La sécurité logicielle est dans le Far West (et elle va nous faire tuer)
Publié à l'origine dans CSO en ligne
En tant que hacker éthique (semi-retraité), professionnel de la sécurité et passionné d'informatique, on peut dire que je tiens beaucoup à la technologie. Je m'intéresse à la façon dont il a été conçu, à ce qu'il fait et à la manière dont il va améliorer ou rendre certains aspects de notre vie plus efficaces. Je regarde tout le temps « sous le capot » des appareils et je trouve certains des meilleurs (et des pires) exemples de code disponibles. Récemment, j'ai étudié comment mon système de climatisation pouvait être contrôlé à distance à l'aide d'une application Android (imaginez ma surprise lorsque j'ai découvert que n'importe qui sur le réseau WiFi pouvait contrôler cet appareil sans aucune authentification).
La sécurité des logiciels est toujours une priorité pour moi, tout comme le danger très réel que représente notre mode de vie de plus en plus numérique et axé sur le partage d'informations personnelles. Après tout, nous nous trouvons dans un territoire largement non réglementé, non supervisé et parfaitement ignoré. Nous sommes dans le Far West.
En tant que société collective, nous ne cherchons pas à dissimuler la technologie que nous utilisons au quotidien. Bien que des séries télévisées populaires et très acclamées comme Mr. Robot contribuent à sensibiliser le public, nous ne sommes pas soucieux de la sécurité... En fait, la plupart d'entre nous ne savent pas à quel point le logiciel est sécurisé parmi la myriade d'applications, de services et d'objets de plus en plus connectés que nous achetons et utilisons. Ce n'est même pas que nous leur faisons fondamentalement confiance, nous n'y pensons tout simplement pas du tout.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo ! , Facebook, Target : chacune de ces entreprises très utilisées a été victime d'une violation de données. Leur vulnérabilités logicielles ont été exploitées et des millions et des millions de dossiers clients ont été exposés. Ces exemples ne représentent qu'une fraction des violations mondiales qui ont eu lieu au cours des dix dernières années. Ils sont la conséquence coûteuse d'une mauvaise sécurité logicielle qui permet aux malfaiteurs de voler nos précieuses informations.
Lorsque la plupart des gens pensent aux violations de données, ils pensent aux failles de sécurité de l'information. Elles sont considérées comme un cauchemar pour l'entreprise concernée et peu pratiques pour les personnes dont les données personnelles ont été touchées, mais sérieusement, quel est le problème ? Si la sécurité continue d'être ignorée, les conséquences sont-elles vraiment si graves ? Rien cette des événements majeurs se sont produits jusqu'à présent : les violations de données ont de graves répercussions sur les entreprises qui en sont responsables, mais c'est leur problème, non ? Ils perdent des clients, ils perdent la confiance des consommateurs ; en fin de compte, c'est à eux de régler le problème et de payer les dégâts.
La sécurité logicielle doit être la priorité de chaque organisation.
La raison pour laquelle la sécurité logicielle n'est pas la principale préoccupation de toutes les entreprises dotées d'une équipe de développement est assez simple : trop peu de personnes ont perdu la vie et les connaissances sur les risques sont insuffisantes.
Morbide ? Peut-être. Mais c'est la vérité. La réglementation, les normes de construction et l'évolution des lois sont prêtées (par exemple, de la part des agences gouvernementales) lorsqu'il y a un véritable coût humain.
Prenons un pont, par exemple. Les ingénieurs civils (un métier vieux de plusieurs centaines d'années) considèrent la sécurité comme un élément essentiel de la construction d'un pont. Leur approche va bien au-delà de l'esthétique et de la fonctionnalité de base. Chaque pont construit est censé respecter des règles de sécurité strictes, les professionnels du génie civil et la société dans son ensemble apprenant au fil du temps à s'attendre à un niveau de sécurité élevé. Aujourd'hui, un pont qui ne répond pas aux exigences de sécurité est considéré comme dangereux et inutilisable. Il s'agit toujours d'une évolution que nous devons réaliser dans le domaine du génie logiciel.
À titre d'exemple plus moderne, examinons l'industrie du jouet. Les années 1950 ont vu forte hausse de la production et des ventes de jouets grâce au baby-boom de l'après-guerre. Il est intéressant de noter que le nombre de visites aux urgences liées à des incidents liés à des jouets aurait également augmenté au cours de cette période. Des flèches en forme de jouet causaient des blessures aux yeux, de petits jouets (et des pièces détachables de jouets plus grands) étaient ingérés, et fours à jouets destinés aux petites filles étaient capables de chauffer à des températures plus élevées que les fours domestiques ordinaires.
C'était un peu un « Far West » là-bas, avec peu de réglementation, à l'exception de quelques interdictions isolées et de rappels de produits dans les circonstances les plus difficiles. Les fabricants de jouets étaient essentiellement libres de produire les jouets de leur choix, tout problème de sécurité étant généralement signalé après que plusieurs incidents aient déjà été signalés. Ce n'est que lorsque des projets de loi comme Loi sur la sécurité des jouets de 1969 de Richard Nixon ont été promulguées pour que les tests et l'interdiction ultérieure des jouets dangereux soient devenus la norme, aux États-Unis et dans le monde entier. Bien que des accidents puissent toujours se produire, aujourd'hui, le processus général de fabrication des jouets adopte une politique de « sécurité d'abord », et nos enfants courent beaucoup moins de danger potentiel.
En matière de sécurité logicielle, nous sommes actuellement dans le Far West. Hormis les lois et réglementations évidentes en matière de confidentialité (en particulier récemment avec le RGPD) et de protection des données des clients, ainsi que la législation obligatoire en matière de signalement des violations dans certains pays, très peu de choses sont dites et faites dans les entreprises ou la communauté traditionnelles sur le niveau de sécurité intégré aux logiciels. Même ces lois concernent davantage la responsabilité de l'entreprise que les logiciels eux-mêmes réglementés ou soumis à une norme de sécurité obligatoire.
Nous y arriverons, mais il faudra peut-être d'abord emprunter la voie de la destruction.
Gartner estime qu'il y aura 8,4 milliards d'appareils connectés à Internet seront utilisés d'ici 2020; un chiffre qui représente une augmentation de 31 % depuis 2016. Cela inclut l'électronique grand public, ainsi que des équipements tels que les dispositifs médicaux et les équipements spécifiques à l'industrie. C'est une sacrée opportunité pour un hacker.
Imaginez que le logiciel qui fait fonctionner le stimulateur cardiaque de quelqu'un n'est pas sécurisé. Un pirate informatique pourrait entrer par effraction et potentiellement arrêter le cœur de sa victime (vous pensez que c'est ridicule ? Médecins a désactivé le WiFi dans le stimulateur cardiaque de Dick Cheney pour empêcher un éventuel assassinat par piratage informatique). Un four à micro-ondes ou une bouilloire connectés pourrait être explosé à distance (ainsi que toutes sortes d'appareils Internet des objets dont nous profitons chez nous), ou les freins d'une voiture électrique connectée pourraient être désactivés. Cela peut sembler être un film d'action hollywoodien tiré par les cheveux, mais si le logiciel de l'une de ces technologies connectées avancées peut être piraté, nous sommes vraiment confrontés à une catastrophe potentielle, tout comme les menaces que nous avons déjà couvertes avec les ramifications explosives des cyberattaques dans l'industrie pétrolière et gazière.
Nous pouvons prévenir les conséquences désastreuses du piratage informatique alors que nos vies deviennent de plus en plus dépendantes du numérique. Tout commence par susciter l'intérêt des développeurs pour le codage sécurisé et prendre au sérieux la nécessité de développer un état d'esprit et une culture solides en matière de sécurité au sein des équipes de développement.
Votre révolution logicielle commence ici. Le secteur bancaire montre la voie à suivre en adoptant la formation gamifiée pour lutter contre les mauvais codes, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (lire : ennuyeuse). En fait, chacune des six plus grandes banques d'Australie engage actuellement ses développeurs de cette manière, ce qui leur permet de renforcer leur état d'esprit en matière de sécurité. Découvrez ce que notre client, IAG Group, a fait avec son tournoi de niveau supérieur.
La sécurité des logiciels est toujours une priorité pour moi, tout comme le danger très réel que représente notre mode de vie de plus en plus numérique et axé sur le partage d'informations personnelles. Après tout, nous nous trouvons dans un territoire largement non réglementé, non supervisé et parfaitement ignoré. Nous sommes dans le Far West.
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démo
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Publié à l'origine dans CSO en ligne
En tant que hacker éthique (semi-retraité), professionnel de la sécurité et passionné d'informatique, on peut dire que je tiens beaucoup à la technologie. Je m'intéresse à la façon dont il a été conçu, à ce qu'il fait et à la manière dont il va améliorer ou rendre certains aspects de notre vie plus efficaces. Je regarde tout le temps « sous le capot » des appareils et je trouve certains des meilleurs (et des pires) exemples de code disponibles. Récemment, j'ai étudié comment mon système de climatisation pouvait être contrôlé à distance à l'aide d'une application Android (imaginez ma surprise lorsque j'ai découvert que n'importe qui sur le réseau WiFi pouvait contrôler cet appareil sans aucune authentification).
La sécurité des logiciels est toujours une priorité pour moi, tout comme le danger très réel que représente notre mode de vie de plus en plus numérique et axé sur le partage d'informations personnelles. Après tout, nous nous trouvons dans un territoire largement non réglementé, non supervisé et parfaitement ignoré. Nous sommes dans le Far West.
En tant que société collective, nous ne cherchons pas à dissimuler la technologie que nous utilisons au quotidien. Bien que des séries télévisées populaires et très acclamées comme Mr. Robot contribuent à sensibiliser le public, nous ne sommes pas soucieux de la sécurité... En fait, la plupart d'entre nous ne savent pas à quel point le logiciel est sécurisé parmi la myriade d'applications, de services et d'objets de plus en plus connectés que nous achetons et utilisons. Ce n'est même pas que nous leur faisons fondamentalement confiance, nous n'y pensons tout simplement pas du tout.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo ! , Facebook, Target : chacune de ces entreprises très utilisées a été victime d'une violation de données. Leur vulnérabilités logicielles ont été exploitées et des millions et des millions de dossiers clients ont été exposés. Ces exemples ne représentent qu'une fraction des violations mondiales qui ont eu lieu au cours des dix dernières années. Ils sont la conséquence coûteuse d'une mauvaise sécurité logicielle qui permet aux malfaiteurs de voler nos précieuses informations.
Lorsque la plupart des gens pensent aux violations de données, ils pensent aux failles de sécurité de l'information. Elles sont considérées comme un cauchemar pour l'entreprise concernée et peu pratiques pour les personnes dont les données personnelles ont été touchées, mais sérieusement, quel est le problème ? Si la sécurité continue d'être ignorée, les conséquences sont-elles vraiment si graves ? Rien cette des événements majeurs se sont produits jusqu'à présent : les violations de données ont de graves répercussions sur les entreprises qui en sont responsables, mais c'est leur problème, non ? Ils perdent des clients, ils perdent la confiance des consommateurs ; en fin de compte, c'est à eux de régler le problème et de payer les dégâts.
La sécurité logicielle doit être la priorité de chaque organisation.
La raison pour laquelle la sécurité logicielle n'est pas la principale préoccupation de toutes les entreprises dotées d'une équipe de développement est assez simple : trop peu de personnes ont perdu la vie et les connaissances sur les risques sont insuffisantes.
Morbide ? Peut-être. Mais c'est la vérité. La réglementation, les normes de construction et l'évolution des lois sont prêtées (par exemple, de la part des agences gouvernementales) lorsqu'il y a un véritable coût humain.
Prenons un pont, par exemple. Les ingénieurs civils (un métier vieux de plusieurs centaines d'années) considèrent la sécurité comme un élément essentiel de la construction d'un pont. Leur approche va bien au-delà de l'esthétique et de la fonctionnalité de base. Chaque pont construit est censé respecter des règles de sécurité strictes, les professionnels du génie civil et la société dans son ensemble apprenant au fil du temps à s'attendre à un niveau de sécurité élevé. Aujourd'hui, un pont qui ne répond pas aux exigences de sécurité est considéré comme dangereux et inutilisable. Il s'agit toujours d'une évolution que nous devons réaliser dans le domaine du génie logiciel.
À titre d'exemple plus moderne, examinons l'industrie du jouet. Les années 1950 ont vu forte hausse de la production et des ventes de jouets grâce au baby-boom de l'après-guerre. Il est intéressant de noter que le nombre de visites aux urgences liées à des incidents liés à des jouets aurait également augmenté au cours de cette période. Des flèches en forme de jouet causaient des blessures aux yeux, de petits jouets (et des pièces détachables de jouets plus grands) étaient ingérés, et fours à jouets destinés aux petites filles étaient capables de chauffer à des températures plus élevées que les fours domestiques ordinaires.
C'était un peu un « Far West » là-bas, avec peu de réglementation, à l'exception de quelques interdictions isolées et de rappels de produits dans les circonstances les plus difficiles. Les fabricants de jouets étaient essentiellement libres de produire les jouets de leur choix, tout problème de sécurité étant généralement signalé après que plusieurs incidents aient déjà été signalés. Ce n'est que lorsque des projets de loi comme Loi sur la sécurité des jouets de 1969 de Richard Nixon ont été promulguées pour que les tests et l'interdiction ultérieure des jouets dangereux soient devenus la norme, aux États-Unis et dans le monde entier. Bien que des accidents puissent toujours se produire, aujourd'hui, le processus général de fabrication des jouets adopte une politique de « sécurité d'abord », et nos enfants courent beaucoup moins de danger potentiel.
En matière de sécurité logicielle, nous sommes actuellement dans le Far West. Hormis les lois et réglementations évidentes en matière de confidentialité (en particulier récemment avec le RGPD) et de protection des données des clients, ainsi que la législation obligatoire en matière de signalement des violations dans certains pays, très peu de choses sont dites et faites dans les entreprises ou la communauté traditionnelles sur le niveau de sécurité intégré aux logiciels. Même ces lois concernent davantage la responsabilité de l'entreprise que les logiciels eux-mêmes réglementés ou soumis à une norme de sécurité obligatoire.
Nous y arriverons, mais il faudra peut-être d'abord emprunter la voie de la destruction.
Gartner estime qu'il y aura 8,4 milliards d'appareils connectés à Internet seront utilisés d'ici 2020; un chiffre qui représente une augmentation de 31 % depuis 2016. Cela inclut l'électronique grand public, ainsi que des équipements tels que les dispositifs médicaux et les équipements spécifiques à l'industrie. C'est une sacrée opportunité pour un hacker.
Imaginez que le logiciel qui fait fonctionner le stimulateur cardiaque de quelqu'un n'est pas sécurisé. Un pirate informatique pourrait entrer par effraction et potentiellement arrêter le cœur de sa victime (vous pensez que c'est ridicule ? Médecins a désactivé le WiFi dans le stimulateur cardiaque de Dick Cheney pour empêcher un éventuel assassinat par piratage informatique). Un four à micro-ondes ou une bouilloire connectés pourrait être explosé à distance (ainsi que toutes sortes d'appareils Internet des objets dont nous profitons chez nous), ou les freins d'une voiture électrique connectée pourraient être désactivés. Cela peut sembler être un film d'action hollywoodien tiré par les cheveux, mais si le logiciel de l'une de ces technologies connectées avancées peut être piraté, nous sommes vraiment confrontés à une catastrophe potentielle, tout comme les menaces que nous avons déjà couvertes avec les ramifications explosives des cyberattaques dans l'industrie pétrolière et gazière.
Nous pouvons prévenir les conséquences désastreuses du piratage informatique alors que nos vies deviennent de plus en plus dépendantes du numérique. Tout commence par susciter l'intérêt des développeurs pour le codage sécurisé et prendre au sérieux la nécessité de développer un état d'esprit et une culture solides en matière de sécurité au sein des équipes de développement.
Votre révolution logicielle commence ici. Le secteur bancaire montre la voie à suivre en adoptant la formation gamifiée pour lutter contre les mauvais codes, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (lire : ennuyeuse). En fait, chacune des six plus grandes banques d'Australie engage actuellement ses développeurs de cette manière, ce qui leur permet de renforcer leur état d'esprit en matière de sécurité. Découvrez ce que notre client, IAG Group, a fait avec son tournoi de niveau supérieur.
Publié à l'origine dans CSO en ligne
En tant que hacker éthique (semi-retraité), professionnel de la sécurité et passionné d'informatique, on peut dire que je tiens beaucoup à la technologie. Je m'intéresse à la façon dont il a été conçu, à ce qu'il fait et à la manière dont il va améliorer ou rendre certains aspects de notre vie plus efficaces. Je regarde tout le temps « sous le capot » des appareils et je trouve certains des meilleurs (et des pires) exemples de code disponibles. Récemment, j'ai étudié comment mon système de climatisation pouvait être contrôlé à distance à l'aide d'une application Android (imaginez ma surprise lorsque j'ai découvert que n'importe qui sur le réseau WiFi pouvait contrôler cet appareil sans aucune authentification).
La sécurité des logiciels est toujours une priorité pour moi, tout comme le danger très réel que représente notre mode de vie de plus en plus numérique et axé sur le partage d'informations personnelles. Après tout, nous nous trouvons dans un territoire largement non réglementé, non supervisé et parfaitement ignoré. Nous sommes dans le Far West.
En tant que société collective, nous ne cherchons pas à dissimuler la technologie que nous utilisons au quotidien. Bien que des séries télévisées populaires et très acclamées comme Mr. Robot contribuent à sensibiliser le public, nous ne sommes pas soucieux de la sécurité... En fait, la plupart d'entre nous ne savent pas à quel point le logiciel est sécurisé parmi la myriade d'applications, de services et d'objets de plus en plus connectés que nous achetons et utilisons. Ce n'est même pas que nous leur faisons fondamentalement confiance, nous n'y pensons tout simplement pas du tout.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo ! , Facebook, Target : chacune de ces entreprises très utilisées a été victime d'une violation de données. Leur vulnérabilités logicielles ont été exploitées et des millions et des millions de dossiers clients ont été exposés. Ces exemples ne représentent qu'une fraction des violations mondiales qui ont eu lieu au cours des dix dernières années. Ils sont la conséquence coûteuse d'une mauvaise sécurité logicielle qui permet aux malfaiteurs de voler nos précieuses informations.
Lorsque la plupart des gens pensent aux violations de données, ils pensent aux failles de sécurité de l'information. Elles sont considérées comme un cauchemar pour l'entreprise concernée et peu pratiques pour les personnes dont les données personnelles ont été touchées, mais sérieusement, quel est le problème ? Si la sécurité continue d'être ignorée, les conséquences sont-elles vraiment si graves ? Rien cette des événements majeurs se sont produits jusqu'à présent : les violations de données ont de graves répercussions sur les entreprises qui en sont responsables, mais c'est leur problème, non ? Ils perdent des clients, ils perdent la confiance des consommateurs ; en fin de compte, c'est à eux de régler le problème et de payer les dégâts.
La sécurité logicielle doit être la priorité de chaque organisation.
La raison pour laquelle la sécurité logicielle n'est pas la principale préoccupation de toutes les entreprises dotées d'une équipe de développement est assez simple : trop peu de personnes ont perdu la vie et les connaissances sur les risques sont insuffisantes.
Morbide ? Peut-être. Mais c'est la vérité. La réglementation, les normes de construction et l'évolution des lois sont prêtées (par exemple, de la part des agences gouvernementales) lorsqu'il y a un véritable coût humain.
Prenons un pont, par exemple. Les ingénieurs civils (un métier vieux de plusieurs centaines d'années) considèrent la sécurité comme un élément essentiel de la construction d'un pont. Leur approche va bien au-delà de l'esthétique et de la fonctionnalité de base. Chaque pont construit est censé respecter des règles de sécurité strictes, les professionnels du génie civil et la société dans son ensemble apprenant au fil du temps à s'attendre à un niveau de sécurité élevé. Aujourd'hui, un pont qui ne répond pas aux exigences de sécurité est considéré comme dangereux et inutilisable. Il s'agit toujours d'une évolution que nous devons réaliser dans le domaine du génie logiciel.
À titre d'exemple plus moderne, examinons l'industrie du jouet. Les années 1950 ont vu forte hausse de la production et des ventes de jouets grâce au baby-boom de l'après-guerre. Il est intéressant de noter que le nombre de visites aux urgences liées à des incidents liés à des jouets aurait également augmenté au cours de cette période. Des flèches en forme de jouet causaient des blessures aux yeux, de petits jouets (et des pièces détachables de jouets plus grands) étaient ingérés, et fours à jouets destinés aux petites filles étaient capables de chauffer à des températures plus élevées que les fours domestiques ordinaires.
C'était un peu un « Far West » là-bas, avec peu de réglementation, à l'exception de quelques interdictions isolées et de rappels de produits dans les circonstances les plus difficiles. Les fabricants de jouets étaient essentiellement libres de produire les jouets de leur choix, tout problème de sécurité étant généralement signalé après que plusieurs incidents aient déjà été signalés. Ce n'est que lorsque des projets de loi comme Loi sur la sécurité des jouets de 1969 de Richard Nixon ont été promulguées pour que les tests et l'interdiction ultérieure des jouets dangereux soient devenus la norme, aux États-Unis et dans le monde entier. Bien que des accidents puissent toujours se produire, aujourd'hui, le processus général de fabrication des jouets adopte une politique de « sécurité d'abord », et nos enfants courent beaucoup moins de danger potentiel.
En matière de sécurité logicielle, nous sommes actuellement dans le Far West. Hormis les lois et réglementations évidentes en matière de confidentialité (en particulier récemment avec le RGPD) et de protection des données des clients, ainsi que la législation obligatoire en matière de signalement des violations dans certains pays, très peu de choses sont dites et faites dans les entreprises ou la communauté traditionnelles sur le niveau de sécurité intégré aux logiciels. Même ces lois concernent davantage la responsabilité de l'entreprise que les logiciels eux-mêmes réglementés ou soumis à une norme de sécurité obligatoire.
Nous y arriverons, mais il faudra peut-être d'abord emprunter la voie de la destruction.
Gartner estime qu'il y aura 8,4 milliards d'appareils connectés à Internet seront utilisés d'ici 2020; un chiffre qui représente une augmentation de 31 % depuis 2016. Cela inclut l'électronique grand public, ainsi que des équipements tels que les dispositifs médicaux et les équipements spécifiques à l'industrie. C'est une sacrée opportunité pour un hacker.
Imaginez que le logiciel qui fait fonctionner le stimulateur cardiaque de quelqu'un n'est pas sécurisé. Un pirate informatique pourrait entrer par effraction et potentiellement arrêter le cœur de sa victime (vous pensez que c'est ridicule ? Médecins a désactivé le WiFi dans le stimulateur cardiaque de Dick Cheney pour empêcher un éventuel assassinat par piratage informatique). Un four à micro-ondes ou une bouilloire connectés pourrait être explosé à distance (ainsi que toutes sortes d'appareils Internet des objets dont nous profitons chez nous), ou les freins d'une voiture électrique connectée pourraient être désactivés. Cela peut sembler être un film d'action hollywoodien tiré par les cheveux, mais si le logiciel de l'une de ces technologies connectées avancées peut être piraté, nous sommes vraiment confrontés à une catastrophe potentielle, tout comme les menaces que nous avons déjà couvertes avec les ramifications explosives des cyberattaques dans l'industrie pétrolière et gazière.
Nous pouvons prévenir les conséquences désastreuses du piratage informatique alors que nos vies deviennent de plus en plus dépendantes du numérique. Tout commence par susciter l'intérêt des développeurs pour le codage sécurisé et prendre au sérieux la nécessité de développer un état d'esprit et une culture solides en matière de sécurité au sein des équipes de développement.
Votre révolution logicielle commence ici. Le secteur bancaire montre la voie à suivre en adoptant la formation gamifiée pour lutter contre les mauvais codes, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (lire : ennuyeuse). En fait, chacune des six plus grandes banques d'Australie engage actuellement ses développeurs de cette manière, ce qui leur permet de renforcer leur état d'esprit en matière de sécurité. Découvrez ce que notre client, IAG Group, a fait avec son tournoi de niveau supérieur.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Afficher le rapportRéservez une démo
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Publié à l'origine dans CSO en ligne
En tant que hacker éthique (semi-retraité), professionnel de la sécurité et passionné d'informatique, on peut dire que je tiens beaucoup à la technologie. Je m'intéresse à la façon dont il a été conçu, à ce qu'il fait et à la manière dont il va améliorer ou rendre certains aspects de notre vie plus efficaces. Je regarde tout le temps « sous le capot » des appareils et je trouve certains des meilleurs (et des pires) exemples de code disponibles. Récemment, j'ai étudié comment mon système de climatisation pouvait être contrôlé à distance à l'aide d'une application Android (imaginez ma surprise lorsque j'ai découvert que n'importe qui sur le réseau WiFi pouvait contrôler cet appareil sans aucune authentification).
La sécurité des logiciels est toujours une priorité pour moi, tout comme le danger très réel que représente notre mode de vie de plus en plus numérique et axé sur le partage d'informations personnelles. Après tout, nous nous trouvons dans un territoire largement non réglementé, non supervisé et parfaitement ignoré. Nous sommes dans le Far West.
En tant que société collective, nous ne cherchons pas à dissimuler la technologie que nous utilisons au quotidien. Bien que des séries télévisées populaires et très acclamées comme Mr. Robot contribuent à sensibiliser le public, nous ne sommes pas soucieux de la sécurité... En fait, la plupart d'entre nous ne savent pas à quel point le logiciel est sécurisé parmi la myriade d'applications, de services et d'objets de plus en plus connectés que nous achetons et utilisons. Ce n'est même pas que nous leur faisons fondamentalement confiance, nous n'y pensons tout simplement pas du tout.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo ! , Facebook, Target : chacune de ces entreprises très utilisées a été victime d'une violation de données. Leur vulnérabilités logicielles ont été exploitées et des millions et des millions de dossiers clients ont été exposés. Ces exemples ne représentent qu'une fraction des violations mondiales qui ont eu lieu au cours des dix dernières années. Ils sont la conséquence coûteuse d'une mauvaise sécurité logicielle qui permet aux malfaiteurs de voler nos précieuses informations.
Lorsque la plupart des gens pensent aux violations de données, ils pensent aux failles de sécurité de l'information. Elles sont considérées comme un cauchemar pour l'entreprise concernée et peu pratiques pour les personnes dont les données personnelles ont été touchées, mais sérieusement, quel est le problème ? Si la sécurité continue d'être ignorée, les conséquences sont-elles vraiment si graves ? Rien cette des événements majeurs se sont produits jusqu'à présent : les violations de données ont de graves répercussions sur les entreprises qui en sont responsables, mais c'est leur problème, non ? Ils perdent des clients, ils perdent la confiance des consommateurs ; en fin de compte, c'est à eux de régler le problème et de payer les dégâts.
La sécurité logicielle doit être la priorité de chaque organisation.
La raison pour laquelle la sécurité logicielle n'est pas la principale préoccupation de toutes les entreprises dotées d'une équipe de développement est assez simple : trop peu de personnes ont perdu la vie et les connaissances sur les risques sont insuffisantes.
Morbide ? Peut-être. Mais c'est la vérité. La réglementation, les normes de construction et l'évolution des lois sont prêtées (par exemple, de la part des agences gouvernementales) lorsqu'il y a un véritable coût humain.
Prenons un pont, par exemple. Les ingénieurs civils (un métier vieux de plusieurs centaines d'années) considèrent la sécurité comme un élément essentiel de la construction d'un pont. Leur approche va bien au-delà de l'esthétique et de la fonctionnalité de base. Chaque pont construit est censé respecter des règles de sécurité strictes, les professionnels du génie civil et la société dans son ensemble apprenant au fil du temps à s'attendre à un niveau de sécurité élevé. Aujourd'hui, un pont qui ne répond pas aux exigences de sécurité est considéré comme dangereux et inutilisable. Il s'agit toujours d'une évolution que nous devons réaliser dans le domaine du génie logiciel.
À titre d'exemple plus moderne, examinons l'industrie du jouet. Les années 1950 ont vu forte hausse de la production et des ventes de jouets grâce au baby-boom de l'après-guerre. Il est intéressant de noter que le nombre de visites aux urgences liées à des incidents liés à des jouets aurait également augmenté au cours de cette période. Des flèches en forme de jouet causaient des blessures aux yeux, de petits jouets (et des pièces détachables de jouets plus grands) étaient ingérés, et fours à jouets destinés aux petites filles étaient capables de chauffer à des températures plus élevées que les fours domestiques ordinaires.
C'était un peu un « Far West » là-bas, avec peu de réglementation, à l'exception de quelques interdictions isolées et de rappels de produits dans les circonstances les plus difficiles. Les fabricants de jouets étaient essentiellement libres de produire les jouets de leur choix, tout problème de sécurité étant généralement signalé après que plusieurs incidents aient déjà été signalés. Ce n'est que lorsque des projets de loi comme Loi sur la sécurité des jouets de 1969 de Richard Nixon ont été promulguées pour que les tests et l'interdiction ultérieure des jouets dangereux soient devenus la norme, aux États-Unis et dans le monde entier. Bien que des accidents puissent toujours se produire, aujourd'hui, le processus général de fabrication des jouets adopte une politique de « sécurité d'abord », et nos enfants courent beaucoup moins de danger potentiel.
En matière de sécurité logicielle, nous sommes actuellement dans le Far West. Hormis les lois et réglementations évidentes en matière de confidentialité (en particulier récemment avec le RGPD) et de protection des données des clients, ainsi que la législation obligatoire en matière de signalement des violations dans certains pays, très peu de choses sont dites et faites dans les entreprises ou la communauté traditionnelles sur le niveau de sécurité intégré aux logiciels. Même ces lois concernent davantage la responsabilité de l'entreprise que les logiciels eux-mêmes réglementés ou soumis à une norme de sécurité obligatoire.
Nous y arriverons, mais il faudra peut-être d'abord emprunter la voie de la destruction.
Gartner estime qu'il y aura 8,4 milliards d'appareils connectés à Internet seront utilisés d'ici 2020; un chiffre qui représente une augmentation de 31 % depuis 2016. Cela inclut l'électronique grand public, ainsi que des équipements tels que les dispositifs médicaux et les équipements spécifiques à l'industrie. C'est une sacrée opportunité pour un hacker.
Imaginez que le logiciel qui fait fonctionner le stimulateur cardiaque de quelqu'un n'est pas sécurisé. Un pirate informatique pourrait entrer par effraction et potentiellement arrêter le cœur de sa victime (vous pensez que c'est ridicule ? Médecins a désactivé le WiFi dans le stimulateur cardiaque de Dick Cheney pour empêcher un éventuel assassinat par piratage informatique). Un four à micro-ondes ou une bouilloire connectés pourrait être explosé à distance (ainsi que toutes sortes d'appareils Internet des objets dont nous profitons chez nous), ou les freins d'une voiture électrique connectée pourraient être désactivés. Cela peut sembler être un film d'action hollywoodien tiré par les cheveux, mais si le logiciel de l'une de ces technologies connectées avancées peut être piraté, nous sommes vraiment confrontés à une catastrophe potentielle, tout comme les menaces que nous avons déjà couvertes avec les ramifications explosives des cyberattaques dans l'industrie pétrolière et gazière.
Nous pouvons prévenir les conséquences désastreuses du piratage informatique alors que nos vies deviennent de plus en plus dépendantes du numérique. Tout commence par susciter l'intérêt des développeurs pour le codage sécurisé et prendre au sérieux la nécessité de développer un état d'esprit et une culture solides en matière de sécurité au sein des équipes de développement.
Votre révolution logicielle commence ici. Le secteur bancaire montre la voie à suivre en adoptant la formation gamifiée pour lutter contre les mauvais codes, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (lire : ennuyeuse). En fait, chacune des six plus grandes banques d'Australie engage actuellement ses développeurs de cette manière, ce qui leur permet de renforcer leur état d'esprit en matière de sécurité. Découvrez ce que notre client, IAG Group, a fait avec son tournoi de niveau supérieur.
Table des matières
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démoTéléchargerRessources pour vous aider à démarrer
Sujets et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions d'IA Beat the Boss sont désormais disponibles à la demande
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Déployez des défis de sécurité avancés liés à l'IA et au LLM pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyberrésilience : ce que cela signifie pour le développement de logiciels sécurisés dès la conception
Découvrez ce que la loi européenne sur la cyberrésilience (CRA) exige, à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Enabler 1 donne le coup d'envoi de notre série en 10 parties intitulée Enablers of Success en montrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité pour assurer la maturité à long terme des programmes.
