Blog

La conformité à FinServ dépend de la sécurité logicielle

April 25, 2024
Secure Code Warrior

Les institutions de services financiers ont de bonnes raisons de s'assurer que le code logiciel qu'elles utilisent est sécurisé. Une motivation évidente, bien entendu, est la nécessité de protéger leurs données contre une violation, qui peut être coûteuse en termes de fuite d'informations personnelles, de frais de nettoyage, d'amendes et de restitution, et d'atteinte à la réputation d'une organisation. Une autre raison persistante est la nécessité de rester en conformité avec un éventail de réglementations industrielles et gouvernementales.

Parce qu'ils traitent de nombreuses informations sensibles, personnelles et financières, ainsi que l'argent des gens, les services financiers sont un secteur hautement réglementé. En fonction des services qu'elles fournissent, les entreprises doivent se conformer à un ensemble de règles et d'exigences.

La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est bien connue pour ses règles relatives à la protection des données des titulaires de cartes, par exemple. Les exigences de la Loi Sarbanes-Oxely régir la gestion des dossiers financiers. Les entreprises qui opèrent à l'international connaissent bien le Loi sur la résilience opérationnelle numérique (DORA), qui est un cadre de gestion des risques contraignant, et les normes mondiales pour les transferts de fonds établies par le Société pour les télécommunications financières interbancaires mondiales, connu sous le nom de Swift.

Et des lois telles que la Loi californienne sur la confidentialité des consommateurs (CCPA) et celui de l'UE Règlement général sur la protection des données (RGPD) fixe des exigences pour protéger la confidentialité et les informations personnelles des clients. Il en existe d'autres, comme les réglementations établies par l'Office of the Controller of the Currency (OCC) des États-Unis et la Banque centrale européenne (BCE).

Si cela ne suffit pas, Stratégie nationale de cybersécurité stipule notamment que les fabricants de logiciels devraient être tenus responsables de l'inefficacité de la sécurité des logiciels. Et l'Agence de cybersécurité et de sécurité des infrastructures (CISA), aux côtés de 17 partenaires américains et internationaux, a publié des directives sur Sécurisé dès la conception principes pour le développement de logiciels.

Un point commun pour les sociétés de services financiers est que le code sécurisé est un élément essentiel pour atteindre les objectifs de ces réglementations, ce qui peut faciliter la démonstration de leur conformité. Et cela montre pourquoi les développeurs ont besoin de formation et de perfectionnement pour garantir que la sécurité est appliquée au code dès le début du processus de développement.

À titre d'exemple de son fonctionnement, examinons la dernière version de la norme PCI DSS.

Le codage sécurisé (et la formation des développeurs) sont au cœur de la norme PCI DSS 4.0

PCI DSS 4.0, qui est devenue obligatoire le 1er avril 2024, inclut plusieurs mises à jour importantes de la norme PCI DSS 3.2.1, notamment l'accent sur le rôle que jouent les développeurs pour garantir la sécurité du code logiciel.

Dans le passé, PCI a reconnu depuis longtemps l'importance des logiciels sécurisés. La version 2.0, publiée en 2017, comprenait conseils pour les développeurs sur la garantie de transactions sécurisées sur les appareils mobiles. Les conseils de la version 4.0 mettent désormais l'accent sur l'application des meilleures pratiques de sécurité au développement de logiciels et incluent des conseils spécifiques sur la formation des développeurs.

Les exigences sont souvent énoncées de manière générale, bien que les entreprises puissent souhaiter mettre en œuvre une approche plus approfondie.

Par exemple, une exigence de la version 4.0 stipule que « les processus et les mécanismes de développement et de maintenance de systèmes et de logiciels sécurisés sont définis et compris ». Un bon moyen de s'en assurer est que les développeurs reçoivent une formation précise sur les langages de programmation et les frameworks qu'ils utilisent afin de combler les lacunes en matière de connaissances.

Une autre exigence stipule que les développeurs travaillant sur des logiciels sur mesure doivent suivre une formation au moins une fois tous les 12 mois, portant sur :

  • Sécurité logicielle adaptée à leur fonction et à leurs langages de développement.
  • Techniques de conception et de codage de logiciels sécurisés.
  • Comment utiliser les outils de test de sécurité, s'ils sont utilisés, pour détecter les vulnérabilités des logiciels.

En réalité, une fois par an n'est pas assez fréquente pour résoudre les problèmes de sécurité fondamentaux et briser les mauvaises habitudes de codage. La formation doit être continue et mesurée, avec un processus de vérification des compétences pour s'assurer qu'elle est utilisée à bon escient.

La norme PCI DSS 4.0 inclut plus d'une demi-douzaine d'autres exigences qui concernent des domaines tels que la prévention et l'atténuation de divers types d'attaques, la documentation des composants logiciels tiers, l'identification et la gestion des vulnérabilités et d'autres mesures de sécurité. Dans tous les cas, les organisations seraient bien avisées de poursuivre ces mesures de manière approfondie. La formation sur les vecteurs d'attaque devrait être fréquente plutôt qu'annuelle. Les composants tiers, souvent source de vulnérabilités, doivent être soigneusement inventoriés par le biais d'un programme SBOM (Software Bill of Materials). Et les organisations doivent s'assurer de définir clairement les rôles en matière de gestion des vulnérabilités.

La nouvelle version donne également aux organisations une certaine flexibilité pour répondre à leurs exigences, en se concentrant sur les résultats plutôt que sur les cases à cocher, tout en ajoutant de nouvelles exigences pour les contrôles d'authentification, la longueur des mots de passe, les comptes partagés et d'autres facteurs.

La conformité commence au début du SDLC

Le point commun de ces réglementations est qu'elles visent à établir des normes élevées en matière de protection des données et des transactions dans le secteur des services financiers. Et, comme dans le cas de la dernière version de la norme PCI DSS, ils insistent de plus en plus sur l'importance d'un code sécurisé au début du cycle de vie du développement logiciel (SDLC). La stratégie nationale de cybersécurité et les principes Secure by Design de la CISA confient également la responsabilité de la sécurité aux fabricants de logiciels, avant leur expédition, de sorte que même les entreprises qui ne sont pas directement régies par la réglementation des services financiers doivent s'y conformer.

Les entreprises doivent combler le fossé qui existe entre les équipes DevOps (qui se concentrent sur la rapidité du développement) et les équipes AppSec (qui s'empressent d'intégrer la sécurité au processus) en formant les développeurs à intégrer la sécurité à leur approche. Cela nécessite toutefois un ensemble complexe de compétences, qui implique plus que des sessions de formation annuelles ou des programmes éducatifs standard et stagnants. La formation doit être continue et souple, conçue pour impliquer les apprenants dans des scénarios actifs et réels et dispensée en petites périodes adaptées à leurs horaires de travail.

Les sociétés de services financiers doivent garantir la sécurité à la fois pour se protéger contre les violations et pour rester en conformité avec des réglementations de plus en plus strictes. Les coûts liés à la non-conformité peuvent être aussi dommageables qu'une violation en termes d'impact sur la réputation d'une entreprise et de coûts financiers. Les IBM Rapport sur le coût d'une violation de données 2023, par exemple, a constaté que les organisations présentant un niveau élevé de non-conformité étaient confrontées, en moyenne, à des amendes et à d'autres coûts totalisant 5,05 millions de dollars, soit un demi-million de dollars plus supérieur au coût moyen d'une véritable violation de données.

La croissance continue des environnements basés sur le cloud et des transactions numériques a donné une importance capitale à la sécurité des logiciels dans le secteur des services financiers, ce que reconnaissent les réglementations telles que la norme PCI DSS. Le meilleur moyen de garantir la sécurité des logiciels est d'utiliser un codage sécurisé au début du SDLC. Et pour y parvenir, il faut former efficacement les développeurs aux pratiques de codage sécurisées.

Pour un aperçu complet de la manière dont le codage sécurisé peut contribuer à garantir le succès, la sécurité et les bénéfices des sociétés de services financiers, vous pouvez lire le nouveau livre électronique Secure Code Warrior : Le guide ultime des tendances en matière de sécurité dans les services financiers.

Consultez le Secure Code Warrior des pages de blog pour en savoir plus sur la cybersécurité, le paysage des menaces de plus en plus dangereuses, et pour savoir comment vous pouvez utiliser des technologies innovantes et des formations pour mieux protéger votre organisation et vos clients.

Slogan

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
Slogan

Explore more blogs

Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Blog
Filter Label
This is some text inside of a div block.

The Future of AI Software Governance Is Built on Strong Partnerships

Discover why Secure Code Warrior is becoming a channel-first company and how trusted partners help organizations adopt AI Software Governance securely and at scale.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Citizen AI by Secure Code Warrior: Build an AI-Ready Workforce

Secure Code Warrior's AI literacy program for non-developer employees.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)

Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo
trust score