Le changement dont nous avons besoin dans les Badlands de l'AppSec : mes prévisions pour 2019
2018 a été une année gigantesque pour les professionnels de la cybersécurité. Malgré les avertissements visant à prendre la sécurité plus au sérieux, la pression constante qui entoure encourager un plus grand nombre de talents dans le secteur de la sécurité et les tentatives générales visant à sensibiliser les entreprises à la cybersécurité, nous sommes confrontés aux cratères de fumée causés par des centaines de cyberattaques, qui témoignent de violations de données à grande échelle et de la méfiance des consommateurs à l'égard de certains grands noms connus. Rien qu'au premier semestre de 2018, 4,5 milliards d'enregistrements de données ont été compromis dans 945 incidents distincts.
Je l'ai déjà dit à de nombreuses reprises : nous pouvons faire mieux. Cependant, la véritable bataille à laquelle nous sommes confrontés n'est pas celle contre les enfants qui utilisent des scripts, contre de dangereux syndicats de cybercriminels organisés ou contre de mystérieux personnages vêtus de sweats à capuche qui tapent sur des ordinateurs portables. Le combat consiste à faire en sorte que davantage de personnes soient attentives à la réalité de ces violations.
La mise en conformité avec le RGPD est un bon début, mais elle n'aura pas d'effet majeur à court terme.
L'Union européenne Règlement général sur la protection des données Les lois (RGPD) battent aujourd'hui leur plein ; une menace imminente pour les organisations qui ne prennent pas la protection des données au sérieux. Avec de lourdes amendes infligées aux personnes jugées non conformes, cela avait pour but d'inciter les entreprises à renforcer leurs pratiques de sécurité, à traiter les données des clients avec plus de respect et à élaborer une stratégie pour atténuer les cyberattaques.
Certaines organisations ont été mises en garde contre de lourdes amendes à venir, mais nous n'avons pas encore constaté de véritables conséquences en cas de non-respect du RGPD. Pas de pénalités de faillite, juste un tas de fenêtres contextuelles sur lesquelles cliquer pour les internautes. Cela s'explique en partie par le fait que les procédures judiciaires prennent beaucoup de temps et offrent de nombreuses possibilités de recours. Toutes les entreprises qui ont pu être citées en exemple sont probablement engagées dans une bataille juridique de plusieurs mois, voire des années. Mettant fin à une année cauchemardesque pour Facebook, ils ont récemment signalé une autre violation de données : un bogue d'API exposant les photos privées de 6,8 millions d'utilisateurs à 1 500 applications non autorisées. Il a été découvert et corrigé en deux semaines, mais les agences de protection des données et le public n'ont été informés de la violation que des mois plus tard. Les lois du RGPD exigent la notification d'une violation dans les 72 heures, donc soulève de nombreuses questions quant à l'influence et à l'efficacité réelles de ces lois à l'heure actuelle.
Et bien entendu, les violations n'ont pas cessé ailleurs : celles de novembre Plage Marriott a révélé que 500 millions d'enregistrements de données avaient été compromis et, ce qui est peut-être encore plus inquiétant, que les attaquants avaient accédé à leurs systèmes pendant quatre ans avant d'être découverts. Il convient toutefois de noter que Marriott semble s'engager dans quelques contrôle des dégâts : ils ont offert aux victimes un abonnement gratuit de 12 mois à WebWatcher, un outil de surveillance du crédit... mais avec 500 millions de dossiers que les pirates informatiques peuvent examiner, il reste à voir si un an sera suffisant pour surveiller quelque chose d'significatif pour la plupart. Après tout, il faudra peut-être attendre quelques années avant que vos données ne soient mises en avant pour une utilisation peu scrupuleuse.
À long terme, des réglementations comme le RGPD volonté susciter des changements positifs s'ils sont mis en œuvre. Lorsque les entreprises seront confrontées à une sanction financière importante (ou, en fait, à des recours collectifs intentés par des clients dont les données ont été compromises) ou à une baisse de leurs bénéfices d'une ampleur suffisamment longue, je pense que la plupart des entreprises concentreront leurs efforts sur le renforcement des bases de données en ligne.
Les institutions financières continueront de montrer la voie à suivre en matière de changements positifs à court terme.
Il n'est peut-être pas surprenant que les institutions financières, en tant que gardiennes de l'argent durement gagné dans le monde, appliquent certaines des meilleures pratiques en matière de cybersécurité les plus strictes, ainsi que des processus de bout en bout visant à réduire leurs risques.
L'un des principaux facteurs de cette conformité provient du Conseil des normes de sécurité PCI, qui restent déterminés à aider les organisations financières à mettre en œuvre une politique de sécurité viable et à faire respecter les directives dans tous les domaines. Ils ont joué un rôle positif en aidant ce secteur à atteindre les normes de sécurité les plus élevées en matière de logiciels de paiement.
Alors, qu'est-ce que les institutions financières font différemment des autres ? D'après mon expérience, ils sont généralement plus attentifs à la sécurité et consacrent des ressources à des programmes de formation holistiques destinés non seulement aux professionnels de l'AppSec et aux testeurs, mais également à leurs équipes de développement (généralement très nombreuses et dispersées dans le monde entier). Ils permettent aux décideurs de haut niveau de comprendre que les processus de sécurité ne sont pas des mesures « définies et oubliées » ; ils doivent évoluer aussi rapidement que la technologie utilisée et s'adapter à des risques variables.
De plus en plus d'organisations transformeront leur pipeline de sécurité.
Comparé à d'autres branches de l'informatique, AppSec est relativement jeune. Il est difficile d'être un nouveau venu : vous êtes facilement mal compris et vous n'avez peut-être pas encore noué les relations clés dont vous avez besoin. Cependant, je pense que chaque année qui passe, il devient de plus en plus facile pour AppSec de trouver sa place, même dans les organisations les plus désuètes qui résistent au changement.
Il est de plus en plus évident que les entreprises ne peuvent pas faire de la conformité en matière de sécurité une étape finale et de dernière minute de leurs processus logiciels. Il doit y avoir des contrôles et des mesures point à point, en se concentrant davantage sur l'agrégation des données et en offrant une plus grande visibilité aux niveaux de direction de l'entreprise. Sans cela, la sécurité restera hors de vue, loin de l'esprit de la plupart des gens. Et dans ce scénario, il est pratiquement impossible de réunir les ressources nécessaires pour planifier les risques.
La bonne nouvelle, c'est que de plus en plus d'organisations détectent leurs propres cyberattaques et s'efforcent d'y remédier. La mauvaise nouvelle ? Ce processus prend en moyenne quatre-vingt-cinq jours.
Les outils de test au stylo et la révision manuelle du code sont difficiles, coûteux et lents à une époque où l'innovation rapide et la production de fonctionnalités sont indispensables dans le domaine technologique. La sensibilisation à la sécurité doit se poursuivre dès le début : dès le moment où un développeur écrit le code en premier lieu.
Notre industrie reconnaîtra le principal problème : nous avons besoin que les gens s'en soucient davantage.
Voici le truc : je pourrais compter prudemment vingt personnes de mon réseau qui ont séjourné dans un hôtel Marriott à un moment ou à un autre au cours des quatre dernières années. Avec 500 millions de dossiers volés au cours de cette période, il y a de fortes chances que leurs données aient participé à ce vol. Tout, qu'il s'agisse des informations de contact actuelles, des numéros de cartes de crédit encore valides ou des informations de passeport, pourrait être en vente dès maintenant sur le dark web. Cependant, leur facteur de soins était pratiquement nul.
Et bien, il est facile de faire preuve de complaisance lorsque, dans un vol de données d'une telle envergure, vous n'êtes qu'une aiguille dans une botte de foin.
Mais le vrai problème ? Les entreprises qui n'ont pas réussi à protéger les données de leurs clients sont confrontées à très peu de répercussions. Le cours de leur action est-il touché immédiatement après l'incident ? Tu paries que oui. Target, Equifax et maintenant Marriott peuvent tous en témoigner. Cependant, un aperçu sur douze mois montre que le retour à la normale est assez rapide. Quelques années plus tard, et financièrement, tout est pardonné.
Jusqu'à ce que de graves répercussions se produisent : amendes énormes, réglementations plus strictes et pertes d'activité importantes, AppSec sera un secteur qui devra constamment se battre pour faire comprendre la gravité des cyberrisques croissants auxquels une entreprise est exposée.
Je crains que la situation ne s'aggrave avant de s'améliorer. Il est donc de la plus haute importance que nous nous efforcions de former des développeurs soucieux de la sécurité et de développer une solide culture de la sécurité en première ligne des équipes techniques des entreprises. Gardez cela à l'esprit et continuez à vous efforcer d'améliorer les normes de sécurité logicielle.
La véritable bataille à laquelle nous sommes confrontés n'est pas contre les « Script Kiddies » ou contre de dangereux syndicats organisés de cybercriminalité... il s'agit de sensibiliser davantage de personnes à la moindre violation de données.
首席执行官、主席和联合创始人
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
2018 a été une année gigantesque pour les professionnels de la cybersécurité. Malgré les avertissements visant à prendre la sécurité plus au sérieux, la pression constante qui entoure encourager un plus grand nombre de talents dans le secteur de la sécurité et les tentatives générales visant à sensibiliser les entreprises à la cybersécurité, nous sommes confrontés aux cratères de fumée causés par des centaines de cyberattaques, qui témoignent de violations de données à grande échelle et de la méfiance des consommateurs à l'égard de certains grands noms connus. Rien qu'au premier semestre de 2018, 4,5 milliards d'enregistrements de données ont été compromis dans 945 incidents distincts.
Je l'ai déjà dit à de nombreuses reprises : nous pouvons faire mieux. Cependant, la véritable bataille à laquelle nous sommes confrontés n'est pas celle contre les enfants qui utilisent des scripts, contre de dangereux syndicats de cybercriminels organisés ou contre de mystérieux personnages vêtus de sweats à capuche qui tapent sur des ordinateurs portables. Le combat consiste à faire en sorte que davantage de personnes soient attentives à la réalité de ces violations.
La mise en conformité avec le RGPD est un bon début, mais elle n'aura pas d'effet majeur à court terme.
L'Union européenne Règlement général sur la protection des données Les lois (RGPD) battent aujourd'hui leur plein ; une menace imminente pour les organisations qui ne prennent pas la protection des données au sérieux. Avec de lourdes amendes infligées aux personnes jugées non conformes, cela avait pour but d'inciter les entreprises à renforcer leurs pratiques de sécurité, à traiter les données des clients avec plus de respect et à élaborer une stratégie pour atténuer les cyberattaques.
Certaines organisations ont été mises en garde contre de lourdes amendes à venir, mais nous n'avons pas encore constaté de véritables conséquences en cas de non-respect du RGPD. Pas de pénalités de faillite, juste un tas de fenêtres contextuelles sur lesquelles cliquer pour les internautes. Cela s'explique en partie par le fait que les procédures judiciaires prennent beaucoup de temps et offrent de nombreuses possibilités de recours. Toutes les entreprises qui ont pu être citées en exemple sont probablement engagées dans une bataille juridique de plusieurs mois, voire des années. Mettant fin à une année cauchemardesque pour Facebook, ils ont récemment signalé une autre violation de données : un bogue d'API exposant les photos privées de 6,8 millions d'utilisateurs à 1 500 applications non autorisées. Il a été découvert et corrigé en deux semaines, mais les agences de protection des données et le public n'ont été informés de la violation que des mois plus tard. Les lois du RGPD exigent la notification d'une violation dans les 72 heures, donc soulève de nombreuses questions quant à l'influence et à l'efficacité réelles de ces lois à l'heure actuelle.
Et bien entendu, les violations n'ont pas cessé ailleurs : celles de novembre Plage Marriott a révélé que 500 millions d'enregistrements de données avaient été compromis et, ce qui est peut-être encore plus inquiétant, que les attaquants avaient accédé à leurs systèmes pendant quatre ans avant d'être découverts. Il convient toutefois de noter que Marriott semble s'engager dans quelques contrôle des dégâts : ils ont offert aux victimes un abonnement gratuit de 12 mois à WebWatcher, un outil de surveillance du crédit... mais avec 500 millions de dossiers que les pirates informatiques peuvent examiner, il reste à voir si un an sera suffisant pour surveiller quelque chose d'significatif pour la plupart. Après tout, il faudra peut-être attendre quelques années avant que vos données ne soient mises en avant pour une utilisation peu scrupuleuse.
À long terme, des réglementations comme le RGPD volonté susciter des changements positifs s'ils sont mis en œuvre. Lorsque les entreprises seront confrontées à une sanction financière importante (ou, en fait, à des recours collectifs intentés par des clients dont les données ont été compromises) ou à une baisse de leurs bénéfices d'une ampleur suffisamment longue, je pense que la plupart des entreprises concentreront leurs efforts sur le renforcement des bases de données en ligne.
Les institutions financières continueront de montrer la voie à suivre en matière de changements positifs à court terme.
Il n'est peut-être pas surprenant que les institutions financières, en tant que gardiennes de l'argent durement gagné dans le monde, appliquent certaines des meilleures pratiques en matière de cybersécurité les plus strictes, ainsi que des processus de bout en bout visant à réduire leurs risques.
L'un des principaux facteurs de cette conformité provient du Conseil des normes de sécurité PCI, qui restent déterminés à aider les organisations financières à mettre en œuvre une politique de sécurité viable et à faire respecter les directives dans tous les domaines. Ils ont joué un rôle positif en aidant ce secteur à atteindre les normes de sécurité les plus élevées en matière de logiciels de paiement.
Alors, qu'est-ce que les institutions financières font différemment des autres ? D'après mon expérience, ils sont généralement plus attentifs à la sécurité et consacrent des ressources à des programmes de formation holistiques destinés non seulement aux professionnels de l'AppSec et aux testeurs, mais également à leurs équipes de développement (généralement très nombreuses et dispersées dans le monde entier). Ils permettent aux décideurs de haut niveau de comprendre que les processus de sécurité ne sont pas des mesures « définies et oubliées » ; ils doivent évoluer aussi rapidement que la technologie utilisée et s'adapter à des risques variables.
De plus en plus d'organisations transformeront leur pipeline de sécurité.
Comparé à d'autres branches de l'informatique, AppSec est relativement jeune. Il est difficile d'être un nouveau venu : vous êtes facilement mal compris et vous n'avez peut-être pas encore noué les relations clés dont vous avez besoin. Cependant, je pense que chaque année qui passe, il devient de plus en plus facile pour AppSec de trouver sa place, même dans les organisations les plus désuètes qui résistent au changement.
Il est de plus en plus évident que les entreprises ne peuvent pas faire de la conformité en matière de sécurité une étape finale et de dernière minute de leurs processus logiciels. Il doit y avoir des contrôles et des mesures point à point, en se concentrant davantage sur l'agrégation des données et en offrant une plus grande visibilité aux niveaux de direction de l'entreprise. Sans cela, la sécurité restera hors de vue, loin de l'esprit de la plupart des gens. Et dans ce scénario, il est pratiquement impossible de réunir les ressources nécessaires pour planifier les risques.
La bonne nouvelle, c'est que de plus en plus d'organisations détectent leurs propres cyberattaques et s'efforcent d'y remédier. La mauvaise nouvelle ? Ce processus prend en moyenne quatre-vingt-cinq jours.
Les outils de test au stylo et la révision manuelle du code sont difficiles, coûteux et lents à une époque où l'innovation rapide et la production de fonctionnalités sont indispensables dans le domaine technologique. La sensibilisation à la sécurité doit se poursuivre dès le début : dès le moment où un développeur écrit le code en premier lieu.
Notre industrie reconnaîtra le principal problème : nous avons besoin que les gens s'en soucient davantage.
Voici le truc : je pourrais compter prudemment vingt personnes de mon réseau qui ont séjourné dans un hôtel Marriott à un moment ou à un autre au cours des quatre dernières années. Avec 500 millions de dossiers volés au cours de cette période, il y a de fortes chances que leurs données aient participé à ce vol. Tout, qu'il s'agisse des informations de contact actuelles, des numéros de cartes de crédit encore valides ou des informations de passeport, pourrait être en vente dès maintenant sur le dark web. Cependant, leur facteur de soins était pratiquement nul.
Et bien, il est facile de faire preuve de complaisance lorsque, dans un vol de données d'une telle envergure, vous n'êtes qu'une aiguille dans une botte de foin.
Mais le vrai problème ? Les entreprises qui n'ont pas réussi à protéger les données de leurs clients sont confrontées à très peu de répercussions. Le cours de leur action est-il touché immédiatement après l'incident ? Tu paries que oui. Target, Equifax et maintenant Marriott peuvent tous en témoigner. Cependant, un aperçu sur douze mois montre que le retour à la normale est assez rapide. Quelques années plus tard, et financièrement, tout est pardonné.
Jusqu'à ce que de graves répercussions se produisent : amendes énormes, réglementations plus strictes et pertes d'activité importantes, AppSec sera un secteur qui devra constamment se battre pour faire comprendre la gravité des cyberrisques croissants auxquels une entreprise est exposée.
Je crains que la situation ne s'aggrave avant de s'améliorer. Il est donc de la plus haute importance que nous nous efforcions de former des développeurs soucieux de la sécurité et de développer une solide culture de la sécurité en première ligne des équipes techniques des entreprises. Gardez cela à l'esprit et continuez à vous efforcer d'améliorer les normes de sécurité logicielle.
2018 a été une année gigantesque pour les professionnels de la cybersécurité. Malgré les avertissements visant à prendre la sécurité plus au sérieux, la pression constante qui entoure encourager un plus grand nombre de talents dans le secteur de la sécurité et les tentatives générales visant à sensibiliser les entreprises à la cybersécurité, nous sommes confrontés aux cratères de fumée causés par des centaines de cyberattaques, qui témoignent de violations de données à grande échelle et de la méfiance des consommateurs à l'égard de certains grands noms connus. Rien qu'au premier semestre de 2018, 4,5 milliards d'enregistrements de données ont été compromis dans 945 incidents distincts.
Je l'ai déjà dit à de nombreuses reprises : nous pouvons faire mieux. Cependant, la véritable bataille à laquelle nous sommes confrontés n'est pas celle contre les enfants qui utilisent des scripts, contre de dangereux syndicats de cybercriminels organisés ou contre de mystérieux personnages vêtus de sweats à capuche qui tapent sur des ordinateurs portables. Le combat consiste à faire en sorte que davantage de personnes soient attentives à la réalité de ces violations.
La mise en conformité avec le RGPD est un bon début, mais elle n'aura pas d'effet majeur à court terme.
L'Union européenne Règlement général sur la protection des données Les lois (RGPD) battent aujourd'hui leur plein ; une menace imminente pour les organisations qui ne prennent pas la protection des données au sérieux. Avec de lourdes amendes infligées aux personnes jugées non conformes, cela avait pour but d'inciter les entreprises à renforcer leurs pratiques de sécurité, à traiter les données des clients avec plus de respect et à élaborer une stratégie pour atténuer les cyberattaques.
Certaines organisations ont été mises en garde contre de lourdes amendes à venir, mais nous n'avons pas encore constaté de véritables conséquences en cas de non-respect du RGPD. Pas de pénalités de faillite, juste un tas de fenêtres contextuelles sur lesquelles cliquer pour les internautes. Cela s'explique en partie par le fait que les procédures judiciaires prennent beaucoup de temps et offrent de nombreuses possibilités de recours. Toutes les entreprises qui ont pu être citées en exemple sont probablement engagées dans une bataille juridique de plusieurs mois, voire des années. Mettant fin à une année cauchemardesque pour Facebook, ils ont récemment signalé une autre violation de données : un bogue d'API exposant les photos privées de 6,8 millions d'utilisateurs à 1 500 applications non autorisées. Il a été découvert et corrigé en deux semaines, mais les agences de protection des données et le public n'ont été informés de la violation que des mois plus tard. Les lois du RGPD exigent la notification d'une violation dans les 72 heures, donc soulève de nombreuses questions quant à l'influence et à l'efficacité réelles de ces lois à l'heure actuelle.
Et bien entendu, les violations n'ont pas cessé ailleurs : celles de novembre Plage Marriott a révélé que 500 millions d'enregistrements de données avaient été compromis et, ce qui est peut-être encore plus inquiétant, que les attaquants avaient accédé à leurs systèmes pendant quatre ans avant d'être découverts. Il convient toutefois de noter que Marriott semble s'engager dans quelques contrôle des dégâts : ils ont offert aux victimes un abonnement gratuit de 12 mois à WebWatcher, un outil de surveillance du crédit... mais avec 500 millions de dossiers que les pirates informatiques peuvent examiner, il reste à voir si un an sera suffisant pour surveiller quelque chose d'significatif pour la plupart. Après tout, il faudra peut-être attendre quelques années avant que vos données ne soient mises en avant pour une utilisation peu scrupuleuse.
À long terme, des réglementations comme le RGPD volonté susciter des changements positifs s'ils sont mis en œuvre. Lorsque les entreprises seront confrontées à une sanction financière importante (ou, en fait, à des recours collectifs intentés par des clients dont les données ont été compromises) ou à une baisse de leurs bénéfices d'une ampleur suffisamment longue, je pense que la plupart des entreprises concentreront leurs efforts sur le renforcement des bases de données en ligne.
Les institutions financières continueront de montrer la voie à suivre en matière de changements positifs à court terme.
Il n'est peut-être pas surprenant que les institutions financières, en tant que gardiennes de l'argent durement gagné dans le monde, appliquent certaines des meilleures pratiques en matière de cybersécurité les plus strictes, ainsi que des processus de bout en bout visant à réduire leurs risques.
L'un des principaux facteurs de cette conformité provient du Conseil des normes de sécurité PCI, qui restent déterminés à aider les organisations financières à mettre en œuvre une politique de sécurité viable et à faire respecter les directives dans tous les domaines. Ils ont joué un rôle positif en aidant ce secteur à atteindre les normes de sécurité les plus élevées en matière de logiciels de paiement.
Alors, qu'est-ce que les institutions financières font différemment des autres ? D'après mon expérience, ils sont généralement plus attentifs à la sécurité et consacrent des ressources à des programmes de formation holistiques destinés non seulement aux professionnels de l'AppSec et aux testeurs, mais également à leurs équipes de développement (généralement très nombreuses et dispersées dans le monde entier). Ils permettent aux décideurs de haut niveau de comprendre que les processus de sécurité ne sont pas des mesures « définies et oubliées » ; ils doivent évoluer aussi rapidement que la technologie utilisée et s'adapter à des risques variables.
De plus en plus d'organisations transformeront leur pipeline de sécurité.
Comparé à d'autres branches de l'informatique, AppSec est relativement jeune. Il est difficile d'être un nouveau venu : vous êtes facilement mal compris et vous n'avez peut-être pas encore noué les relations clés dont vous avez besoin. Cependant, je pense que chaque année qui passe, il devient de plus en plus facile pour AppSec de trouver sa place, même dans les organisations les plus désuètes qui résistent au changement.
Il est de plus en plus évident que les entreprises ne peuvent pas faire de la conformité en matière de sécurité une étape finale et de dernière minute de leurs processus logiciels. Il doit y avoir des contrôles et des mesures point à point, en se concentrant davantage sur l'agrégation des données et en offrant une plus grande visibilité aux niveaux de direction de l'entreprise. Sans cela, la sécurité restera hors de vue, loin de l'esprit de la plupart des gens. Et dans ce scénario, il est pratiquement impossible de réunir les ressources nécessaires pour planifier les risques.
La bonne nouvelle, c'est que de plus en plus d'organisations détectent leurs propres cyberattaques et s'efforcent d'y remédier. La mauvaise nouvelle ? Ce processus prend en moyenne quatre-vingt-cinq jours.
Les outils de test au stylo et la révision manuelle du code sont difficiles, coûteux et lents à une époque où l'innovation rapide et la production de fonctionnalités sont indispensables dans le domaine technologique. La sensibilisation à la sécurité doit se poursuivre dès le début : dès le moment où un développeur écrit le code en premier lieu.
Notre industrie reconnaîtra le principal problème : nous avons besoin que les gens s'en soucient davantage.
Voici le truc : je pourrais compter prudemment vingt personnes de mon réseau qui ont séjourné dans un hôtel Marriott à un moment ou à un autre au cours des quatre dernières années. Avec 500 millions de dossiers volés au cours de cette période, il y a de fortes chances que leurs données aient participé à ce vol. Tout, qu'il s'agisse des informations de contact actuelles, des numéros de cartes de crédit encore valides ou des informations de passeport, pourrait être en vente dès maintenant sur le dark web. Cependant, leur facteur de soins était pratiquement nul.
Et bien, il est facile de faire preuve de complaisance lorsque, dans un vol de données d'une telle envergure, vous n'êtes qu'une aiguille dans une botte de foin.
Mais le vrai problème ? Les entreprises qui n'ont pas réussi à protéger les données de leurs clients sont confrontées à très peu de répercussions. Le cours de leur action est-il touché immédiatement après l'incident ? Tu paries que oui. Target, Equifax et maintenant Marriott peuvent tous en témoigner. Cependant, un aperçu sur douze mois montre que le retour à la normale est assez rapide. Quelques années plus tard, et financièrement, tout est pardonné.
Jusqu'à ce que de graves répercussions se produisent : amendes énormes, réglementations plus strictes et pertes d'activité importantes, AppSec sera un secteur qui devra constamment se battre pour faire comprendre la gravité des cyberrisques croissants auxquels une entreprise est exposée.
Je crains que la situation ne s'aggrave avant de s'améliorer. Il est donc de la plus haute importance que nous nous efforcions de former des développeurs soucieux de la sécurité et de développer une solide culture de la sécurité en première ligne des équipes techniques des entreprises. Gardez cela à l'esprit et continuez à vous efforcer d'améliorer les normes de sécurité logicielle.
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
显示报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
2018 a été une année gigantesque pour les professionnels de la cybersécurité. Malgré les avertissements visant à prendre la sécurité plus au sérieux, la pression constante qui entoure encourager un plus grand nombre de talents dans le secteur de la sécurité et les tentatives générales visant à sensibiliser les entreprises à la cybersécurité, nous sommes confrontés aux cratères de fumée causés par des centaines de cyberattaques, qui témoignent de violations de données à grande échelle et de la méfiance des consommateurs à l'égard de certains grands noms connus. Rien qu'au premier semestre de 2018, 4,5 milliards d'enregistrements de données ont été compromis dans 945 incidents distincts.
Je l'ai déjà dit à de nombreuses reprises : nous pouvons faire mieux. Cependant, la véritable bataille à laquelle nous sommes confrontés n'est pas celle contre les enfants qui utilisent des scripts, contre de dangereux syndicats de cybercriminels organisés ou contre de mystérieux personnages vêtus de sweats à capuche qui tapent sur des ordinateurs portables. Le combat consiste à faire en sorte que davantage de personnes soient attentives à la réalité de ces violations.
La mise en conformité avec le RGPD est un bon début, mais elle n'aura pas d'effet majeur à court terme.
L'Union européenne Règlement général sur la protection des données Les lois (RGPD) battent aujourd'hui leur plein ; une menace imminente pour les organisations qui ne prennent pas la protection des données au sérieux. Avec de lourdes amendes infligées aux personnes jugées non conformes, cela avait pour but d'inciter les entreprises à renforcer leurs pratiques de sécurité, à traiter les données des clients avec plus de respect et à élaborer une stratégie pour atténuer les cyberattaques.
Certaines organisations ont été mises en garde contre de lourdes amendes à venir, mais nous n'avons pas encore constaté de véritables conséquences en cas de non-respect du RGPD. Pas de pénalités de faillite, juste un tas de fenêtres contextuelles sur lesquelles cliquer pour les internautes. Cela s'explique en partie par le fait que les procédures judiciaires prennent beaucoup de temps et offrent de nombreuses possibilités de recours. Toutes les entreprises qui ont pu être citées en exemple sont probablement engagées dans une bataille juridique de plusieurs mois, voire des années. Mettant fin à une année cauchemardesque pour Facebook, ils ont récemment signalé une autre violation de données : un bogue d'API exposant les photos privées de 6,8 millions d'utilisateurs à 1 500 applications non autorisées. Il a été découvert et corrigé en deux semaines, mais les agences de protection des données et le public n'ont été informés de la violation que des mois plus tard. Les lois du RGPD exigent la notification d'une violation dans les 72 heures, donc soulève de nombreuses questions quant à l'influence et à l'efficacité réelles de ces lois à l'heure actuelle.
Et bien entendu, les violations n'ont pas cessé ailleurs : celles de novembre Plage Marriott a révélé que 500 millions d'enregistrements de données avaient été compromis et, ce qui est peut-être encore plus inquiétant, que les attaquants avaient accédé à leurs systèmes pendant quatre ans avant d'être découverts. Il convient toutefois de noter que Marriott semble s'engager dans quelques contrôle des dégâts : ils ont offert aux victimes un abonnement gratuit de 12 mois à WebWatcher, un outil de surveillance du crédit... mais avec 500 millions de dossiers que les pirates informatiques peuvent examiner, il reste à voir si un an sera suffisant pour surveiller quelque chose d'significatif pour la plupart. Après tout, il faudra peut-être attendre quelques années avant que vos données ne soient mises en avant pour une utilisation peu scrupuleuse.
À long terme, des réglementations comme le RGPD volonté susciter des changements positifs s'ils sont mis en œuvre. Lorsque les entreprises seront confrontées à une sanction financière importante (ou, en fait, à des recours collectifs intentés par des clients dont les données ont été compromises) ou à une baisse de leurs bénéfices d'une ampleur suffisamment longue, je pense que la plupart des entreprises concentreront leurs efforts sur le renforcement des bases de données en ligne.
Les institutions financières continueront de montrer la voie à suivre en matière de changements positifs à court terme.
Il n'est peut-être pas surprenant que les institutions financières, en tant que gardiennes de l'argent durement gagné dans le monde, appliquent certaines des meilleures pratiques en matière de cybersécurité les plus strictes, ainsi que des processus de bout en bout visant à réduire leurs risques.
L'un des principaux facteurs de cette conformité provient du Conseil des normes de sécurité PCI, qui restent déterminés à aider les organisations financières à mettre en œuvre une politique de sécurité viable et à faire respecter les directives dans tous les domaines. Ils ont joué un rôle positif en aidant ce secteur à atteindre les normes de sécurité les plus élevées en matière de logiciels de paiement.
Alors, qu'est-ce que les institutions financières font différemment des autres ? D'après mon expérience, ils sont généralement plus attentifs à la sécurité et consacrent des ressources à des programmes de formation holistiques destinés non seulement aux professionnels de l'AppSec et aux testeurs, mais également à leurs équipes de développement (généralement très nombreuses et dispersées dans le monde entier). Ils permettent aux décideurs de haut niveau de comprendre que les processus de sécurité ne sont pas des mesures « définies et oubliées » ; ils doivent évoluer aussi rapidement que la technologie utilisée et s'adapter à des risques variables.
De plus en plus d'organisations transformeront leur pipeline de sécurité.
Comparé à d'autres branches de l'informatique, AppSec est relativement jeune. Il est difficile d'être un nouveau venu : vous êtes facilement mal compris et vous n'avez peut-être pas encore noué les relations clés dont vous avez besoin. Cependant, je pense que chaque année qui passe, il devient de plus en plus facile pour AppSec de trouver sa place, même dans les organisations les plus désuètes qui résistent au changement.
Il est de plus en plus évident que les entreprises ne peuvent pas faire de la conformité en matière de sécurité une étape finale et de dernière minute de leurs processus logiciels. Il doit y avoir des contrôles et des mesures point à point, en se concentrant davantage sur l'agrégation des données et en offrant une plus grande visibilité aux niveaux de direction de l'entreprise. Sans cela, la sécurité restera hors de vue, loin de l'esprit de la plupart des gens. Et dans ce scénario, il est pratiquement impossible de réunir les ressources nécessaires pour planifier les risques.
La bonne nouvelle, c'est que de plus en plus d'organisations détectent leurs propres cyberattaques et s'efforcent d'y remédier. La mauvaise nouvelle ? Ce processus prend en moyenne quatre-vingt-cinq jours.
Les outils de test au stylo et la révision manuelle du code sont difficiles, coûteux et lents à une époque où l'innovation rapide et la production de fonctionnalités sont indispensables dans le domaine technologique. La sensibilisation à la sécurité doit se poursuivre dès le début : dès le moment où un développeur écrit le code en premier lieu.
Notre industrie reconnaîtra le principal problème : nous avons besoin que les gens s'en soucient davantage.
Voici le truc : je pourrais compter prudemment vingt personnes de mon réseau qui ont séjourné dans un hôtel Marriott à un moment ou à un autre au cours des quatre dernières années. Avec 500 millions de dossiers volés au cours de cette période, il y a de fortes chances que leurs données aient participé à ce vol. Tout, qu'il s'agisse des informations de contact actuelles, des numéros de cartes de crédit encore valides ou des informations de passeport, pourrait être en vente dès maintenant sur le dark web. Cependant, leur facteur de soins était pratiquement nul.
Et bien, il est facile de faire preuve de complaisance lorsque, dans un vol de données d'une telle envergure, vous n'êtes qu'une aiguille dans une botte de foin.
Mais le vrai problème ? Les entreprises qui n'ont pas réussi à protéger les données de leurs clients sont confrontées à très peu de répercussions. Le cours de leur action est-il touché immédiatement après l'incident ? Tu paries que oui. Target, Equifax et maintenant Marriott peuvent tous en témoigner. Cependant, un aperçu sur douze mois montre que le retour à la normale est assez rapide. Quelques années plus tard, et financièrement, tout est pardonné.
Jusqu'à ce que de graves répercussions se produisent : amendes énormes, réglementations plus strictes et pertes d'activité importantes, AppSec sera un secteur qui devra constamment se battre pour faire comprendre la gravité des cyberrisques croissants auxquels une entreprise est exposée.
Je crains que la situation ne s'aggrave avant de s'améliorer. Il est donc de la plus haute importance que nous nous efforcions de former des développeurs soucieux de la sécurité et de développer une solide culture de la sécurité en première ligne des équipes techniques des entreprises. Gardez cela à l'esprit et continuez à vous efforcer d'améliorer les normes de sécurité logicielle.
%20(1).avif)
.avif)
