte de la sécurité dès le début de la production. Notre vision établit une nouvelle référence en matière de création de logiciels, où les développeurs disposent des compétences et des connaissances nécessaires pour détecter les codes vulnérables pendant le processus d'écriture et corrigez-le avant même que cela ne devienne un problème.
Dans cette optique, vous pouvez penser que nous sommes ravis d'apprendre que de nouvelles violations de données, cyberattaques et codes exploités touchent des entreprises du monde entier. Ces incidents soulignent certainement la nécessité de notre service dans de nombreux secteurs verticaux. À vrai dire, c'est assez frustrant. Il est clair qu'en tant qu'industrie, nous commettons les mêmes erreurs à maintes reprises, car la plupart des formations en matière de sécurité ne sont tout simplement pas suffisamment solides pour minimiser les risques et mettre fin à ces violations.
La dernière victime d'une violation de données est Ticketmaster. Si vous faisiez partie des milliers de clients concernés, vous auriez reçu un e-mail vous informant de l'incident et vous demandant de modifier votre mot de passe. Personne ne s'attend à ce que ses données personnelles soient violées simplement pour l'achat de billets pour un concert ou un événement sportif, et pourtant nous y sommes.
C'est une situation terrible pour tout le monde, qui nuit à la réputation de Ticketmaster et qui nuit carrément à l'expérience client. Il y a cependant un problème : ce n'était pas entièrement de leur faute.
Vous voyez, l'entreprise a utilisé les services d'une application de support client tierce d'Inbenta Technologies. Ticketmaster UK a découvert que le produit contenait un code malveillant, ce qui a compromis 5 % des données de ses clients mondiaux.
Et comment exactement les hackers ont-ils réussi à exploiter ce système ? Ils a manipulé une seule ligne de code JavaScript, personnalisé par Inbenta Technologies pour répondre aux besoins de Ticketmaster. Selon Inbenta, le code a été utilisé sur une page pour laquelle il n'a pas été créé et, s'ils l'avaient su, ils l'auraient identifié comme une faille de sécurité.
La vulnérabilité elle-même est essentiellement un problème de sécurité de la bibliothèque de chargement/stockage de fichiers, dans lequel une seule violation peut affecter tous les sites sur lesquels le même code est chargé. Le code peut être modifié pour collecter et rediriger les données personnelles vers les attaquants, pour commencer. Il s'agit d'un exploit simple avec un potentiel de dégâts considérable, contre lequel nous nous efforçons de nous défendre avec un gamme d'exercices d'entraînement intégrés à la plateforme pour les développeurs.
Bien entendu, il est pratiquement impossible de gérer une entreprise sans recourir à certaines applications tierces. Cependant, vous n'avez aucun contrôle sur la façon dont ils conçoivent leurs logiciels, et vous n'avez pratiquement aucune visibilité sur la sécurité de leur code. Cela devient un exercice de confiance. Si votre partenaire tiers fait preuve de laxisme dans ses pratiques de codage sécurisé, vous êtes peut-être en train d'ouvrir la porte à une violation de votreentreprise.
Alors, quelle est la solution ? En termes simples : nous devons tous faire mieux. Il faut arrêter de considérer la sécurité comme un obstacle gênant sur la voie de l'innovation des entreprises.
Il est plus facile que vous ne le pensez de fournir à votre équipe de développement les bons outils et les bonnes connaissances pour adopter la sécurité et stopper les mauvais codes. Nous avons été ravis de voir un si grand nombre des plus grandes et des plus connues entreprises du monde dans les domaines de la finance, des télécommunications, de la vente au détail et de la technologie adopter cette nouvelle approche, mais les entreprises du Fortune 100 ne devraient pas être les seules à prendre des mesures en matière de formation à la sécurité. Toutes les entreprises qui comptent des développeurs parmi leur personnel doivent mettre en place une formation pour aider les équipes à coder en toute sécurité.
Le livre blanc récemment publié que j'ai écrit en collaboration avec notre directeur technique Matias Madou présente les avantages de la création d'une culture de sécurité au sein de votre organisation. Nous expliquons pourquoi c'est la clé pour débloquer l'innovation, rester agile et réduire l'impact financier d'un code non sécurisé.
Vous y trouverez des conseils, notamment :
* Comment rendre la formation à la sécurité pertinente et intéressante pour les développeurs
* Comment apprendre aux développeurs à identifier et à résoudre leurs propres problèmes
* Comment aider les développeurs à créer leur propre code en toute sécurité.
Je vous invite à téléchargez cette ressource et utilisez-le pour renforcer la sécurité au sein de votre organisation, renforcer les compétences de votre équipe et être à l'avant-garde de l'établissement de normes de code plus strictes.
Il faut arrêter de considérer la sécurité comme un obstacle gênant sur la voie de l'innovation des entreprises.
Table des matières
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démoTéléchargerRessources pour vous aider à démarrer
Ressources pour vous aider à démarrer
Secure Code Warrior named twice in the Gartner Hype Cycle for secure software engineering
Gartner names SCW twice. As AI agents take over more development, SCW gives you the capability and governance to adopt AI-driven development securely.
Secure coding learning that reflects real AI usage
Align secure coding training to real AI development activity — automatically assigning guidance to developers using AI tools, without manual intervention.Align secure coding training to real AI development activity — automatically assigning guidance to developers using AI tools, without manual intervention.
Train developers on the real risks in their code, whether human-written or AI-generated
Adaptive Learning auto-assigns targeted secure coding training to the developers introducing real vulnerabilities, reducing recurring risks at the source.Secure Code Warrior blog banner with a blue overlay over a developer working at a multi-monitor desk displaying code, alongside the headline 'Train developers on the real risks in their code.'l