Souffrant d'une surabondance d'outils de sécurité
Cet article a été initialement publié dans Boulevard de sécurité. Il a été mis à jour et diffusé ici.
Il est presque ancré dans notre psyché collective que plus une bonne chose est une chose encore meilleure. Si vous avez quelque chose que vous aimez vraiment, il n'y a rien de mal à en avoir deux ou trois, voire plus. Après tout, on ne peut pas avoir trop de bonnes choses, non ?
Malheureusement, bien que cette logique fonctionne pour certains aspects, elle tombe parfois en panne rapidement à des volumes plus élevés. Dans certains cas, vous commencez à obtenir des rendements décroissants. Quelle valeur supplémentaire ou quelle joie ce 13e morceau de gâteau au chocolat va-t-il vraiment vous apporter ? Et puis, il arrive parfois que l'ajout d'une trop grande quantité d'une bonne chose puisse entraîner un profil de risque important pour vous ou votre organisation.
Trop d'outils de cybersécurité
Les outils de cybersécurité, qui sont devenus incontrôlables dans la plupart des entreprises ces dernières années, constituent un domaine critique dans lequel trop de bonnes choses se sont rapidement transformées en mauvaises. Une étude publiée dans Dark Reading a révélé que la plupart des responsables de la sécurité informatique s'appuient sur en moyenne de 55 à 75 produits ou applications de sécurité distincts pour protéger leurs réseaux. Et pourtant, les attaques continuent de passer. Selon le rapport d'enquêtes sur les violations de données 2023 de Verizon, les attaques réussies sont en hausse, et les plus complexes d'entre elles sont plus longtemps que jamais à détecter.
Comment les attaquants peuvent-ils contourner ce qui semble être à première vue un défi impossible composé de 75 outils de cybersécurité ou plus ? Le fait est qu'ils déclenchent souvent des alarmes, mais les défenseurs humains sont trop occupés à entretenir leurs outils défensifs ou à répondre à des milliers d'alertes quotidiennes pour s'en rendre compte. Disposer de nombreux outils de sécurité peut en fait fournir aux attaquants la couverture dont ils ont besoin pour ne pas être détectés.
Un récent rapport publié dans TechRadar a mis en évidence conséquences négatives de disposer d'un trop grand nombre d'outils de cybersécurité. Parmi les entreprises interrogées, 71 % estimaient disposer de plus d'outils que ce que leurs équipes de cybersécurité pourraient gérer avec succès. Cela a en fait aggravé leur situation de sécurité à mesure que de nouveaux outils étaient ajoutés. En fait, contrairement à l'idée selon laquelle plus d'outils signifie plus de sécurité, l'écrasante majorité des personnes interrogées ont déclaré se sentir beaucoup moins en sécurité en raison de tous les outils de cybersécurité installés dans leur environnement.
La situation n'a fait qu'empirer avec la migration massive vers le cloud dans la plupart des entreprises. L'une des raisons pour lesquelles la superposition de nombreux outils de cybersécurité au sein d'un réseau pour couvrir toutes les voies d'attaque possibles est devenue populaire parce qu'à une époque où les actifs étaient presque entièrement sur site, la stratégie fonctionnait en quelque sorte. Ou du moins, les organisations n'ont pas été confrontées à une baisse des rendements et à des conséquences négatives aussi rapidement. Dans les environnements cloud, en revanche, plus vous ajoutez d'outils, plus vous créez de complexités et de vulnérabilités.
Outre le travail nécessaire à la maintenance des outils qui se chevauchent, l'autre gros problème d'une approche centrée sur les outils est l'océan de faux positifs qui se produiront certainement à mesure que de nouveaux outils seront mis en ligne. La recherche de faux positifs peut priver le personnel de sécurité humaine de tout son temps sans aucun avantage réel pour l'organisation. Et pendant ce temps, une véritable attaque peut facilement se cacher parmi toutes les fausses alertes. Les professionnels de la cybersécurité ne découvriront peut-être jamais de véritables menaces avant qu'il ne soit bien trop tard.
Un meilleur moyen
Il serait désastreux de supprimer tous les outils de sécurité de votre environnement. Mais vous ne voulez pas non plus en avoir suffisamment au point que les outils clés qui pourraient vraiment vous aider ne reçoivent pas suffisamment d'attention. Il est important de trouver le bon choix d'outils et de s'assurer que vous n'avez pas trop à perdre votre temps et vos ressources.
Pour que la consolidation des outils fonctionne, il est essentiel d'investir simultanément dans une approche de la sécurité dirigée par l'homme. Et cela devrait inclure l'utilisation d'un actif qui n'a pas toujours été déployé dans ce rôle : des équipes de développeurs chargées de coder les applications et les logiciels ciblés par les attaquants.
Bien que les développeurs n'aient pas toujours été chargés de la sécurité, la situation est en train de changer. En fait, encourager les développeurs à se concentrer sur la sécurité est un aspect clé des mouvements DevSecOps où chacun assume la responsabilité du déploiement d'applications sécurisées. Personne ne s'attend à ce que les développeurs deviennent soudainement des experts en sécurité ou qu'ils assument la responsabilité principale de la sécurité au sein de leur entreprise, mais leur apprendre à écrire du code sécurisé et les récompenser pour leur travail bien fait peut grandement contribuer à préparer le terrain pour l'élimination de tous ces outils de sécurité qui se chevauchent.
Si vous commencez avec un code sécurisé de qualité, vous pouvez facilement commencer à éliminer certains des centaines d'outils de cybersécurité conçus pour détecter les exploits et les vulnérabilités courants. Vous finirez par créer un environnement dans lequel les développeurs créent du code sécurisé, et quelques outils de cybersécurité sélectionnés peuvent constituer un contrôle supplémentaire facile à surveiller et à gérer pour les équipes de sécurité sans être surchargées par une solution supposée être trop efficace.
Un déluge d'outils de sécurité complexes rend la cybersécurité encore plus difficile pour les RSSI.
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démo
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
Cet article a été initialement publié dans Boulevard de sécurité. Il a été mis à jour et diffusé ici.
Il est presque ancré dans notre psyché collective que plus une bonne chose est une chose encore meilleure. Si vous avez quelque chose que vous aimez vraiment, il n'y a rien de mal à en avoir deux ou trois, voire plus. Après tout, on ne peut pas avoir trop de bonnes choses, non ?
Malheureusement, bien que cette logique fonctionne pour certains aspects, elle tombe parfois en panne rapidement à des volumes plus élevés. Dans certains cas, vous commencez à obtenir des rendements décroissants. Quelle valeur supplémentaire ou quelle joie ce 13e morceau de gâteau au chocolat va-t-il vraiment vous apporter ? Et puis, il arrive parfois que l'ajout d'une trop grande quantité d'une bonne chose puisse entraîner un profil de risque important pour vous ou votre organisation.
Trop d'outils de cybersécurité
Les outils de cybersécurité, qui sont devenus incontrôlables dans la plupart des entreprises ces dernières années, constituent un domaine critique dans lequel trop de bonnes choses se sont rapidement transformées en mauvaises. Une étude publiée dans Dark Reading a révélé que la plupart des responsables de la sécurité informatique s'appuient sur en moyenne de 55 à 75 produits ou applications de sécurité distincts pour protéger leurs réseaux. Et pourtant, les attaques continuent de passer. Selon le rapport d'enquêtes sur les violations de données 2023 de Verizon, les attaques réussies sont en hausse, et les plus complexes d'entre elles sont plus longtemps que jamais à détecter.
Comment les attaquants peuvent-ils contourner ce qui semble être à première vue un défi impossible composé de 75 outils de cybersécurité ou plus ? Le fait est qu'ils déclenchent souvent des alarmes, mais les défenseurs humains sont trop occupés à entretenir leurs outils défensifs ou à répondre à des milliers d'alertes quotidiennes pour s'en rendre compte. Disposer de nombreux outils de sécurité peut en fait fournir aux attaquants la couverture dont ils ont besoin pour ne pas être détectés.
Un récent rapport publié dans TechRadar a mis en évidence conséquences négatives de disposer d'un trop grand nombre d'outils de cybersécurité. Parmi les entreprises interrogées, 71 % estimaient disposer de plus d'outils que ce que leurs équipes de cybersécurité pourraient gérer avec succès. Cela a en fait aggravé leur situation de sécurité à mesure que de nouveaux outils étaient ajoutés. En fait, contrairement à l'idée selon laquelle plus d'outils signifie plus de sécurité, l'écrasante majorité des personnes interrogées ont déclaré se sentir beaucoup moins en sécurité en raison de tous les outils de cybersécurité installés dans leur environnement.
La situation n'a fait qu'empirer avec la migration massive vers le cloud dans la plupart des entreprises. L'une des raisons pour lesquelles la superposition de nombreux outils de cybersécurité au sein d'un réseau pour couvrir toutes les voies d'attaque possibles est devenue populaire parce qu'à une époque où les actifs étaient presque entièrement sur site, la stratégie fonctionnait en quelque sorte. Ou du moins, les organisations n'ont pas été confrontées à une baisse des rendements et à des conséquences négatives aussi rapidement. Dans les environnements cloud, en revanche, plus vous ajoutez d'outils, plus vous créez de complexités et de vulnérabilités.
Outre le travail nécessaire à la maintenance des outils qui se chevauchent, l'autre gros problème d'une approche centrée sur les outils est l'océan de faux positifs qui se produiront certainement à mesure que de nouveaux outils seront mis en ligne. La recherche de faux positifs peut priver le personnel de sécurité humaine de tout son temps sans aucun avantage réel pour l'organisation. Et pendant ce temps, une véritable attaque peut facilement se cacher parmi toutes les fausses alertes. Les professionnels de la cybersécurité ne découvriront peut-être jamais de véritables menaces avant qu'il ne soit bien trop tard.
Un meilleur moyen
Il serait désastreux de supprimer tous les outils de sécurité de votre environnement. Mais vous ne voulez pas non plus en avoir suffisamment au point que les outils clés qui pourraient vraiment vous aider ne reçoivent pas suffisamment d'attention. Il est important de trouver le bon choix d'outils et de s'assurer que vous n'avez pas trop à perdre votre temps et vos ressources.
Pour que la consolidation des outils fonctionne, il est essentiel d'investir simultanément dans une approche de la sécurité dirigée par l'homme. Et cela devrait inclure l'utilisation d'un actif qui n'a pas toujours été déployé dans ce rôle : des équipes de développeurs chargées de coder les applications et les logiciels ciblés par les attaquants.
Bien que les développeurs n'aient pas toujours été chargés de la sécurité, la situation est en train de changer. En fait, encourager les développeurs à se concentrer sur la sécurité est un aspect clé des mouvements DevSecOps où chacun assume la responsabilité du déploiement d'applications sécurisées. Personne ne s'attend à ce que les développeurs deviennent soudainement des experts en sécurité ou qu'ils assument la responsabilité principale de la sécurité au sein de leur entreprise, mais leur apprendre à écrire du code sécurisé et les récompenser pour leur travail bien fait peut grandement contribuer à préparer le terrain pour l'élimination de tous ces outils de sécurité qui se chevauchent.
Si vous commencez avec un code sécurisé de qualité, vous pouvez facilement commencer à éliminer certains des centaines d'outils de cybersécurité conçus pour détecter les exploits et les vulnérabilités courants. Vous finirez par créer un environnement dans lequel les développeurs créent du code sécurisé, et quelques outils de cybersécurité sélectionnés peuvent constituer un contrôle supplémentaire facile à surveiller et à gérer pour les équipes de sécurité sans être surchargées par une solution supposée être trop efficace.
Cet article a été initialement publié dans Boulevard de sécurité. Il a été mis à jour et diffusé ici.
Il est presque ancré dans notre psyché collective que plus une bonne chose est une chose encore meilleure. Si vous avez quelque chose que vous aimez vraiment, il n'y a rien de mal à en avoir deux ou trois, voire plus. Après tout, on ne peut pas avoir trop de bonnes choses, non ?
Malheureusement, bien que cette logique fonctionne pour certains aspects, elle tombe parfois en panne rapidement à des volumes plus élevés. Dans certains cas, vous commencez à obtenir des rendements décroissants. Quelle valeur supplémentaire ou quelle joie ce 13e morceau de gâteau au chocolat va-t-il vraiment vous apporter ? Et puis, il arrive parfois que l'ajout d'une trop grande quantité d'une bonne chose puisse entraîner un profil de risque important pour vous ou votre organisation.
Trop d'outils de cybersécurité
Les outils de cybersécurité, qui sont devenus incontrôlables dans la plupart des entreprises ces dernières années, constituent un domaine critique dans lequel trop de bonnes choses se sont rapidement transformées en mauvaises. Une étude publiée dans Dark Reading a révélé que la plupart des responsables de la sécurité informatique s'appuient sur en moyenne de 55 à 75 produits ou applications de sécurité distincts pour protéger leurs réseaux. Et pourtant, les attaques continuent de passer. Selon le rapport d'enquêtes sur les violations de données 2023 de Verizon, les attaques réussies sont en hausse, et les plus complexes d'entre elles sont plus longtemps que jamais à détecter.
Comment les attaquants peuvent-ils contourner ce qui semble être à première vue un défi impossible composé de 75 outils de cybersécurité ou plus ? Le fait est qu'ils déclenchent souvent des alarmes, mais les défenseurs humains sont trop occupés à entretenir leurs outils défensifs ou à répondre à des milliers d'alertes quotidiennes pour s'en rendre compte. Disposer de nombreux outils de sécurité peut en fait fournir aux attaquants la couverture dont ils ont besoin pour ne pas être détectés.
Un récent rapport publié dans TechRadar a mis en évidence conséquences négatives de disposer d'un trop grand nombre d'outils de cybersécurité. Parmi les entreprises interrogées, 71 % estimaient disposer de plus d'outils que ce que leurs équipes de cybersécurité pourraient gérer avec succès. Cela a en fait aggravé leur situation de sécurité à mesure que de nouveaux outils étaient ajoutés. En fait, contrairement à l'idée selon laquelle plus d'outils signifie plus de sécurité, l'écrasante majorité des personnes interrogées ont déclaré se sentir beaucoup moins en sécurité en raison de tous les outils de cybersécurité installés dans leur environnement.
La situation n'a fait qu'empirer avec la migration massive vers le cloud dans la plupart des entreprises. L'une des raisons pour lesquelles la superposition de nombreux outils de cybersécurité au sein d'un réseau pour couvrir toutes les voies d'attaque possibles est devenue populaire parce qu'à une époque où les actifs étaient presque entièrement sur site, la stratégie fonctionnait en quelque sorte. Ou du moins, les organisations n'ont pas été confrontées à une baisse des rendements et à des conséquences négatives aussi rapidement. Dans les environnements cloud, en revanche, plus vous ajoutez d'outils, plus vous créez de complexités et de vulnérabilités.
Outre le travail nécessaire à la maintenance des outils qui se chevauchent, l'autre gros problème d'une approche centrée sur les outils est l'océan de faux positifs qui se produiront certainement à mesure que de nouveaux outils seront mis en ligne. La recherche de faux positifs peut priver le personnel de sécurité humaine de tout son temps sans aucun avantage réel pour l'organisation. Et pendant ce temps, une véritable attaque peut facilement se cacher parmi toutes les fausses alertes. Les professionnels de la cybersécurité ne découvriront peut-être jamais de véritables menaces avant qu'il ne soit bien trop tard.
Un meilleur moyen
Il serait désastreux de supprimer tous les outils de sécurité de votre environnement. Mais vous ne voulez pas non plus en avoir suffisamment au point que les outils clés qui pourraient vraiment vous aider ne reçoivent pas suffisamment d'attention. Il est important de trouver le bon choix d'outils et de s'assurer que vous n'avez pas trop à perdre votre temps et vos ressources.
Pour que la consolidation des outils fonctionne, il est essentiel d'investir simultanément dans une approche de la sécurité dirigée par l'homme. Et cela devrait inclure l'utilisation d'un actif qui n'a pas toujours été déployé dans ce rôle : des équipes de développeurs chargées de coder les applications et les logiciels ciblés par les attaquants.
Bien que les développeurs n'aient pas toujours été chargés de la sécurité, la situation est en train de changer. En fait, encourager les développeurs à se concentrer sur la sécurité est un aspect clé des mouvements DevSecOps où chacun assume la responsabilité du déploiement d'applications sécurisées. Personne ne s'attend à ce que les développeurs deviennent soudainement des experts en sécurité ou qu'ils assument la responsabilité principale de la sécurité au sein de leur entreprise, mais leur apprendre à écrire du code sécurisé et les récompenser pour leur travail bien fait peut grandement contribuer à préparer le terrain pour l'élimination de tous ces outils de sécurité qui se chevauchent.
Si vous commencez avec un code sécurisé de qualité, vous pouvez facilement commencer à éliminer certains des centaines d'outils de cybersécurité conçus pour détecter les exploits et les vulnérabilités courants. Vous finirez par créer un environnement dans lequel les développeurs créent du code sécurisé, et quelques outils de cybersécurité sélectionnés peuvent constituer un contrôle supplémentaire facile à surveiller et à gérer pour les équipes de sécurité sans être surchargées par une solution supposée être trop efficace.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Afficher le rapportRéservez une démo
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démoMatias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
Cet article a été initialement publié dans Boulevard de sécurité. Il a été mis à jour et diffusé ici.
Il est presque ancré dans notre psyché collective que plus une bonne chose est une chose encore meilleure. Si vous avez quelque chose que vous aimez vraiment, il n'y a rien de mal à en avoir deux ou trois, voire plus. Après tout, on ne peut pas avoir trop de bonnes choses, non ?
Malheureusement, bien que cette logique fonctionne pour certains aspects, elle tombe parfois en panne rapidement à des volumes plus élevés. Dans certains cas, vous commencez à obtenir des rendements décroissants. Quelle valeur supplémentaire ou quelle joie ce 13e morceau de gâteau au chocolat va-t-il vraiment vous apporter ? Et puis, il arrive parfois que l'ajout d'une trop grande quantité d'une bonne chose puisse entraîner un profil de risque important pour vous ou votre organisation.
Trop d'outils de cybersécurité
Les outils de cybersécurité, qui sont devenus incontrôlables dans la plupart des entreprises ces dernières années, constituent un domaine critique dans lequel trop de bonnes choses se sont rapidement transformées en mauvaises. Une étude publiée dans Dark Reading a révélé que la plupart des responsables de la sécurité informatique s'appuient sur en moyenne de 55 à 75 produits ou applications de sécurité distincts pour protéger leurs réseaux. Et pourtant, les attaques continuent de passer. Selon le rapport d'enquêtes sur les violations de données 2023 de Verizon, les attaques réussies sont en hausse, et les plus complexes d'entre elles sont plus longtemps que jamais à détecter.
Comment les attaquants peuvent-ils contourner ce qui semble être à première vue un défi impossible composé de 75 outils de cybersécurité ou plus ? Le fait est qu'ils déclenchent souvent des alarmes, mais les défenseurs humains sont trop occupés à entretenir leurs outils défensifs ou à répondre à des milliers d'alertes quotidiennes pour s'en rendre compte. Disposer de nombreux outils de sécurité peut en fait fournir aux attaquants la couverture dont ils ont besoin pour ne pas être détectés.
Un récent rapport publié dans TechRadar a mis en évidence conséquences négatives de disposer d'un trop grand nombre d'outils de cybersécurité. Parmi les entreprises interrogées, 71 % estimaient disposer de plus d'outils que ce que leurs équipes de cybersécurité pourraient gérer avec succès. Cela a en fait aggravé leur situation de sécurité à mesure que de nouveaux outils étaient ajoutés. En fait, contrairement à l'idée selon laquelle plus d'outils signifie plus de sécurité, l'écrasante majorité des personnes interrogées ont déclaré se sentir beaucoup moins en sécurité en raison de tous les outils de cybersécurité installés dans leur environnement.
La situation n'a fait qu'empirer avec la migration massive vers le cloud dans la plupart des entreprises. L'une des raisons pour lesquelles la superposition de nombreux outils de cybersécurité au sein d'un réseau pour couvrir toutes les voies d'attaque possibles est devenue populaire parce qu'à une époque où les actifs étaient presque entièrement sur site, la stratégie fonctionnait en quelque sorte. Ou du moins, les organisations n'ont pas été confrontées à une baisse des rendements et à des conséquences négatives aussi rapidement. Dans les environnements cloud, en revanche, plus vous ajoutez d'outils, plus vous créez de complexités et de vulnérabilités.
Outre le travail nécessaire à la maintenance des outils qui se chevauchent, l'autre gros problème d'une approche centrée sur les outils est l'océan de faux positifs qui se produiront certainement à mesure que de nouveaux outils seront mis en ligne. La recherche de faux positifs peut priver le personnel de sécurité humaine de tout son temps sans aucun avantage réel pour l'organisation. Et pendant ce temps, une véritable attaque peut facilement se cacher parmi toutes les fausses alertes. Les professionnels de la cybersécurité ne découvriront peut-être jamais de véritables menaces avant qu'il ne soit bien trop tard.
Un meilleur moyen
Il serait désastreux de supprimer tous les outils de sécurité de votre environnement. Mais vous ne voulez pas non plus en avoir suffisamment au point que les outils clés qui pourraient vraiment vous aider ne reçoivent pas suffisamment d'attention. Il est important de trouver le bon choix d'outils et de s'assurer que vous n'avez pas trop à perdre votre temps et vos ressources.
Pour que la consolidation des outils fonctionne, il est essentiel d'investir simultanément dans une approche de la sécurité dirigée par l'homme. Et cela devrait inclure l'utilisation d'un actif qui n'a pas toujours été déployé dans ce rôle : des équipes de développeurs chargées de coder les applications et les logiciels ciblés par les attaquants.
Bien que les développeurs n'aient pas toujours été chargés de la sécurité, la situation est en train de changer. En fait, encourager les développeurs à se concentrer sur la sécurité est un aspect clé des mouvements DevSecOps où chacun assume la responsabilité du déploiement d'applications sécurisées. Personne ne s'attend à ce que les développeurs deviennent soudainement des experts en sécurité ou qu'ils assument la responsabilité principale de la sécurité au sein de leur entreprise, mais leur apprendre à écrire du code sécurisé et les récompenser pour leur travail bien fait peut grandement contribuer à préparer le terrain pour l'élimination de tous ces outils de sécurité qui se chevauchent.
Si vous commencez avec un code sécurisé de qualité, vous pouvez facilement commencer à éliminer certains des centaines d'outils de cybersécurité conçus pour détecter les exploits et les vulnérabilités courants. Vous finirez par créer un environnement dans lequel les développeurs créent du code sécurisé, et quelques outils de cybersécurité sélectionnés peuvent constituer un contrôle supplémentaire facile à surveiller et à gérer pour les équipes de sécurité sans être surchargées par une solution supposée être trop efficace.
Table des matières
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démoTéléchargerRessources pour vous aider à démarrer
Sujets et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions d'IA Beat the Boss sont désormais disponibles à la demande
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Déployez des défis de sécurité avancés liés à l'IA et au LLM pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyberrésilience : ce que cela signifie pour le développement de logiciels sécurisés dès la conception
Découvrez ce que la loi européenne sur la cyberrésilience (CRA) exige, à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Enabler 1 donne le coup d'envoi de notre série en 10 parties intitulée Enablers of Success en montrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité pour assurer la maturité à long terme des programmes.
