La sécurité logicielle est dans le Far West (et elle va nous faire tuer)
Publié à l'origine dans CSO en ligne
En tant que hacker éthique (semi-retraité), professionnel de la sécurité et passionné d'informatique, on peut dire que je tiens beaucoup à la technologie. Je m'intéresse à la façon dont il a été conçu, à ce qu'il fait et à la manière dont il va améliorer ou rendre certains aspects de notre vie plus efficaces. Je regarde tout le temps « sous le capot » des appareils et je trouve certains des meilleurs (et des pires) exemples de code disponibles. Récemment, j'ai étudié comment mon système de climatisation pouvait être contrôlé à distance à l'aide d'une application Android (imaginez ma surprise lorsque j'ai découvert que n'importe qui sur le réseau WiFi pouvait contrôler cet appareil sans aucune authentification).
La sécurité des logiciels est toujours une priorité pour moi, tout comme le danger très réel que représente notre mode de vie de plus en plus numérique et axé sur le partage d'informations personnelles. Après tout, nous nous trouvons dans un territoire largement non réglementé, non supervisé et parfaitement ignoré. Nous sommes dans le Far West.
En tant que société collective, nous ne cherchons pas à dissimuler la technologie que nous utilisons au quotidien. Bien que des séries télévisées populaires et très acclamées comme Mr. Robot contribuent à sensibiliser le public, nous ne sommes pas soucieux de la sécurité... En fait, la plupart d'entre nous ne savent pas à quel point le logiciel est sécurisé parmi la myriade d'applications, de services et d'objets de plus en plus connectés que nous achetons et utilisons. Ce n'est même pas que nous leur faisons fondamentalement confiance, nous n'y pensons tout simplement pas du tout.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo ! , Facebook, Target : chacune de ces entreprises très utilisées a été victime d'une violation de données. Leur vulnérabilités logicielles ont été exploitées et des millions et des millions de dossiers clients ont été exposés. Ces exemples ne représentent qu'une fraction des violations mondiales qui ont eu lieu au cours des dix dernières années. Ils sont la conséquence coûteuse d'une mauvaise sécurité logicielle qui permet aux malfaiteurs de voler nos précieuses informations.
Lorsque la plupart des gens pensent aux violations de données, ils pensent aux failles de sécurité de l'information. Elles sont considérées comme un cauchemar pour l'entreprise concernée et peu pratiques pour les personnes dont les données personnelles ont été touchées, mais sérieusement, quel est le problème ? Si la sécurité continue d'être ignorée, les conséquences sont-elles vraiment si graves ? Rien cette des événements majeurs se sont produits jusqu'à présent : les violations de données ont de graves répercussions sur les entreprises qui en sont responsables, mais c'est leur problème, non ? Ils perdent des clients, ils perdent la confiance des consommateurs ; en fin de compte, c'est à eux de régler le problème et de payer les dégâts.
La sécurité logicielle doit être la priorité de chaque organisation.
La raison pour laquelle la sécurité logicielle n'est pas la principale préoccupation de toutes les entreprises dotées d'une équipe de développement est assez simple : trop peu de personnes ont perdu la vie et les connaissances sur les risques sont insuffisantes.
Morbide ? Peut-être. Mais c'est la vérité. La réglementation, les normes de construction et l'évolution des lois sont prêtées (par exemple, de la part des agences gouvernementales) lorsqu'il y a un véritable coût humain.
Prenons un pont, par exemple. Les ingénieurs civils (un métier vieux de plusieurs centaines d'années) considèrent la sécurité comme un élément essentiel de la construction d'un pont. Leur approche va bien au-delà de l'esthétique et de la fonctionnalité de base. Chaque pont construit est censé respecter des règles de sécurité strictes, les professionnels du génie civil et la société dans son ensemble apprenant au fil du temps à s'attendre à un niveau de sécurité élevé. Aujourd'hui, un pont qui ne répond pas aux exigences de sécurité est considéré comme dangereux et inutilisable. Il s'agit toujours d'une évolution que nous devons réaliser dans le domaine du génie logiciel.
À titre d'exemple plus moderne, examinons l'industrie du jouet. Les années 1950 ont vu forte hausse de la production et des ventes de jouets grâce au baby-boom de l'après-guerre. Il est intéressant de noter que le nombre de visites aux urgences liées à des incidents liés à des jouets aurait également augmenté au cours de cette période. Des flèches en forme de jouet causaient des blessures aux yeux, de petits jouets (et des pièces détachables de jouets plus grands) étaient ingérés, et fours à jouets destinés aux petites filles étaient capables de chauffer à des températures plus élevées que les fours domestiques ordinaires.
C'était un peu un « Far West » là-bas, avec peu de réglementation, à l'exception de quelques interdictions isolées et de rappels de produits dans les circonstances les plus difficiles. Les fabricants de jouets étaient essentiellement libres de produire les jouets de leur choix, tout problème de sécurité étant généralement signalé après que plusieurs incidents aient déjà été signalés. Ce n'est que lorsque des projets de loi comme Loi sur la sécurité des jouets de 1969 de Richard Nixon ont été promulguées pour que les tests et l'interdiction ultérieure des jouets dangereux soient devenus la norme, aux États-Unis et dans le monde entier. Bien que des accidents puissent toujours se produire, aujourd'hui, le processus général de fabrication des jouets adopte une politique de « sécurité d'abord », et nos enfants courent beaucoup moins de danger potentiel.
En matière de sécurité logicielle, nous sommes actuellement dans le Far West. Hormis les lois et réglementations évidentes en matière de confidentialité (en particulier récemment avec le RGPD) et de protection des données des clients, ainsi que la législation obligatoire en matière de signalement des violations dans certains pays, très peu de choses sont dites et faites dans les entreprises ou la communauté traditionnelles sur le niveau de sécurité intégré aux logiciels. Même ces lois concernent davantage la responsabilité de l'entreprise que les logiciels eux-mêmes réglementés ou soumis à une norme de sécurité obligatoire.
Nous y arriverons, mais il faudra peut-être d'abord emprunter la voie de la destruction.
Gartner estime qu'il y aura 8,4 milliards d'appareils connectés à Internet seront utilisés d'ici 2020; un chiffre qui représente une augmentation de 31 % depuis 2016. Cela inclut l'électronique grand public, ainsi que des équipements tels que les dispositifs médicaux et les équipements spécifiques à l'industrie. C'est une sacrée opportunité pour un hacker.
Imaginez que le logiciel qui fait fonctionner le stimulateur cardiaque de quelqu'un n'est pas sécurisé. Un pirate informatique pourrait entrer par effraction et potentiellement arrêter le cœur de sa victime (vous pensez que c'est ridicule ? Médecins a désactivé le WiFi dans le stimulateur cardiaque de Dick Cheney pour empêcher un éventuel assassinat par piratage informatique). Un four à micro-ondes ou une bouilloire connectés pourrait être explosé à distance (ainsi que toutes sortes d'appareils Internet des objets dont nous profitons chez nous), ou les freins d'une voiture électrique connectée pourraient être désactivés. Cela peut sembler être un film d'action hollywoodien tiré par les cheveux, mais si le logiciel de l'une de ces technologies connectées avancées peut être piraté, nous sommes vraiment confrontés à une catastrophe potentielle, tout comme les menaces que nous avons déjà couvertes avec les ramifications explosives des cyberattaques dans l'industrie pétrolière et gazière.
Nous pouvons prévenir les conséquences désastreuses du piratage informatique alors que nos vies deviennent de plus en plus dépendantes du numérique. Tout commence par susciter l'intérêt des développeurs pour le codage sécurisé et prendre au sérieux la nécessité de développer un état d'esprit et une culture solides en matière de sécurité au sein des équipes de développement.
Votre révolution logicielle commence ici. Le secteur bancaire montre la voie à suivre en adoptant la formation gamifiée pour lutter contre les mauvais codes, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (lire : ennuyeuse). En fait, chacune des six plus grandes banques d'Australie engage actuellement ses développeurs de cette manière, ce qui leur permet de renforcer leur état d'esprit en matière de sécurité. Découvrez ce que notre client, IAG Group, a fait avec son tournoi de niveau supérieur.
La sécurité des logiciels est toujours une priorité pour moi, tout comme le danger très réel que représente notre mode de vie de plus en plus numérique et axé sur le partage d'informations personnelles. Après tout, nous nous trouvons dans un territoire largement non réglementé, non supervisé et parfaitement ignoré. Nous sommes dans le Far West.
首席执行官、主席和联合创始人
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Publié à l'origine dans CSO en ligne
En tant que hacker éthique (semi-retraité), professionnel de la sécurité et passionné d'informatique, on peut dire que je tiens beaucoup à la technologie. Je m'intéresse à la façon dont il a été conçu, à ce qu'il fait et à la manière dont il va améliorer ou rendre certains aspects de notre vie plus efficaces. Je regarde tout le temps « sous le capot » des appareils et je trouve certains des meilleurs (et des pires) exemples de code disponibles. Récemment, j'ai étudié comment mon système de climatisation pouvait être contrôlé à distance à l'aide d'une application Android (imaginez ma surprise lorsque j'ai découvert que n'importe qui sur le réseau WiFi pouvait contrôler cet appareil sans aucune authentification).
La sécurité des logiciels est toujours une priorité pour moi, tout comme le danger très réel que représente notre mode de vie de plus en plus numérique et axé sur le partage d'informations personnelles. Après tout, nous nous trouvons dans un territoire largement non réglementé, non supervisé et parfaitement ignoré. Nous sommes dans le Far West.
En tant que société collective, nous ne cherchons pas à dissimuler la technologie que nous utilisons au quotidien. Bien que des séries télévisées populaires et très acclamées comme Mr. Robot contribuent à sensibiliser le public, nous ne sommes pas soucieux de la sécurité... En fait, la plupart d'entre nous ne savent pas à quel point le logiciel est sécurisé parmi la myriade d'applications, de services et d'objets de plus en plus connectés que nous achetons et utilisons. Ce n'est même pas que nous leur faisons fondamentalement confiance, nous n'y pensons tout simplement pas du tout.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo ! , Facebook, Target : chacune de ces entreprises très utilisées a été victime d'une violation de données. Leur vulnérabilités logicielles ont été exploitées et des millions et des millions de dossiers clients ont été exposés. Ces exemples ne représentent qu'une fraction des violations mondiales qui ont eu lieu au cours des dix dernières années. Ils sont la conséquence coûteuse d'une mauvaise sécurité logicielle qui permet aux malfaiteurs de voler nos précieuses informations.
Lorsque la plupart des gens pensent aux violations de données, ils pensent aux failles de sécurité de l'information. Elles sont considérées comme un cauchemar pour l'entreprise concernée et peu pratiques pour les personnes dont les données personnelles ont été touchées, mais sérieusement, quel est le problème ? Si la sécurité continue d'être ignorée, les conséquences sont-elles vraiment si graves ? Rien cette des événements majeurs se sont produits jusqu'à présent : les violations de données ont de graves répercussions sur les entreprises qui en sont responsables, mais c'est leur problème, non ? Ils perdent des clients, ils perdent la confiance des consommateurs ; en fin de compte, c'est à eux de régler le problème et de payer les dégâts.
La sécurité logicielle doit être la priorité de chaque organisation.
La raison pour laquelle la sécurité logicielle n'est pas la principale préoccupation de toutes les entreprises dotées d'une équipe de développement est assez simple : trop peu de personnes ont perdu la vie et les connaissances sur les risques sont insuffisantes.
Morbide ? Peut-être. Mais c'est la vérité. La réglementation, les normes de construction et l'évolution des lois sont prêtées (par exemple, de la part des agences gouvernementales) lorsqu'il y a un véritable coût humain.
Prenons un pont, par exemple. Les ingénieurs civils (un métier vieux de plusieurs centaines d'années) considèrent la sécurité comme un élément essentiel de la construction d'un pont. Leur approche va bien au-delà de l'esthétique et de la fonctionnalité de base. Chaque pont construit est censé respecter des règles de sécurité strictes, les professionnels du génie civil et la société dans son ensemble apprenant au fil du temps à s'attendre à un niveau de sécurité élevé. Aujourd'hui, un pont qui ne répond pas aux exigences de sécurité est considéré comme dangereux et inutilisable. Il s'agit toujours d'une évolution que nous devons réaliser dans le domaine du génie logiciel.
À titre d'exemple plus moderne, examinons l'industrie du jouet. Les années 1950 ont vu forte hausse de la production et des ventes de jouets grâce au baby-boom de l'après-guerre. Il est intéressant de noter que le nombre de visites aux urgences liées à des incidents liés à des jouets aurait également augmenté au cours de cette période. Des flèches en forme de jouet causaient des blessures aux yeux, de petits jouets (et des pièces détachables de jouets plus grands) étaient ingérés, et fours à jouets destinés aux petites filles étaient capables de chauffer à des températures plus élevées que les fours domestiques ordinaires.
C'était un peu un « Far West » là-bas, avec peu de réglementation, à l'exception de quelques interdictions isolées et de rappels de produits dans les circonstances les plus difficiles. Les fabricants de jouets étaient essentiellement libres de produire les jouets de leur choix, tout problème de sécurité étant généralement signalé après que plusieurs incidents aient déjà été signalés. Ce n'est que lorsque des projets de loi comme Loi sur la sécurité des jouets de 1969 de Richard Nixon ont été promulguées pour que les tests et l'interdiction ultérieure des jouets dangereux soient devenus la norme, aux États-Unis et dans le monde entier. Bien que des accidents puissent toujours se produire, aujourd'hui, le processus général de fabrication des jouets adopte une politique de « sécurité d'abord », et nos enfants courent beaucoup moins de danger potentiel.
En matière de sécurité logicielle, nous sommes actuellement dans le Far West. Hormis les lois et réglementations évidentes en matière de confidentialité (en particulier récemment avec le RGPD) et de protection des données des clients, ainsi que la législation obligatoire en matière de signalement des violations dans certains pays, très peu de choses sont dites et faites dans les entreprises ou la communauté traditionnelles sur le niveau de sécurité intégré aux logiciels. Même ces lois concernent davantage la responsabilité de l'entreprise que les logiciels eux-mêmes réglementés ou soumis à une norme de sécurité obligatoire.
Nous y arriverons, mais il faudra peut-être d'abord emprunter la voie de la destruction.
Gartner estime qu'il y aura 8,4 milliards d'appareils connectés à Internet seront utilisés d'ici 2020; un chiffre qui représente une augmentation de 31 % depuis 2016. Cela inclut l'électronique grand public, ainsi que des équipements tels que les dispositifs médicaux et les équipements spécifiques à l'industrie. C'est une sacrée opportunité pour un hacker.
Imaginez que le logiciel qui fait fonctionner le stimulateur cardiaque de quelqu'un n'est pas sécurisé. Un pirate informatique pourrait entrer par effraction et potentiellement arrêter le cœur de sa victime (vous pensez que c'est ridicule ? Médecins a désactivé le WiFi dans le stimulateur cardiaque de Dick Cheney pour empêcher un éventuel assassinat par piratage informatique). Un four à micro-ondes ou une bouilloire connectés pourrait être explosé à distance (ainsi que toutes sortes d'appareils Internet des objets dont nous profitons chez nous), ou les freins d'une voiture électrique connectée pourraient être désactivés. Cela peut sembler être un film d'action hollywoodien tiré par les cheveux, mais si le logiciel de l'une de ces technologies connectées avancées peut être piraté, nous sommes vraiment confrontés à une catastrophe potentielle, tout comme les menaces que nous avons déjà couvertes avec les ramifications explosives des cyberattaques dans l'industrie pétrolière et gazière.
Nous pouvons prévenir les conséquences désastreuses du piratage informatique alors que nos vies deviennent de plus en plus dépendantes du numérique. Tout commence par susciter l'intérêt des développeurs pour le codage sécurisé et prendre au sérieux la nécessité de développer un état d'esprit et une culture solides en matière de sécurité au sein des équipes de développement.
Votre révolution logicielle commence ici. Le secteur bancaire montre la voie à suivre en adoptant la formation gamifiée pour lutter contre les mauvais codes, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (lire : ennuyeuse). En fait, chacune des six plus grandes banques d'Australie engage actuellement ses développeurs de cette manière, ce qui leur permet de renforcer leur état d'esprit en matière de sécurité. Découvrez ce que notre client, IAG Group, a fait avec son tournoi de niveau supérieur.
Publié à l'origine dans CSO en ligne
En tant que hacker éthique (semi-retraité), professionnel de la sécurité et passionné d'informatique, on peut dire que je tiens beaucoup à la technologie. Je m'intéresse à la façon dont il a été conçu, à ce qu'il fait et à la manière dont il va améliorer ou rendre certains aspects de notre vie plus efficaces. Je regarde tout le temps « sous le capot » des appareils et je trouve certains des meilleurs (et des pires) exemples de code disponibles. Récemment, j'ai étudié comment mon système de climatisation pouvait être contrôlé à distance à l'aide d'une application Android (imaginez ma surprise lorsque j'ai découvert que n'importe qui sur le réseau WiFi pouvait contrôler cet appareil sans aucune authentification).
La sécurité des logiciels est toujours une priorité pour moi, tout comme le danger très réel que représente notre mode de vie de plus en plus numérique et axé sur le partage d'informations personnelles. Après tout, nous nous trouvons dans un territoire largement non réglementé, non supervisé et parfaitement ignoré. Nous sommes dans le Far West.
En tant que société collective, nous ne cherchons pas à dissimuler la technologie que nous utilisons au quotidien. Bien que des séries télévisées populaires et très acclamées comme Mr. Robot contribuent à sensibiliser le public, nous ne sommes pas soucieux de la sécurité... En fait, la plupart d'entre nous ne savent pas à quel point le logiciel est sécurisé parmi la myriade d'applications, de services et d'objets de plus en plus connectés que nous achetons et utilisons. Ce n'est même pas que nous leur faisons fondamentalement confiance, nous n'y pensons tout simplement pas du tout.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo ! , Facebook, Target : chacune de ces entreprises très utilisées a été victime d'une violation de données. Leur vulnérabilités logicielles ont été exploitées et des millions et des millions de dossiers clients ont été exposés. Ces exemples ne représentent qu'une fraction des violations mondiales qui ont eu lieu au cours des dix dernières années. Ils sont la conséquence coûteuse d'une mauvaise sécurité logicielle qui permet aux malfaiteurs de voler nos précieuses informations.
Lorsque la plupart des gens pensent aux violations de données, ils pensent aux failles de sécurité de l'information. Elles sont considérées comme un cauchemar pour l'entreprise concernée et peu pratiques pour les personnes dont les données personnelles ont été touchées, mais sérieusement, quel est le problème ? Si la sécurité continue d'être ignorée, les conséquences sont-elles vraiment si graves ? Rien cette des événements majeurs se sont produits jusqu'à présent : les violations de données ont de graves répercussions sur les entreprises qui en sont responsables, mais c'est leur problème, non ? Ils perdent des clients, ils perdent la confiance des consommateurs ; en fin de compte, c'est à eux de régler le problème et de payer les dégâts.
La sécurité logicielle doit être la priorité de chaque organisation.
La raison pour laquelle la sécurité logicielle n'est pas la principale préoccupation de toutes les entreprises dotées d'une équipe de développement est assez simple : trop peu de personnes ont perdu la vie et les connaissances sur les risques sont insuffisantes.
Morbide ? Peut-être. Mais c'est la vérité. La réglementation, les normes de construction et l'évolution des lois sont prêtées (par exemple, de la part des agences gouvernementales) lorsqu'il y a un véritable coût humain.
Prenons un pont, par exemple. Les ingénieurs civils (un métier vieux de plusieurs centaines d'années) considèrent la sécurité comme un élément essentiel de la construction d'un pont. Leur approche va bien au-delà de l'esthétique et de la fonctionnalité de base. Chaque pont construit est censé respecter des règles de sécurité strictes, les professionnels du génie civil et la société dans son ensemble apprenant au fil du temps à s'attendre à un niveau de sécurité élevé. Aujourd'hui, un pont qui ne répond pas aux exigences de sécurité est considéré comme dangereux et inutilisable. Il s'agit toujours d'une évolution que nous devons réaliser dans le domaine du génie logiciel.
À titre d'exemple plus moderne, examinons l'industrie du jouet. Les années 1950 ont vu forte hausse de la production et des ventes de jouets grâce au baby-boom de l'après-guerre. Il est intéressant de noter que le nombre de visites aux urgences liées à des incidents liés à des jouets aurait également augmenté au cours de cette période. Des flèches en forme de jouet causaient des blessures aux yeux, de petits jouets (et des pièces détachables de jouets plus grands) étaient ingérés, et fours à jouets destinés aux petites filles étaient capables de chauffer à des températures plus élevées que les fours domestiques ordinaires.
C'était un peu un « Far West » là-bas, avec peu de réglementation, à l'exception de quelques interdictions isolées et de rappels de produits dans les circonstances les plus difficiles. Les fabricants de jouets étaient essentiellement libres de produire les jouets de leur choix, tout problème de sécurité étant généralement signalé après que plusieurs incidents aient déjà été signalés. Ce n'est que lorsque des projets de loi comme Loi sur la sécurité des jouets de 1969 de Richard Nixon ont été promulguées pour que les tests et l'interdiction ultérieure des jouets dangereux soient devenus la norme, aux États-Unis et dans le monde entier. Bien que des accidents puissent toujours se produire, aujourd'hui, le processus général de fabrication des jouets adopte une politique de « sécurité d'abord », et nos enfants courent beaucoup moins de danger potentiel.
En matière de sécurité logicielle, nous sommes actuellement dans le Far West. Hormis les lois et réglementations évidentes en matière de confidentialité (en particulier récemment avec le RGPD) et de protection des données des clients, ainsi que la législation obligatoire en matière de signalement des violations dans certains pays, très peu de choses sont dites et faites dans les entreprises ou la communauté traditionnelles sur le niveau de sécurité intégré aux logiciels. Même ces lois concernent davantage la responsabilité de l'entreprise que les logiciels eux-mêmes réglementés ou soumis à une norme de sécurité obligatoire.
Nous y arriverons, mais il faudra peut-être d'abord emprunter la voie de la destruction.
Gartner estime qu'il y aura 8,4 milliards d'appareils connectés à Internet seront utilisés d'ici 2020; un chiffre qui représente une augmentation de 31 % depuis 2016. Cela inclut l'électronique grand public, ainsi que des équipements tels que les dispositifs médicaux et les équipements spécifiques à l'industrie. C'est une sacrée opportunité pour un hacker.
Imaginez que le logiciel qui fait fonctionner le stimulateur cardiaque de quelqu'un n'est pas sécurisé. Un pirate informatique pourrait entrer par effraction et potentiellement arrêter le cœur de sa victime (vous pensez que c'est ridicule ? Médecins a désactivé le WiFi dans le stimulateur cardiaque de Dick Cheney pour empêcher un éventuel assassinat par piratage informatique). Un four à micro-ondes ou une bouilloire connectés pourrait être explosé à distance (ainsi que toutes sortes d'appareils Internet des objets dont nous profitons chez nous), ou les freins d'une voiture électrique connectée pourraient être désactivés. Cela peut sembler être un film d'action hollywoodien tiré par les cheveux, mais si le logiciel de l'une de ces technologies connectées avancées peut être piraté, nous sommes vraiment confrontés à une catastrophe potentielle, tout comme les menaces que nous avons déjà couvertes avec les ramifications explosives des cyberattaques dans l'industrie pétrolière et gazière.
Nous pouvons prévenir les conséquences désastreuses du piratage informatique alors que nos vies deviennent de plus en plus dépendantes du numérique. Tout commence par susciter l'intérêt des développeurs pour le codage sécurisé et prendre au sérieux la nécessité de développer un état d'esprit et une culture solides en matière de sécurité au sein des équipes de développement.
Votre révolution logicielle commence ici. Le secteur bancaire montre la voie à suivre en adoptant la formation gamifiée pour lutter contre les mauvais codes, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (lire : ennuyeuse). En fait, chacune des six plus grandes banques d'Australie engage actuellement ses développeurs de cette manière, ce qui leur permet de renforcer leur état d'esprit en matière de sécurité. Découvrez ce que notre client, IAG Group, a fait avec son tournoi de niveau supérieur.
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
显示报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Publié à l'origine dans CSO en ligne
En tant que hacker éthique (semi-retraité), professionnel de la sécurité et passionné d'informatique, on peut dire que je tiens beaucoup à la technologie. Je m'intéresse à la façon dont il a été conçu, à ce qu'il fait et à la manière dont il va améliorer ou rendre certains aspects de notre vie plus efficaces. Je regarde tout le temps « sous le capot » des appareils et je trouve certains des meilleurs (et des pires) exemples de code disponibles. Récemment, j'ai étudié comment mon système de climatisation pouvait être contrôlé à distance à l'aide d'une application Android (imaginez ma surprise lorsque j'ai découvert que n'importe qui sur le réseau WiFi pouvait contrôler cet appareil sans aucune authentification).
La sécurité des logiciels est toujours une priorité pour moi, tout comme le danger très réel que représente notre mode de vie de plus en plus numérique et axé sur le partage d'informations personnelles. Après tout, nous nous trouvons dans un territoire largement non réglementé, non supervisé et parfaitement ignoré. Nous sommes dans le Far West.
En tant que société collective, nous ne cherchons pas à dissimuler la technologie que nous utilisons au quotidien. Bien que des séries télévisées populaires et très acclamées comme Mr. Robot contribuent à sensibiliser le public, nous ne sommes pas soucieux de la sécurité... En fait, la plupart d'entre nous ne savent pas à quel point le logiciel est sécurisé parmi la myriade d'applications, de services et d'objets de plus en plus connectés que nous achetons et utilisons. Ce n'est même pas que nous leur faisons fondamentalement confiance, nous n'y pensons tout simplement pas du tout.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo ! , Facebook, Target : chacune de ces entreprises très utilisées a été victime d'une violation de données. Leur vulnérabilités logicielles ont été exploitées et des millions et des millions de dossiers clients ont été exposés. Ces exemples ne représentent qu'une fraction des violations mondiales qui ont eu lieu au cours des dix dernières années. Ils sont la conséquence coûteuse d'une mauvaise sécurité logicielle qui permet aux malfaiteurs de voler nos précieuses informations.
Lorsque la plupart des gens pensent aux violations de données, ils pensent aux failles de sécurité de l'information. Elles sont considérées comme un cauchemar pour l'entreprise concernée et peu pratiques pour les personnes dont les données personnelles ont été touchées, mais sérieusement, quel est le problème ? Si la sécurité continue d'être ignorée, les conséquences sont-elles vraiment si graves ? Rien cette des événements majeurs se sont produits jusqu'à présent : les violations de données ont de graves répercussions sur les entreprises qui en sont responsables, mais c'est leur problème, non ? Ils perdent des clients, ils perdent la confiance des consommateurs ; en fin de compte, c'est à eux de régler le problème et de payer les dégâts.
La sécurité logicielle doit être la priorité de chaque organisation.
La raison pour laquelle la sécurité logicielle n'est pas la principale préoccupation de toutes les entreprises dotées d'une équipe de développement est assez simple : trop peu de personnes ont perdu la vie et les connaissances sur les risques sont insuffisantes.
Morbide ? Peut-être. Mais c'est la vérité. La réglementation, les normes de construction et l'évolution des lois sont prêtées (par exemple, de la part des agences gouvernementales) lorsqu'il y a un véritable coût humain.
Prenons un pont, par exemple. Les ingénieurs civils (un métier vieux de plusieurs centaines d'années) considèrent la sécurité comme un élément essentiel de la construction d'un pont. Leur approche va bien au-delà de l'esthétique et de la fonctionnalité de base. Chaque pont construit est censé respecter des règles de sécurité strictes, les professionnels du génie civil et la société dans son ensemble apprenant au fil du temps à s'attendre à un niveau de sécurité élevé. Aujourd'hui, un pont qui ne répond pas aux exigences de sécurité est considéré comme dangereux et inutilisable. Il s'agit toujours d'une évolution que nous devons réaliser dans le domaine du génie logiciel.
À titre d'exemple plus moderne, examinons l'industrie du jouet. Les années 1950 ont vu forte hausse de la production et des ventes de jouets grâce au baby-boom de l'après-guerre. Il est intéressant de noter que le nombre de visites aux urgences liées à des incidents liés à des jouets aurait également augmenté au cours de cette période. Des flèches en forme de jouet causaient des blessures aux yeux, de petits jouets (et des pièces détachables de jouets plus grands) étaient ingérés, et fours à jouets destinés aux petites filles étaient capables de chauffer à des températures plus élevées que les fours domestiques ordinaires.
C'était un peu un « Far West » là-bas, avec peu de réglementation, à l'exception de quelques interdictions isolées et de rappels de produits dans les circonstances les plus difficiles. Les fabricants de jouets étaient essentiellement libres de produire les jouets de leur choix, tout problème de sécurité étant généralement signalé après que plusieurs incidents aient déjà été signalés. Ce n'est que lorsque des projets de loi comme Loi sur la sécurité des jouets de 1969 de Richard Nixon ont été promulguées pour que les tests et l'interdiction ultérieure des jouets dangereux soient devenus la norme, aux États-Unis et dans le monde entier. Bien que des accidents puissent toujours se produire, aujourd'hui, le processus général de fabrication des jouets adopte une politique de « sécurité d'abord », et nos enfants courent beaucoup moins de danger potentiel.
En matière de sécurité logicielle, nous sommes actuellement dans le Far West. Hormis les lois et réglementations évidentes en matière de confidentialité (en particulier récemment avec le RGPD) et de protection des données des clients, ainsi que la législation obligatoire en matière de signalement des violations dans certains pays, très peu de choses sont dites et faites dans les entreprises ou la communauté traditionnelles sur le niveau de sécurité intégré aux logiciels. Même ces lois concernent davantage la responsabilité de l'entreprise que les logiciels eux-mêmes réglementés ou soumis à une norme de sécurité obligatoire.
Nous y arriverons, mais il faudra peut-être d'abord emprunter la voie de la destruction.
Gartner estime qu'il y aura 8,4 milliards d'appareils connectés à Internet seront utilisés d'ici 2020; un chiffre qui représente une augmentation de 31 % depuis 2016. Cela inclut l'électronique grand public, ainsi que des équipements tels que les dispositifs médicaux et les équipements spécifiques à l'industrie. C'est une sacrée opportunité pour un hacker.
Imaginez que le logiciel qui fait fonctionner le stimulateur cardiaque de quelqu'un n'est pas sécurisé. Un pirate informatique pourrait entrer par effraction et potentiellement arrêter le cœur de sa victime (vous pensez que c'est ridicule ? Médecins a désactivé le WiFi dans le stimulateur cardiaque de Dick Cheney pour empêcher un éventuel assassinat par piratage informatique). Un four à micro-ondes ou une bouilloire connectés pourrait être explosé à distance (ainsi que toutes sortes d'appareils Internet des objets dont nous profitons chez nous), ou les freins d'une voiture électrique connectée pourraient être désactivés. Cela peut sembler être un film d'action hollywoodien tiré par les cheveux, mais si le logiciel de l'une de ces technologies connectées avancées peut être piraté, nous sommes vraiment confrontés à une catastrophe potentielle, tout comme les menaces que nous avons déjà couvertes avec les ramifications explosives des cyberattaques dans l'industrie pétrolière et gazière.
Nous pouvons prévenir les conséquences désastreuses du piratage informatique alors que nos vies deviennent de plus en plus dépendantes du numérique. Tout commence par susciter l'intérêt des développeurs pour le codage sécurisé et prendre au sérieux la nécessité de développer un état d'esprit et une culture solides en matière de sécurité au sein des équipes de développement.
Votre révolution logicielle commence ici. Le secteur bancaire montre la voie à suivre en adoptant la formation gamifiée pour lutter contre les mauvais codes, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (lire : ennuyeuse). En fait, chacune des six plus grandes banques d'Australie engage actuellement ses développeurs de cette manière, ce qui leur permet de renforcer leur état d'esprit en matière de sécurité. Découvrez ce que notre client, IAG Group, a fait avec son tournoi de niveau supérieur.
%20(1).avif)
.avif)
