Comment le gouvernement australien peut renforcer la résilience nationale en matière de cybersécurité et faire face aux menaces
L'année 2020 étant marquée par énorme augmentation du travail à distance, en plus de la poursuite des violations de données à grande échelle et de l'attention croissante portée aux conséquences d'une atteinte à la vie privée en ligne, le public n'a jamais accordé autant d'attention à la cybersécurité. En conséquence, les gouvernements du monde entier sont intervenus pour remodeler et mettre à jour leurs plans et infrastructures de cybersécurité, y compris les stratégies et les réglementations que les entreprises sont tenues de suivre lorsqu'elles gèrent nos ressources numériques les plus précieuses.
Les directives de protection stratégique en matière de cybersécurité ne sont pas un concept nouveau, et des organisations comme NIST ont influencé les politiques des ministères du monde entier pendant de nombreuses années. Alors que nous avons progressé à un rythme effréné dans le numérique, il est devenu difficile pour de nombreuses personnes de faire face au nombre de menaces, aux vecteurs d'attaque possibles et aux exigences de conformité qui font partie d'un paysage en constante évolution.
Un récent violation de 54 000 permis de conduire de la Nouvelle-Galles du Sud à la suite d'un compartiment S3 mal configuré et facilement accessible sur un serveur tiers, des milliers de personnes ont été compromises. Le chercheur en sécurité qui l'a signalé a reconnu que les données avaient peut-être déjà été vendues sur le dark web. Ce qui est triste, c'est qu'il s'agit d'une solution facile qui aurait été peu probable si la sécurité avait été une priorité pour ceux qui configurent le cache.
Le gouvernement australien a récemment publié le Stratégie australienne de cybersécurité 2020, mettant en avant de nouvelles initiatives et une augmentation de financement de 1,67 milliard de dollars à utiliser au cours de la prochaine décennie, pour réaliser leur « vision de créer un monde en ligne plus sécurisé pour les Australiens, leurs entreprises et les services essentiels dont nous dépendons tous ». Il s'agit clairement d'un examen très bienvenu et d'un plan actualisé, d'autant plus que l'un des principaux objectifs est le suivant :
«Mesures prises par les entreprises pour sécuriser leurs produits et services et protéger leurs clients contre les cybervulnérabilités connues«.
Alors que les organismes gouvernementaux ont tendance à se concentrer (comme il se doit) sur les mesures de sécurité concernant les infrastructures critiques d'un pays, c'est-à-dire des domaines qui se prêtent à une attaque organisée catastrophique, ce qui manquait par le passé, ce sont les directives destinées aux entreprises qui collectent et utilisent nos données au quotidien.
Maintenant, quand il s'agit de stratégie officielle comme celle-ci, il ne s'agit pas toujours de bière et de quilles. Cela peut être un peu difficile à interpréter et les détails sont vagues, laissant à l'équipe de sécurité de l'entreprise le soin d'élaborer un plan basé sur des directives non spécifiques. Ce problème n'est pas propre au gouvernement australien, mais analysons leur toute nouvelle version.
Mettre l'accent sur la réaction, pas sur la prévention.
La stratégie australienne de cybersécurité mise à jour constitue une amélioration plus pertinente par rapport à la dernière version de 2016, avec des plans assez complets pour les entreprises, en particulier les PME. La stratégie décrit les grandes lignes suivantes :
«Le gouvernement et les grandes entreprises aideront les petites et moyennes entreprises (PME) à se développer et à accroître leur sensibilisation et leurs capacités en matière de cybersécurité. Le gouvernement australien travaillera avec de grandes entreprises et des prestataires de services pour fournir aux PME des informations et des outils de cybersécurité dans le cadre de « lots » de services sécurisés (tels que le blocage des menaces, les antivirus et la formation de sensibilisation à la cybersécurité). »
Cela fournira aux PME une base de base décente sur laquelle elles pourront protéger leurs activités contre les cybermenaces, mais il s'agit en grande partie d'une approche réactive, et l'accent est mis sur les outils de détection, qui constituent une partie relativement restreinte du paysage de la cybersécurité.
Il existe également étonnamment peu d'informations sur la manière dont les grandes entreprises peuvent se protéger et réduire leurs vecteurs d'attaque. Bien que nombre d'entre eux puissent faire partie des plans visant à protéger les infrastructures critiques (telles que les télécommunications, les transports), services financiers, vente au détail, et de nombreux autres secteurs d'activité ont beaucoup à perdre en cas de cyberattaque réussie. Cela fera peut-être partie de la législation à venir, mais malgré cela, il est essentiel de souligner l'importance de bonnes pratiques méticuleuses en matière de cybersécurité au niveau de l'entreprise pour assister à des changements significatifs et à une baisse des données compromises et de la cybercriminalité.
Dans l'ensemble, si l'on considère la stratégie dans son ensemble, elle repose sur une approche réactive. Lutter contre les cyberattaques, perturber les cybercriminels actifs et garantir leur poursuite, ainsi que le partage de renseignements avec des alliés internationaux, sont tous des facteurs importants, mais imaginez si la norme de protection nationale était axée sur la prévention. Outre les mesures de protection des infrastructures critiques, si la sécurité était une priorité dans toutes les entreprises et que chaque personne touchant le code qui crée notre monde numérique était correctement équipée pour bloquer les attaques avant qu'elles ne se produisent, les économies de temps, d'argent et de chagrin pour les victimes sont incommensurables.
La résilience est possible, mais elle doit être planifiée.
Les efforts déployés par le gouvernement australien pour prendre au sérieux la cybersécurité montrent clairement que celle-ci a été identifiée comme un domaine à risque majeur au niveau national. Comme toute autre attaque malveillante susceptible de bouleverser notre mode de vie, la résilience est absolument cruciale, non seulement pour résister à une telle tentative, mais aussi pour empêcher qu'elle ne se produise. En fin de compte, même les acteurs de la menace peuvent être paresseux et ils se tourneront vers une cible plus facile pour atteindre leur objectif si trop d'obstacles entravent leur réussite.
À l'heure actuelle, nous sommes confrontés à une pénurie mondiale de compétences en cybersécurité, ce qui permet aux RSSI du monde entier de rester éveillés la nuit. Des milliards de lignes de code, des violations de données constantes à grande échelle et un risque accru de sanctions (Marriott uniquement) a reçu une amende de 123 millions de dollars américains en vertu du RGPD pour leur violation de données de 2018... et ils a connu une autre violation cette année) a plus que jamais créé un gouffre de demande pour les spécialistes de la sécurité qui, en réalité, a peu de chances d'être comblé. Il y a tout simplement trop de code et trop peu de ressources pour s'assurer qu'il est renforcé sous tous les angles.
Devons-nous donc renoncer à l'idée que nous serons un jour vraiment capables de faire face aux cybermenaces ? Aucune chance. La résilience nécessite d'utiliser toutes les ressources disponibles et de penser à une longueur d'avance. Et pour de nombreuses entreprises, leurs développeurs peuvent débloquer une puissante méthode de fortification dès l'écriture du code. Associé à une culture de sécurité visible et positive dans l'ensemble de l'entreprise, cela fournit une base sûre difficile à ébranler pour de nombreux attaquants. Cependant, cette méthode nécessite de prendre les suggestions de la stratégie australienne de cybersécurité, à titre d'exemple, et d'approfondir la manière dont elles peuvent être personnalisées pour soutenir des changements efficaces et pertinents pour l'entreprise.
À cette fin, il est important de détailler quelques conseils :
- Formation de sensibilisation à la sécurité : cette formation est spécifiquement destinée aux PME et, dans le contexte de l'ensemble du rapport, vise principalement à enseigner à l'ensemble du personnel les règles de base en matière de sécurité (par exemple, repérer les e-mails de phishing, ne pas cliquer sur des liens inconnus, etc.). En réalité, il doit aller bien plus loin que cela et devenir spécifique au rôle, en particulier pour ceux qui touchent au code, comme les développeurs. Il est impératif que la formation à la sensibilisation à la sécurité fasse partie des mesures préventives et du renforcement de la résilience
- Éducation : Dans le cadre d'un changement rafraîchissant, il existe un plan approfondi visant à remédier à la pénurie de compétences en cybersécurité au cours de la prochaine décennie, en mettant l'accent sur la formation en cybersécurité depuis les écoles primaires et secondaires jusqu'à l'enseignement supérieur. Cela est absolument nécessaire si nous voulons créer les superstars de la sécurité de demain, mais pour répondre aux besoins actuels des entreprises, une formation pratique au codage sécurisé pour la cohorte de développement est une nécessité absolue pour commencer à réduire les vulnérabilités courantes, et doit faire partie d'un programme de sécurité fonctionnel.
En tant qu'experts en sécurité, nous devons faire davantage pour aider les entreprises du monde entier à comprendre l'importance de mettre en place un programme de sécurité interne qui aille au-delà de simples mesures de sensibilisation fondamentales. Le fait de consacrer du temps à améliorer les compétences des développeurs soulage les spécialistes de la sécurité des applications surchargés de travail. Il est essentiel de veiller à ce que l'ensemble de l'entreprise soit aussi consciente que possible de la sécurité dans le contexte de son rôle afin de réduire la zone d'attaque superficielle des menaces dans les logiciels.
L'amélioration des compétences des développeurs est un temps bien investi, alors pourquoi tant d'entreprises l'ignorent-elles ?
Une récente enquête du DDLS a conclu que les organisations australiennes ne se soucient guère des priorités en matière de formation à la cybersécurité. En fait, il ne figurait même pas parmi les trois principales priorités en matière de formation, bien que 77 % des personnes interrogées considèrent la sensibilisation à la cybersécurité comme « extrêmement » ou « très importante » dans leur entreprise.
Il n'est donc pas étonnant que l'Australie peine à combler son déficit croissant de compétences et qu'elle ait encore du travail à faire pour créer une infrastructure plus résiliente, des services essentiels au commerce de détail, en passant par tout ce qui se trouve entre les deux.
Il y a là une énorme opportunité pour gouvernements pour créer une certification ou une réglementation de base des compétences en matière de sécurité, et la stratégie y fait allusion comme un moyen de travailler avec des ressources limitées. Cependant, une fois de plus, il s'agit d'une proposition tournée vers l'avenir, et nous disposons des outils nécessaires pour démarrer bien plus tôt si nous ciblons d'abord les zones à fort impact. Pour moi, l'espoir réside dans les équipes de développement de chaque organisation. Si elles disposent des outils et des connaissances nécessaires pour réussir, elles peuvent éliminer les vulnérabilités courantes au passage et réduire considérablement le risque de violation de données au sein de leur organisation.
En 2019, 24 % de toutes les violations de données ont été causées par une erreur humaine - à savoir les erreurs de configuration en matière de sécurité - qui sont généralement des correctifs relativement simples au niveau du code. Si la formation est considérée comme une priorité, en conjonction avec le renforcement de la sensibilisation à la sécurité à l'échelle de l'entreprise, je parie qu'il y aurait moins de RSSI qui signent les notifications de violation adressées à des milliers de clients compromis.
Les efforts déployés par le gouvernement australien pour prendre au sérieux la cybersécurité montrent clairement que celle-ci a été identifiée comme un domaine à risque majeur au niveau national, mais sa stratégie va-t-elle assez loin ?
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démo
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
L'année 2020 étant marquée par énorme augmentation du travail à distance, en plus de la poursuite des violations de données à grande échelle et de l'attention croissante portée aux conséquences d'une atteinte à la vie privée en ligne, le public n'a jamais accordé autant d'attention à la cybersécurité. En conséquence, les gouvernements du monde entier sont intervenus pour remodeler et mettre à jour leurs plans et infrastructures de cybersécurité, y compris les stratégies et les réglementations que les entreprises sont tenues de suivre lorsqu'elles gèrent nos ressources numériques les plus précieuses.
Les directives de protection stratégique en matière de cybersécurité ne sont pas un concept nouveau, et des organisations comme NIST ont influencé les politiques des ministères du monde entier pendant de nombreuses années. Alors que nous avons progressé à un rythme effréné dans le numérique, il est devenu difficile pour de nombreuses personnes de faire face au nombre de menaces, aux vecteurs d'attaque possibles et aux exigences de conformité qui font partie d'un paysage en constante évolution.
Un récent violation de 54 000 permis de conduire de la Nouvelle-Galles du Sud à la suite d'un compartiment S3 mal configuré et facilement accessible sur un serveur tiers, des milliers de personnes ont été compromises. Le chercheur en sécurité qui l'a signalé a reconnu que les données avaient peut-être déjà été vendues sur le dark web. Ce qui est triste, c'est qu'il s'agit d'une solution facile qui aurait été peu probable si la sécurité avait été une priorité pour ceux qui configurent le cache.
Le gouvernement australien a récemment publié le Stratégie australienne de cybersécurité 2020, mettant en avant de nouvelles initiatives et une augmentation de financement de 1,67 milliard de dollars à utiliser au cours de la prochaine décennie, pour réaliser leur « vision de créer un monde en ligne plus sécurisé pour les Australiens, leurs entreprises et les services essentiels dont nous dépendons tous ». Il s'agit clairement d'un examen très bienvenu et d'un plan actualisé, d'autant plus que l'un des principaux objectifs est le suivant :
«Mesures prises par les entreprises pour sécuriser leurs produits et services et protéger leurs clients contre les cybervulnérabilités connues«.
Alors que les organismes gouvernementaux ont tendance à se concentrer (comme il se doit) sur les mesures de sécurité concernant les infrastructures critiques d'un pays, c'est-à-dire des domaines qui se prêtent à une attaque organisée catastrophique, ce qui manquait par le passé, ce sont les directives destinées aux entreprises qui collectent et utilisent nos données au quotidien.
Maintenant, quand il s'agit de stratégie officielle comme celle-ci, il ne s'agit pas toujours de bière et de quilles. Cela peut être un peu difficile à interpréter et les détails sont vagues, laissant à l'équipe de sécurité de l'entreprise le soin d'élaborer un plan basé sur des directives non spécifiques. Ce problème n'est pas propre au gouvernement australien, mais analysons leur toute nouvelle version.
Mettre l'accent sur la réaction, pas sur la prévention.
La stratégie australienne de cybersécurité mise à jour constitue une amélioration plus pertinente par rapport à la dernière version de 2016, avec des plans assez complets pour les entreprises, en particulier les PME. La stratégie décrit les grandes lignes suivantes :
«Le gouvernement et les grandes entreprises aideront les petites et moyennes entreprises (PME) à se développer et à accroître leur sensibilisation et leurs capacités en matière de cybersécurité. Le gouvernement australien travaillera avec de grandes entreprises et des prestataires de services pour fournir aux PME des informations et des outils de cybersécurité dans le cadre de « lots » de services sécurisés (tels que le blocage des menaces, les antivirus et la formation de sensibilisation à la cybersécurité). »
Cela fournira aux PME une base de base décente sur laquelle elles pourront protéger leurs activités contre les cybermenaces, mais il s'agit en grande partie d'une approche réactive, et l'accent est mis sur les outils de détection, qui constituent une partie relativement restreinte du paysage de la cybersécurité.
Il existe également étonnamment peu d'informations sur la manière dont les grandes entreprises peuvent se protéger et réduire leurs vecteurs d'attaque. Bien que nombre d'entre eux puissent faire partie des plans visant à protéger les infrastructures critiques (telles que les télécommunications, les transports), services financiers, vente au détail, et de nombreux autres secteurs d'activité ont beaucoup à perdre en cas de cyberattaque réussie. Cela fera peut-être partie de la législation à venir, mais malgré cela, il est essentiel de souligner l'importance de bonnes pratiques méticuleuses en matière de cybersécurité au niveau de l'entreprise pour assister à des changements significatifs et à une baisse des données compromises et de la cybercriminalité.
Dans l'ensemble, si l'on considère la stratégie dans son ensemble, elle repose sur une approche réactive. Lutter contre les cyberattaques, perturber les cybercriminels actifs et garantir leur poursuite, ainsi que le partage de renseignements avec des alliés internationaux, sont tous des facteurs importants, mais imaginez si la norme de protection nationale était axée sur la prévention. Outre les mesures de protection des infrastructures critiques, si la sécurité était une priorité dans toutes les entreprises et que chaque personne touchant le code qui crée notre monde numérique était correctement équipée pour bloquer les attaques avant qu'elles ne se produisent, les économies de temps, d'argent et de chagrin pour les victimes sont incommensurables.
La résilience est possible, mais elle doit être planifiée.
Les efforts déployés par le gouvernement australien pour prendre au sérieux la cybersécurité montrent clairement que celle-ci a été identifiée comme un domaine à risque majeur au niveau national. Comme toute autre attaque malveillante susceptible de bouleverser notre mode de vie, la résilience est absolument cruciale, non seulement pour résister à une telle tentative, mais aussi pour empêcher qu'elle ne se produise. En fin de compte, même les acteurs de la menace peuvent être paresseux et ils se tourneront vers une cible plus facile pour atteindre leur objectif si trop d'obstacles entravent leur réussite.
À l'heure actuelle, nous sommes confrontés à une pénurie mondiale de compétences en cybersécurité, ce qui permet aux RSSI du monde entier de rester éveillés la nuit. Des milliards de lignes de code, des violations de données constantes à grande échelle et un risque accru de sanctions (Marriott uniquement) a reçu une amende de 123 millions de dollars américains en vertu du RGPD pour leur violation de données de 2018... et ils a connu une autre violation cette année) a plus que jamais créé un gouffre de demande pour les spécialistes de la sécurité qui, en réalité, a peu de chances d'être comblé. Il y a tout simplement trop de code et trop peu de ressources pour s'assurer qu'il est renforcé sous tous les angles.
Devons-nous donc renoncer à l'idée que nous serons un jour vraiment capables de faire face aux cybermenaces ? Aucune chance. La résilience nécessite d'utiliser toutes les ressources disponibles et de penser à une longueur d'avance. Et pour de nombreuses entreprises, leurs développeurs peuvent débloquer une puissante méthode de fortification dès l'écriture du code. Associé à une culture de sécurité visible et positive dans l'ensemble de l'entreprise, cela fournit une base sûre difficile à ébranler pour de nombreux attaquants. Cependant, cette méthode nécessite de prendre les suggestions de la stratégie australienne de cybersécurité, à titre d'exemple, et d'approfondir la manière dont elles peuvent être personnalisées pour soutenir des changements efficaces et pertinents pour l'entreprise.
À cette fin, il est important de détailler quelques conseils :
- Formation de sensibilisation à la sécurité : cette formation est spécifiquement destinée aux PME et, dans le contexte de l'ensemble du rapport, vise principalement à enseigner à l'ensemble du personnel les règles de base en matière de sécurité (par exemple, repérer les e-mails de phishing, ne pas cliquer sur des liens inconnus, etc.). En réalité, il doit aller bien plus loin que cela et devenir spécifique au rôle, en particulier pour ceux qui touchent au code, comme les développeurs. Il est impératif que la formation à la sensibilisation à la sécurité fasse partie des mesures préventives et du renforcement de la résilience
- Éducation : Dans le cadre d'un changement rafraîchissant, il existe un plan approfondi visant à remédier à la pénurie de compétences en cybersécurité au cours de la prochaine décennie, en mettant l'accent sur la formation en cybersécurité depuis les écoles primaires et secondaires jusqu'à l'enseignement supérieur. Cela est absolument nécessaire si nous voulons créer les superstars de la sécurité de demain, mais pour répondre aux besoins actuels des entreprises, une formation pratique au codage sécurisé pour la cohorte de développement est une nécessité absolue pour commencer à réduire les vulnérabilités courantes, et doit faire partie d'un programme de sécurité fonctionnel.
En tant qu'experts en sécurité, nous devons faire davantage pour aider les entreprises du monde entier à comprendre l'importance de mettre en place un programme de sécurité interne qui aille au-delà de simples mesures de sensibilisation fondamentales. Le fait de consacrer du temps à améliorer les compétences des développeurs soulage les spécialistes de la sécurité des applications surchargés de travail. Il est essentiel de veiller à ce que l'ensemble de l'entreprise soit aussi consciente que possible de la sécurité dans le contexte de son rôle afin de réduire la zone d'attaque superficielle des menaces dans les logiciels.
L'amélioration des compétences des développeurs est un temps bien investi, alors pourquoi tant d'entreprises l'ignorent-elles ?
Une récente enquête du DDLS a conclu que les organisations australiennes ne se soucient guère des priorités en matière de formation à la cybersécurité. En fait, il ne figurait même pas parmi les trois principales priorités en matière de formation, bien que 77 % des personnes interrogées considèrent la sensibilisation à la cybersécurité comme « extrêmement » ou « très importante » dans leur entreprise.
Il n'est donc pas étonnant que l'Australie peine à combler son déficit croissant de compétences et qu'elle ait encore du travail à faire pour créer une infrastructure plus résiliente, des services essentiels au commerce de détail, en passant par tout ce qui se trouve entre les deux.
Il y a là une énorme opportunité pour gouvernements pour créer une certification ou une réglementation de base des compétences en matière de sécurité, et la stratégie y fait allusion comme un moyen de travailler avec des ressources limitées. Cependant, une fois de plus, il s'agit d'une proposition tournée vers l'avenir, et nous disposons des outils nécessaires pour démarrer bien plus tôt si nous ciblons d'abord les zones à fort impact. Pour moi, l'espoir réside dans les équipes de développement de chaque organisation. Si elles disposent des outils et des connaissances nécessaires pour réussir, elles peuvent éliminer les vulnérabilités courantes au passage et réduire considérablement le risque de violation de données au sein de leur organisation.
En 2019, 24 % de toutes les violations de données ont été causées par une erreur humaine - à savoir les erreurs de configuration en matière de sécurité - qui sont généralement des correctifs relativement simples au niveau du code. Si la formation est considérée comme une priorité, en conjonction avec le renforcement de la sensibilisation à la sécurité à l'échelle de l'entreprise, je parie qu'il y aurait moins de RSSI qui signent les notifications de violation adressées à des milliers de clients compromis.
L'année 2020 étant marquée par énorme augmentation du travail à distance, en plus de la poursuite des violations de données à grande échelle et de l'attention croissante portée aux conséquences d'une atteinte à la vie privée en ligne, le public n'a jamais accordé autant d'attention à la cybersécurité. En conséquence, les gouvernements du monde entier sont intervenus pour remodeler et mettre à jour leurs plans et infrastructures de cybersécurité, y compris les stratégies et les réglementations que les entreprises sont tenues de suivre lorsqu'elles gèrent nos ressources numériques les plus précieuses.
Les directives de protection stratégique en matière de cybersécurité ne sont pas un concept nouveau, et des organisations comme NIST ont influencé les politiques des ministères du monde entier pendant de nombreuses années. Alors que nous avons progressé à un rythme effréné dans le numérique, il est devenu difficile pour de nombreuses personnes de faire face au nombre de menaces, aux vecteurs d'attaque possibles et aux exigences de conformité qui font partie d'un paysage en constante évolution.
Un récent violation de 54 000 permis de conduire de la Nouvelle-Galles du Sud à la suite d'un compartiment S3 mal configuré et facilement accessible sur un serveur tiers, des milliers de personnes ont été compromises. Le chercheur en sécurité qui l'a signalé a reconnu que les données avaient peut-être déjà été vendues sur le dark web. Ce qui est triste, c'est qu'il s'agit d'une solution facile qui aurait été peu probable si la sécurité avait été une priorité pour ceux qui configurent le cache.
Le gouvernement australien a récemment publié le Stratégie australienne de cybersécurité 2020, mettant en avant de nouvelles initiatives et une augmentation de financement de 1,67 milliard de dollars à utiliser au cours de la prochaine décennie, pour réaliser leur « vision de créer un monde en ligne plus sécurisé pour les Australiens, leurs entreprises et les services essentiels dont nous dépendons tous ». Il s'agit clairement d'un examen très bienvenu et d'un plan actualisé, d'autant plus que l'un des principaux objectifs est le suivant :
«Mesures prises par les entreprises pour sécuriser leurs produits et services et protéger leurs clients contre les cybervulnérabilités connues«.
Alors que les organismes gouvernementaux ont tendance à se concentrer (comme il se doit) sur les mesures de sécurité concernant les infrastructures critiques d'un pays, c'est-à-dire des domaines qui se prêtent à une attaque organisée catastrophique, ce qui manquait par le passé, ce sont les directives destinées aux entreprises qui collectent et utilisent nos données au quotidien.
Maintenant, quand il s'agit de stratégie officielle comme celle-ci, il ne s'agit pas toujours de bière et de quilles. Cela peut être un peu difficile à interpréter et les détails sont vagues, laissant à l'équipe de sécurité de l'entreprise le soin d'élaborer un plan basé sur des directives non spécifiques. Ce problème n'est pas propre au gouvernement australien, mais analysons leur toute nouvelle version.
Mettre l'accent sur la réaction, pas sur la prévention.
La stratégie australienne de cybersécurité mise à jour constitue une amélioration plus pertinente par rapport à la dernière version de 2016, avec des plans assez complets pour les entreprises, en particulier les PME. La stratégie décrit les grandes lignes suivantes :
«Le gouvernement et les grandes entreprises aideront les petites et moyennes entreprises (PME) à se développer et à accroître leur sensibilisation et leurs capacités en matière de cybersécurité. Le gouvernement australien travaillera avec de grandes entreprises et des prestataires de services pour fournir aux PME des informations et des outils de cybersécurité dans le cadre de « lots » de services sécurisés (tels que le blocage des menaces, les antivirus et la formation de sensibilisation à la cybersécurité). »
Cela fournira aux PME une base de base décente sur laquelle elles pourront protéger leurs activités contre les cybermenaces, mais il s'agit en grande partie d'une approche réactive, et l'accent est mis sur les outils de détection, qui constituent une partie relativement restreinte du paysage de la cybersécurité.
Il existe également étonnamment peu d'informations sur la manière dont les grandes entreprises peuvent se protéger et réduire leurs vecteurs d'attaque. Bien que nombre d'entre eux puissent faire partie des plans visant à protéger les infrastructures critiques (telles que les télécommunications, les transports), services financiers, vente au détail, et de nombreux autres secteurs d'activité ont beaucoup à perdre en cas de cyberattaque réussie. Cela fera peut-être partie de la législation à venir, mais malgré cela, il est essentiel de souligner l'importance de bonnes pratiques méticuleuses en matière de cybersécurité au niveau de l'entreprise pour assister à des changements significatifs et à une baisse des données compromises et de la cybercriminalité.
Dans l'ensemble, si l'on considère la stratégie dans son ensemble, elle repose sur une approche réactive. Lutter contre les cyberattaques, perturber les cybercriminels actifs et garantir leur poursuite, ainsi que le partage de renseignements avec des alliés internationaux, sont tous des facteurs importants, mais imaginez si la norme de protection nationale était axée sur la prévention. Outre les mesures de protection des infrastructures critiques, si la sécurité était une priorité dans toutes les entreprises et que chaque personne touchant le code qui crée notre monde numérique était correctement équipée pour bloquer les attaques avant qu'elles ne se produisent, les économies de temps, d'argent et de chagrin pour les victimes sont incommensurables.
La résilience est possible, mais elle doit être planifiée.
Les efforts déployés par le gouvernement australien pour prendre au sérieux la cybersécurité montrent clairement que celle-ci a été identifiée comme un domaine à risque majeur au niveau national. Comme toute autre attaque malveillante susceptible de bouleverser notre mode de vie, la résilience est absolument cruciale, non seulement pour résister à une telle tentative, mais aussi pour empêcher qu'elle ne se produise. En fin de compte, même les acteurs de la menace peuvent être paresseux et ils se tourneront vers une cible plus facile pour atteindre leur objectif si trop d'obstacles entravent leur réussite.
À l'heure actuelle, nous sommes confrontés à une pénurie mondiale de compétences en cybersécurité, ce qui permet aux RSSI du monde entier de rester éveillés la nuit. Des milliards de lignes de code, des violations de données constantes à grande échelle et un risque accru de sanctions (Marriott uniquement) a reçu une amende de 123 millions de dollars américains en vertu du RGPD pour leur violation de données de 2018... et ils a connu une autre violation cette année) a plus que jamais créé un gouffre de demande pour les spécialistes de la sécurité qui, en réalité, a peu de chances d'être comblé. Il y a tout simplement trop de code et trop peu de ressources pour s'assurer qu'il est renforcé sous tous les angles.
Devons-nous donc renoncer à l'idée que nous serons un jour vraiment capables de faire face aux cybermenaces ? Aucune chance. La résilience nécessite d'utiliser toutes les ressources disponibles et de penser à une longueur d'avance. Et pour de nombreuses entreprises, leurs développeurs peuvent débloquer une puissante méthode de fortification dès l'écriture du code. Associé à une culture de sécurité visible et positive dans l'ensemble de l'entreprise, cela fournit une base sûre difficile à ébranler pour de nombreux attaquants. Cependant, cette méthode nécessite de prendre les suggestions de la stratégie australienne de cybersécurité, à titre d'exemple, et d'approfondir la manière dont elles peuvent être personnalisées pour soutenir des changements efficaces et pertinents pour l'entreprise.
À cette fin, il est important de détailler quelques conseils :
- Formation de sensibilisation à la sécurité : cette formation est spécifiquement destinée aux PME et, dans le contexte de l'ensemble du rapport, vise principalement à enseigner à l'ensemble du personnel les règles de base en matière de sécurité (par exemple, repérer les e-mails de phishing, ne pas cliquer sur des liens inconnus, etc.). En réalité, il doit aller bien plus loin que cela et devenir spécifique au rôle, en particulier pour ceux qui touchent au code, comme les développeurs. Il est impératif que la formation à la sensibilisation à la sécurité fasse partie des mesures préventives et du renforcement de la résilience
- Éducation : Dans le cadre d'un changement rafraîchissant, il existe un plan approfondi visant à remédier à la pénurie de compétences en cybersécurité au cours de la prochaine décennie, en mettant l'accent sur la formation en cybersécurité depuis les écoles primaires et secondaires jusqu'à l'enseignement supérieur. Cela est absolument nécessaire si nous voulons créer les superstars de la sécurité de demain, mais pour répondre aux besoins actuels des entreprises, une formation pratique au codage sécurisé pour la cohorte de développement est une nécessité absolue pour commencer à réduire les vulnérabilités courantes, et doit faire partie d'un programme de sécurité fonctionnel.
En tant qu'experts en sécurité, nous devons faire davantage pour aider les entreprises du monde entier à comprendre l'importance de mettre en place un programme de sécurité interne qui aille au-delà de simples mesures de sensibilisation fondamentales. Le fait de consacrer du temps à améliorer les compétences des développeurs soulage les spécialistes de la sécurité des applications surchargés de travail. Il est essentiel de veiller à ce que l'ensemble de l'entreprise soit aussi consciente que possible de la sécurité dans le contexte de son rôle afin de réduire la zone d'attaque superficielle des menaces dans les logiciels.
L'amélioration des compétences des développeurs est un temps bien investi, alors pourquoi tant d'entreprises l'ignorent-elles ?
Une récente enquête du DDLS a conclu que les organisations australiennes ne se soucient guère des priorités en matière de formation à la cybersécurité. En fait, il ne figurait même pas parmi les trois principales priorités en matière de formation, bien que 77 % des personnes interrogées considèrent la sensibilisation à la cybersécurité comme « extrêmement » ou « très importante » dans leur entreprise.
Il n'est donc pas étonnant que l'Australie peine à combler son déficit croissant de compétences et qu'elle ait encore du travail à faire pour créer une infrastructure plus résiliente, des services essentiels au commerce de détail, en passant par tout ce qui se trouve entre les deux.
Il y a là une énorme opportunité pour gouvernements pour créer une certification ou une réglementation de base des compétences en matière de sécurité, et la stratégie y fait allusion comme un moyen de travailler avec des ressources limitées. Cependant, une fois de plus, il s'agit d'une proposition tournée vers l'avenir, et nous disposons des outils nécessaires pour démarrer bien plus tôt si nous ciblons d'abord les zones à fort impact. Pour moi, l'espoir réside dans les équipes de développement de chaque organisation. Si elles disposent des outils et des connaissances nécessaires pour réussir, elles peuvent éliminer les vulnérabilités courantes au passage et réduire considérablement le risque de violation de données au sein de leur organisation.
En 2019, 24 % de toutes les violations de données ont été causées par une erreur humaine - à savoir les erreurs de configuration en matière de sécurité - qui sont généralement des correctifs relativement simples au niveau du code. Si la formation est considérée comme une priorité, en conjonction avec le renforcement de la sensibilisation à la sécurité à l'échelle de l'entreprise, je parie qu'il y aurait moins de RSSI qui signent les notifications de violation adressées à des milliers de clients compromis.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Afficher le rapportRéservez une démo
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
L'année 2020 étant marquée par énorme augmentation du travail à distance, en plus de la poursuite des violations de données à grande échelle et de l'attention croissante portée aux conséquences d'une atteinte à la vie privée en ligne, le public n'a jamais accordé autant d'attention à la cybersécurité. En conséquence, les gouvernements du monde entier sont intervenus pour remodeler et mettre à jour leurs plans et infrastructures de cybersécurité, y compris les stratégies et les réglementations que les entreprises sont tenues de suivre lorsqu'elles gèrent nos ressources numériques les plus précieuses.
Les directives de protection stratégique en matière de cybersécurité ne sont pas un concept nouveau, et des organisations comme NIST ont influencé les politiques des ministères du monde entier pendant de nombreuses années. Alors que nous avons progressé à un rythme effréné dans le numérique, il est devenu difficile pour de nombreuses personnes de faire face au nombre de menaces, aux vecteurs d'attaque possibles et aux exigences de conformité qui font partie d'un paysage en constante évolution.
Un récent violation de 54 000 permis de conduire de la Nouvelle-Galles du Sud à la suite d'un compartiment S3 mal configuré et facilement accessible sur un serveur tiers, des milliers de personnes ont été compromises. Le chercheur en sécurité qui l'a signalé a reconnu que les données avaient peut-être déjà été vendues sur le dark web. Ce qui est triste, c'est qu'il s'agit d'une solution facile qui aurait été peu probable si la sécurité avait été une priorité pour ceux qui configurent le cache.
Le gouvernement australien a récemment publié le Stratégie australienne de cybersécurité 2020, mettant en avant de nouvelles initiatives et une augmentation de financement de 1,67 milliard de dollars à utiliser au cours de la prochaine décennie, pour réaliser leur « vision de créer un monde en ligne plus sécurisé pour les Australiens, leurs entreprises et les services essentiels dont nous dépendons tous ». Il s'agit clairement d'un examen très bienvenu et d'un plan actualisé, d'autant plus que l'un des principaux objectifs est le suivant :
«Mesures prises par les entreprises pour sécuriser leurs produits et services et protéger leurs clients contre les cybervulnérabilités connues«.
Alors que les organismes gouvernementaux ont tendance à se concentrer (comme il se doit) sur les mesures de sécurité concernant les infrastructures critiques d'un pays, c'est-à-dire des domaines qui se prêtent à une attaque organisée catastrophique, ce qui manquait par le passé, ce sont les directives destinées aux entreprises qui collectent et utilisent nos données au quotidien.
Maintenant, quand il s'agit de stratégie officielle comme celle-ci, il ne s'agit pas toujours de bière et de quilles. Cela peut être un peu difficile à interpréter et les détails sont vagues, laissant à l'équipe de sécurité de l'entreprise le soin d'élaborer un plan basé sur des directives non spécifiques. Ce problème n'est pas propre au gouvernement australien, mais analysons leur toute nouvelle version.
Mettre l'accent sur la réaction, pas sur la prévention.
La stratégie australienne de cybersécurité mise à jour constitue une amélioration plus pertinente par rapport à la dernière version de 2016, avec des plans assez complets pour les entreprises, en particulier les PME. La stratégie décrit les grandes lignes suivantes :
«Le gouvernement et les grandes entreprises aideront les petites et moyennes entreprises (PME) à se développer et à accroître leur sensibilisation et leurs capacités en matière de cybersécurité. Le gouvernement australien travaillera avec de grandes entreprises et des prestataires de services pour fournir aux PME des informations et des outils de cybersécurité dans le cadre de « lots » de services sécurisés (tels que le blocage des menaces, les antivirus et la formation de sensibilisation à la cybersécurité). »
Cela fournira aux PME une base de base décente sur laquelle elles pourront protéger leurs activités contre les cybermenaces, mais il s'agit en grande partie d'une approche réactive, et l'accent est mis sur les outils de détection, qui constituent une partie relativement restreinte du paysage de la cybersécurité.
Il existe également étonnamment peu d'informations sur la manière dont les grandes entreprises peuvent se protéger et réduire leurs vecteurs d'attaque. Bien que nombre d'entre eux puissent faire partie des plans visant à protéger les infrastructures critiques (telles que les télécommunications, les transports), services financiers, vente au détail, et de nombreux autres secteurs d'activité ont beaucoup à perdre en cas de cyberattaque réussie. Cela fera peut-être partie de la législation à venir, mais malgré cela, il est essentiel de souligner l'importance de bonnes pratiques méticuleuses en matière de cybersécurité au niveau de l'entreprise pour assister à des changements significatifs et à une baisse des données compromises et de la cybercriminalité.
Dans l'ensemble, si l'on considère la stratégie dans son ensemble, elle repose sur une approche réactive. Lutter contre les cyberattaques, perturber les cybercriminels actifs et garantir leur poursuite, ainsi que le partage de renseignements avec des alliés internationaux, sont tous des facteurs importants, mais imaginez si la norme de protection nationale était axée sur la prévention. Outre les mesures de protection des infrastructures critiques, si la sécurité était une priorité dans toutes les entreprises et que chaque personne touchant le code qui crée notre monde numérique était correctement équipée pour bloquer les attaques avant qu'elles ne se produisent, les économies de temps, d'argent et de chagrin pour les victimes sont incommensurables.
La résilience est possible, mais elle doit être planifiée.
Les efforts déployés par le gouvernement australien pour prendre au sérieux la cybersécurité montrent clairement que celle-ci a été identifiée comme un domaine à risque majeur au niveau national. Comme toute autre attaque malveillante susceptible de bouleverser notre mode de vie, la résilience est absolument cruciale, non seulement pour résister à une telle tentative, mais aussi pour empêcher qu'elle ne se produise. En fin de compte, même les acteurs de la menace peuvent être paresseux et ils se tourneront vers une cible plus facile pour atteindre leur objectif si trop d'obstacles entravent leur réussite.
À l'heure actuelle, nous sommes confrontés à une pénurie mondiale de compétences en cybersécurité, ce qui permet aux RSSI du monde entier de rester éveillés la nuit. Des milliards de lignes de code, des violations de données constantes à grande échelle et un risque accru de sanctions (Marriott uniquement) a reçu une amende de 123 millions de dollars américains en vertu du RGPD pour leur violation de données de 2018... et ils a connu une autre violation cette année) a plus que jamais créé un gouffre de demande pour les spécialistes de la sécurité qui, en réalité, a peu de chances d'être comblé. Il y a tout simplement trop de code et trop peu de ressources pour s'assurer qu'il est renforcé sous tous les angles.
Devons-nous donc renoncer à l'idée que nous serons un jour vraiment capables de faire face aux cybermenaces ? Aucune chance. La résilience nécessite d'utiliser toutes les ressources disponibles et de penser à une longueur d'avance. Et pour de nombreuses entreprises, leurs développeurs peuvent débloquer une puissante méthode de fortification dès l'écriture du code. Associé à une culture de sécurité visible et positive dans l'ensemble de l'entreprise, cela fournit une base sûre difficile à ébranler pour de nombreux attaquants. Cependant, cette méthode nécessite de prendre les suggestions de la stratégie australienne de cybersécurité, à titre d'exemple, et d'approfondir la manière dont elles peuvent être personnalisées pour soutenir des changements efficaces et pertinents pour l'entreprise.
À cette fin, il est important de détailler quelques conseils :
- Formation de sensibilisation à la sécurité : cette formation est spécifiquement destinée aux PME et, dans le contexte de l'ensemble du rapport, vise principalement à enseigner à l'ensemble du personnel les règles de base en matière de sécurité (par exemple, repérer les e-mails de phishing, ne pas cliquer sur des liens inconnus, etc.). En réalité, il doit aller bien plus loin que cela et devenir spécifique au rôle, en particulier pour ceux qui touchent au code, comme les développeurs. Il est impératif que la formation à la sensibilisation à la sécurité fasse partie des mesures préventives et du renforcement de la résilience
- Éducation : Dans le cadre d'un changement rafraîchissant, il existe un plan approfondi visant à remédier à la pénurie de compétences en cybersécurité au cours de la prochaine décennie, en mettant l'accent sur la formation en cybersécurité depuis les écoles primaires et secondaires jusqu'à l'enseignement supérieur. Cela est absolument nécessaire si nous voulons créer les superstars de la sécurité de demain, mais pour répondre aux besoins actuels des entreprises, une formation pratique au codage sécurisé pour la cohorte de développement est une nécessité absolue pour commencer à réduire les vulnérabilités courantes, et doit faire partie d'un programme de sécurité fonctionnel.
En tant qu'experts en sécurité, nous devons faire davantage pour aider les entreprises du monde entier à comprendre l'importance de mettre en place un programme de sécurité interne qui aille au-delà de simples mesures de sensibilisation fondamentales. Le fait de consacrer du temps à améliorer les compétences des développeurs soulage les spécialistes de la sécurité des applications surchargés de travail. Il est essentiel de veiller à ce que l'ensemble de l'entreprise soit aussi consciente que possible de la sécurité dans le contexte de son rôle afin de réduire la zone d'attaque superficielle des menaces dans les logiciels.
L'amélioration des compétences des développeurs est un temps bien investi, alors pourquoi tant d'entreprises l'ignorent-elles ?
Une récente enquête du DDLS a conclu que les organisations australiennes ne se soucient guère des priorités en matière de formation à la cybersécurité. En fait, il ne figurait même pas parmi les trois principales priorités en matière de formation, bien que 77 % des personnes interrogées considèrent la sensibilisation à la cybersécurité comme « extrêmement » ou « très importante » dans leur entreprise.
Il n'est donc pas étonnant que l'Australie peine à combler son déficit croissant de compétences et qu'elle ait encore du travail à faire pour créer une infrastructure plus résiliente, des services essentiels au commerce de détail, en passant par tout ce qui se trouve entre les deux.
Il y a là une énorme opportunité pour gouvernements pour créer une certification ou une réglementation de base des compétences en matière de sécurité, et la stratégie y fait allusion comme un moyen de travailler avec des ressources limitées. Cependant, une fois de plus, il s'agit d'une proposition tournée vers l'avenir, et nous disposons des outils nécessaires pour démarrer bien plus tôt si nous ciblons d'abord les zones à fort impact. Pour moi, l'espoir réside dans les équipes de développement de chaque organisation. Si elles disposent des outils et des connaissances nécessaires pour réussir, elles peuvent éliminer les vulnérabilités courantes au passage et réduire considérablement le risque de violation de données au sein de leur organisation.
En 2019, 24 % de toutes les violations de données ont été causées par une erreur humaine - à savoir les erreurs de configuration en matière de sécurité - qui sont généralement des correctifs relativement simples au niveau du code. Si la formation est considérée comme une priorité, en conjonction avec le renforcement de la sensibilisation à la sécurité à l'échelle de l'entreprise, je parie qu'il y aurait moins de RSSI qui signent les notifications de violation adressées à des milliers de clients compromis.
Table des matières
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démoTéléchargerRessources pour vous aider à démarrer
Sujets et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions d'IA Beat the Boss sont désormais disponibles à la demande
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Déployez des défis de sécurité avancés liés à l'IA et au LLM pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyberrésilience : ce que cela signifie pour le développement de logiciels sécurisés dès la conception
Découvrez ce que la loi européenne sur la cyberrésilience (CRA) exige, à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Enabler 1 donne le coup d'envoi de notre série en 10 parties intitulée Enablers of Success en montrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité pour assurer la maturité à long terme des programmes.
