L'avenir du travail est flexible et c'est formidable pour la cybersécurité
Une version de cet article a été publiée dans TFIR. Il a été mis à jour et diffusé ici.
On dit que le changement est la seule constante de la vie, mais 2020 a vraiment été un test pour de nombreuses personnes dans le monde entier. La pandémie mondiale de COVID-19 nous a obligés à réfléchir, en profondeur, à la manière dont nous nous connectons. L'auto-isolement, la distanciation sociale sont quelques-unes des adaptations que nous avons apportées au monde physique, et malgré le fait que beaucoup d'entre nous passent autant de temps en ligne, c'est un scénario tout à fait différent de ne pas avoir d'autre choix lorsqu'il s'agit de communiquer et, si possible, de travailler. C'est à la fois une tragédie et une prise de conscience.
Comme de nombreuses entreprises technologiques, le travail flexible n'est pas une nouveauté pour nous et le travail à domicile est l'un des avantages du travail. Dès 2009, je travaillais à distance depuis la Belgique pour des entreprises de la Silicon Valley. La technologie était façon moins avancé à l'époque, mais c'était toujours faisable. Même pour nous en ce moment, le fait que chaque membre de l'équipe travaille à domicile jusqu'à nouvel ordre a été un ajustement. J'ai vu de nombreuses entreprises prendre cette décision également, dont beaucoup n'étaient pas aussi préparées que d'autres à gérer une main-d'œuvre à distance.
Que le malaise soit dû à l'inconnu d'une nouvelle méthode de travail, à un peu de méfiance ou peut-être à ne pas « croire » au travail à distance, je trouve que les entreprises qui y sont réticentes ont tendance à prendre du retard en termes d'attraction des meilleurs talents, de maintien d'une présence mondiale et, franchement, d'évolution avec leur temps. En raison de la crise actuelle, de nombreuses personnes n'ont pas d'autre choix que de recruter du personnel à distance, l'alternative étant la fermeture complète des activités dans un climat économique chaotique.
S'il y a un point positif à tirer de cette tragédie, c'est que les gens auront compris les avantages d'une main-d'œuvre numérique et de la myriade de façons dont une équipe peut se connecter même si elle n'est pas physiquement ensemble. Et le secteur de la cybersécurité est un secteur qui peut véritablement prospérer grâce à une approche permettant de travailler en tout lieu et en permanence.
Les attaquants n'ont pas été confinés. Ils sont très actifs et profitent de cette crise pour tirer parti de la panique et de l'incertitude mondiales pour mener des cyberattaques contre des établissements médicaux. Dans une telle situation, il n'est pas exagéré de constater une recrudescence des cyberattaques, en particulier des rançongiciels. Après tout, il s'agit de voler pour survivre en période de précarité économique. Cela ne suffit pas, et il n'en demeure pas moins que nous pouvons toujours travailler, nous entraîner et lutter contre les cyberattaques partout où il y a une connexion Internet.
L'avenir est flexible, et c'est ainsi que nous, et le secteur de la cybersécurité dans son ensemble, pouvons le faire fonctionner aujourd'hui et à l'avenir :
Les produits Access-Anywhere sont universels et précieux
Avant toute situation de quarantaine forcée, les équipes mondiales devaient encore trouver un moyen de collaborer en cas de besoin. Les conférences téléphoniques abordables ont fait leurs débuts la même année que les Rolling Stones (1964), et il ne fait aucun doute que ces premiers utilisateurs ont eu la même réponse : « Êtes-vous là » ? « Non, vas-y » (problèmes auxquels nous sommes confrontés aujourd'hui, même si nous pouvons nous voir en vidéo).
En 2020, la technologie des communications numériques occupe une place importante dans une industrie des TIC de plusieurs billions de dollars, les plateformes mobiles et sociales natives du cloud dominant et remplaçant les technologies traditionnelles. Des innovations telles que Slack, Zoom et Discord nous ont permis de rester plus connectés que jamais, en particulier au travail. Et la communication n'est qu'un aspect de l'histoire.
Les services numériques accessibles partout avec une connexion Internet, à la demande, qui répondent à un besoin de base, qu'il s'agisse de connexion, de divertissement ou de productivité, font partie de notre avenir flexible. En tant que clients, nous recherchons l'hyperpersonnalisation, et en tant qu'entreprise, nous cherchons à offrir une expérience numérique personnelle qui soit de la même qualité sans compromis, quel que soit l'endroit d'où elle est accessible.
Dans tous les secteurs, chaque jour, des applications Web sont créées pour rationaliser les processus, révolutionner nos modes de vie et de travail existants et résoudre des problèmes dont nous n'avions peut-être pas conscience. Nous sommes loin de la pointe en matière d'outils et de formations en cybersécurité accessibles à la demande, de manière engageante et utile pour l'utilisateur, avec des avantages tangibles pour l'entreprise.
Les développeurs apprécient la flexibilité dans leur travail quotidien, et l'accent que nous mettons sur la formation pratique, amusante et sécurisée au codage, ainsi que sur l'intégration des flux de travail, est conçu en pensant à ces utilisateurs finaux. Les outils doivent être pris en main pour être faciles à utiliser, et une formation utile ne doit pas être considérée comme une corvée. Le secteur de la cybersécurité étant si vaste, le moment est venu d'innover dans de nombreux domaines d'attaque et de défense, où des méthodologies centrées sur la sécurité comme DevSecOps peuvent encore s'épanouir même si tout le monde est à la maison. Il s'agit d'une question de collaboration et d'une suite d'outils bien pensés permettant à chaque membre de l'équipe de faire son travail efficacement, quel que soit son emplacement physique.
Entraînez-vous au moment où vous en avez le plus besoin (ou lorsque vous souhaitez changer de journée)
L'un des avantages du travail flexible est que vos déplacements au bureau sont supprimés les jours où vous effectuez des tâches à domicile. Pour certains, cela peut représenter environ deux heures de temps de qualité et de concentration. Dans un monde idéal, tout le personnel aurait le temps, pendant ses heures de travail normales, d'apprendre et de développer ses compétences, et cela pourrait être beaucoup plus facile dans un environnement à distance approprié. C'est bénéfique pour vos superstars du télétravail, qui peuvent se sentir stimulées et soutenues par la poursuite de leur apprentissage.
Le paysage de la cybersécurité évoluant de seconde en seconde, des formations fréquentes sont indispensables pour suivre le rythme des menaces potentielles qui pourraient affecter l'organisation. Et une formation complète, mesurable et adaptée aux besoins de l'entreprise constitue un grand pas dans la bonne direction. Ce sont là certains des facteurs essentiels à la conception de la plateforme Secure Code Warrior ; nous voulions une formation accessible n'importe où, au moment voulu, dans le langage de développement et le cadre de développement choisis par l'utilisateur.
Les développeurs entretiennent une relation délicate avec la sécurité et, à bien des égards, ils n'ont pas été pris en charge de manière suffisamment spécifique pour adopter correctement les meilleures pratiques en matière de sécurité. Une formation ludifiée à la demande peut les aider à convaincre, où qu'ils se trouvent ; cela est également impératif pour garantir que les équipes et les fournisseurs offshore font également preuve d'une sensibilisation adéquate à la sécurité, en particulier lorsqu'ils sont impliqués dans toute sorte de modification des logiciels d'une organisation.
Maintenir l'engagement et les compétences de votre cohorte grâce à des formations qui aideront l'organisation (sans parler de leur propre carrière) est un outil très efficace lorsqu'il s'agit de retenir vos meilleurs et les plus fidèles talents... une nécessité absolue alors que nous sommes confrontés à une pénurie continue de compétences en cybersécurité.
Le personnel travaillant à distance peut être responsabilisé, productif et sécurisé
C'est un poste plutôt démodé selon lequel, pour être productif, il faut être visible dans un bureau de neuf heures à cinq heures. Pourtant, de nombreuses entreprises (même certaines des plus nouvelles et passionnantes) fonctionnent toujours avec cette notion à l'esprit. Ils éprouvent un profond sentiment de méfiance à l'égard de leur propre personnel, comme si la simple suggestion de travailler à domicile les incitait à imaginer leurs équipes jouer en sous-vêtements au lieu de faire leur travail.
Soit cela, soit ils n'ont tout simplement pas franchi le pas vers un travail à distance viable.
Bien entendu, les membres de l'équipe doivent prouver qu'ils peuvent maintenir leur productivité à la maison en affichant les résultats, mais vous devez donner à votre cohorte les meilleures chances de réussir en dehors du bureau. Demandez-vous :
- Disposent-ils du matériel adéquat ?
- Avez-vous réellement mis en œuvre l'un de ces outils de communication géniaux dont nous avons déjà parlé ?
- Avez-vous veillé à ce que chaque responsable s'enregistre et soit présent numériquement avec son équipe, avec des réunions régulières ?
- Avez-vous pensé à des outils de productivité pour suivre les projets et donner à chaque membre de l'équipe une orientation, des objectifs et un sentiment d'accomplissement lorsqu'il accomplit des tâches ?
Dans le climat actuel, de nombreuses entreprises ont dû décider de poursuivre leurs activités à distance ou de fermer complètement leurs portes. Certaines entreprises qui ont choisi de passer à une main-d'œuvre à distance n'étaient peut-être pas très bien préparées, et il est possible qu'il y ait quelques problèmes à régler... Mais l'éléphant dans la pièce, c'est que ces entreprises s'exposent probablement également à certains risques de sécurité.
Éviter les erreurs de sécurité dans les environnements de travail à distance
Il y a plusieurs vecteurs de menaces à prendre en compte, étant donné que le personnel est probablement connecté à son propre réseau et peut utiliser divers appareils pour accéder aux comptes de l'entreprise, chacun ayant ses propres besoins de sécurité qui peuvent être satisfaits ou non.
Dans les situations de travail à distance, tout le monde a tendance à recevoir une augmentation du nombre d'e-mails, en plus de devoir trier différents identifiants, systèmes et configurations. Il est trop facile pour les attaques d'ingénierie sociale et les logiciels malveillants de passer entre les mailles du filet sur de nombreux appareils qui ne sont pas sécurisés. Ce n'est pas une raison pour abandonner le travail à distance, c'est une occasion en or d'apprendre par la pratique et de le rendre aussi solide que possible pour l'avenir. Et dans les organisations axées sur la sécurité, c'est une bonne occasion d'auditer les processus et de « manger sa propre nourriture pour chiens » en matière de meilleures pratiques de sécurité pour tous.
En parlant de gaffes, il est également important d'évaluer votre espace de travail distant pour détecter toute menace potentielle... surtout pour votre fierté, comme ce pauvre couple. Morale de l'histoire : assurez-vous que tout le monde porte un pantalon si vous participez à un appel vidéo.
Les cyberattaques ne s'arrêtent pas simplement parce que nous sommes en crise
Il est profondément bouleversant de constater les effets de la COVID-19 dans le monde entier, et le moment est plus que jamais venu de s'unir et de penser à d'autres personnes face à cette crise sanitaire mondiale. Le fait est que les assaillants profitent activement de cette peur généralisée et de ce pandémonium, peut-être par désespoir de cause pour mettre de la nourriture sur la table. En tant que société, nous sommes extrêmement vulnérables en ce moment.
Les établissements de santé, y compris un centre de test de vaccins, ont été victimes de rançongiciels et d'attaques DDoS, sans parler de ceux qui tentent de tirer parti de la distraction et de la surcharge de travail des organisations financières et gouvernementales en lançant des campagnes de phishing et de programmes malveillants à leur encontre. Une autre menace imminente entoure le vaccin lui-même ; il a été rapporté que l'administration Trump avait proposé à une entreprise allemande d'importantes sommes d'argent pour développer un vaccin contre la COVID-19 à l'usage exclusif des États-Unis. Les données sur les vaccins sont probablement les informations les plus précieuses sur Terre à l'heure actuelle, ce qui serait une récompense très intéressante pour un attaquant.
Il s'agit d'un rappel bien trop opportun : alors que nous nous isolons de la menace très réelle d'un virus physique, notre rythme cardiaque numérique est également attaqué. La sensibilisation à la sécurité est de la plus haute importance dans chaque organisation, et une formation adéquate doit être dispensée à tous les niveaux. Même des mesures telles que l'application de mesures telles que l'utilisation d'outils de gestion des mots de passe et l'apprentissage de la détection d'un e-mail de phishing sont utiles.
En ce qui concerne les développeurs, ils constituent la première ligne de défense pour sécuriser le code produit activement au sein de l'entreprise, et ils peuvent constituer un atout précieux pour votre équipe AppSec pour éviter de nouvelles difficultés liées à une cyberattaque en fermant les portes dérobées créées par des vulnérabilités courantes.
Les entreprises innovantes sur le plan numérique peuvent faire face à de plus grandes tempêtes
Le ralentissement économique, qui a contraint de nombreuses personnes à quitter leur emploi dans les secteurs les plus durement touchés, a eu pour conséquence extrêmement regrettable le confinement de masse. Tout cela s'est aggravé assez soudainement, et c'est une expérience que beaucoup d'entre nous n'ont probablement jamais vécue de leur vivant.
Bien que toutes les entreprises natives du numérique ne soient pas automatiquement confrontées à la récession (loin de là), les entreprises qui s'occupent du numérique sont par nature beaucoup plus agiles, adaptables et durables, même dans les circonstances les plus extrêmes.
Notre entreprise peut être gérée de manière efficiente et efficace grâce à une main-d'œuvre à distance, ce qui constitue une couche de protection supplémentaire pour notre précieuse équipe et les clients qu'elle soutient également. Nous considérons qu'une formation au code sécurisé viable constitue un élément essentiel des entreprises modernes, et si nous sommes choisis, nous pouvons proposer et adapter en fonction des besoins. De par la nature des produits ou services qu'elles vendent, de nombreuses entreprises n'ont pas le même luxe, mais elles seront peut-être surprises d'étudier les domaines dans lesquels les processus peuvent être numérisés, pérennisés et réalisés aussi à la demande que possible, même dans les espaces les plus traditionnels.
Trouver de nouvelles façons de communiquer est un défi positif, pas un obstacle
C'est un peu dramatique, mais cela me rappelle la célèbre citation de Jurassic Park où le Dr Ian Malcolm dit : « la vie trouve son chemin ». C'est vraiment le cas, comme en témoigne le passage au travail à distance à l'échelle de notre entreprise. Les équipes qui n'interagissaient pas beaucoup auparavant découvrent des centres d'intérêt communs grâce à des discussions sur les refroidisseurs d'eau sans rendez-vous, à des jeux de bureau en ligne et à une playlist Spotify commune au bureau mondial. Il existe toujours un moyen de forger une relation significative, et je conseille de laisser les équipes explorer et évoluer de manière organique.
Nos clients ont été ravis de constater que leur engagement à perfectionner les compétences des développeurs en matière de codage sécurisé a surmonté tous les problèmes liés au travail à distance. Ils ont utilisé notre fonctionnalité de tournois, et bien que ceux-ci se déroulent généralement en présentiel avec un peu de fanfare, leurs versions virtuelles ont suscité un engagement sain, une compétition amicale et une excellente distraction (productive) par rapport aux activités quotidiennes généralement effectuées de manière solitaire. Tout comme les jeux vidéo sont aujourd'hui un événement beaucoup plus social qu'ils ne l'étaient autrefois, ce type de formation en cours d'emploi établit un lien non seulement avec le matériel de cours, mais aussi entre eux. Et il est accessible à tous, n'importe où. En tant que passionné de sécurité, je suis définitivement partial, mais bon, c'est le moment idéal pour encourager les développeurs à aimer le codage sécurisé. Ce sont tous des super-héros de sécurité en attente, et il est temps de renforcer vos lignes de front de la manière la plus amusante possible.
Qu'il s'agisse de l'incertitude liée à une nouvelle façon de travailler, d'un peu de méfiance ou de ne pas croire au télétravail, je trouve que les entreprises qui y sont réticentes ont tendance à prendre du retard lorsqu'il s'agit d'attirer les meilleurs talents, de maintenir une présence mondiale et, franchement, d'évoluer avec leur temps.
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démo
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
Une version de cet article a été publiée dans TFIR. Il a été mis à jour et diffusé ici.
On dit que le changement est la seule constante de la vie, mais 2020 a vraiment été un test pour de nombreuses personnes dans le monde entier. La pandémie mondiale de COVID-19 nous a obligés à réfléchir, en profondeur, à la manière dont nous nous connectons. L'auto-isolement, la distanciation sociale sont quelques-unes des adaptations que nous avons apportées au monde physique, et malgré le fait que beaucoup d'entre nous passent autant de temps en ligne, c'est un scénario tout à fait différent de ne pas avoir d'autre choix lorsqu'il s'agit de communiquer et, si possible, de travailler. C'est à la fois une tragédie et une prise de conscience.
Comme de nombreuses entreprises technologiques, le travail flexible n'est pas une nouveauté pour nous et le travail à domicile est l'un des avantages du travail. Dès 2009, je travaillais à distance depuis la Belgique pour des entreprises de la Silicon Valley. La technologie était façon moins avancé à l'époque, mais c'était toujours faisable. Même pour nous en ce moment, le fait que chaque membre de l'équipe travaille à domicile jusqu'à nouvel ordre a été un ajustement. J'ai vu de nombreuses entreprises prendre cette décision également, dont beaucoup n'étaient pas aussi préparées que d'autres à gérer une main-d'œuvre à distance.
Que le malaise soit dû à l'inconnu d'une nouvelle méthode de travail, à un peu de méfiance ou peut-être à ne pas « croire » au travail à distance, je trouve que les entreprises qui y sont réticentes ont tendance à prendre du retard en termes d'attraction des meilleurs talents, de maintien d'une présence mondiale et, franchement, d'évolution avec leur temps. En raison de la crise actuelle, de nombreuses personnes n'ont pas d'autre choix que de recruter du personnel à distance, l'alternative étant la fermeture complète des activités dans un climat économique chaotique.
S'il y a un point positif à tirer de cette tragédie, c'est que les gens auront compris les avantages d'une main-d'œuvre numérique et de la myriade de façons dont une équipe peut se connecter même si elle n'est pas physiquement ensemble. Et le secteur de la cybersécurité est un secteur qui peut véritablement prospérer grâce à une approche permettant de travailler en tout lieu et en permanence.
Les attaquants n'ont pas été confinés. Ils sont très actifs et profitent de cette crise pour tirer parti de la panique et de l'incertitude mondiales pour mener des cyberattaques contre des établissements médicaux. Dans une telle situation, il n'est pas exagéré de constater une recrudescence des cyberattaques, en particulier des rançongiciels. Après tout, il s'agit de voler pour survivre en période de précarité économique. Cela ne suffit pas, et il n'en demeure pas moins que nous pouvons toujours travailler, nous entraîner et lutter contre les cyberattaques partout où il y a une connexion Internet.
L'avenir est flexible, et c'est ainsi que nous, et le secteur de la cybersécurité dans son ensemble, pouvons le faire fonctionner aujourd'hui et à l'avenir :
Les produits Access-Anywhere sont universels et précieux
Avant toute situation de quarantaine forcée, les équipes mondiales devaient encore trouver un moyen de collaborer en cas de besoin. Les conférences téléphoniques abordables ont fait leurs débuts la même année que les Rolling Stones (1964), et il ne fait aucun doute que ces premiers utilisateurs ont eu la même réponse : « Êtes-vous là » ? « Non, vas-y » (problèmes auxquels nous sommes confrontés aujourd'hui, même si nous pouvons nous voir en vidéo).
En 2020, la technologie des communications numériques occupe une place importante dans une industrie des TIC de plusieurs billions de dollars, les plateformes mobiles et sociales natives du cloud dominant et remplaçant les technologies traditionnelles. Des innovations telles que Slack, Zoom et Discord nous ont permis de rester plus connectés que jamais, en particulier au travail. Et la communication n'est qu'un aspect de l'histoire.
Les services numériques accessibles partout avec une connexion Internet, à la demande, qui répondent à un besoin de base, qu'il s'agisse de connexion, de divertissement ou de productivité, font partie de notre avenir flexible. En tant que clients, nous recherchons l'hyperpersonnalisation, et en tant qu'entreprise, nous cherchons à offrir une expérience numérique personnelle qui soit de la même qualité sans compromis, quel que soit l'endroit d'où elle est accessible.
Dans tous les secteurs, chaque jour, des applications Web sont créées pour rationaliser les processus, révolutionner nos modes de vie et de travail existants et résoudre des problèmes dont nous n'avions peut-être pas conscience. Nous sommes loin de la pointe en matière d'outils et de formations en cybersécurité accessibles à la demande, de manière engageante et utile pour l'utilisateur, avec des avantages tangibles pour l'entreprise.
Les développeurs apprécient la flexibilité dans leur travail quotidien, et l'accent que nous mettons sur la formation pratique, amusante et sécurisée au codage, ainsi que sur l'intégration des flux de travail, est conçu en pensant à ces utilisateurs finaux. Les outils doivent être pris en main pour être faciles à utiliser, et une formation utile ne doit pas être considérée comme une corvée. Le secteur de la cybersécurité étant si vaste, le moment est venu d'innover dans de nombreux domaines d'attaque et de défense, où des méthodologies centrées sur la sécurité comme DevSecOps peuvent encore s'épanouir même si tout le monde est à la maison. Il s'agit d'une question de collaboration et d'une suite d'outils bien pensés permettant à chaque membre de l'équipe de faire son travail efficacement, quel que soit son emplacement physique.
Entraînez-vous au moment où vous en avez le plus besoin (ou lorsque vous souhaitez changer de journée)
L'un des avantages du travail flexible est que vos déplacements au bureau sont supprimés les jours où vous effectuez des tâches à domicile. Pour certains, cela peut représenter environ deux heures de temps de qualité et de concentration. Dans un monde idéal, tout le personnel aurait le temps, pendant ses heures de travail normales, d'apprendre et de développer ses compétences, et cela pourrait être beaucoup plus facile dans un environnement à distance approprié. C'est bénéfique pour vos superstars du télétravail, qui peuvent se sentir stimulées et soutenues par la poursuite de leur apprentissage.
Le paysage de la cybersécurité évoluant de seconde en seconde, des formations fréquentes sont indispensables pour suivre le rythme des menaces potentielles qui pourraient affecter l'organisation. Et une formation complète, mesurable et adaptée aux besoins de l'entreprise constitue un grand pas dans la bonne direction. Ce sont là certains des facteurs essentiels à la conception de la plateforme Secure Code Warrior ; nous voulions une formation accessible n'importe où, au moment voulu, dans le langage de développement et le cadre de développement choisis par l'utilisateur.
Les développeurs entretiennent une relation délicate avec la sécurité et, à bien des égards, ils n'ont pas été pris en charge de manière suffisamment spécifique pour adopter correctement les meilleures pratiques en matière de sécurité. Une formation ludifiée à la demande peut les aider à convaincre, où qu'ils se trouvent ; cela est également impératif pour garantir que les équipes et les fournisseurs offshore font également preuve d'une sensibilisation adéquate à la sécurité, en particulier lorsqu'ils sont impliqués dans toute sorte de modification des logiciels d'une organisation.
Maintenir l'engagement et les compétences de votre cohorte grâce à des formations qui aideront l'organisation (sans parler de leur propre carrière) est un outil très efficace lorsqu'il s'agit de retenir vos meilleurs et les plus fidèles talents... une nécessité absolue alors que nous sommes confrontés à une pénurie continue de compétences en cybersécurité.
Le personnel travaillant à distance peut être responsabilisé, productif et sécurisé
C'est un poste plutôt démodé selon lequel, pour être productif, il faut être visible dans un bureau de neuf heures à cinq heures. Pourtant, de nombreuses entreprises (même certaines des plus nouvelles et passionnantes) fonctionnent toujours avec cette notion à l'esprit. Ils éprouvent un profond sentiment de méfiance à l'égard de leur propre personnel, comme si la simple suggestion de travailler à domicile les incitait à imaginer leurs équipes jouer en sous-vêtements au lieu de faire leur travail.
Soit cela, soit ils n'ont tout simplement pas franchi le pas vers un travail à distance viable.
Bien entendu, les membres de l'équipe doivent prouver qu'ils peuvent maintenir leur productivité à la maison en affichant les résultats, mais vous devez donner à votre cohorte les meilleures chances de réussir en dehors du bureau. Demandez-vous :
- Disposent-ils du matériel adéquat ?
- Avez-vous réellement mis en œuvre l'un de ces outils de communication géniaux dont nous avons déjà parlé ?
- Avez-vous veillé à ce que chaque responsable s'enregistre et soit présent numériquement avec son équipe, avec des réunions régulières ?
- Avez-vous pensé à des outils de productivité pour suivre les projets et donner à chaque membre de l'équipe une orientation, des objectifs et un sentiment d'accomplissement lorsqu'il accomplit des tâches ?
Dans le climat actuel, de nombreuses entreprises ont dû décider de poursuivre leurs activités à distance ou de fermer complètement leurs portes. Certaines entreprises qui ont choisi de passer à une main-d'œuvre à distance n'étaient peut-être pas très bien préparées, et il est possible qu'il y ait quelques problèmes à régler... Mais l'éléphant dans la pièce, c'est que ces entreprises s'exposent probablement également à certains risques de sécurité.
Éviter les erreurs de sécurité dans les environnements de travail à distance
Il y a plusieurs vecteurs de menaces à prendre en compte, étant donné que le personnel est probablement connecté à son propre réseau et peut utiliser divers appareils pour accéder aux comptes de l'entreprise, chacun ayant ses propres besoins de sécurité qui peuvent être satisfaits ou non.
Dans les situations de travail à distance, tout le monde a tendance à recevoir une augmentation du nombre d'e-mails, en plus de devoir trier différents identifiants, systèmes et configurations. Il est trop facile pour les attaques d'ingénierie sociale et les logiciels malveillants de passer entre les mailles du filet sur de nombreux appareils qui ne sont pas sécurisés. Ce n'est pas une raison pour abandonner le travail à distance, c'est une occasion en or d'apprendre par la pratique et de le rendre aussi solide que possible pour l'avenir. Et dans les organisations axées sur la sécurité, c'est une bonne occasion d'auditer les processus et de « manger sa propre nourriture pour chiens » en matière de meilleures pratiques de sécurité pour tous.
En parlant de gaffes, il est également important d'évaluer votre espace de travail distant pour détecter toute menace potentielle... surtout pour votre fierté, comme ce pauvre couple. Morale de l'histoire : assurez-vous que tout le monde porte un pantalon si vous participez à un appel vidéo.
Les cyberattaques ne s'arrêtent pas simplement parce que nous sommes en crise
Il est profondément bouleversant de constater les effets de la COVID-19 dans le monde entier, et le moment est plus que jamais venu de s'unir et de penser à d'autres personnes face à cette crise sanitaire mondiale. Le fait est que les assaillants profitent activement de cette peur généralisée et de ce pandémonium, peut-être par désespoir de cause pour mettre de la nourriture sur la table. En tant que société, nous sommes extrêmement vulnérables en ce moment.
Les établissements de santé, y compris un centre de test de vaccins, ont été victimes de rançongiciels et d'attaques DDoS, sans parler de ceux qui tentent de tirer parti de la distraction et de la surcharge de travail des organisations financières et gouvernementales en lançant des campagnes de phishing et de programmes malveillants à leur encontre. Une autre menace imminente entoure le vaccin lui-même ; il a été rapporté que l'administration Trump avait proposé à une entreprise allemande d'importantes sommes d'argent pour développer un vaccin contre la COVID-19 à l'usage exclusif des États-Unis. Les données sur les vaccins sont probablement les informations les plus précieuses sur Terre à l'heure actuelle, ce qui serait une récompense très intéressante pour un attaquant.
Il s'agit d'un rappel bien trop opportun : alors que nous nous isolons de la menace très réelle d'un virus physique, notre rythme cardiaque numérique est également attaqué. La sensibilisation à la sécurité est de la plus haute importance dans chaque organisation, et une formation adéquate doit être dispensée à tous les niveaux. Même des mesures telles que l'application de mesures telles que l'utilisation d'outils de gestion des mots de passe et l'apprentissage de la détection d'un e-mail de phishing sont utiles.
En ce qui concerne les développeurs, ils constituent la première ligne de défense pour sécuriser le code produit activement au sein de l'entreprise, et ils peuvent constituer un atout précieux pour votre équipe AppSec pour éviter de nouvelles difficultés liées à une cyberattaque en fermant les portes dérobées créées par des vulnérabilités courantes.
Les entreprises innovantes sur le plan numérique peuvent faire face à de plus grandes tempêtes
Le ralentissement économique, qui a contraint de nombreuses personnes à quitter leur emploi dans les secteurs les plus durement touchés, a eu pour conséquence extrêmement regrettable le confinement de masse. Tout cela s'est aggravé assez soudainement, et c'est une expérience que beaucoup d'entre nous n'ont probablement jamais vécue de leur vivant.
Bien que toutes les entreprises natives du numérique ne soient pas automatiquement confrontées à la récession (loin de là), les entreprises qui s'occupent du numérique sont par nature beaucoup plus agiles, adaptables et durables, même dans les circonstances les plus extrêmes.
Notre entreprise peut être gérée de manière efficiente et efficace grâce à une main-d'œuvre à distance, ce qui constitue une couche de protection supplémentaire pour notre précieuse équipe et les clients qu'elle soutient également. Nous considérons qu'une formation au code sécurisé viable constitue un élément essentiel des entreprises modernes, et si nous sommes choisis, nous pouvons proposer et adapter en fonction des besoins. De par la nature des produits ou services qu'elles vendent, de nombreuses entreprises n'ont pas le même luxe, mais elles seront peut-être surprises d'étudier les domaines dans lesquels les processus peuvent être numérisés, pérennisés et réalisés aussi à la demande que possible, même dans les espaces les plus traditionnels.
Trouver de nouvelles façons de communiquer est un défi positif, pas un obstacle
C'est un peu dramatique, mais cela me rappelle la célèbre citation de Jurassic Park où le Dr Ian Malcolm dit : « la vie trouve son chemin ». C'est vraiment le cas, comme en témoigne le passage au travail à distance à l'échelle de notre entreprise. Les équipes qui n'interagissaient pas beaucoup auparavant découvrent des centres d'intérêt communs grâce à des discussions sur les refroidisseurs d'eau sans rendez-vous, à des jeux de bureau en ligne et à une playlist Spotify commune au bureau mondial. Il existe toujours un moyen de forger une relation significative, et je conseille de laisser les équipes explorer et évoluer de manière organique.
Nos clients ont été ravis de constater que leur engagement à perfectionner les compétences des développeurs en matière de codage sécurisé a surmonté tous les problèmes liés au travail à distance. Ils ont utilisé notre fonctionnalité de tournois, et bien que ceux-ci se déroulent généralement en présentiel avec un peu de fanfare, leurs versions virtuelles ont suscité un engagement sain, une compétition amicale et une excellente distraction (productive) par rapport aux activités quotidiennes généralement effectuées de manière solitaire. Tout comme les jeux vidéo sont aujourd'hui un événement beaucoup plus social qu'ils ne l'étaient autrefois, ce type de formation en cours d'emploi établit un lien non seulement avec le matériel de cours, mais aussi entre eux. Et il est accessible à tous, n'importe où. En tant que passionné de sécurité, je suis définitivement partial, mais bon, c'est le moment idéal pour encourager les développeurs à aimer le codage sécurisé. Ce sont tous des super-héros de sécurité en attente, et il est temps de renforcer vos lignes de front de la manière la plus amusante possible.
Une version de cet article a été publiée dans TFIR. Il a été mis à jour et diffusé ici.
On dit que le changement est la seule constante de la vie, mais 2020 a vraiment été un test pour de nombreuses personnes dans le monde entier. La pandémie mondiale de COVID-19 nous a obligés à réfléchir, en profondeur, à la manière dont nous nous connectons. L'auto-isolement, la distanciation sociale sont quelques-unes des adaptations que nous avons apportées au monde physique, et malgré le fait que beaucoup d'entre nous passent autant de temps en ligne, c'est un scénario tout à fait différent de ne pas avoir d'autre choix lorsqu'il s'agit de communiquer et, si possible, de travailler. C'est à la fois une tragédie et une prise de conscience.
Comme de nombreuses entreprises technologiques, le travail flexible n'est pas une nouveauté pour nous et le travail à domicile est l'un des avantages du travail. Dès 2009, je travaillais à distance depuis la Belgique pour des entreprises de la Silicon Valley. La technologie était façon moins avancé à l'époque, mais c'était toujours faisable. Même pour nous en ce moment, le fait que chaque membre de l'équipe travaille à domicile jusqu'à nouvel ordre a été un ajustement. J'ai vu de nombreuses entreprises prendre cette décision également, dont beaucoup n'étaient pas aussi préparées que d'autres à gérer une main-d'œuvre à distance.
Que le malaise soit dû à l'inconnu d'une nouvelle méthode de travail, à un peu de méfiance ou peut-être à ne pas « croire » au travail à distance, je trouve que les entreprises qui y sont réticentes ont tendance à prendre du retard en termes d'attraction des meilleurs talents, de maintien d'une présence mondiale et, franchement, d'évolution avec leur temps. En raison de la crise actuelle, de nombreuses personnes n'ont pas d'autre choix que de recruter du personnel à distance, l'alternative étant la fermeture complète des activités dans un climat économique chaotique.
S'il y a un point positif à tirer de cette tragédie, c'est que les gens auront compris les avantages d'une main-d'œuvre numérique et de la myriade de façons dont une équipe peut se connecter même si elle n'est pas physiquement ensemble. Et le secteur de la cybersécurité est un secteur qui peut véritablement prospérer grâce à une approche permettant de travailler en tout lieu et en permanence.
Les attaquants n'ont pas été confinés. Ils sont très actifs et profitent de cette crise pour tirer parti de la panique et de l'incertitude mondiales pour mener des cyberattaques contre des établissements médicaux. Dans une telle situation, il n'est pas exagéré de constater une recrudescence des cyberattaques, en particulier des rançongiciels. Après tout, il s'agit de voler pour survivre en période de précarité économique. Cela ne suffit pas, et il n'en demeure pas moins que nous pouvons toujours travailler, nous entraîner et lutter contre les cyberattaques partout où il y a une connexion Internet.
L'avenir est flexible, et c'est ainsi que nous, et le secteur de la cybersécurité dans son ensemble, pouvons le faire fonctionner aujourd'hui et à l'avenir :
Les produits Access-Anywhere sont universels et précieux
Avant toute situation de quarantaine forcée, les équipes mondiales devaient encore trouver un moyen de collaborer en cas de besoin. Les conférences téléphoniques abordables ont fait leurs débuts la même année que les Rolling Stones (1964), et il ne fait aucun doute que ces premiers utilisateurs ont eu la même réponse : « Êtes-vous là » ? « Non, vas-y » (problèmes auxquels nous sommes confrontés aujourd'hui, même si nous pouvons nous voir en vidéo).
En 2020, la technologie des communications numériques occupe une place importante dans une industrie des TIC de plusieurs billions de dollars, les plateformes mobiles et sociales natives du cloud dominant et remplaçant les technologies traditionnelles. Des innovations telles que Slack, Zoom et Discord nous ont permis de rester plus connectés que jamais, en particulier au travail. Et la communication n'est qu'un aspect de l'histoire.
Les services numériques accessibles partout avec une connexion Internet, à la demande, qui répondent à un besoin de base, qu'il s'agisse de connexion, de divertissement ou de productivité, font partie de notre avenir flexible. En tant que clients, nous recherchons l'hyperpersonnalisation, et en tant qu'entreprise, nous cherchons à offrir une expérience numérique personnelle qui soit de la même qualité sans compromis, quel que soit l'endroit d'où elle est accessible.
Dans tous les secteurs, chaque jour, des applications Web sont créées pour rationaliser les processus, révolutionner nos modes de vie et de travail existants et résoudre des problèmes dont nous n'avions peut-être pas conscience. Nous sommes loin de la pointe en matière d'outils et de formations en cybersécurité accessibles à la demande, de manière engageante et utile pour l'utilisateur, avec des avantages tangibles pour l'entreprise.
Les développeurs apprécient la flexibilité dans leur travail quotidien, et l'accent que nous mettons sur la formation pratique, amusante et sécurisée au codage, ainsi que sur l'intégration des flux de travail, est conçu en pensant à ces utilisateurs finaux. Les outils doivent être pris en main pour être faciles à utiliser, et une formation utile ne doit pas être considérée comme une corvée. Le secteur de la cybersécurité étant si vaste, le moment est venu d'innover dans de nombreux domaines d'attaque et de défense, où des méthodologies centrées sur la sécurité comme DevSecOps peuvent encore s'épanouir même si tout le monde est à la maison. Il s'agit d'une question de collaboration et d'une suite d'outils bien pensés permettant à chaque membre de l'équipe de faire son travail efficacement, quel que soit son emplacement physique.
Entraînez-vous au moment où vous en avez le plus besoin (ou lorsque vous souhaitez changer de journée)
L'un des avantages du travail flexible est que vos déplacements au bureau sont supprimés les jours où vous effectuez des tâches à domicile. Pour certains, cela peut représenter environ deux heures de temps de qualité et de concentration. Dans un monde idéal, tout le personnel aurait le temps, pendant ses heures de travail normales, d'apprendre et de développer ses compétences, et cela pourrait être beaucoup plus facile dans un environnement à distance approprié. C'est bénéfique pour vos superstars du télétravail, qui peuvent se sentir stimulées et soutenues par la poursuite de leur apprentissage.
Le paysage de la cybersécurité évoluant de seconde en seconde, des formations fréquentes sont indispensables pour suivre le rythme des menaces potentielles qui pourraient affecter l'organisation. Et une formation complète, mesurable et adaptée aux besoins de l'entreprise constitue un grand pas dans la bonne direction. Ce sont là certains des facteurs essentiels à la conception de la plateforme Secure Code Warrior ; nous voulions une formation accessible n'importe où, au moment voulu, dans le langage de développement et le cadre de développement choisis par l'utilisateur.
Les développeurs entretiennent une relation délicate avec la sécurité et, à bien des égards, ils n'ont pas été pris en charge de manière suffisamment spécifique pour adopter correctement les meilleures pratiques en matière de sécurité. Une formation ludifiée à la demande peut les aider à convaincre, où qu'ils se trouvent ; cela est également impératif pour garantir que les équipes et les fournisseurs offshore font également preuve d'une sensibilisation adéquate à la sécurité, en particulier lorsqu'ils sont impliqués dans toute sorte de modification des logiciels d'une organisation.
Maintenir l'engagement et les compétences de votre cohorte grâce à des formations qui aideront l'organisation (sans parler de leur propre carrière) est un outil très efficace lorsqu'il s'agit de retenir vos meilleurs et les plus fidèles talents... une nécessité absolue alors que nous sommes confrontés à une pénurie continue de compétences en cybersécurité.
Le personnel travaillant à distance peut être responsabilisé, productif et sécurisé
C'est un poste plutôt démodé selon lequel, pour être productif, il faut être visible dans un bureau de neuf heures à cinq heures. Pourtant, de nombreuses entreprises (même certaines des plus nouvelles et passionnantes) fonctionnent toujours avec cette notion à l'esprit. Ils éprouvent un profond sentiment de méfiance à l'égard de leur propre personnel, comme si la simple suggestion de travailler à domicile les incitait à imaginer leurs équipes jouer en sous-vêtements au lieu de faire leur travail.
Soit cela, soit ils n'ont tout simplement pas franchi le pas vers un travail à distance viable.
Bien entendu, les membres de l'équipe doivent prouver qu'ils peuvent maintenir leur productivité à la maison en affichant les résultats, mais vous devez donner à votre cohorte les meilleures chances de réussir en dehors du bureau. Demandez-vous :
- Disposent-ils du matériel adéquat ?
- Avez-vous réellement mis en œuvre l'un de ces outils de communication géniaux dont nous avons déjà parlé ?
- Avez-vous veillé à ce que chaque responsable s'enregistre et soit présent numériquement avec son équipe, avec des réunions régulières ?
- Avez-vous pensé à des outils de productivité pour suivre les projets et donner à chaque membre de l'équipe une orientation, des objectifs et un sentiment d'accomplissement lorsqu'il accomplit des tâches ?
Dans le climat actuel, de nombreuses entreprises ont dû décider de poursuivre leurs activités à distance ou de fermer complètement leurs portes. Certaines entreprises qui ont choisi de passer à une main-d'œuvre à distance n'étaient peut-être pas très bien préparées, et il est possible qu'il y ait quelques problèmes à régler... Mais l'éléphant dans la pièce, c'est que ces entreprises s'exposent probablement également à certains risques de sécurité.
Éviter les erreurs de sécurité dans les environnements de travail à distance
Il y a plusieurs vecteurs de menaces à prendre en compte, étant donné que le personnel est probablement connecté à son propre réseau et peut utiliser divers appareils pour accéder aux comptes de l'entreprise, chacun ayant ses propres besoins de sécurité qui peuvent être satisfaits ou non.
Dans les situations de travail à distance, tout le monde a tendance à recevoir une augmentation du nombre d'e-mails, en plus de devoir trier différents identifiants, systèmes et configurations. Il est trop facile pour les attaques d'ingénierie sociale et les logiciels malveillants de passer entre les mailles du filet sur de nombreux appareils qui ne sont pas sécurisés. Ce n'est pas une raison pour abandonner le travail à distance, c'est une occasion en or d'apprendre par la pratique et de le rendre aussi solide que possible pour l'avenir. Et dans les organisations axées sur la sécurité, c'est une bonne occasion d'auditer les processus et de « manger sa propre nourriture pour chiens » en matière de meilleures pratiques de sécurité pour tous.
En parlant de gaffes, il est également important d'évaluer votre espace de travail distant pour détecter toute menace potentielle... surtout pour votre fierté, comme ce pauvre couple. Morale de l'histoire : assurez-vous que tout le monde porte un pantalon si vous participez à un appel vidéo.
Les cyberattaques ne s'arrêtent pas simplement parce que nous sommes en crise
Il est profondément bouleversant de constater les effets de la COVID-19 dans le monde entier, et le moment est plus que jamais venu de s'unir et de penser à d'autres personnes face à cette crise sanitaire mondiale. Le fait est que les assaillants profitent activement de cette peur généralisée et de ce pandémonium, peut-être par désespoir de cause pour mettre de la nourriture sur la table. En tant que société, nous sommes extrêmement vulnérables en ce moment.
Les établissements de santé, y compris un centre de test de vaccins, ont été victimes de rançongiciels et d'attaques DDoS, sans parler de ceux qui tentent de tirer parti de la distraction et de la surcharge de travail des organisations financières et gouvernementales en lançant des campagnes de phishing et de programmes malveillants à leur encontre. Une autre menace imminente entoure le vaccin lui-même ; il a été rapporté que l'administration Trump avait proposé à une entreprise allemande d'importantes sommes d'argent pour développer un vaccin contre la COVID-19 à l'usage exclusif des États-Unis. Les données sur les vaccins sont probablement les informations les plus précieuses sur Terre à l'heure actuelle, ce qui serait une récompense très intéressante pour un attaquant.
Il s'agit d'un rappel bien trop opportun : alors que nous nous isolons de la menace très réelle d'un virus physique, notre rythme cardiaque numérique est également attaqué. La sensibilisation à la sécurité est de la plus haute importance dans chaque organisation, et une formation adéquate doit être dispensée à tous les niveaux. Même des mesures telles que l'application de mesures telles que l'utilisation d'outils de gestion des mots de passe et l'apprentissage de la détection d'un e-mail de phishing sont utiles.
En ce qui concerne les développeurs, ils constituent la première ligne de défense pour sécuriser le code produit activement au sein de l'entreprise, et ils peuvent constituer un atout précieux pour votre équipe AppSec pour éviter de nouvelles difficultés liées à une cyberattaque en fermant les portes dérobées créées par des vulnérabilités courantes.
Les entreprises innovantes sur le plan numérique peuvent faire face à de plus grandes tempêtes
Le ralentissement économique, qui a contraint de nombreuses personnes à quitter leur emploi dans les secteurs les plus durement touchés, a eu pour conséquence extrêmement regrettable le confinement de masse. Tout cela s'est aggravé assez soudainement, et c'est une expérience que beaucoup d'entre nous n'ont probablement jamais vécue de leur vivant.
Bien que toutes les entreprises natives du numérique ne soient pas automatiquement confrontées à la récession (loin de là), les entreprises qui s'occupent du numérique sont par nature beaucoup plus agiles, adaptables et durables, même dans les circonstances les plus extrêmes.
Notre entreprise peut être gérée de manière efficiente et efficace grâce à une main-d'œuvre à distance, ce qui constitue une couche de protection supplémentaire pour notre précieuse équipe et les clients qu'elle soutient également. Nous considérons qu'une formation au code sécurisé viable constitue un élément essentiel des entreprises modernes, et si nous sommes choisis, nous pouvons proposer et adapter en fonction des besoins. De par la nature des produits ou services qu'elles vendent, de nombreuses entreprises n'ont pas le même luxe, mais elles seront peut-être surprises d'étudier les domaines dans lesquels les processus peuvent être numérisés, pérennisés et réalisés aussi à la demande que possible, même dans les espaces les plus traditionnels.
Trouver de nouvelles façons de communiquer est un défi positif, pas un obstacle
C'est un peu dramatique, mais cela me rappelle la célèbre citation de Jurassic Park où le Dr Ian Malcolm dit : « la vie trouve son chemin ». C'est vraiment le cas, comme en témoigne le passage au travail à distance à l'échelle de notre entreprise. Les équipes qui n'interagissaient pas beaucoup auparavant découvrent des centres d'intérêt communs grâce à des discussions sur les refroidisseurs d'eau sans rendez-vous, à des jeux de bureau en ligne et à une playlist Spotify commune au bureau mondial. Il existe toujours un moyen de forger une relation significative, et je conseille de laisser les équipes explorer et évoluer de manière organique.
Nos clients ont été ravis de constater que leur engagement à perfectionner les compétences des développeurs en matière de codage sécurisé a surmonté tous les problèmes liés au travail à distance. Ils ont utilisé notre fonctionnalité de tournois, et bien que ceux-ci se déroulent généralement en présentiel avec un peu de fanfare, leurs versions virtuelles ont suscité un engagement sain, une compétition amicale et une excellente distraction (productive) par rapport aux activités quotidiennes généralement effectuées de manière solitaire. Tout comme les jeux vidéo sont aujourd'hui un événement beaucoup plus social qu'ils ne l'étaient autrefois, ce type de formation en cours d'emploi établit un lien non seulement avec le matériel de cours, mais aussi entre eux. Et il est accessible à tous, n'importe où. En tant que passionné de sécurité, je suis définitivement partial, mais bon, c'est le moment idéal pour encourager les développeurs à aimer le codage sécurisé. Ce sont tous des super-héros de sécurité en attente, et il est temps de renforcer vos lignes de front de la manière la plus amusante possible.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Afficher le rapportRéservez une démo
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
Une version de cet article a été publiée dans TFIR. Il a été mis à jour et diffusé ici.
On dit que le changement est la seule constante de la vie, mais 2020 a vraiment été un test pour de nombreuses personnes dans le monde entier. La pandémie mondiale de COVID-19 nous a obligés à réfléchir, en profondeur, à la manière dont nous nous connectons. L'auto-isolement, la distanciation sociale sont quelques-unes des adaptations que nous avons apportées au monde physique, et malgré le fait que beaucoup d'entre nous passent autant de temps en ligne, c'est un scénario tout à fait différent de ne pas avoir d'autre choix lorsqu'il s'agit de communiquer et, si possible, de travailler. C'est à la fois une tragédie et une prise de conscience.
Comme de nombreuses entreprises technologiques, le travail flexible n'est pas une nouveauté pour nous et le travail à domicile est l'un des avantages du travail. Dès 2009, je travaillais à distance depuis la Belgique pour des entreprises de la Silicon Valley. La technologie était façon moins avancé à l'époque, mais c'était toujours faisable. Même pour nous en ce moment, le fait que chaque membre de l'équipe travaille à domicile jusqu'à nouvel ordre a été un ajustement. J'ai vu de nombreuses entreprises prendre cette décision également, dont beaucoup n'étaient pas aussi préparées que d'autres à gérer une main-d'œuvre à distance.
Que le malaise soit dû à l'inconnu d'une nouvelle méthode de travail, à un peu de méfiance ou peut-être à ne pas « croire » au travail à distance, je trouve que les entreprises qui y sont réticentes ont tendance à prendre du retard en termes d'attraction des meilleurs talents, de maintien d'une présence mondiale et, franchement, d'évolution avec leur temps. En raison de la crise actuelle, de nombreuses personnes n'ont pas d'autre choix que de recruter du personnel à distance, l'alternative étant la fermeture complète des activités dans un climat économique chaotique.
S'il y a un point positif à tirer de cette tragédie, c'est que les gens auront compris les avantages d'une main-d'œuvre numérique et de la myriade de façons dont une équipe peut se connecter même si elle n'est pas physiquement ensemble. Et le secteur de la cybersécurité est un secteur qui peut véritablement prospérer grâce à une approche permettant de travailler en tout lieu et en permanence.
Les attaquants n'ont pas été confinés. Ils sont très actifs et profitent de cette crise pour tirer parti de la panique et de l'incertitude mondiales pour mener des cyberattaques contre des établissements médicaux. Dans une telle situation, il n'est pas exagéré de constater une recrudescence des cyberattaques, en particulier des rançongiciels. Après tout, il s'agit de voler pour survivre en période de précarité économique. Cela ne suffit pas, et il n'en demeure pas moins que nous pouvons toujours travailler, nous entraîner et lutter contre les cyberattaques partout où il y a une connexion Internet.
L'avenir est flexible, et c'est ainsi que nous, et le secteur de la cybersécurité dans son ensemble, pouvons le faire fonctionner aujourd'hui et à l'avenir :
Les produits Access-Anywhere sont universels et précieux
Avant toute situation de quarantaine forcée, les équipes mondiales devaient encore trouver un moyen de collaborer en cas de besoin. Les conférences téléphoniques abordables ont fait leurs débuts la même année que les Rolling Stones (1964), et il ne fait aucun doute que ces premiers utilisateurs ont eu la même réponse : « Êtes-vous là » ? « Non, vas-y » (problèmes auxquels nous sommes confrontés aujourd'hui, même si nous pouvons nous voir en vidéo).
En 2020, la technologie des communications numériques occupe une place importante dans une industrie des TIC de plusieurs billions de dollars, les plateformes mobiles et sociales natives du cloud dominant et remplaçant les technologies traditionnelles. Des innovations telles que Slack, Zoom et Discord nous ont permis de rester plus connectés que jamais, en particulier au travail. Et la communication n'est qu'un aspect de l'histoire.
Les services numériques accessibles partout avec une connexion Internet, à la demande, qui répondent à un besoin de base, qu'il s'agisse de connexion, de divertissement ou de productivité, font partie de notre avenir flexible. En tant que clients, nous recherchons l'hyperpersonnalisation, et en tant qu'entreprise, nous cherchons à offrir une expérience numérique personnelle qui soit de la même qualité sans compromis, quel que soit l'endroit d'où elle est accessible.
Dans tous les secteurs, chaque jour, des applications Web sont créées pour rationaliser les processus, révolutionner nos modes de vie et de travail existants et résoudre des problèmes dont nous n'avions peut-être pas conscience. Nous sommes loin de la pointe en matière d'outils et de formations en cybersécurité accessibles à la demande, de manière engageante et utile pour l'utilisateur, avec des avantages tangibles pour l'entreprise.
Les développeurs apprécient la flexibilité dans leur travail quotidien, et l'accent que nous mettons sur la formation pratique, amusante et sécurisée au codage, ainsi que sur l'intégration des flux de travail, est conçu en pensant à ces utilisateurs finaux. Les outils doivent être pris en main pour être faciles à utiliser, et une formation utile ne doit pas être considérée comme une corvée. Le secteur de la cybersécurité étant si vaste, le moment est venu d'innover dans de nombreux domaines d'attaque et de défense, où des méthodologies centrées sur la sécurité comme DevSecOps peuvent encore s'épanouir même si tout le monde est à la maison. Il s'agit d'une question de collaboration et d'une suite d'outils bien pensés permettant à chaque membre de l'équipe de faire son travail efficacement, quel que soit son emplacement physique.
Entraînez-vous au moment où vous en avez le plus besoin (ou lorsque vous souhaitez changer de journée)
L'un des avantages du travail flexible est que vos déplacements au bureau sont supprimés les jours où vous effectuez des tâches à domicile. Pour certains, cela peut représenter environ deux heures de temps de qualité et de concentration. Dans un monde idéal, tout le personnel aurait le temps, pendant ses heures de travail normales, d'apprendre et de développer ses compétences, et cela pourrait être beaucoup plus facile dans un environnement à distance approprié. C'est bénéfique pour vos superstars du télétravail, qui peuvent se sentir stimulées et soutenues par la poursuite de leur apprentissage.
Le paysage de la cybersécurité évoluant de seconde en seconde, des formations fréquentes sont indispensables pour suivre le rythme des menaces potentielles qui pourraient affecter l'organisation. Et une formation complète, mesurable et adaptée aux besoins de l'entreprise constitue un grand pas dans la bonne direction. Ce sont là certains des facteurs essentiels à la conception de la plateforme Secure Code Warrior ; nous voulions une formation accessible n'importe où, au moment voulu, dans le langage de développement et le cadre de développement choisis par l'utilisateur.
Les développeurs entretiennent une relation délicate avec la sécurité et, à bien des égards, ils n'ont pas été pris en charge de manière suffisamment spécifique pour adopter correctement les meilleures pratiques en matière de sécurité. Une formation ludifiée à la demande peut les aider à convaincre, où qu'ils se trouvent ; cela est également impératif pour garantir que les équipes et les fournisseurs offshore font également preuve d'une sensibilisation adéquate à la sécurité, en particulier lorsqu'ils sont impliqués dans toute sorte de modification des logiciels d'une organisation.
Maintenir l'engagement et les compétences de votre cohorte grâce à des formations qui aideront l'organisation (sans parler de leur propre carrière) est un outil très efficace lorsqu'il s'agit de retenir vos meilleurs et les plus fidèles talents... une nécessité absolue alors que nous sommes confrontés à une pénurie continue de compétences en cybersécurité.
Le personnel travaillant à distance peut être responsabilisé, productif et sécurisé
C'est un poste plutôt démodé selon lequel, pour être productif, il faut être visible dans un bureau de neuf heures à cinq heures. Pourtant, de nombreuses entreprises (même certaines des plus nouvelles et passionnantes) fonctionnent toujours avec cette notion à l'esprit. Ils éprouvent un profond sentiment de méfiance à l'égard de leur propre personnel, comme si la simple suggestion de travailler à domicile les incitait à imaginer leurs équipes jouer en sous-vêtements au lieu de faire leur travail.
Soit cela, soit ils n'ont tout simplement pas franchi le pas vers un travail à distance viable.
Bien entendu, les membres de l'équipe doivent prouver qu'ils peuvent maintenir leur productivité à la maison en affichant les résultats, mais vous devez donner à votre cohorte les meilleures chances de réussir en dehors du bureau. Demandez-vous :
- Disposent-ils du matériel adéquat ?
- Avez-vous réellement mis en œuvre l'un de ces outils de communication géniaux dont nous avons déjà parlé ?
- Avez-vous veillé à ce que chaque responsable s'enregistre et soit présent numériquement avec son équipe, avec des réunions régulières ?
- Avez-vous pensé à des outils de productivité pour suivre les projets et donner à chaque membre de l'équipe une orientation, des objectifs et un sentiment d'accomplissement lorsqu'il accomplit des tâches ?
Dans le climat actuel, de nombreuses entreprises ont dû décider de poursuivre leurs activités à distance ou de fermer complètement leurs portes. Certaines entreprises qui ont choisi de passer à une main-d'œuvre à distance n'étaient peut-être pas très bien préparées, et il est possible qu'il y ait quelques problèmes à régler... Mais l'éléphant dans la pièce, c'est que ces entreprises s'exposent probablement également à certains risques de sécurité.
Éviter les erreurs de sécurité dans les environnements de travail à distance
Il y a plusieurs vecteurs de menaces à prendre en compte, étant donné que le personnel est probablement connecté à son propre réseau et peut utiliser divers appareils pour accéder aux comptes de l'entreprise, chacun ayant ses propres besoins de sécurité qui peuvent être satisfaits ou non.
Dans les situations de travail à distance, tout le monde a tendance à recevoir une augmentation du nombre d'e-mails, en plus de devoir trier différents identifiants, systèmes et configurations. Il est trop facile pour les attaques d'ingénierie sociale et les logiciels malveillants de passer entre les mailles du filet sur de nombreux appareils qui ne sont pas sécurisés. Ce n'est pas une raison pour abandonner le travail à distance, c'est une occasion en or d'apprendre par la pratique et de le rendre aussi solide que possible pour l'avenir. Et dans les organisations axées sur la sécurité, c'est une bonne occasion d'auditer les processus et de « manger sa propre nourriture pour chiens » en matière de meilleures pratiques de sécurité pour tous.
En parlant de gaffes, il est également important d'évaluer votre espace de travail distant pour détecter toute menace potentielle... surtout pour votre fierté, comme ce pauvre couple. Morale de l'histoire : assurez-vous que tout le monde porte un pantalon si vous participez à un appel vidéo.
Les cyberattaques ne s'arrêtent pas simplement parce que nous sommes en crise
Il est profondément bouleversant de constater les effets de la COVID-19 dans le monde entier, et le moment est plus que jamais venu de s'unir et de penser à d'autres personnes face à cette crise sanitaire mondiale. Le fait est que les assaillants profitent activement de cette peur généralisée et de ce pandémonium, peut-être par désespoir de cause pour mettre de la nourriture sur la table. En tant que société, nous sommes extrêmement vulnérables en ce moment.
Les établissements de santé, y compris un centre de test de vaccins, ont été victimes de rançongiciels et d'attaques DDoS, sans parler de ceux qui tentent de tirer parti de la distraction et de la surcharge de travail des organisations financières et gouvernementales en lançant des campagnes de phishing et de programmes malveillants à leur encontre. Une autre menace imminente entoure le vaccin lui-même ; il a été rapporté que l'administration Trump avait proposé à une entreprise allemande d'importantes sommes d'argent pour développer un vaccin contre la COVID-19 à l'usage exclusif des États-Unis. Les données sur les vaccins sont probablement les informations les plus précieuses sur Terre à l'heure actuelle, ce qui serait une récompense très intéressante pour un attaquant.
Il s'agit d'un rappel bien trop opportun : alors que nous nous isolons de la menace très réelle d'un virus physique, notre rythme cardiaque numérique est également attaqué. La sensibilisation à la sécurité est de la plus haute importance dans chaque organisation, et une formation adéquate doit être dispensée à tous les niveaux. Même des mesures telles que l'application de mesures telles que l'utilisation d'outils de gestion des mots de passe et l'apprentissage de la détection d'un e-mail de phishing sont utiles.
En ce qui concerne les développeurs, ils constituent la première ligne de défense pour sécuriser le code produit activement au sein de l'entreprise, et ils peuvent constituer un atout précieux pour votre équipe AppSec pour éviter de nouvelles difficultés liées à une cyberattaque en fermant les portes dérobées créées par des vulnérabilités courantes.
Les entreprises innovantes sur le plan numérique peuvent faire face à de plus grandes tempêtes
Le ralentissement économique, qui a contraint de nombreuses personnes à quitter leur emploi dans les secteurs les plus durement touchés, a eu pour conséquence extrêmement regrettable le confinement de masse. Tout cela s'est aggravé assez soudainement, et c'est une expérience que beaucoup d'entre nous n'ont probablement jamais vécue de leur vivant.
Bien que toutes les entreprises natives du numérique ne soient pas automatiquement confrontées à la récession (loin de là), les entreprises qui s'occupent du numérique sont par nature beaucoup plus agiles, adaptables et durables, même dans les circonstances les plus extrêmes.
Notre entreprise peut être gérée de manière efficiente et efficace grâce à une main-d'œuvre à distance, ce qui constitue une couche de protection supplémentaire pour notre précieuse équipe et les clients qu'elle soutient également. Nous considérons qu'une formation au code sécurisé viable constitue un élément essentiel des entreprises modernes, et si nous sommes choisis, nous pouvons proposer et adapter en fonction des besoins. De par la nature des produits ou services qu'elles vendent, de nombreuses entreprises n'ont pas le même luxe, mais elles seront peut-être surprises d'étudier les domaines dans lesquels les processus peuvent être numérisés, pérennisés et réalisés aussi à la demande que possible, même dans les espaces les plus traditionnels.
Trouver de nouvelles façons de communiquer est un défi positif, pas un obstacle
C'est un peu dramatique, mais cela me rappelle la célèbre citation de Jurassic Park où le Dr Ian Malcolm dit : « la vie trouve son chemin ». C'est vraiment le cas, comme en témoigne le passage au travail à distance à l'échelle de notre entreprise. Les équipes qui n'interagissaient pas beaucoup auparavant découvrent des centres d'intérêt communs grâce à des discussions sur les refroidisseurs d'eau sans rendez-vous, à des jeux de bureau en ligne et à une playlist Spotify commune au bureau mondial. Il existe toujours un moyen de forger une relation significative, et je conseille de laisser les équipes explorer et évoluer de manière organique.
Nos clients ont été ravis de constater que leur engagement à perfectionner les compétences des développeurs en matière de codage sécurisé a surmonté tous les problèmes liés au travail à distance. Ils ont utilisé notre fonctionnalité de tournois, et bien que ceux-ci se déroulent généralement en présentiel avec un peu de fanfare, leurs versions virtuelles ont suscité un engagement sain, une compétition amicale et une excellente distraction (productive) par rapport aux activités quotidiennes généralement effectuées de manière solitaire. Tout comme les jeux vidéo sont aujourd'hui un événement beaucoup plus social qu'ils ne l'étaient autrefois, ce type de formation en cours d'emploi établit un lien non seulement avec le matériel de cours, mais aussi entre eux. Et il est accessible à tous, n'importe où. En tant que passionné de sécurité, je suis définitivement partial, mais bon, c'est le moment idéal pour encourager les développeurs à aimer le codage sécurisé. Ce sont tous des super-héros de sécurité en attente, et il est temps de renforcer vos lignes de front de la manière la plus amusante possible.
Table des matières
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démoTéléchargerRessources pour vous aider à démarrer
Sujets et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions d'IA Beat the Boss sont désormais disponibles à la demande
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Déployez des défis de sécurité avancés liés à l'IA et au LLM pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyberrésilience : ce que cela signifie pour le développement de logiciels sécurisés dès la conception
Découvrez ce que la loi européenne sur la cyberrésilience (CRA) exige, à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Enabler 1 donne le coup d'envoi de notre série en 10 parties intitulée Enablers of Success en montrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité pour assurer la maturité à long terme des programmes.
