Comment le gouvernement australien peut renforcer la résilience nationale en matière de cybersécurité et faire face aux menaces
L'année 2020 étant marquée par énorme augmentation du travail à distance, en plus de la poursuite des violations de données à grande échelle et de l'attention croissante portée aux conséquences d'une atteinte à la vie privée en ligne, le public n'a jamais accordé autant d'attention à la cybersécurité. En conséquence, les gouvernements du monde entier sont intervenus pour remodeler et mettre à jour leurs plans et infrastructures de cybersécurité, y compris les stratégies et les réglementations que les entreprises sont tenues de suivre lorsqu'elles gèrent nos ressources numériques les plus précieuses.
Les directives de protection stratégique en matière de cybersécurité ne sont pas un concept nouveau, et des organisations comme NIST ont influencé les politiques des ministères du monde entier pendant de nombreuses années. Alors que nous avons progressé à un rythme effréné dans le numérique, il est devenu difficile pour de nombreuses personnes de faire face au nombre de menaces, aux vecteurs d'attaque possibles et aux exigences de conformité qui font partie d'un paysage en constante évolution.
Un récent violation de 54 000 permis de conduire de la Nouvelle-Galles du Sud à la suite d'un compartiment S3 mal configuré et facilement accessible sur un serveur tiers, des milliers de personnes ont été compromises. Le chercheur en sécurité qui l'a signalé a reconnu que les données avaient peut-être déjà été vendues sur le dark web. Ce qui est triste, c'est qu'il s'agit d'une solution facile qui aurait été peu probable si la sécurité avait été une priorité pour ceux qui configurent le cache.
Le gouvernement australien a récemment publié le Stratégie australienne de cybersécurité 2020, mettant en avant de nouvelles initiatives et une augmentation de financement de 1,67 milliard de dollars à utiliser au cours de la prochaine décennie, pour réaliser leur « vision de créer un monde en ligne plus sécurisé pour les Australiens, leurs entreprises et les services essentiels dont nous dépendons tous ». Il s'agit clairement d'un examen très bienvenu et d'un plan actualisé, d'autant plus que l'un des principaux objectifs est le suivant :
«Mesures prises par les entreprises pour sécuriser leurs produits et services et protéger leurs clients contre les cybervulnérabilités connues«.
Alors que les organismes gouvernementaux ont tendance à se concentrer (comme il se doit) sur les mesures de sécurité concernant les infrastructures critiques d'un pays, c'est-à-dire des domaines qui se prêtent à une attaque organisée catastrophique, ce qui manquait par le passé, ce sont les directives destinées aux entreprises qui collectent et utilisent nos données au quotidien.
Maintenant, quand il s'agit de stratégie officielle comme celle-ci, il ne s'agit pas toujours de bière et de quilles. Cela peut être un peu difficile à interpréter et les détails sont vagues, laissant à l'équipe de sécurité de l'entreprise le soin d'élaborer un plan basé sur des directives non spécifiques. Ce problème n'est pas propre au gouvernement australien, mais analysons leur toute nouvelle version.
Mettre l'accent sur la réaction, pas sur la prévention.
La stratégie australienne de cybersécurité mise à jour constitue une amélioration plus pertinente par rapport à la dernière version de 2016, avec des plans assez complets pour les entreprises, en particulier les PME. La stratégie décrit les grandes lignes suivantes :
«Le gouvernement et les grandes entreprises aideront les petites et moyennes entreprises (PME) à se développer et à accroître leur sensibilisation et leurs capacités en matière de cybersécurité. Le gouvernement australien travaillera avec de grandes entreprises et des prestataires de services pour fournir aux PME des informations et des outils de cybersécurité dans le cadre de « lots » de services sécurisés (tels que le blocage des menaces, les antivirus et la formation de sensibilisation à la cybersécurité). »
Cela fournira aux PME une base de base décente sur laquelle elles pourront protéger leurs activités contre les cybermenaces, mais il s'agit en grande partie d'une approche réactive, et l'accent est mis sur les outils de détection, qui constituent une partie relativement restreinte du paysage de la cybersécurité.
Il existe également étonnamment peu d'informations sur la manière dont les grandes entreprises peuvent se protéger et réduire leurs vecteurs d'attaque. Bien que nombre d'entre eux puissent faire partie des plans visant à protéger les infrastructures critiques (telles que les télécommunications, les transports), services financiers, vente au détail, et de nombreux autres secteurs d'activité ont beaucoup à perdre en cas de cyberattaque réussie. Cela fera peut-être partie de la législation à venir, mais malgré cela, il est essentiel de souligner l'importance de bonnes pratiques méticuleuses en matière de cybersécurité au niveau de l'entreprise pour assister à des changements significatifs et à une baisse des données compromises et de la cybercriminalité.
Dans l'ensemble, si l'on considère la stratégie dans son ensemble, elle repose sur une approche réactive. Lutter contre les cyberattaques, perturber les cybercriminels actifs et garantir leur poursuite, ainsi que le partage de renseignements avec des alliés internationaux, sont tous des facteurs importants, mais imaginez si la norme de protection nationale était axée sur la prévention. Outre les mesures de protection des infrastructures critiques, si la sécurité était une priorité dans toutes les entreprises et que chaque personne touchant le code qui crée notre monde numérique était correctement équipée pour bloquer les attaques avant qu'elles ne se produisent, les économies de temps, d'argent et de chagrin pour les victimes sont incommensurables.
La résilience est possible, mais elle doit être planifiée.
Les efforts déployés par le gouvernement australien pour prendre au sérieux la cybersécurité montrent clairement que celle-ci a été identifiée comme un domaine à risque majeur au niveau national. Comme toute autre attaque malveillante susceptible de bouleverser notre mode de vie, la résilience est absolument cruciale, non seulement pour résister à une telle tentative, mais aussi pour empêcher qu'elle ne se produise. En fin de compte, même les acteurs de la menace peuvent être paresseux et ils se tourneront vers une cible plus facile pour atteindre leur objectif si trop d'obstacles entravent leur réussite.
À l'heure actuelle, nous sommes confrontés à une pénurie mondiale de compétences en cybersécurité, ce qui permet aux RSSI du monde entier de rester éveillés la nuit. Des milliards de lignes de code, des violations de données constantes à grande échelle et un risque accru de sanctions (Marriott uniquement) a reçu une amende de 123 millions de dollars américains en vertu du RGPD pour leur violation de données de 2018... et ils a connu une autre violation cette année) a plus que jamais créé un gouffre de demande pour les spécialistes de la sécurité qui, en réalité, a peu de chances d'être comblé. Il y a tout simplement trop de code et trop peu de ressources pour s'assurer qu'il est renforcé sous tous les angles.
Devons-nous donc renoncer à l'idée que nous serons un jour vraiment capables de faire face aux cybermenaces ? Aucune chance. La résilience nécessite d'utiliser toutes les ressources disponibles et de penser à une longueur d'avance. Et pour de nombreuses entreprises, leurs développeurs peuvent débloquer une puissante méthode de fortification dès l'écriture du code. Associé à une culture de sécurité visible et positive dans l'ensemble de l'entreprise, cela fournit une base sûre difficile à ébranler pour de nombreux attaquants. Cependant, cette méthode nécessite de prendre les suggestions de la stratégie australienne de cybersécurité, à titre d'exemple, et d'approfondir la manière dont elles peuvent être personnalisées pour soutenir des changements efficaces et pertinents pour l'entreprise.
À cette fin, il est important de détailler quelques conseils :
- Formation de sensibilisation à la sécurité : cette formation est spécifiquement destinée aux PME et, dans le contexte de l'ensemble du rapport, vise principalement à enseigner à l'ensemble du personnel les règles de base en matière de sécurité (par exemple, repérer les e-mails de phishing, ne pas cliquer sur des liens inconnus, etc.). En réalité, il doit aller bien plus loin que cela et devenir spécifique au rôle, en particulier pour ceux qui touchent au code, comme les développeurs. Il est impératif que la formation à la sensibilisation à la sécurité fasse partie des mesures préventives et du renforcement de la résilience
- Éducation : Dans le cadre d'un changement rafraîchissant, il existe un plan approfondi visant à remédier à la pénurie de compétences en cybersécurité au cours de la prochaine décennie, en mettant l'accent sur la formation en cybersécurité depuis les écoles primaires et secondaires jusqu'à l'enseignement supérieur. Cela est absolument nécessaire si nous voulons créer les superstars de la sécurité de demain, mais pour répondre aux besoins actuels des entreprises, une formation pratique au codage sécurisé pour la cohorte de développement est une nécessité absolue pour commencer à réduire les vulnérabilités courantes, et doit faire partie d'un programme de sécurité fonctionnel.
En tant qu'experts en sécurité, nous devons faire davantage pour aider les entreprises du monde entier à comprendre l'importance de mettre en place un programme de sécurité interne qui aille au-delà de simples mesures de sensibilisation fondamentales. Le fait de consacrer du temps à améliorer les compétences des développeurs soulage les spécialistes de la sécurité des applications surchargés de travail. Il est essentiel de veiller à ce que l'ensemble de l'entreprise soit aussi consciente que possible de la sécurité dans le contexte de son rôle afin de réduire la zone d'attaque superficielle des menaces dans les logiciels.
L'amélioration des compétences des développeurs est un temps bien investi, alors pourquoi tant d'entreprises l'ignorent-elles ?
Une récente enquête du DDLS a conclu que les organisations australiennes ne se soucient guère des priorités en matière de formation à la cybersécurité. En fait, il ne figurait même pas parmi les trois principales priorités en matière de formation, bien que 77 % des personnes interrogées considèrent la sensibilisation à la cybersécurité comme « extrêmement » ou « très importante » dans leur entreprise.
Il n'est donc pas étonnant que l'Australie peine à combler son déficit croissant de compétences et qu'elle ait encore du travail à faire pour créer une infrastructure plus résiliente, des services essentiels au commerce de détail, en passant par tout ce qui se trouve entre les deux.
Il y a là une énorme opportunité pour gouvernements pour créer une certification ou une réglementation de base des compétences en matière de sécurité, et la stratégie y fait allusion comme un moyen de travailler avec des ressources limitées. Cependant, une fois de plus, il s'agit d'une proposition tournée vers l'avenir, et nous disposons des outils nécessaires pour démarrer bien plus tôt si nous ciblons d'abord les zones à fort impact. Pour moi, l'espoir réside dans les équipes de développement de chaque organisation. Si elles disposent des outils et des connaissances nécessaires pour réussir, elles peuvent éliminer les vulnérabilités courantes au passage et réduire considérablement le risque de violation de données au sein de leur organisation.
En 2019, 24 % de toutes les violations de données ont été causées par une erreur humaine - à savoir les erreurs de configuration en matière de sécurité - qui sont généralement des correctifs relativement simples au niveau du code. Si la formation est considérée comme une priorité, en conjonction avec le renforcement de la sensibilisation à la sécurité à l'échelle de l'entreprise, je parie qu'il y aurait moins de RSSI qui signent les notifications de violation adressées à des milliers de clients compromis.
Les efforts déployés par le gouvernement australien pour prendre au sérieux la cybersécurité montrent clairement que celle-ci a été identifiée comme un domaine à risque majeur au niveau national, mais sa stratégie va-t-elle assez loin ?
首席执行官、主席和联合创始人
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
L'année 2020 étant marquée par énorme augmentation du travail à distance, en plus de la poursuite des violations de données à grande échelle et de l'attention croissante portée aux conséquences d'une atteinte à la vie privée en ligne, le public n'a jamais accordé autant d'attention à la cybersécurité. En conséquence, les gouvernements du monde entier sont intervenus pour remodeler et mettre à jour leurs plans et infrastructures de cybersécurité, y compris les stratégies et les réglementations que les entreprises sont tenues de suivre lorsqu'elles gèrent nos ressources numériques les plus précieuses.
Les directives de protection stratégique en matière de cybersécurité ne sont pas un concept nouveau, et des organisations comme NIST ont influencé les politiques des ministères du monde entier pendant de nombreuses années. Alors que nous avons progressé à un rythme effréné dans le numérique, il est devenu difficile pour de nombreuses personnes de faire face au nombre de menaces, aux vecteurs d'attaque possibles et aux exigences de conformité qui font partie d'un paysage en constante évolution.
Un récent violation de 54 000 permis de conduire de la Nouvelle-Galles du Sud à la suite d'un compartiment S3 mal configuré et facilement accessible sur un serveur tiers, des milliers de personnes ont été compromises. Le chercheur en sécurité qui l'a signalé a reconnu que les données avaient peut-être déjà été vendues sur le dark web. Ce qui est triste, c'est qu'il s'agit d'une solution facile qui aurait été peu probable si la sécurité avait été une priorité pour ceux qui configurent le cache.
Le gouvernement australien a récemment publié le Stratégie australienne de cybersécurité 2020, mettant en avant de nouvelles initiatives et une augmentation de financement de 1,67 milliard de dollars à utiliser au cours de la prochaine décennie, pour réaliser leur « vision de créer un monde en ligne plus sécurisé pour les Australiens, leurs entreprises et les services essentiels dont nous dépendons tous ». Il s'agit clairement d'un examen très bienvenu et d'un plan actualisé, d'autant plus que l'un des principaux objectifs est le suivant :
«Mesures prises par les entreprises pour sécuriser leurs produits et services et protéger leurs clients contre les cybervulnérabilités connues«.
Alors que les organismes gouvernementaux ont tendance à se concentrer (comme il se doit) sur les mesures de sécurité concernant les infrastructures critiques d'un pays, c'est-à-dire des domaines qui se prêtent à une attaque organisée catastrophique, ce qui manquait par le passé, ce sont les directives destinées aux entreprises qui collectent et utilisent nos données au quotidien.
Maintenant, quand il s'agit de stratégie officielle comme celle-ci, il ne s'agit pas toujours de bière et de quilles. Cela peut être un peu difficile à interpréter et les détails sont vagues, laissant à l'équipe de sécurité de l'entreprise le soin d'élaborer un plan basé sur des directives non spécifiques. Ce problème n'est pas propre au gouvernement australien, mais analysons leur toute nouvelle version.
Mettre l'accent sur la réaction, pas sur la prévention.
La stratégie australienne de cybersécurité mise à jour constitue une amélioration plus pertinente par rapport à la dernière version de 2016, avec des plans assez complets pour les entreprises, en particulier les PME. La stratégie décrit les grandes lignes suivantes :
«Le gouvernement et les grandes entreprises aideront les petites et moyennes entreprises (PME) à se développer et à accroître leur sensibilisation et leurs capacités en matière de cybersécurité. Le gouvernement australien travaillera avec de grandes entreprises et des prestataires de services pour fournir aux PME des informations et des outils de cybersécurité dans le cadre de « lots » de services sécurisés (tels que le blocage des menaces, les antivirus et la formation de sensibilisation à la cybersécurité). »
Cela fournira aux PME une base de base décente sur laquelle elles pourront protéger leurs activités contre les cybermenaces, mais il s'agit en grande partie d'une approche réactive, et l'accent est mis sur les outils de détection, qui constituent une partie relativement restreinte du paysage de la cybersécurité.
Il existe également étonnamment peu d'informations sur la manière dont les grandes entreprises peuvent se protéger et réduire leurs vecteurs d'attaque. Bien que nombre d'entre eux puissent faire partie des plans visant à protéger les infrastructures critiques (telles que les télécommunications, les transports), services financiers, vente au détail, et de nombreux autres secteurs d'activité ont beaucoup à perdre en cas de cyberattaque réussie. Cela fera peut-être partie de la législation à venir, mais malgré cela, il est essentiel de souligner l'importance de bonnes pratiques méticuleuses en matière de cybersécurité au niveau de l'entreprise pour assister à des changements significatifs et à une baisse des données compromises et de la cybercriminalité.
Dans l'ensemble, si l'on considère la stratégie dans son ensemble, elle repose sur une approche réactive. Lutter contre les cyberattaques, perturber les cybercriminels actifs et garantir leur poursuite, ainsi que le partage de renseignements avec des alliés internationaux, sont tous des facteurs importants, mais imaginez si la norme de protection nationale était axée sur la prévention. Outre les mesures de protection des infrastructures critiques, si la sécurité était une priorité dans toutes les entreprises et que chaque personne touchant le code qui crée notre monde numérique était correctement équipée pour bloquer les attaques avant qu'elles ne se produisent, les économies de temps, d'argent et de chagrin pour les victimes sont incommensurables.
La résilience est possible, mais elle doit être planifiée.
Les efforts déployés par le gouvernement australien pour prendre au sérieux la cybersécurité montrent clairement que celle-ci a été identifiée comme un domaine à risque majeur au niveau national. Comme toute autre attaque malveillante susceptible de bouleverser notre mode de vie, la résilience est absolument cruciale, non seulement pour résister à une telle tentative, mais aussi pour empêcher qu'elle ne se produise. En fin de compte, même les acteurs de la menace peuvent être paresseux et ils se tourneront vers une cible plus facile pour atteindre leur objectif si trop d'obstacles entravent leur réussite.
À l'heure actuelle, nous sommes confrontés à une pénurie mondiale de compétences en cybersécurité, ce qui permet aux RSSI du monde entier de rester éveillés la nuit. Des milliards de lignes de code, des violations de données constantes à grande échelle et un risque accru de sanctions (Marriott uniquement) a reçu une amende de 123 millions de dollars américains en vertu du RGPD pour leur violation de données de 2018... et ils a connu une autre violation cette année) a plus que jamais créé un gouffre de demande pour les spécialistes de la sécurité qui, en réalité, a peu de chances d'être comblé. Il y a tout simplement trop de code et trop peu de ressources pour s'assurer qu'il est renforcé sous tous les angles.
Devons-nous donc renoncer à l'idée que nous serons un jour vraiment capables de faire face aux cybermenaces ? Aucune chance. La résilience nécessite d'utiliser toutes les ressources disponibles et de penser à une longueur d'avance. Et pour de nombreuses entreprises, leurs développeurs peuvent débloquer une puissante méthode de fortification dès l'écriture du code. Associé à une culture de sécurité visible et positive dans l'ensemble de l'entreprise, cela fournit une base sûre difficile à ébranler pour de nombreux attaquants. Cependant, cette méthode nécessite de prendre les suggestions de la stratégie australienne de cybersécurité, à titre d'exemple, et d'approfondir la manière dont elles peuvent être personnalisées pour soutenir des changements efficaces et pertinents pour l'entreprise.
À cette fin, il est important de détailler quelques conseils :
- Formation de sensibilisation à la sécurité : cette formation est spécifiquement destinée aux PME et, dans le contexte de l'ensemble du rapport, vise principalement à enseigner à l'ensemble du personnel les règles de base en matière de sécurité (par exemple, repérer les e-mails de phishing, ne pas cliquer sur des liens inconnus, etc.). En réalité, il doit aller bien plus loin que cela et devenir spécifique au rôle, en particulier pour ceux qui touchent au code, comme les développeurs. Il est impératif que la formation à la sensibilisation à la sécurité fasse partie des mesures préventives et du renforcement de la résilience
- Éducation : Dans le cadre d'un changement rafraîchissant, il existe un plan approfondi visant à remédier à la pénurie de compétences en cybersécurité au cours de la prochaine décennie, en mettant l'accent sur la formation en cybersécurité depuis les écoles primaires et secondaires jusqu'à l'enseignement supérieur. Cela est absolument nécessaire si nous voulons créer les superstars de la sécurité de demain, mais pour répondre aux besoins actuels des entreprises, une formation pratique au codage sécurisé pour la cohorte de développement est une nécessité absolue pour commencer à réduire les vulnérabilités courantes, et doit faire partie d'un programme de sécurité fonctionnel.
En tant qu'experts en sécurité, nous devons faire davantage pour aider les entreprises du monde entier à comprendre l'importance de mettre en place un programme de sécurité interne qui aille au-delà de simples mesures de sensibilisation fondamentales. Le fait de consacrer du temps à améliorer les compétences des développeurs soulage les spécialistes de la sécurité des applications surchargés de travail. Il est essentiel de veiller à ce que l'ensemble de l'entreprise soit aussi consciente que possible de la sécurité dans le contexte de son rôle afin de réduire la zone d'attaque superficielle des menaces dans les logiciels.
L'amélioration des compétences des développeurs est un temps bien investi, alors pourquoi tant d'entreprises l'ignorent-elles ?
Une récente enquête du DDLS a conclu que les organisations australiennes ne se soucient guère des priorités en matière de formation à la cybersécurité. En fait, il ne figurait même pas parmi les trois principales priorités en matière de formation, bien que 77 % des personnes interrogées considèrent la sensibilisation à la cybersécurité comme « extrêmement » ou « très importante » dans leur entreprise.
Il n'est donc pas étonnant que l'Australie peine à combler son déficit croissant de compétences et qu'elle ait encore du travail à faire pour créer une infrastructure plus résiliente, des services essentiels au commerce de détail, en passant par tout ce qui se trouve entre les deux.
Il y a là une énorme opportunité pour gouvernements pour créer une certification ou une réglementation de base des compétences en matière de sécurité, et la stratégie y fait allusion comme un moyen de travailler avec des ressources limitées. Cependant, une fois de plus, il s'agit d'une proposition tournée vers l'avenir, et nous disposons des outils nécessaires pour démarrer bien plus tôt si nous ciblons d'abord les zones à fort impact. Pour moi, l'espoir réside dans les équipes de développement de chaque organisation. Si elles disposent des outils et des connaissances nécessaires pour réussir, elles peuvent éliminer les vulnérabilités courantes au passage et réduire considérablement le risque de violation de données au sein de leur organisation.
En 2019, 24 % de toutes les violations de données ont été causées par une erreur humaine - à savoir les erreurs de configuration en matière de sécurité - qui sont généralement des correctifs relativement simples au niveau du code. Si la formation est considérée comme une priorité, en conjonction avec le renforcement de la sensibilisation à la sécurité à l'échelle de l'entreprise, je parie qu'il y aurait moins de RSSI qui signent les notifications de violation adressées à des milliers de clients compromis.
L'année 2020 étant marquée par énorme augmentation du travail à distance, en plus de la poursuite des violations de données à grande échelle et de l'attention croissante portée aux conséquences d'une atteinte à la vie privée en ligne, le public n'a jamais accordé autant d'attention à la cybersécurité. En conséquence, les gouvernements du monde entier sont intervenus pour remodeler et mettre à jour leurs plans et infrastructures de cybersécurité, y compris les stratégies et les réglementations que les entreprises sont tenues de suivre lorsqu'elles gèrent nos ressources numériques les plus précieuses.
Les directives de protection stratégique en matière de cybersécurité ne sont pas un concept nouveau, et des organisations comme NIST ont influencé les politiques des ministères du monde entier pendant de nombreuses années. Alors que nous avons progressé à un rythme effréné dans le numérique, il est devenu difficile pour de nombreuses personnes de faire face au nombre de menaces, aux vecteurs d'attaque possibles et aux exigences de conformité qui font partie d'un paysage en constante évolution.
Un récent violation de 54 000 permis de conduire de la Nouvelle-Galles du Sud à la suite d'un compartiment S3 mal configuré et facilement accessible sur un serveur tiers, des milliers de personnes ont été compromises. Le chercheur en sécurité qui l'a signalé a reconnu que les données avaient peut-être déjà été vendues sur le dark web. Ce qui est triste, c'est qu'il s'agit d'une solution facile qui aurait été peu probable si la sécurité avait été une priorité pour ceux qui configurent le cache.
Le gouvernement australien a récemment publié le Stratégie australienne de cybersécurité 2020, mettant en avant de nouvelles initiatives et une augmentation de financement de 1,67 milliard de dollars à utiliser au cours de la prochaine décennie, pour réaliser leur « vision de créer un monde en ligne plus sécurisé pour les Australiens, leurs entreprises et les services essentiels dont nous dépendons tous ». Il s'agit clairement d'un examen très bienvenu et d'un plan actualisé, d'autant plus que l'un des principaux objectifs est le suivant :
«Mesures prises par les entreprises pour sécuriser leurs produits et services et protéger leurs clients contre les cybervulnérabilités connues«.
Alors que les organismes gouvernementaux ont tendance à se concentrer (comme il se doit) sur les mesures de sécurité concernant les infrastructures critiques d'un pays, c'est-à-dire des domaines qui se prêtent à une attaque organisée catastrophique, ce qui manquait par le passé, ce sont les directives destinées aux entreprises qui collectent et utilisent nos données au quotidien.
Maintenant, quand il s'agit de stratégie officielle comme celle-ci, il ne s'agit pas toujours de bière et de quilles. Cela peut être un peu difficile à interpréter et les détails sont vagues, laissant à l'équipe de sécurité de l'entreprise le soin d'élaborer un plan basé sur des directives non spécifiques. Ce problème n'est pas propre au gouvernement australien, mais analysons leur toute nouvelle version.
Mettre l'accent sur la réaction, pas sur la prévention.
La stratégie australienne de cybersécurité mise à jour constitue une amélioration plus pertinente par rapport à la dernière version de 2016, avec des plans assez complets pour les entreprises, en particulier les PME. La stratégie décrit les grandes lignes suivantes :
«Le gouvernement et les grandes entreprises aideront les petites et moyennes entreprises (PME) à se développer et à accroître leur sensibilisation et leurs capacités en matière de cybersécurité. Le gouvernement australien travaillera avec de grandes entreprises et des prestataires de services pour fournir aux PME des informations et des outils de cybersécurité dans le cadre de « lots » de services sécurisés (tels que le blocage des menaces, les antivirus et la formation de sensibilisation à la cybersécurité). »
Cela fournira aux PME une base de base décente sur laquelle elles pourront protéger leurs activités contre les cybermenaces, mais il s'agit en grande partie d'une approche réactive, et l'accent est mis sur les outils de détection, qui constituent une partie relativement restreinte du paysage de la cybersécurité.
Il existe également étonnamment peu d'informations sur la manière dont les grandes entreprises peuvent se protéger et réduire leurs vecteurs d'attaque. Bien que nombre d'entre eux puissent faire partie des plans visant à protéger les infrastructures critiques (telles que les télécommunications, les transports), services financiers, vente au détail, et de nombreux autres secteurs d'activité ont beaucoup à perdre en cas de cyberattaque réussie. Cela fera peut-être partie de la législation à venir, mais malgré cela, il est essentiel de souligner l'importance de bonnes pratiques méticuleuses en matière de cybersécurité au niveau de l'entreprise pour assister à des changements significatifs et à une baisse des données compromises et de la cybercriminalité.
Dans l'ensemble, si l'on considère la stratégie dans son ensemble, elle repose sur une approche réactive. Lutter contre les cyberattaques, perturber les cybercriminels actifs et garantir leur poursuite, ainsi que le partage de renseignements avec des alliés internationaux, sont tous des facteurs importants, mais imaginez si la norme de protection nationale était axée sur la prévention. Outre les mesures de protection des infrastructures critiques, si la sécurité était une priorité dans toutes les entreprises et que chaque personne touchant le code qui crée notre monde numérique était correctement équipée pour bloquer les attaques avant qu'elles ne se produisent, les économies de temps, d'argent et de chagrin pour les victimes sont incommensurables.
La résilience est possible, mais elle doit être planifiée.
Les efforts déployés par le gouvernement australien pour prendre au sérieux la cybersécurité montrent clairement que celle-ci a été identifiée comme un domaine à risque majeur au niveau national. Comme toute autre attaque malveillante susceptible de bouleverser notre mode de vie, la résilience est absolument cruciale, non seulement pour résister à une telle tentative, mais aussi pour empêcher qu'elle ne se produise. En fin de compte, même les acteurs de la menace peuvent être paresseux et ils se tourneront vers une cible plus facile pour atteindre leur objectif si trop d'obstacles entravent leur réussite.
À l'heure actuelle, nous sommes confrontés à une pénurie mondiale de compétences en cybersécurité, ce qui permet aux RSSI du monde entier de rester éveillés la nuit. Des milliards de lignes de code, des violations de données constantes à grande échelle et un risque accru de sanctions (Marriott uniquement) a reçu une amende de 123 millions de dollars américains en vertu du RGPD pour leur violation de données de 2018... et ils a connu une autre violation cette année) a plus que jamais créé un gouffre de demande pour les spécialistes de la sécurité qui, en réalité, a peu de chances d'être comblé. Il y a tout simplement trop de code et trop peu de ressources pour s'assurer qu'il est renforcé sous tous les angles.
Devons-nous donc renoncer à l'idée que nous serons un jour vraiment capables de faire face aux cybermenaces ? Aucune chance. La résilience nécessite d'utiliser toutes les ressources disponibles et de penser à une longueur d'avance. Et pour de nombreuses entreprises, leurs développeurs peuvent débloquer une puissante méthode de fortification dès l'écriture du code. Associé à une culture de sécurité visible et positive dans l'ensemble de l'entreprise, cela fournit une base sûre difficile à ébranler pour de nombreux attaquants. Cependant, cette méthode nécessite de prendre les suggestions de la stratégie australienne de cybersécurité, à titre d'exemple, et d'approfondir la manière dont elles peuvent être personnalisées pour soutenir des changements efficaces et pertinents pour l'entreprise.
À cette fin, il est important de détailler quelques conseils :
- Formation de sensibilisation à la sécurité : cette formation est spécifiquement destinée aux PME et, dans le contexte de l'ensemble du rapport, vise principalement à enseigner à l'ensemble du personnel les règles de base en matière de sécurité (par exemple, repérer les e-mails de phishing, ne pas cliquer sur des liens inconnus, etc.). En réalité, il doit aller bien plus loin que cela et devenir spécifique au rôle, en particulier pour ceux qui touchent au code, comme les développeurs. Il est impératif que la formation à la sensibilisation à la sécurité fasse partie des mesures préventives et du renforcement de la résilience
- Éducation : Dans le cadre d'un changement rafraîchissant, il existe un plan approfondi visant à remédier à la pénurie de compétences en cybersécurité au cours de la prochaine décennie, en mettant l'accent sur la formation en cybersécurité depuis les écoles primaires et secondaires jusqu'à l'enseignement supérieur. Cela est absolument nécessaire si nous voulons créer les superstars de la sécurité de demain, mais pour répondre aux besoins actuels des entreprises, une formation pratique au codage sécurisé pour la cohorte de développement est une nécessité absolue pour commencer à réduire les vulnérabilités courantes, et doit faire partie d'un programme de sécurité fonctionnel.
En tant qu'experts en sécurité, nous devons faire davantage pour aider les entreprises du monde entier à comprendre l'importance de mettre en place un programme de sécurité interne qui aille au-delà de simples mesures de sensibilisation fondamentales. Le fait de consacrer du temps à améliorer les compétences des développeurs soulage les spécialistes de la sécurité des applications surchargés de travail. Il est essentiel de veiller à ce que l'ensemble de l'entreprise soit aussi consciente que possible de la sécurité dans le contexte de son rôle afin de réduire la zone d'attaque superficielle des menaces dans les logiciels.
L'amélioration des compétences des développeurs est un temps bien investi, alors pourquoi tant d'entreprises l'ignorent-elles ?
Une récente enquête du DDLS a conclu que les organisations australiennes ne se soucient guère des priorités en matière de formation à la cybersécurité. En fait, il ne figurait même pas parmi les trois principales priorités en matière de formation, bien que 77 % des personnes interrogées considèrent la sensibilisation à la cybersécurité comme « extrêmement » ou « très importante » dans leur entreprise.
Il n'est donc pas étonnant que l'Australie peine à combler son déficit croissant de compétences et qu'elle ait encore du travail à faire pour créer une infrastructure plus résiliente, des services essentiels au commerce de détail, en passant par tout ce qui se trouve entre les deux.
Il y a là une énorme opportunité pour gouvernements pour créer une certification ou une réglementation de base des compétences en matière de sécurité, et la stratégie y fait allusion comme un moyen de travailler avec des ressources limitées. Cependant, une fois de plus, il s'agit d'une proposition tournée vers l'avenir, et nous disposons des outils nécessaires pour démarrer bien plus tôt si nous ciblons d'abord les zones à fort impact. Pour moi, l'espoir réside dans les équipes de développement de chaque organisation. Si elles disposent des outils et des connaissances nécessaires pour réussir, elles peuvent éliminer les vulnérabilités courantes au passage et réduire considérablement le risque de violation de données au sein de leur organisation.
En 2019, 24 % de toutes les violations de données ont été causées par une erreur humaine - à savoir les erreurs de configuration en matière de sécurité - qui sont généralement des correctifs relativement simples au niveau du code. Si la formation est considérée comme une priorité, en conjonction avec le renforcement de la sensibilisation à la sécurité à l'échelle de l'entreprise, je parie qu'il y aurait moins de RSSI qui signent les notifications de violation adressées à des milliers de clients compromis.
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
显示报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
L'année 2020 étant marquée par énorme augmentation du travail à distance, en plus de la poursuite des violations de données à grande échelle et de l'attention croissante portée aux conséquences d'une atteinte à la vie privée en ligne, le public n'a jamais accordé autant d'attention à la cybersécurité. En conséquence, les gouvernements du monde entier sont intervenus pour remodeler et mettre à jour leurs plans et infrastructures de cybersécurité, y compris les stratégies et les réglementations que les entreprises sont tenues de suivre lorsqu'elles gèrent nos ressources numériques les plus précieuses.
Les directives de protection stratégique en matière de cybersécurité ne sont pas un concept nouveau, et des organisations comme NIST ont influencé les politiques des ministères du monde entier pendant de nombreuses années. Alors que nous avons progressé à un rythme effréné dans le numérique, il est devenu difficile pour de nombreuses personnes de faire face au nombre de menaces, aux vecteurs d'attaque possibles et aux exigences de conformité qui font partie d'un paysage en constante évolution.
Un récent violation de 54 000 permis de conduire de la Nouvelle-Galles du Sud à la suite d'un compartiment S3 mal configuré et facilement accessible sur un serveur tiers, des milliers de personnes ont été compromises. Le chercheur en sécurité qui l'a signalé a reconnu que les données avaient peut-être déjà été vendues sur le dark web. Ce qui est triste, c'est qu'il s'agit d'une solution facile qui aurait été peu probable si la sécurité avait été une priorité pour ceux qui configurent le cache.
Le gouvernement australien a récemment publié le Stratégie australienne de cybersécurité 2020, mettant en avant de nouvelles initiatives et une augmentation de financement de 1,67 milliard de dollars à utiliser au cours de la prochaine décennie, pour réaliser leur « vision de créer un monde en ligne plus sécurisé pour les Australiens, leurs entreprises et les services essentiels dont nous dépendons tous ». Il s'agit clairement d'un examen très bienvenu et d'un plan actualisé, d'autant plus que l'un des principaux objectifs est le suivant :
«Mesures prises par les entreprises pour sécuriser leurs produits et services et protéger leurs clients contre les cybervulnérabilités connues«.
Alors que les organismes gouvernementaux ont tendance à se concentrer (comme il se doit) sur les mesures de sécurité concernant les infrastructures critiques d'un pays, c'est-à-dire des domaines qui se prêtent à une attaque organisée catastrophique, ce qui manquait par le passé, ce sont les directives destinées aux entreprises qui collectent et utilisent nos données au quotidien.
Maintenant, quand il s'agit de stratégie officielle comme celle-ci, il ne s'agit pas toujours de bière et de quilles. Cela peut être un peu difficile à interpréter et les détails sont vagues, laissant à l'équipe de sécurité de l'entreprise le soin d'élaborer un plan basé sur des directives non spécifiques. Ce problème n'est pas propre au gouvernement australien, mais analysons leur toute nouvelle version.
Mettre l'accent sur la réaction, pas sur la prévention.
La stratégie australienne de cybersécurité mise à jour constitue une amélioration plus pertinente par rapport à la dernière version de 2016, avec des plans assez complets pour les entreprises, en particulier les PME. La stratégie décrit les grandes lignes suivantes :
«Le gouvernement et les grandes entreprises aideront les petites et moyennes entreprises (PME) à se développer et à accroître leur sensibilisation et leurs capacités en matière de cybersécurité. Le gouvernement australien travaillera avec de grandes entreprises et des prestataires de services pour fournir aux PME des informations et des outils de cybersécurité dans le cadre de « lots » de services sécurisés (tels que le blocage des menaces, les antivirus et la formation de sensibilisation à la cybersécurité). »
Cela fournira aux PME une base de base décente sur laquelle elles pourront protéger leurs activités contre les cybermenaces, mais il s'agit en grande partie d'une approche réactive, et l'accent est mis sur les outils de détection, qui constituent une partie relativement restreinte du paysage de la cybersécurité.
Il existe également étonnamment peu d'informations sur la manière dont les grandes entreprises peuvent se protéger et réduire leurs vecteurs d'attaque. Bien que nombre d'entre eux puissent faire partie des plans visant à protéger les infrastructures critiques (telles que les télécommunications, les transports), services financiers, vente au détail, et de nombreux autres secteurs d'activité ont beaucoup à perdre en cas de cyberattaque réussie. Cela fera peut-être partie de la législation à venir, mais malgré cela, il est essentiel de souligner l'importance de bonnes pratiques méticuleuses en matière de cybersécurité au niveau de l'entreprise pour assister à des changements significatifs et à une baisse des données compromises et de la cybercriminalité.
Dans l'ensemble, si l'on considère la stratégie dans son ensemble, elle repose sur une approche réactive. Lutter contre les cyberattaques, perturber les cybercriminels actifs et garantir leur poursuite, ainsi que le partage de renseignements avec des alliés internationaux, sont tous des facteurs importants, mais imaginez si la norme de protection nationale était axée sur la prévention. Outre les mesures de protection des infrastructures critiques, si la sécurité était une priorité dans toutes les entreprises et que chaque personne touchant le code qui crée notre monde numérique était correctement équipée pour bloquer les attaques avant qu'elles ne se produisent, les économies de temps, d'argent et de chagrin pour les victimes sont incommensurables.
La résilience est possible, mais elle doit être planifiée.
Les efforts déployés par le gouvernement australien pour prendre au sérieux la cybersécurité montrent clairement que celle-ci a été identifiée comme un domaine à risque majeur au niveau national. Comme toute autre attaque malveillante susceptible de bouleverser notre mode de vie, la résilience est absolument cruciale, non seulement pour résister à une telle tentative, mais aussi pour empêcher qu'elle ne se produise. En fin de compte, même les acteurs de la menace peuvent être paresseux et ils se tourneront vers une cible plus facile pour atteindre leur objectif si trop d'obstacles entravent leur réussite.
À l'heure actuelle, nous sommes confrontés à une pénurie mondiale de compétences en cybersécurité, ce qui permet aux RSSI du monde entier de rester éveillés la nuit. Des milliards de lignes de code, des violations de données constantes à grande échelle et un risque accru de sanctions (Marriott uniquement) a reçu une amende de 123 millions de dollars américains en vertu du RGPD pour leur violation de données de 2018... et ils a connu une autre violation cette année) a plus que jamais créé un gouffre de demande pour les spécialistes de la sécurité qui, en réalité, a peu de chances d'être comblé. Il y a tout simplement trop de code et trop peu de ressources pour s'assurer qu'il est renforcé sous tous les angles.
Devons-nous donc renoncer à l'idée que nous serons un jour vraiment capables de faire face aux cybermenaces ? Aucune chance. La résilience nécessite d'utiliser toutes les ressources disponibles et de penser à une longueur d'avance. Et pour de nombreuses entreprises, leurs développeurs peuvent débloquer une puissante méthode de fortification dès l'écriture du code. Associé à une culture de sécurité visible et positive dans l'ensemble de l'entreprise, cela fournit une base sûre difficile à ébranler pour de nombreux attaquants. Cependant, cette méthode nécessite de prendre les suggestions de la stratégie australienne de cybersécurité, à titre d'exemple, et d'approfondir la manière dont elles peuvent être personnalisées pour soutenir des changements efficaces et pertinents pour l'entreprise.
À cette fin, il est important de détailler quelques conseils :
- Formation de sensibilisation à la sécurité : cette formation est spécifiquement destinée aux PME et, dans le contexte de l'ensemble du rapport, vise principalement à enseigner à l'ensemble du personnel les règles de base en matière de sécurité (par exemple, repérer les e-mails de phishing, ne pas cliquer sur des liens inconnus, etc.). En réalité, il doit aller bien plus loin que cela et devenir spécifique au rôle, en particulier pour ceux qui touchent au code, comme les développeurs. Il est impératif que la formation à la sensibilisation à la sécurité fasse partie des mesures préventives et du renforcement de la résilience
- Éducation : Dans le cadre d'un changement rafraîchissant, il existe un plan approfondi visant à remédier à la pénurie de compétences en cybersécurité au cours de la prochaine décennie, en mettant l'accent sur la formation en cybersécurité depuis les écoles primaires et secondaires jusqu'à l'enseignement supérieur. Cela est absolument nécessaire si nous voulons créer les superstars de la sécurité de demain, mais pour répondre aux besoins actuels des entreprises, une formation pratique au codage sécurisé pour la cohorte de développement est une nécessité absolue pour commencer à réduire les vulnérabilités courantes, et doit faire partie d'un programme de sécurité fonctionnel.
En tant qu'experts en sécurité, nous devons faire davantage pour aider les entreprises du monde entier à comprendre l'importance de mettre en place un programme de sécurité interne qui aille au-delà de simples mesures de sensibilisation fondamentales. Le fait de consacrer du temps à améliorer les compétences des développeurs soulage les spécialistes de la sécurité des applications surchargés de travail. Il est essentiel de veiller à ce que l'ensemble de l'entreprise soit aussi consciente que possible de la sécurité dans le contexte de son rôle afin de réduire la zone d'attaque superficielle des menaces dans les logiciels.
L'amélioration des compétences des développeurs est un temps bien investi, alors pourquoi tant d'entreprises l'ignorent-elles ?
Une récente enquête du DDLS a conclu que les organisations australiennes ne se soucient guère des priorités en matière de formation à la cybersécurité. En fait, il ne figurait même pas parmi les trois principales priorités en matière de formation, bien que 77 % des personnes interrogées considèrent la sensibilisation à la cybersécurité comme « extrêmement » ou « très importante » dans leur entreprise.
Il n'est donc pas étonnant que l'Australie peine à combler son déficit croissant de compétences et qu'elle ait encore du travail à faire pour créer une infrastructure plus résiliente, des services essentiels au commerce de détail, en passant par tout ce qui se trouve entre les deux.
Il y a là une énorme opportunité pour gouvernements pour créer une certification ou une réglementation de base des compétences en matière de sécurité, et la stratégie y fait allusion comme un moyen de travailler avec des ressources limitées. Cependant, une fois de plus, il s'agit d'une proposition tournée vers l'avenir, et nous disposons des outils nécessaires pour démarrer bien plus tôt si nous ciblons d'abord les zones à fort impact. Pour moi, l'espoir réside dans les équipes de développement de chaque organisation. Si elles disposent des outils et des connaissances nécessaires pour réussir, elles peuvent éliminer les vulnérabilités courantes au passage et réduire considérablement le risque de violation de données au sein de leur organisation.
En 2019, 24 % de toutes les violations de données ont été causées par une erreur humaine - à savoir les erreurs de configuration en matière de sécurité - qui sont généralement des correctifs relativement simples au niveau du code. Si la formation est considérée comme une priorité, en conjonction avec le renforcement de la sensibilisation à la sécurité à l'échelle de l'entreprise, je parie qu'il y aurait moins de RSSI qui signent les notifications de violation adressées à des milliers de clients compromis.
%20(1).avif)
.avif)
