Analyse du secteur de la cybersécurité : une autre vulnérabilité récurrente à corriger
Une version de cet article a été publiée dans Help Net Security. Il a été mis à jour et diffusé ici.
J'ai passé ma carrière à trouver, à corriger, à discuter et à décomposer vulnérabilités logicielles, d'une manière ou d'une autre. Je sais qu'en ce qui concerne certains bogues de sécurité courants, bien qu'ils soient sur notre orbite depuis les années 90, ils continuent de sévir dans nos logiciels et de provoquer des problèmes majeurs, même si le correctif (souvent simple) est connu depuis presque aussi longtemps. C'est vraiment comme le jour de la marmotte, où, en tant qu'industrie, nous semblons faire la même chose encore et encore et nous attendre à un résultat différent.
Il y a cependant un autre petit problème. Nous ne recevons pas de conseils réalistes, ni de solutions les plus rapides, pour combattre l'assaut incessant qu'est la cybersécurité moderne. Bien entendu, chaque faille est différente à sa manière, et de nombreux vecteurs d'attaque peuvent être exploités dans des logiciels vulnérables. Les conseils génériques réalisables seront limités, mais l'approche des meilleures pratiques semble de plus en plus imparfaite d'heure en heure.
À cette fin, je me demande pourquoi tant de commentaires et d'analyses sur la cybersécurité omettent les solutions qui s'attaquent réellement à la cause première de tant de vulnérabilités : les humains. Le plus récent rapport de Gartner Hype Cycle pour la sécurité des applications, et celui de Forrester L'état de la sécurité des applications en 2021, deux bibles destinées aux experts en sécurité qui contribuent sans aucun doute à façonner leur programme et à l'adoption potentielle de leurs produits, sont presque entièrement axées sur les outils. Un rapport publié par Aberdeen en 2017 a montré à quel point la technologie de sécurité moyenne était devenue indisciplinée, alors que les RSSI gèrent des centaines de produits dans le cadre de leurs stratégies de sécurité ; quatre ans plus tard, nous sommes confrontés à de nouveaux risques, à de nouvelles vulnérabilités et à de nouveaux ajouts à une pile technologique en pleine croissance.
L'outillage de sécurité est indispensable, mais nous devons avoir une vision plus large et rétablir l'équilibre entre la composante humaine de la défense de la sécurité.
L'automatisation, c'est l'avenir. Pourquoi devrions-nous nous intéresser à l'aspect humain de la cybersécurité ?
Pratiquement tout dans notre vie est alimenté par des logiciels, et il est vrai que l'automatisation remplace les éléments humains qui étaient autrefois présents dans de nombreux secteurs. C'est un signe de progrès dans un monde qui se numérise à toute vitesse, avec des sujets d'actualité liés à l'IA et à l'apprentissage automatique qui permettent à de nombreuses organisations de se concentrer sur l'avenir.
Alors, pourquoi une approche de la cybersécurité axée sur l'humain serait-elle autre chose qu'une solution obsolète à un problème technologiquement avancé ? Le fait que des milliards d'enregistrements de données aient été volés lors de violations au cours de l'année écoulée, y compris la plus récente violation de Facebook affectant plus d'un demi-milliard de comptes, devrait indiquer que nous n'en faisons pas assez (ou que nous n'adoptons pas la bonne approche) pour contrer sérieusement les acteurs de la menace.
Les outils de cybersécurité sont une composante indispensable de la cyberdéfense, et les outils auront toujours leur place. Les analystes ont tout à fait raison de recommander les outils les plus récents en matière d'approche d'atténuation des risques pour les entreprises, et cela ne changera pas. Cependant, étant donné que la qualité du code (et, par définition, la sécurité) est difficile à gérer au moment de la production de code, les outils ne peuvent pas faire le travail seuls. À ce jour, il n'existe pas d'outil unique capable de :
- Scannez toutes les vulnérabilités, dans tous les langages : framework
- Scannez rapidement
- Minimiser la double manipulation causée par les faux positifs et les faux négatifs
Les outils peuvent être lents, encombrants et peu maniables. Mais surtout, ils ne trouvent que des problèmes, ils ne les résolvent pas et ne recommandent pas de solutions. Dans ce dernier cas, des experts en sécurité, peu nombreux et surchargés de travail, doivent fouiller dans les poubelles pour trouver des trésors grâce à des résultats interminables de pentests et de scans.
Le fait est que, selon le rapport IBM Cyber Security Intelligence Index, l'erreur humaine joue un rôle dans 95 % de toutes les violations de données réussies. Presque la moitié d'entre eux directement liés à vulnérabilités logicielles, dont beaucoup pourraient être atténués s'il y avait une plus grande adhésion au codage sécurisé et une sensibilisation accrue dès les premiers stades du SDLC. Cependant, pour y parvenir, il est essentiel de mettre davantage l'accent sur la formation des développeurs, en plus de la rendre intrinsèque à leur flux de travail.
Que cela nous plaise ou non, les humains sont profondément ancrés dans le processus de développement logiciel et la cybersécurité est avant tout un problème humain. Les outils ne seront pas un fourre-tout pour corriger une faille fondamentale de notre approche, mais ils peuvent jouer un rôle de soutien clé dans la refonte de solutions humaines.
Et si nous créions simplement de meilleurs outils (et beaucoup d'entre eux) ?
Les outils de sécurité ne cessent de s'améliorer. Les outils SAST/DAST/IAST ont parcouru un long chemin, améliorant leur vitesse et leur intelligence, et le RASP devrait constituer une considération défensive sérieuse dans de nombreux environnements d'application. Pare-feux, gestionnaires de secrets, applications de sécurité du cloud et des réseaux : tout cela va de soi.
Les humains peuvent toujours s'efforcer de créer de meilleurs outils, mais l'innovation ne répond pas aux besoins de sécurité et de protection des données du monde numérique dans lequel nous vivons. Les outils sont, pour la plupart, conçus pour les robots. Ils peuvent être là pour aider les développeurs et l'équipe de sécurité à scanner, surveiller ou protéger le code, mais l'interaction est très limitée et très peu de solutions visent à renforcer la sensibilisation à la sécurité ou à améliorer les compétences de base susceptibles d'améliorer les résultats en matière de sécurité.
En fait, plus de la moitié des entreprises ne savent même pas si les outils fonctionnent pour elles, ils ne sont pas non plus convaincus de pouvoir éviter une violation de données dévastatrice. C'est un très mauvais sentiment, et dans un secteur obsédé par les outils qui n'est pas soutenu pour une approche différente, cela tend à consolider le statu quo et à résoudre les problèmes qui s'y rattachent.
Comment une organisation peut-elle tirer parti d'une approche de la sécurité dirigée par l'homme ?
Il ne fait aucun doute qu'il est bénéfique de rester à l'avant-garde des tendances en matière de technologie de sécurité des applications, et peut même aider à hiérarchiser les mises à niveau ou les consolidations au sein d'une pile technologique surchargée, mais renoncer à cibler la cause première des logiciels vulnérables, nous ne sommes que des humains, nous resterons du côté des perdants sur le front de la cybersécurité.
Si nous voulons sérieusement réduire le nombre de failles de sécurité au niveau du code, les développeurs doivent disposer des bases nécessaires pour réussir à partager la responsabilité en matière de sécurité. Ils ont besoin d'une formation pratique et pertinente, de compétences en cours d'emploi et d'outils fonctionnels qui ne perturbent pas leur flux de travail et ne font pas de la sécurité une corvée à développer. Dans l'idéal, certains outils seraient centrés sur les développeurs et conçus en mettant l'expérience utilisateur au premier plan.
À ce jour, il n'existe aucun programme de certification de sécurité officiel pour les développeurs, mais chaque entreprise peut bénéficier de l'analyse comparative et du développement des compétences en matière de codage sécurisé, en éliminant les vulnérabilités courantes tôt et souvent, avant que cette grande pile technologique ne doive entrer en action et tout ralentir.
Une équipe de développeurs soucieux de la sécurité est un trésor caché pour toute organisation, mais comme pour tout ce qui en vaut la peine, il faudra du temps et des efforts pour mettre en place une équipe de rêve efficace. Pour convaincre les développeurs de se soucier de la sécurité et de considérer le codage sécurisé comme la base de la qualité du code, l'ensemble de l'organisation doit s'engager à placer la sécurité au premier plan. Et lorsque des équipes entières sont sensibilisées à l'impact positif qu'elles peuvent jouer en éliminant les vulnérabilités courantes au fur et à mesure de l'écriture du code, aucun outil sur Terre ne peut rivaliser.
Nous ne recevons pas de conseils réalistes, ni de solutions les plus rapides, pour combattre l'assaut incessant qu'est la cybersécurité moderne. Bien entendu, chaque faille est différente à sa manière et de nombreux vecteurs d'attaque peuvent être exploités dans des logiciels vulnérables. Les conseils génériques réalisables seront limités, mais l'approche des meilleures pratiques semble de plus en plus imparfaite d'heure en heure.
首席执行官、主席和联合创始人
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Une version de cet article a été publiée dans Help Net Security. Il a été mis à jour et diffusé ici.
J'ai passé ma carrière à trouver, à corriger, à discuter et à décomposer vulnérabilités logicielles, d'une manière ou d'une autre. Je sais qu'en ce qui concerne certains bogues de sécurité courants, bien qu'ils soient sur notre orbite depuis les années 90, ils continuent de sévir dans nos logiciels et de provoquer des problèmes majeurs, même si le correctif (souvent simple) est connu depuis presque aussi longtemps. C'est vraiment comme le jour de la marmotte, où, en tant qu'industrie, nous semblons faire la même chose encore et encore et nous attendre à un résultat différent.
Il y a cependant un autre petit problème. Nous ne recevons pas de conseils réalistes, ni de solutions les plus rapides, pour combattre l'assaut incessant qu'est la cybersécurité moderne. Bien entendu, chaque faille est différente à sa manière, et de nombreux vecteurs d'attaque peuvent être exploités dans des logiciels vulnérables. Les conseils génériques réalisables seront limités, mais l'approche des meilleures pratiques semble de plus en plus imparfaite d'heure en heure.
À cette fin, je me demande pourquoi tant de commentaires et d'analyses sur la cybersécurité omettent les solutions qui s'attaquent réellement à la cause première de tant de vulnérabilités : les humains. Le plus récent rapport de Gartner Hype Cycle pour la sécurité des applications, et celui de Forrester L'état de la sécurité des applications en 2021, deux bibles destinées aux experts en sécurité qui contribuent sans aucun doute à façonner leur programme et à l'adoption potentielle de leurs produits, sont presque entièrement axées sur les outils. Un rapport publié par Aberdeen en 2017 a montré à quel point la technologie de sécurité moyenne était devenue indisciplinée, alors que les RSSI gèrent des centaines de produits dans le cadre de leurs stratégies de sécurité ; quatre ans plus tard, nous sommes confrontés à de nouveaux risques, à de nouvelles vulnérabilités et à de nouveaux ajouts à une pile technologique en pleine croissance.
L'outillage de sécurité est indispensable, mais nous devons avoir une vision plus large et rétablir l'équilibre entre la composante humaine de la défense de la sécurité.
L'automatisation, c'est l'avenir. Pourquoi devrions-nous nous intéresser à l'aspect humain de la cybersécurité ?
Pratiquement tout dans notre vie est alimenté par des logiciels, et il est vrai que l'automatisation remplace les éléments humains qui étaient autrefois présents dans de nombreux secteurs. C'est un signe de progrès dans un monde qui se numérise à toute vitesse, avec des sujets d'actualité liés à l'IA et à l'apprentissage automatique qui permettent à de nombreuses organisations de se concentrer sur l'avenir.
Alors, pourquoi une approche de la cybersécurité axée sur l'humain serait-elle autre chose qu'une solution obsolète à un problème technologiquement avancé ? Le fait que des milliards d'enregistrements de données aient été volés lors de violations au cours de l'année écoulée, y compris la plus récente violation de Facebook affectant plus d'un demi-milliard de comptes, devrait indiquer que nous n'en faisons pas assez (ou que nous n'adoptons pas la bonne approche) pour contrer sérieusement les acteurs de la menace.
Les outils de cybersécurité sont une composante indispensable de la cyberdéfense, et les outils auront toujours leur place. Les analystes ont tout à fait raison de recommander les outils les plus récents en matière d'approche d'atténuation des risques pour les entreprises, et cela ne changera pas. Cependant, étant donné que la qualité du code (et, par définition, la sécurité) est difficile à gérer au moment de la production de code, les outils ne peuvent pas faire le travail seuls. À ce jour, il n'existe pas d'outil unique capable de :
- Scannez toutes les vulnérabilités, dans tous les langages : framework
- Scannez rapidement
- Minimiser la double manipulation causée par les faux positifs et les faux négatifs
Les outils peuvent être lents, encombrants et peu maniables. Mais surtout, ils ne trouvent que des problèmes, ils ne les résolvent pas et ne recommandent pas de solutions. Dans ce dernier cas, des experts en sécurité, peu nombreux et surchargés de travail, doivent fouiller dans les poubelles pour trouver des trésors grâce à des résultats interminables de pentests et de scans.
Le fait est que, selon le rapport IBM Cyber Security Intelligence Index, l'erreur humaine joue un rôle dans 95 % de toutes les violations de données réussies. Presque la moitié d'entre eux directement liés à vulnérabilités logicielles, dont beaucoup pourraient être atténués s'il y avait une plus grande adhésion au codage sécurisé et une sensibilisation accrue dès les premiers stades du SDLC. Cependant, pour y parvenir, il est essentiel de mettre davantage l'accent sur la formation des développeurs, en plus de la rendre intrinsèque à leur flux de travail.
Que cela nous plaise ou non, les humains sont profondément ancrés dans le processus de développement logiciel et la cybersécurité est avant tout un problème humain. Les outils ne seront pas un fourre-tout pour corriger une faille fondamentale de notre approche, mais ils peuvent jouer un rôle de soutien clé dans la refonte de solutions humaines.
Et si nous créions simplement de meilleurs outils (et beaucoup d'entre eux) ?
Les outils de sécurité ne cessent de s'améliorer. Les outils SAST/DAST/IAST ont parcouru un long chemin, améliorant leur vitesse et leur intelligence, et le RASP devrait constituer une considération défensive sérieuse dans de nombreux environnements d'application. Pare-feux, gestionnaires de secrets, applications de sécurité du cloud et des réseaux : tout cela va de soi.
Les humains peuvent toujours s'efforcer de créer de meilleurs outils, mais l'innovation ne répond pas aux besoins de sécurité et de protection des données du monde numérique dans lequel nous vivons. Les outils sont, pour la plupart, conçus pour les robots. Ils peuvent être là pour aider les développeurs et l'équipe de sécurité à scanner, surveiller ou protéger le code, mais l'interaction est très limitée et très peu de solutions visent à renforcer la sensibilisation à la sécurité ou à améliorer les compétences de base susceptibles d'améliorer les résultats en matière de sécurité.
En fait, plus de la moitié des entreprises ne savent même pas si les outils fonctionnent pour elles, ils ne sont pas non plus convaincus de pouvoir éviter une violation de données dévastatrice. C'est un très mauvais sentiment, et dans un secteur obsédé par les outils qui n'est pas soutenu pour une approche différente, cela tend à consolider le statu quo et à résoudre les problèmes qui s'y rattachent.
Comment une organisation peut-elle tirer parti d'une approche de la sécurité dirigée par l'homme ?
Il ne fait aucun doute qu'il est bénéfique de rester à l'avant-garde des tendances en matière de technologie de sécurité des applications, et peut même aider à hiérarchiser les mises à niveau ou les consolidations au sein d'une pile technologique surchargée, mais renoncer à cibler la cause première des logiciels vulnérables, nous ne sommes que des humains, nous resterons du côté des perdants sur le front de la cybersécurité.
Si nous voulons sérieusement réduire le nombre de failles de sécurité au niveau du code, les développeurs doivent disposer des bases nécessaires pour réussir à partager la responsabilité en matière de sécurité. Ils ont besoin d'une formation pratique et pertinente, de compétences en cours d'emploi et d'outils fonctionnels qui ne perturbent pas leur flux de travail et ne font pas de la sécurité une corvée à développer. Dans l'idéal, certains outils seraient centrés sur les développeurs et conçus en mettant l'expérience utilisateur au premier plan.
À ce jour, il n'existe aucun programme de certification de sécurité officiel pour les développeurs, mais chaque entreprise peut bénéficier de l'analyse comparative et du développement des compétences en matière de codage sécurisé, en éliminant les vulnérabilités courantes tôt et souvent, avant que cette grande pile technologique ne doive entrer en action et tout ralentir.
Une équipe de développeurs soucieux de la sécurité est un trésor caché pour toute organisation, mais comme pour tout ce qui en vaut la peine, il faudra du temps et des efforts pour mettre en place une équipe de rêve efficace. Pour convaincre les développeurs de se soucier de la sécurité et de considérer le codage sécurisé comme la base de la qualité du code, l'ensemble de l'organisation doit s'engager à placer la sécurité au premier plan. Et lorsque des équipes entières sont sensibilisées à l'impact positif qu'elles peuvent jouer en éliminant les vulnérabilités courantes au fur et à mesure de l'écriture du code, aucun outil sur Terre ne peut rivaliser.
Une version de cet article a été publiée dans Help Net Security. Il a été mis à jour et diffusé ici.
J'ai passé ma carrière à trouver, à corriger, à discuter et à décomposer vulnérabilités logicielles, d'une manière ou d'une autre. Je sais qu'en ce qui concerne certains bogues de sécurité courants, bien qu'ils soient sur notre orbite depuis les années 90, ils continuent de sévir dans nos logiciels et de provoquer des problèmes majeurs, même si le correctif (souvent simple) est connu depuis presque aussi longtemps. C'est vraiment comme le jour de la marmotte, où, en tant qu'industrie, nous semblons faire la même chose encore et encore et nous attendre à un résultat différent.
Il y a cependant un autre petit problème. Nous ne recevons pas de conseils réalistes, ni de solutions les plus rapides, pour combattre l'assaut incessant qu'est la cybersécurité moderne. Bien entendu, chaque faille est différente à sa manière, et de nombreux vecteurs d'attaque peuvent être exploités dans des logiciels vulnérables. Les conseils génériques réalisables seront limités, mais l'approche des meilleures pratiques semble de plus en plus imparfaite d'heure en heure.
À cette fin, je me demande pourquoi tant de commentaires et d'analyses sur la cybersécurité omettent les solutions qui s'attaquent réellement à la cause première de tant de vulnérabilités : les humains. Le plus récent rapport de Gartner Hype Cycle pour la sécurité des applications, et celui de Forrester L'état de la sécurité des applications en 2021, deux bibles destinées aux experts en sécurité qui contribuent sans aucun doute à façonner leur programme et à l'adoption potentielle de leurs produits, sont presque entièrement axées sur les outils. Un rapport publié par Aberdeen en 2017 a montré à quel point la technologie de sécurité moyenne était devenue indisciplinée, alors que les RSSI gèrent des centaines de produits dans le cadre de leurs stratégies de sécurité ; quatre ans plus tard, nous sommes confrontés à de nouveaux risques, à de nouvelles vulnérabilités et à de nouveaux ajouts à une pile technologique en pleine croissance.
L'outillage de sécurité est indispensable, mais nous devons avoir une vision plus large et rétablir l'équilibre entre la composante humaine de la défense de la sécurité.
L'automatisation, c'est l'avenir. Pourquoi devrions-nous nous intéresser à l'aspect humain de la cybersécurité ?
Pratiquement tout dans notre vie est alimenté par des logiciels, et il est vrai que l'automatisation remplace les éléments humains qui étaient autrefois présents dans de nombreux secteurs. C'est un signe de progrès dans un monde qui se numérise à toute vitesse, avec des sujets d'actualité liés à l'IA et à l'apprentissage automatique qui permettent à de nombreuses organisations de se concentrer sur l'avenir.
Alors, pourquoi une approche de la cybersécurité axée sur l'humain serait-elle autre chose qu'une solution obsolète à un problème technologiquement avancé ? Le fait que des milliards d'enregistrements de données aient été volés lors de violations au cours de l'année écoulée, y compris la plus récente violation de Facebook affectant plus d'un demi-milliard de comptes, devrait indiquer que nous n'en faisons pas assez (ou que nous n'adoptons pas la bonne approche) pour contrer sérieusement les acteurs de la menace.
Les outils de cybersécurité sont une composante indispensable de la cyberdéfense, et les outils auront toujours leur place. Les analystes ont tout à fait raison de recommander les outils les plus récents en matière d'approche d'atténuation des risques pour les entreprises, et cela ne changera pas. Cependant, étant donné que la qualité du code (et, par définition, la sécurité) est difficile à gérer au moment de la production de code, les outils ne peuvent pas faire le travail seuls. À ce jour, il n'existe pas d'outil unique capable de :
- Scannez toutes les vulnérabilités, dans tous les langages : framework
- Scannez rapidement
- Minimiser la double manipulation causée par les faux positifs et les faux négatifs
Les outils peuvent être lents, encombrants et peu maniables. Mais surtout, ils ne trouvent que des problèmes, ils ne les résolvent pas et ne recommandent pas de solutions. Dans ce dernier cas, des experts en sécurité, peu nombreux et surchargés de travail, doivent fouiller dans les poubelles pour trouver des trésors grâce à des résultats interminables de pentests et de scans.
Le fait est que, selon le rapport IBM Cyber Security Intelligence Index, l'erreur humaine joue un rôle dans 95 % de toutes les violations de données réussies. Presque la moitié d'entre eux directement liés à vulnérabilités logicielles, dont beaucoup pourraient être atténués s'il y avait une plus grande adhésion au codage sécurisé et une sensibilisation accrue dès les premiers stades du SDLC. Cependant, pour y parvenir, il est essentiel de mettre davantage l'accent sur la formation des développeurs, en plus de la rendre intrinsèque à leur flux de travail.
Que cela nous plaise ou non, les humains sont profondément ancrés dans le processus de développement logiciel et la cybersécurité est avant tout un problème humain. Les outils ne seront pas un fourre-tout pour corriger une faille fondamentale de notre approche, mais ils peuvent jouer un rôle de soutien clé dans la refonte de solutions humaines.
Et si nous créions simplement de meilleurs outils (et beaucoup d'entre eux) ?
Les outils de sécurité ne cessent de s'améliorer. Les outils SAST/DAST/IAST ont parcouru un long chemin, améliorant leur vitesse et leur intelligence, et le RASP devrait constituer une considération défensive sérieuse dans de nombreux environnements d'application. Pare-feux, gestionnaires de secrets, applications de sécurité du cloud et des réseaux : tout cela va de soi.
Les humains peuvent toujours s'efforcer de créer de meilleurs outils, mais l'innovation ne répond pas aux besoins de sécurité et de protection des données du monde numérique dans lequel nous vivons. Les outils sont, pour la plupart, conçus pour les robots. Ils peuvent être là pour aider les développeurs et l'équipe de sécurité à scanner, surveiller ou protéger le code, mais l'interaction est très limitée et très peu de solutions visent à renforcer la sensibilisation à la sécurité ou à améliorer les compétences de base susceptibles d'améliorer les résultats en matière de sécurité.
En fait, plus de la moitié des entreprises ne savent même pas si les outils fonctionnent pour elles, ils ne sont pas non plus convaincus de pouvoir éviter une violation de données dévastatrice. C'est un très mauvais sentiment, et dans un secteur obsédé par les outils qui n'est pas soutenu pour une approche différente, cela tend à consolider le statu quo et à résoudre les problèmes qui s'y rattachent.
Comment une organisation peut-elle tirer parti d'une approche de la sécurité dirigée par l'homme ?
Il ne fait aucun doute qu'il est bénéfique de rester à l'avant-garde des tendances en matière de technologie de sécurité des applications, et peut même aider à hiérarchiser les mises à niveau ou les consolidations au sein d'une pile technologique surchargée, mais renoncer à cibler la cause première des logiciels vulnérables, nous ne sommes que des humains, nous resterons du côté des perdants sur le front de la cybersécurité.
Si nous voulons sérieusement réduire le nombre de failles de sécurité au niveau du code, les développeurs doivent disposer des bases nécessaires pour réussir à partager la responsabilité en matière de sécurité. Ils ont besoin d'une formation pratique et pertinente, de compétences en cours d'emploi et d'outils fonctionnels qui ne perturbent pas leur flux de travail et ne font pas de la sécurité une corvée à développer. Dans l'idéal, certains outils seraient centrés sur les développeurs et conçus en mettant l'expérience utilisateur au premier plan.
À ce jour, il n'existe aucun programme de certification de sécurité officiel pour les développeurs, mais chaque entreprise peut bénéficier de l'analyse comparative et du développement des compétences en matière de codage sécurisé, en éliminant les vulnérabilités courantes tôt et souvent, avant que cette grande pile technologique ne doive entrer en action et tout ralentir.
Une équipe de développeurs soucieux de la sécurité est un trésor caché pour toute organisation, mais comme pour tout ce qui en vaut la peine, il faudra du temps et des efforts pour mettre en place une équipe de rêve efficace. Pour convaincre les développeurs de se soucier de la sécurité et de considérer le codage sécurisé comme la base de la qualité du code, l'ensemble de l'organisation doit s'engager à placer la sécurité au premier plan. Et lorsque des équipes entières sont sensibilisées à l'impact positif qu'elles peuvent jouer en éliminant les vulnérabilités courantes au fur et à mesure de l'écriture du code, aucun outil sur Terre ne peut rivaliser.
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
显示报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Une version de cet article a été publiée dans Help Net Security. Il a été mis à jour et diffusé ici.
J'ai passé ma carrière à trouver, à corriger, à discuter et à décomposer vulnérabilités logicielles, d'une manière ou d'une autre. Je sais qu'en ce qui concerne certains bogues de sécurité courants, bien qu'ils soient sur notre orbite depuis les années 90, ils continuent de sévir dans nos logiciels et de provoquer des problèmes majeurs, même si le correctif (souvent simple) est connu depuis presque aussi longtemps. C'est vraiment comme le jour de la marmotte, où, en tant qu'industrie, nous semblons faire la même chose encore et encore et nous attendre à un résultat différent.
Il y a cependant un autre petit problème. Nous ne recevons pas de conseils réalistes, ni de solutions les plus rapides, pour combattre l'assaut incessant qu'est la cybersécurité moderne. Bien entendu, chaque faille est différente à sa manière, et de nombreux vecteurs d'attaque peuvent être exploités dans des logiciels vulnérables. Les conseils génériques réalisables seront limités, mais l'approche des meilleures pratiques semble de plus en plus imparfaite d'heure en heure.
À cette fin, je me demande pourquoi tant de commentaires et d'analyses sur la cybersécurité omettent les solutions qui s'attaquent réellement à la cause première de tant de vulnérabilités : les humains. Le plus récent rapport de Gartner Hype Cycle pour la sécurité des applications, et celui de Forrester L'état de la sécurité des applications en 2021, deux bibles destinées aux experts en sécurité qui contribuent sans aucun doute à façonner leur programme et à l'adoption potentielle de leurs produits, sont presque entièrement axées sur les outils. Un rapport publié par Aberdeen en 2017 a montré à quel point la technologie de sécurité moyenne était devenue indisciplinée, alors que les RSSI gèrent des centaines de produits dans le cadre de leurs stratégies de sécurité ; quatre ans plus tard, nous sommes confrontés à de nouveaux risques, à de nouvelles vulnérabilités et à de nouveaux ajouts à une pile technologique en pleine croissance.
L'outillage de sécurité est indispensable, mais nous devons avoir une vision plus large et rétablir l'équilibre entre la composante humaine de la défense de la sécurité.
L'automatisation, c'est l'avenir. Pourquoi devrions-nous nous intéresser à l'aspect humain de la cybersécurité ?
Pratiquement tout dans notre vie est alimenté par des logiciels, et il est vrai que l'automatisation remplace les éléments humains qui étaient autrefois présents dans de nombreux secteurs. C'est un signe de progrès dans un monde qui se numérise à toute vitesse, avec des sujets d'actualité liés à l'IA et à l'apprentissage automatique qui permettent à de nombreuses organisations de se concentrer sur l'avenir.
Alors, pourquoi une approche de la cybersécurité axée sur l'humain serait-elle autre chose qu'une solution obsolète à un problème technologiquement avancé ? Le fait que des milliards d'enregistrements de données aient été volés lors de violations au cours de l'année écoulée, y compris la plus récente violation de Facebook affectant plus d'un demi-milliard de comptes, devrait indiquer que nous n'en faisons pas assez (ou que nous n'adoptons pas la bonne approche) pour contrer sérieusement les acteurs de la menace.
Les outils de cybersécurité sont une composante indispensable de la cyberdéfense, et les outils auront toujours leur place. Les analystes ont tout à fait raison de recommander les outils les plus récents en matière d'approche d'atténuation des risques pour les entreprises, et cela ne changera pas. Cependant, étant donné que la qualité du code (et, par définition, la sécurité) est difficile à gérer au moment de la production de code, les outils ne peuvent pas faire le travail seuls. À ce jour, il n'existe pas d'outil unique capable de :
- Scannez toutes les vulnérabilités, dans tous les langages : framework
- Scannez rapidement
- Minimiser la double manipulation causée par les faux positifs et les faux négatifs
Les outils peuvent être lents, encombrants et peu maniables. Mais surtout, ils ne trouvent que des problèmes, ils ne les résolvent pas et ne recommandent pas de solutions. Dans ce dernier cas, des experts en sécurité, peu nombreux et surchargés de travail, doivent fouiller dans les poubelles pour trouver des trésors grâce à des résultats interminables de pentests et de scans.
Le fait est que, selon le rapport IBM Cyber Security Intelligence Index, l'erreur humaine joue un rôle dans 95 % de toutes les violations de données réussies. Presque la moitié d'entre eux directement liés à vulnérabilités logicielles, dont beaucoup pourraient être atténués s'il y avait une plus grande adhésion au codage sécurisé et une sensibilisation accrue dès les premiers stades du SDLC. Cependant, pour y parvenir, il est essentiel de mettre davantage l'accent sur la formation des développeurs, en plus de la rendre intrinsèque à leur flux de travail.
Que cela nous plaise ou non, les humains sont profondément ancrés dans le processus de développement logiciel et la cybersécurité est avant tout un problème humain. Les outils ne seront pas un fourre-tout pour corriger une faille fondamentale de notre approche, mais ils peuvent jouer un rôle de soutien clé dans la refonte de solutions humaines.
Et si nous créions simplement de meilleurs outils (et beaucoup d'entre eux) ?
Les outils de sécurité ne cessent de s'améliorer. Les outils SAST/DAST/IAST ont parcouru un long chemin, améliorant leur vitesse et leur intelligence, et le RASP devrait constituer une considération défensive sérieuse dans de nombreux environnements d'application. Pare-feux, gestionnaires de secrets, applications de sécurité du cloud et des réseaux : tout cela va de soi.
Les humains peuvent toujours s'efforcer de créer de meilleurs outils, mais l'innovation ne répond pas aux besoins de sécurité et de protection des données du monde numérique dans lequel nous vivons. Les outils sont, pour la plupart, conçus pour les robots. Ils peuvent être là pour aider les développeurs et l'équipe de sécurité à scanner, surveiller ou protéger le code, mais l'interaction est très limitée et très peu de solutions visent à renforcer la sensibilisation à la sécurité ou à améliorer les compétences de base susceptibles d'améliorer les résultats en matière de sécurité.
En fait, plus de la moitié des entreprises ne savent même pas si les outils fonctionnent pour elles, ils ne sont pas non plus convaincus de pouvoir éviter une violation de données dévastatrice. C'est un très mauvais sentiment, et dans un secteur obsédé par les outils qui n'est pas soutenu pour une approche différente, cela tend à consolider le statu quo et à résoudre les problèmes qui s'y rattachent.
Comment une organisation peut-elle tirer parti d'une approche de la sécurité dirigée par l'homme ?
Il ne fait aucun doute qu'il est bénéfique de rester à l'avant-garde des tendances en matière de technologie de sécurité des applications, et peut même aider à hiérarchiser les mises à niveau ou les consolidations au sein d'une pile technologique surchargée, mais renoncer à cibler la cause première des logiciels vulnérables, nous ne sommes que des humains, nous resterons du côté des perdants sur le front de la cybersécurité.
Si nous voulons sérieusement réduire le nombre de failles de sécurité au niveau du code, les développeurs doivent disposer des bases nécessaires pour réussir à partager la responsabilité en matière de sécurité. Ils ont besoin d'une formation pratique et pertinente, de compétences en cours d'emploi et d'outils fonctionnels qui ne perturbent pas leur flux de travail et ne font pas de la sécurité une corvée à développer. Dans l'idéal, certains outils seraient centrés sur les développeurs et conçus en mettant l'expérience utilisateur au premier plan.
À ce jour, il n'existe aucun programme de certification de sécurité officiel pour les développeurs, mais chaque entreprise peut bénéficier de l'analyse comparative et du développement des compétences en matière de codage sécurisé, en éliminant les vulnérabilités courantes tôt et souvent, avant que cette grande pile technologique ne doive entrer en action et tout ralentir.
Une équipe de développeurs soucieux de la sécurité est un trésor caché pour toute organisation, mais comme pour tout ce qui en vaut la peine, il faudra du temps et des efforts pour mettre en place une équipe de rêve efficace. Pour convaincre les développeurs de se soucier de la sécurité et de considérer le codage sécurisé comme la base de la qualité du code, l'ensemble de l'organisation doit s'engager à placer la sécurité au premier plan. Et lorsque des équipes entières sont sensibilisées à l'impact positif qu'elles peuvent jouer en éliminant les vulnérabilités courantes au fur et à mesure de l'écriture du code, aucun outil sur Terre ne peut rivaliser.
%20(1).avif)
.avif)
