Transformer la fastidieuse conformité PCI-DSS en un exercice pertinent pour tous : partie 1 - AppSec
Il s'agit de la première partie d'une série en deux parties sur la conformité réussie à la norme PCI-DSS au sein d'une organisation. Dans ce chapitre, nous expliquons comment les spécialistes AppSec peuvent travailler en étroite collaboration avec les responsables du développement pour responsabiliser les développeurs, renforcer le SSDLC et obtenir des résultats spécifiques grâce à la législation générale.
Le mot « conformité » n'est pas très intéressant. C'est formel, sec, directif... même un peu restrictif dans son ton. S'il avait une couleur, ce serait le beige. Et bien, cela semble aller à l'encontre de tout type d'environnement créatif ou d'innovation.
En tant que développeur, mon expérience de « conformité » impliquait généralement la lecture (verticale) de certaines directives ou le visionnage d'une présentation, avant de revenir au codage des fonctionnalités et de me concentrer sur la création de logiciels que les clients utiliseront et adoreront. Tout le monde fait ce qu'il peut au moment présent (et essaie de faire ce qu'il faut à tout moment), mais les directives de conformité, en particulier celles qui concernent les meilleures pratiques de sécurité, ne sont généralement pas rédigées avec les développeurs comme public cible, et les actions requises peuvent être floues. Dans ce scénario, il est trop facile de se contenter de rester concentré sur les objectifs actuels.
Le fait est que le développement de logiciels sécurisés n'est plus un avantage pour aucune entreprise ; il est (ou devrait être) une priorité dans toutes les organisations... Et si elle détient de grandes quantités d'informations sensibles sur ses clients, cette entreprise est prête à faire le choix en matière de cyberattaques. Les développeurs sont les premiers à se familiariser avec le code et, à ce titre, devraient être tout aussi impliqués que le reste de l'équipe dans toutes les mesures de conformité en matière de sécurité.
Mais attendez... écoutez-moi. Cela ne signifie pas que tout le monde doit devenir l'esclave d'un développement et de résultats logiciels rigides et sans créativité. Cela signifie que l'entreprise a la possibilité et le pouvoir de créer ensemble un niveau de code plus élevé. Lentement, le monde se rend compte qu'à ce jour, les développeurs ne disposent pas des bons outils pour faire de la sécurité une priorité (et les spécialistes de la sécurité cloisonnés ne peuvent pas en assumer seuls la responsabilité). Cependant, alors que le secteur évolue vers un avenir DevSecOps où la sécurité est une responsabilité partagée, ils peuvent contribuer à endiguer le flux de vulnérabilités récurrentes lorsqu'ils sont configurés pour réussir.
Les directives PCI-DSS couvrent la conformité en matière de sécurité en ligne pour les passerelles de paiement par carte, un service que la plupart d'entre nous utilisent régulièrement. Ces directives sont applicables dans le monde entier, et elles ont en fait décrit en détail ce que les développeurs doivent faire pour maintenir les normes conformément à leurs mandats, aux côtés plusieurs documents de conformité dans tous les aspects du commerce électronique.
Les violations de données constituent des risques effrayants et destructeurs de réputation que les entreprises ne peuvent pas se permettre, et Cyber Security Ventures donne des conseils sur les violations du jour zéro pour atteindre un par jour en 2021, chacun des acteurs du processus de fourniture de logiciels peut contribuer à lutter contre ce problème.
Décrivons les recommandations PCI-DSS et expliquons comment elles peuvent fonctionner au sein de l'équipe :
Bonjour, équipes AppSec et Compliance : toutes les formations destinées aux développeurs ne se valent pas
Les développeurs des grandes (ou même des petites) organisations participent rarement pleinement à la formation qu'ils reçoivent sur le tas. Afin de conserver les meilleurs employés, certaines entreprises proposent des programmes complets, mais ceux-ci sont encore moins courants qu'ils ne devraient l'être. Le besoin de formation en matière de sécurité représente une excellente occasion non seulement de lancer la mise en conformité de l'organisation sans ennuyer tout le monde, mais également de commencer à nouer des relations glaciales avec l'équipe de développement.
En termes de conformité PCI, vous pouvez constater que leurs directives sont spécifiques quant aux résultats qu'ils peuvent attendre de tout logiciel exécutant des passerelles de paiement ; entre autres objectifs, ils souhaitent que les applications soient renforcées (vital pour contrecarrer les programmes malveillants). injection de code ou falsification), des contrôles de moindre privilège et une prise de conscience complète des vulnérabilités courantes... au minimum. Tout le personnel travaillant avec les données des titulaires de cartes doit être correctement formé, et pour les développeurs, cette formation peut faire ou défaire leur réussite en matière d'écriture de code sécurisé dès le début de leur processus.
L'officiel Meilleures pratiques pour maintenir la conformité à la norme PCI-DSS le document détaille certains concepts directs liés à la sensibilisation à la sécurité, aux besoins des développeurs et à la formation appropriée, tels que :
Tous droits réservés © 2006 - 2020 Conseil des normes de sécurité PCI, LLC. Tous droits réservés.
Cela donne un aperçu de la formation spécifique et approfondie requise pour doter les développeurs des compétences nécessaires, mais aucun type particulier de solutions pédagogiques n'est plus efficace qu'un autre. Le guide PCI-DSS pour les développeurs est un peu plus direct, identifiant le Top 10 de l'OWASP comme une référence pour apprendre à identifier et à corriger les vulnérabilités les plus courantes, ainsi que certains programmes de certification.
Mais... voici le hic. Comme vous le savez sans doute grâce aux diverses initiatives de formation et de conformité en milieu de travail, leur qualité et leur succès futur peuvent varier considérablement. Et en ce qui concerne les développeurs, de nombreux programmes de formation au codage sécurisé ne semblent pas répondre de manière significative à nos besoins, à nos méthodes de travail ou même à notre travail quotidien. Dans ce scénario, toutes les formations ne sont pas créées de la même manière, et toutes les formations n'aboutiront pas à un logiciel plus sécurisé. Bien entendu, c'est exactement le contraire du résultat que vous souhaitez obtenir, et cela ne réduira pas de manière significative le stress lié à votre travail. Si vous voulez réduire le fardeau et empêcher les vulnérabilités courantes de provoquer des catastrophes potentielles, vous devrez construire un pont.
Combler le déficit de compétences en matière de sécurité en faisant appel à des responsables de l'ingénierie
Travailler directement avec les responsables de l'ingénierie pour trouver une solution adaptée à l'objectif, tout en étant adoptée par les personnes réellement chargées de la mettre en œuvre, permet d'obtenir rapidement des résultats positifs en matière de sécurité. Ils auront un aperçu plus immédiat de leur propre équipe et pourront parler à tous les bloqueurs qui ont déjà rendu la formation à la conformité difficile (si ce n'est pas une expérience formidable, la plupart du temps).
Les formations en classe, la vidéo à la demande et tous les exercices ponctuels à cocher font qu'il est très difficile de rester à jour ; il s'agit de solutions statiques qui ne peuvent pas suivre le rythme du paysage en constante évolution qu'est le secteur de la cybersécurité. En fin de compte, le responsable de l'ingénierie souhaitera valoriser le temps qui lui est consacré. Il est important de travailler avec lui et de proposer des options viables qui répondent à l'objectif commun de tous : un code plus sécurisé et plus conforme.
Alors, à quoi ressemble un bon entraînement ? Il ne sert à rien d'apprendre à coder en toute sécurité en saisissant de gros volumes d'informations une seule fois. Un processus d'apprentissage progressif et de petite envergure le rend beaucoup plus facile à mémoriser et à appliquer en contexte, et il doit absolument être dans les langages et les cadres utilisés au quotidien. Personnellement, je veux relever des défis et je veux voir un but à mes efforts. Nous sommes tous assez occupés en l'état, n'est-ce pas ?
Pour se conformer aux meilleures pratiques PCI-DSS décrites ci-dessus, en fonction de la solution choisie, les responsables peuvent être amenés à créer une mosaïque de cours couvrant tous les langages et frameworks utilisés dans l'entreprise. C'est là que les choses se compliquent, sans parler des difficultés à évaluer pour les équipes de sécurité et de conformité des applications en termes d'impact sur la sécurité et la réduction des vulnérabilités des logiciels. Travaillez ensemble pour trouver la solution idéale, au lieu de vous précipiter dans la mauvaise option pour obtenir un résultat rapide. Sinon, vous pourriez vous retrouver avec une solution d'entraînement Frankenstein... et ça a l'air très effrayant.
Merci d'avoir consulté la première partie de cette mini-série PCI-DSS. Dans le dernier chapitre, nous verrons comment les RSSI et les directeurs techniques peuvent contribuer à cette transformation de la culture, donner des moyens aux équipes, et comment les acteurs de première ligne en matière de sécurité, « votre cohorte de développeurs », peuvent tirer parti de la sensibilisation et de la conformité à la norme PCI-DSS à leur avantage.
Il s'agit de la première partie d'une série en deux parties sur la conformité réussie à la norme PCI-DSS au sein d'une organisation. Dans ce chapitre, nous expliquons comment les spécialistes AppSec peuvent travailler en étroite collaboration avec les responsables du développement pour responsabiliser les développeurs, renforcer le SSDLC et obtenir des résultats spécifiques grâce à la législation générale.
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique en matière de sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont abouti à des produits commerciaux et possède plus de 10 brevets à son actif. Lorsqu'il n'est pas à son bureau, Matias a enseigné des cours de formation avancée sur la sécurité des applications et prend régulièrement la parole lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en génie informatique de l'université de Gand, où il a étudié la sécurité des applications par le biais de l'obfuscation de programmes pour masquer le fonctionnement interne d'une application.
Il s'agit de la première partie d'une série en deux parties sur la conformité réussie à la norme PCI-DSS au sein d'une organisation. Dans ce chapitre, nous expliquons comment les spécialistes AppSec peuvent travailler en étroite collaboration avec les responsables du développement pour responsabiliser les développeurs, renforcer le SSDLC et obtenir des résultats spécifiques grâce à la législation générale.
Le mot « conformité » n'est pas très intéressant. C'est formel, sec, directif... même un peu restrictif dans son ton. S'il avait une couleur, ce serait le beige. Et bien, cela semble aller à l'encontre de tout type d'environnement créatif ou d'innovation.
En tant que développeur, mon expérience de « conformité » impliquait généralement la lecture (verticale) de certaines directives ou le visionnage d'une présentation, avant de revenir au codage des fonctionnalités et de me concentrer sur la création de logiciels que les clients utiliseront et adoreront. Tout le monde fait ce qu'il peut au moment présent (et essaie de faire ce qu'il faut à tout moment), mais les directives de conformité, en particulier celles qui concernent les meilleures pratiques de sécurité, ne sont généralement pas rédigées avec les développeurs comme public cible, et les actions requises peuvent être floues. Dans ce scénario, il est trop facile de se contenter de rester concentré sur les objectifs actuels.
Le fait est que le développement de logiciels sécurisés n'est plus un avantage pour aucune entreprise ; il est (ou devrait être) une priorité dans toutes les organisations... Et si elle détient de grandes quantités d'informations sensibles sur ses clients, cette entreprise est prête à faire le choix en matière de cyberattaques. Les développeurs sont les premiers à se familiariser avec le code et, à ce titre, devraient être tout aussi impliqués que le reste de l'équipe dans toutes les mesures de conformité en matière de sécurité.
Mais attendez... écoutez-moi. Cela ne signifie pas que tout le monde doit devenir l'esclave d'un développement et de résultats logiciels rigides et sans créativité. Cela signifie que l'entreprise a la possibilité et le pouvoir de créer ensemble un niveau de code plus élevé. Lentement, le monde se rend compte qu'à ce jour, les développeurs ne disposent pas des bons outils pour faire de la sécurité une priorité (et les spécialistes de la sécurité cloisonnés ne peuvent pas en assumer seuls la responsabilité). Cependant, alors que le secteur évolue vers un avenir DevSecOps où la sécurité est une responsabilité partagée, ils peuvent contribuer à endiguer le flux de vulnérabilités récurrentes lorsqu'ils sont configurés pour réussir.
Les directives PCI-DSS couvrent la conformité en matière de sécurité en ligne pour les passerelles de paiement par carte, un service que la plupart d'entre nous utilisent régulièrement. Ces directives sont applicables dans le monde entier, et elles ont en fait décrit en détail ce que les développeurs doivent faire pour maintenir les normes conformément à leurs mandats, aux côtés plusieurs documents de conformité dans tous les aspects du commerce électronique.
Les violations de données constituent des risques effrayants et destructeurs de réputation que les entreprises ne peuvent pas se permettre, et Cyber Security Ventures donne des conseils sur les violations du jour zéro pour atteindre un par jour en 2021, chacun des acteurs du processus de fourniture de logiciels peut contribuer à lutter contre ce problème.
Décrivons les recommandations PCI-DSS et expliquons comment elles peuvent fonctionner au sein de l'équipe :
Bonjour, équipes AppSec et Compliance : toutes les formations destinées aux développeurs ne se valent pas
Les développeurs des grandes (ou même des petites) organisations participent rarement pleinement à la formation qu'ils reçoivent sur le tas. Afin de conserver les meilleurs employés, certaines entreprises proposent des programmes complets, mais ceux-ci sont encore moins courants qu'ils ne devraient l'être. Le besoin de formation en matière de sécurité représente une excellente occasion non seulement de lancer la mise en conformité de l'organisation sans ennuyer tout le monde, mais également de commencer à nouer des relations glaciales avec l'équipe de développement.
En termes de conformité PCI, vous pouvez constater que leurs directives sont spécifiques quant aux résultats qu'ils peuvent attendre de tout logiciel exécutant des passerelles de paiement ; entre autres objectifs, ils souhaitent que les applications soient renforcées (vital pour contrecarrer les programmes malveillants). injection de code ou falsification), des contrôles de moindre privilège et une prise de conscience complète des vulnérabilités courantes... au minimum. Tout le personnel travaillant avec les données des titulaires de cartes doit être correctement formé, et pour les développeurs, cette formation peut faire ou défaire leur réussite en matière d'écriture de code sécurisé dès le début de leur processus.
L'officiel Meilleures pratiques pour maintenir la conformité à la norme PCI-DSS le document détaille certains concepts directs liés à la sensibilisation à la sécurité, aux besoins des développeurs et à la formation appropriée, tels que :
Tous droits réservés © 2006 - 2020 Conseil des normes de sécurité PCI, LLC. Tous droits réservés.
Cela donne un aperçu de la formation spécifique et approfondie requise pour doter les développeurs des compétences nécessaires, mais aucun type particulier de solutions pédagogiques n'est plus efficace qu'un autre. Le guide PCI-DSS pour les développeurs est un peu plus direct, identifiant le Top 10 de l'OWASP comme une référence pour apprendre à identifier et à corriger les vulnérabilités les plus courantes, ainsi que certains programmes de certification.
Mais... voici le hic. Comme vous le savez sans doute grâce aux diverses initiatives de formation et de conformité en milieu de travail, leur qualité et leur succès futur peuvent varier considérablement. Et en ce qui concerne les développeurs, de nombreux programmes de formation au codage sécurisé ne semblent pas répondre de manière significative à nos besoins, à nos méthodes de travail ou même à notre travail quotidien. Dans ce scénario, toutes les formations ne sont pas créées de la même manière, et toutes les formations n'aboutiront pas à un logiciel plus sécurisé. Bien entendu, c'est exactement le contraire du résultat que vous souhaitez obtenir, et cela ne réduira pas de manière significative le stress lié à votre travail. Si vous voulez réduire le fardeau et empêcher les vulnérabilités courantes de provoquer des catastrophes potentielles, vous devrez construire un pont.
Combler le déficit de compétences en matière de sécurité en faisant appel à des responsables de l'ingénierie
Travailler directement avec les responsables de l'ingénierie pour trouver une solution adaptée à l'objectif, tout en étant adoptée par les personnes réellement chargées de la mettre en œuvre, permet d'obtenir rapidement des résultats positifs en matière de sécurité. Ils auront un aperçu plus immédiat de leur propre équipe et pourront parler à tous les bloqueurs qui ont déjà rendu la formation à la conformité difficile (si ce n'est pas une expérience formidable, la plupart du temps).
Les formations en classe, la vidéo à la demande et tous les exercices ponctuels à cocher font qu'il est très difficile de rester à jour ; il s'agit de solutions statiques qui ne peuvent pas suivre le rythme du paysage en constante évolution qu'est le secteur de la cybersécurité. En fin de compte, le responsable de l'ingénierie souhaitera valoriser le temps qui lui est consacré. Il est important de travailler avec lui et de proposer des options viables qui répondent à l'objectif commun de tous : un code plus sécurisé et plus conforme.
Alors, à quoi ressemble un bon entraînement ? Il ne sert à rien d'apprendre à coder en toute sécurité en saisissant de gros volumes d'informations une seule fois. Un processus d'apprentissage progressif et de petite envergure le rend beaucoup plus facile à mémoriser et à appliquer en contexte, et il doit absolument être dans les langages et les cadres utilisés au quotidien. Personnellement, je veux relever des défis et je veux voir un but à mes efforts. Nous sommes tous assez occupés en l'état, n'est-ce pas ?
Pour se conformer aux meilleures pratiques PCI-DSS décrites ci-dessus, en fonction de la solution choisie, les responsables peuvent être amenés à créer une mosaïque de cours couvrant tous les langages et frameworks utilisés dans l'entreprise. C'est là que les choses se compliquent, sans parler des difficultés à évaluer pour les équipes de sécurité et de conformité des applications en termes d'impact sur la sécurité et la réduction des vulnérabilités des logiciels. Travaillez ensemble pour trouver la solution idéale, au lieu de vous précipiter dans la mauvaise option pour obtenir un résultat rapide. Sinon, vous pourriez vous retrouver avec une solution d'entraînement Frankenstein... et ça a l'air très effrayant.
Merci d'avoir consulté la première partie de cette mini-série PCI-DSS. Dans le dernier chapitre, nous verrons comment les RSSI et les directeurs techniques peuvent contribuer à cette transformation de la culture, donner des moyens aux équipes, et comment les acteurs de première ligne en matière de sécurité, « votre cohorte de développeurs », peuvent tirer parti de la sensibilisation et de la conformité à la norme PCI-DSS à leur avantage.
Il s'agit de la première partie d'une série en deux parties sur la conformité réussie à la norme PCI-DSS au sein d'une organisation. Dans ce chapitre, nous expliquons comment les spécialistes AppSec peuvent travailler en étroite collaboration avec les responsables du développement pour responsabiliser les développeurs, renforcer le SSDLC et obtenir des résultats spécifiques grâce à la législation générale.
Le mot « conformité » n'est pas très intéressant. C'est formel, sec, directif... même un peu restrictif dans son ton. S'il avait une couleur, ce serait le beige. Et bien, cela semble aller à l'encontre de tout type d'environnement créatif ou d'innovation.
En tant que développeur, mon expérience de « conformité » impliquait généralement la lecture (verticale) de certaines directives ou le visionnage d'une présentation, avant de revenir au codage des fonctionnalités et de me concentrer sur la création de logiciels que les clients utiliseront et adoreront. Tout le monde fait ce qu'il peut au moment présent (et essaie de faire ce qu'il faut à tout moment), mais les directives de conformité, en particulier celles qui concernent les meilleures pratiques de sécurité, ne sont généralement pas rédigées avec les développeurs comme public cible, et les actions requises peuvent être floues. Dans ce scénario, il est trop facile de se contenter de rester concentré sur les objectifs actuels.
Le fait est que le développement de logiciels sécurisés n'est plus un avantage pour aucune entreprise ; il est (ou devrait être) une priorité dans toutes les organisations... Et si elle détient de grandes quantités d'informations sensibles sur ses clients, cette entreprise est prête à faire le choix en matière de cyberattaques. Les développeurs sont les premiers à se familiariser avec le code et, à ce titre, devraient être tout aussi impliqués que le reste de l'équipe dans toutes les mesures de conformité en matière de sécurité.
Mais attendez... écoutez-moi. Cela ne signifie pas que tout le monde doit devenir l'esclave d'un développement et de résultats logiciels rigides et sans créativité. Cela signifie que l'entreprise a la possibilité et le pouvoir de créer ensemble un niveau de code plus élevé. Lentement, le monde se rend compte qu'à ce jour, les développeurs ne disposent pas des bons outils pour faire de la sécurité une priorité (et les spécialistes de la sécurité cloisonnés ne peuvent pas en assumer seuls la responsabilité). Cependant, alors que le secteur évolue vers un avenir DevSecOps où la sécurité est une responsabilité partagée, ils peuvent contribuer à endiguer le flux de vulnérabilités récurrentes lorsqu'ils sont configurés pour réussir.
Les directives PCI-DSS couvrent la conformité en matière de sécurité en ligne pour les passerelles de paiement par carte, un service que la plupart d'entre nous utilisent régulièrement. Ces directives sont applicables dans le monde entier, et elles ont en fait décrit en détail ce que les développeurs doivent faire pour maintenir les normes conformément à leurs mandats, aux côtés plusieurs documents de conformité dans tous les aspects du commerce électronique.
Les violations de données constituent des risques effrayants et destructeurs de réputation que les entreprises ne peuvent pas se permettre, et Cyber Security Ventures donne des conseils sur les violations du jour zéro pour atteindre un par jour en 2021, chacun des acteurs du processus de fourniture de logiciels peut contribuer à lutter contre ce problème.
Décrivons les recommandations PCI-DSS et expliquons comment elles peuvent fonctionner au sein de l'équipe :
Bonjour, équipes AppSec et Compliance : toutes les formations destinées aux développeurs ne se valent pas
Les développeurs des grandes (ou même des petites) organisations participent rarement pleinement à la formation qu'ils reçoivent sur le tas. Afin de conserver les meilleurs employés, certaines entreprises proposent des programmes complets, mais ceux-ci sont encore moins courants qu'ils ne devraient l'être. Le besoin de formation en matière de sécurité représente une excellente occasion non seulement de lancer la mise en conformité de l'organisation sans ennuyer tout le monde, mais également de commencer à nouer des relations glaciales avec l'équipe de développement.
En termes de conformité PCI, vous pouvez constater que leurs directives sont spécifiques quant aux résultats qu'ils peuvent attendre de tout logiciel exécutant des passerelles de paiement ; entre autres objectifs, ils souhaitent que les applications soient renforcées (vital pour contrecarrer les programmes malveillants). injection de code ou falsification), des contrôles de moindre privilège et une prise de conscience complète des vulnérabilités courantes... au minimum. Tout le personnel travaillant avec les données des titulaires de cartes doit être correctement formé, et pour les développeurs, cette formation peut faire ou défaire leur réussite en matière d'écriture de code sécurisé dès le début de leur processus.
L'officiel Meilleures pratiques pour maintenir la conformité à la norme PCI-DSS le document détaille certains concepts directs liés à la sensibilisation à la sécurité, aux besoins des développeurs et à la formation appropriée, tels que :
Tous droits réservés © 2006 - 2020 Conseil des normes de sécurité PCI, LLC. Tous droits réservés.
Cela donne un aperçu de la formation spécifique et approfondie requise pour doter les développeurs des compétences nécessaires, mais aucun type particulier de solutions pédagogiques n'est plus efficace qu'un autre. Le guide PCI-DSS pour les développeurs est un peu plus direct, identifiant le Top 10 de l'OWASP comme une référence pour apprendre à identifier et à corriger les vulnérabilités les plus courantes, ainsi que certains programmes de certification.
Mais... voici le hic. Comme vous le savez sans doute grâce aux diverses initiatives de formation et de conformité en milieu de travail, leur qualité et leur succès futur peuvent varier considérablement. Et en ce qui concerne les développeurs, de nombreux programmes de formation au codage sécurisé ne semblent pas répondre de manière significative à nos besoins, à nos méthodes de travail ou même à notre travail quotidien. Dans ce scénario, toutes les formations ne sont pas créées de la même manière, et toutes les formations n'aboutiront pas à un logiciel plus sécurisé. Bien entendu, c'est exactement le contraire du résultat que vous souhaitez obtenir, et cela ne réduira pas de manière significative le stress lié à votre travail. Si vous voulez réduire le fardeau et empêcher les vulnérabilités courantes de provoquer des catastrophes potentielles, vous devrez construire un pont.
Combler le déficit de compétences en matière de sécurité en faisant appel à des responsables de l'ingénierie
Travailler directement avec les responsables de l'ingénierie pour trouver une solution adaptée à l'objectif, tout en étant adoptée par les personnes réellement chargées de la mettre en œuvre, permet d'obtenir rapidement des résultats positifs en matière de sécurité. Ils auront un aperçu plus immédiat de leur propre équipe et pourront parler à tous les bloqueurs qui ont déjà rendu la formation à la conformité difficile (si ce n'est pas une expérience formidable, la plupart du temps).
Les formations en classe, la vidéo à la demande et tous les exercices ponctuels à cocher font qu'il est très difficile de rester à jour ; il s'agit de solutions statiques qui ne peuvent pas suivre le rythme du paysage en constante évolution qu'est le secteur de la cybersécurité. En fin de compte, le responsable de l'ingénierie souhaitera valoriser le temps qui lui est consacré. Il est important de travailler avec lui et de proposer des options viables qui répondent à l'objectif commun de tous : un code plus sécurisé et plus conforme.
Alors, à quoi ressemble un bon entraînement ? Il ne sert à rien d'apprendre à coder en toute sécurité en saisissant de gros volumes d'informations une seule fois. Un processus d'apprentissage progressif et de petite envergure le rend beaucoup plus facile à mémoriser et à appliquer en contexte, et il doit absolument être dans les langages et les cadres utilisés au quotidien. Personnellement, je veux relever des défis et je veux voir un but à mes efforts. Nous sommes tous assez occupés en l'état, n'est-ce pas ?
Pour se conformer aux meilleures pratiques PCI-DSS décrites ci-dessus, en fonction de la solution choisie, les responsables peuvent être amenés à créer une mosaïque de cours couvrant tous les langages et frameworks utilisés dans l'entreprise. C'est là que les choses se compliquent, sans parler des difficultés à évaluer pour les équipes de sécurité et de conformité des applications en termes d'impact sur la sécurité et la réduction des vulnérabilités des logiciels. Travaillez ensemble pour trouver la solution idéale, au lieu de vous précipiter dans la mauvaise option pour obtenir un résultat rapide. Sinon, vous pourriez vous retrouver avec une solution d'entraînement Frankenstein... et ça a l'air très effrayant.
Merci d'avoir consulté la première partie de cette mini-série PCI-DSS. Dans le dernier chapitre, nous verrons comment les RSSI et les directeurs techniques peuvent contribuer à cette transformation de la culture, donner des moyens aux équipes, et comment les acteurs de première ligne en matière de sécurité, « votre cohorte de développeurs », peuvent tirer parti de la sensibilisation et de la conformité à la norme PCI-DSS à leur avantage.
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
显示报告预约演示
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique en matière de sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont abouti à des produits commerciaux et possède plus de 10 brevets à son actif. Lorsqu'il n'est pas à son bureau, Matias a enseigné des cours de formation avancée sur la sécurité des applications et prend régulièrement la parole lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en génie informatique de l'université de Gand, où il a étudié la sécurité des applications par le biais de l'obfuscation de programmes pour masquer le fonctionnement interne d'une application.
Il s'agit de la première partie d'une série en deux parties sur la conformité réussie à la norme PCI-DSS au sein d'une organisation. Dans ce chapitre, nous expliquons comment les spécialistes AppSec peuvent travailler en étroite collaboration avec les responsables du développement pour responsabiliser les développeurs, renforcer le SSDLC et obtenir des résultats spécifiques grâce à la législation générale.
Le mot « conformité » n'est pas très intéressant. C'est formel, sec, directif... même un peu restrictif dans son ton. S'il avait une couleur, ce serait le beige. Et bien, cela semble aller à l'encontre de tout type d'environnement créatif ou d'innovation.
En tant que développeur, mon expérience de « conformité » impliquait généralement la lecture (verticale) de certaines directives ou le visionnage d'une présentation, avant de revenir au codage des fonctionnalités et de me concentrer sur la création de logiciels que les clients utiliseront et adoreront. Tout le monde fait ce qu'il peut au moment présent (et essaie de faire ce qu'il faut à tout moment), mais les directives de conformité, en particulier celles qui concernent les meilleures pratiques de sécurité, ne sont généralement pas rédigées avec les développeurs comme public cible, et les actions requises peuvent être floues. Dans ce scénario, il est trop facile de se contenter de rester concentré sur les objectifs actuels.
Le fait est que le développement de logiciels sécurisés n'est plus un avantage pour aucune entreprise ; il est (ou devrait être) une priorité dans toutes les organisations... Et si elle détient de grandes quantités d'informations sensibles sur ses clients, cette entreprise est prête à faire le choix en matière de cyberattaques. Les développeurs sont les premiers à se familiariser avec le code et, à ce titre, devraient être tout aussi impliqués que le reste de l'équipe dans toutes les mesures de conformité en matière de sécurité.
Mais attendez... écoutez-moi. Cela ne signifie pas que tout le monde doit devenir l'esclave d'un développement et de résultats logiciels rigides et sans créativité. Cela signifie que l'entreprise a la possibilité et le pouvoir de créer ensemble un niveau de code plus élevé. Lentement, le monde se rend compte qu'à ce jour, les développeurs ne disposent pas des bons outils pour faire de la sécurité une priorité (et les spécialistes de la sécurité cloisonnés ne peuvent pas en assumer seuls la responsabilité). Cependant, alors que le secteur évolue vers un avenir DevSecOps où la sécurité est une responsabilité partagée, ils peuvent contribuer à endiguer le flux de vulnérabilités récurrentes lorsqu'ils sont configurés pour réussir.
Les directives PCI-DSS couvrent la conformité en matière de sécurité en ligne pour les passerelles de paiement par carte, un service que la plupart d'entre nous utilisent régulièrement. Ces directives sont applicables dans le monde entier, et elles ont en fait décrit en détail ce que les développeurs doivent faire pour maintenir les normes conformément à leurs mandats, aux côtés plusieurs documents de conformité dans tous les aspects du commerce électronique.
Les violations de données constituent des risques effrayants et destructeurs de réputation que les entreprises ne peuvent pas se permettre, et Cyber Security Ventures donne des conseils sur les violations du jour zéro pour atteindre un par jour en 2021, chacun des acteurs du processus de fourniture de logiciels peut contribuer à lutter contre ce problème.
Décrivons les recommandations PCI-DSS et expliquons comment elles peuvent fonctionner au sein de l'équipe :
Bonjour, équipes AppSec et Compliance : toutes les formations destinées aux développeurs ne se valent pas
Les développeurs des grandes (ou même des petites) organisations participent rarement pleinement à la formation qu'ils reçoivent sur le tas. Afin de conserver les meilleurs employés, certaines entreprises proposent des programmes complets, mais ceux-ci sont encore moins courants qu'ils ne devraient l'être. Le besoin de formation en matière de sécurité représente une excellente occasion non seulement de lancer la mise en conformité de l'organisation sans ennuyer tout le monde, mais également de commencer à nouer des relations glaciales avec l'équipe de développement.
En termes de conformité PCI, vous pouvez constater que leurs directives sont spécifiques quant aux résultats qu'ils peuvent attendre de tout logiciel exécutant des passerelles de paiement ; entre autres objectifs, ils souhaitent que les applications soient renforcées (vital pour contrecarrer les programmes malveillants). injection de code ou falsification), des contrôles de moindre privilège et une prise de conscience complète des vulnérabilités courantes... au minimum. Tout le personnel travaillant avec les données des titulaires de cartes doit être correctement formé, et pour les développeurs, cette formation peut faire ou défaire leur réussite en matière d'écriture de code sécurisé dès le début de leur processus.
L'officiel Meilleures pratiques pour maintenir la conformité à la norme PCI-DSS le document détaille certains concepts directs liés à la sensibilisation à la sécurité, aux besoins des développeurs et à la formation appropriée, tels que :
Tous droits réservés © 2006 - 2020 Conseil des normes de sécurité PCI, LLC. Tous droits réservés.
Cela donne un aperçu de la formation spécifique et approfondie requise pour doter les développeurs des compétences nécessaires, mais aucun type particulier de solutions pédagogiques n'est plus efficace qu'un autre. Le guide PCI-DSS pour les développeurs est un peu plus direct, identifiant le Top 10 de l'OWASP comme une référence pour apprendre à identifier et à corriger les vulnérabilités les plus courantes, ainsi que certains programmes de certification.
Mais... voici le hic. Comme vous le savez sans doute grâce aux diverses initiatives de formation et de conformité en milieu de travail, leur qualité et leur succès futur peuvent varier considérablement. Et en ce qui concerne les développeurs, de nombreux programmes de formation au codage sécurisé ne semblent pas répondre de manière significative à nos besoins, à nos méthodes de travail ou même à notre travail quotidien. Dans ce scénario, toutes les formations ne sont pas créées de la même manière, et toutes les formations n'aboutiront pas à un logiciel plus sécurisé. Bien entendu, c'est exactement le contraire du résultat que vous souhaitez obtenir, et cela ne réduira pas de manière significative le stress lié à votre travail. Si vous voulez réduire le fardeau et empêcher les vulnérabilités courantes de provoquer des catastrophes potentielles, vous devrez construire un pont.
Combler le déficit de compétences en matière de sécurité en faisant appel à des responsables de l'ingénierie
Travailler directement avec les responsables de l'ingénierie pour trouver une solution adaptée à l'objectif, tout en étant adoptée par les personnes réellement chargées de la mettre en œuvre, permet d'obtenir rapidement des résultats positifs en matière de sécurité. Ils auront un aperçu plus immédiat de leur propre équipe et pourront parler à tous les bloqueurs qui ont déjà rendu la formation à la conformité difficile (si ce n'est pas une expérience formidable, la plupart du temps).
Les formations en classe, la vidéo à la demande et tous les exercices ponctuels à cocher font qu'il est très difficile de rester à jour ; il s'agit de solutions statiques qui ne peuvent pas suivre le rythme du paysage en constante évolution qu'est le secteur de la cybersécurité. En fin de compte, le responsable de l'ingénierie souhaitera valoriser le temps qui lui est consacré. Il est important de travailler avec lui et de proposer des options viables qui répondent à l'objectif commun de tous : un code plus sécurisé et plus conforme.
Alors, à quoi ressemble un bon entraînement ? Il ne sert à rien d'apprendre à coder en toute sécurité en saisissant de gros volumes d'informations une seule fois. Un processus d'apprentissage progressif et de petite envergure le rend beaucoup plus facile à mémoriser et à appliquer en contexte, et il doit absolument être dans les langages et les cadres utilisés au quotidien. Personnellement, je veux relever des défis et je veux voir un but à mes efforts. Nous sommes tous assez occupés en l'état, n'est-ce pas ?
Pour se conformer aux meilleures pratiques PCI-DSS décrites ci-dessus, en fonction de la solution choisie, les responsables peuvent être amenés à créer une mosaïque de cours couvrant tous les langages et frameworks utilisés dans l'entreprise. C'est là que les choses se compliquent, sans parler des difficultés à évaluer pour les équipes de sécurité et de conformité des applications en termes d'impact sur la sécurité et la réduction des vulnérabilités des logiciels. Travaillez ensemble pour trouver la solution idéale, au lieu de vous précipiter dans la mauvaise option pour obtenir un résultat rapide. Sinon, vous pourriez vous retrouver avec une solution d'entraînement Frankenstein... et ça a l'air très effrayant.
Merci d'avoir consulté la première partie de cette mini-série PCI-DSS. Dans le dernier chapitre, nous verrons comment les RSSI et les directeurs techniques peuvent contribuer à cette transformation de la culture, donner des moyens aux équipes, et comment les acteurs de première ligne en matière de sécurité, « votre cohorte de développeurs », peuvent tirer parti de la sensibilisation et de la conformité à la norme PCI-DSS à leur avantage.
目录
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示下载帮助您入门的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
