Lors du discours d'ouverture du 2022 Black Hat conférence sur la sécurité, Chris Krebs, l'ancien directeur de la cybersécurité du Department of Homeland Securities, a déclaré que la sécurité allait se détériorer avant de s'améliorer. Pourquoi? Krebs a déclaré que « les logiciels restent vulnérables car les avantages des produits non sécurisés dépassent de loin les inconvénients ». Plutôt que d'assurer la sécurité, l'accent est mis sur tout le cycle de vie du développement logiciel (SDLC) sur la concurrence sur le marché. En fait, l’innovation est souvent considérée comme étant en contradiction avec la sécurité : la première est considérée comme rapide et productive, et la seconde comme un obstacle qui étouffe le développement rapide d’applications. Cette vision s’avère dépassée dans le paysage actuel des menaces.
Avec l'augmentation des cyberattaques, la chaîne d'approvisionnement en logiciels est une cible privilégiée pour les cybercriminels qui reconnaissent l'énorme perturbation qu'ils provoquent lorsqu'ils infectent du code non sécurisé. Par exemple, le désormais tristement célèbre Log4Shell La vulnérabilité présentait un tel risque car l'open source Log4j est si couramment utilisé dans les applications logicielles et les services en ligne dans le monde entier, et l'exploitation de la vulnérabilité nécessite très peu d'expertise. Plus récemment, le 25,000 XNUMX plug-ins malveillants trouvés sur les sites WordPress mettent en évidence le risque de cybersécurité auquel de nombreuses entreprises sont confrontées, même si elles pensaient utiliser des applications et des programmes sécurisés sur leurs sites Web.
L’innovation et la sécurité doivent donc être considérées sous un seul angle ; l’un n’est pas possible sans l’autre. Plus important encore, la sécurité ne peut plus relever de la responsabilité d’une seule équipe cloisonnée. Cela doit être une priorité pour tout le monde au sein du SDLC.
Le dilemme AppSec
Malgré l’augmentation des investissements dans le développement d’applications, la sécurité n’a pas la même importance. Dans un espace aussi compétitif, les premiers arrivés ont tendance à être récompensés. Ceux qui entrent sur le marché avec leur « premier produit viable » cherchent probablement à savoir comment ce produit peut servir les clients, et non comment il peut être utilisé en toute sécurité. Avec ces attentes élevées, les exigences en matière de code envers les développeurs ont augmenté 100 fois au cours des 10 dernières années, 92 % d’entre eux se sentent obligés d’écrire du code plus rapidement. Associez cela au fait que 53% n'ont aucune formation professionnelle en codage sécurisé, tandis que le nombre de nouvelles vulnérabilités au sein du NIST La base de données nationale sur les vulnérabilités a augmenté de plus de 200 % au cours des dernières années, et il semble que nous soyons confrontés à un dilemme en matière de sécurité des applications.
Il ne s’agit toutefois pas d’un dilemme insoluble. La solution nécessite un changement complet dans la façon dont beaucoup perçoivent le codage et l’innovation, avec un accent particulier sur l’état d’esprit des gens. Il donne la priorité à la sécurité et reconnaît qu’il est acceptable d’être plus lent à commercialiser si le produit final est plus sécurisé. Selon La loi de Boehm, « le coût de la recherche et de la correction d'un défaut augmente de façon exponentielle avec le temps » — un concept qui peut profiter aux résultats financiers des organisations qui accordent la priorité à la sécurité dès le départ.
L'établissement de cet état d'esprit axé sur la sécurité est crucial, non seulement pour l'équipe de développement, mais pour tous ceux qui jouent un rôle au sein du SDLC. Les chefs de produit et de projet, DevOps, les concepteurs d'expérience utilisateur (UX) et les professionnels de l'assurance qualité (AQ) influenceront tous le résultat final et doivent donc reconnaître le dilemme actuel en matière de sécurité des applications et comment ce défi peut être surmonté.
Bien intégrer l’éducation
Si les équipes ne comprennent pas why un état d'esprit axé sur la sécurité est si important dans le développement d'applications qu'ils n'y adhéreront jamais how cela peut être réalisé. Une formation intégrée et continue à la sécurité des applications pour l’ensemble de l’organisation de développement n’a donc jamais été aussi importante. Pour ceux qui créent le code, il est important de dispenser un apprentissage de base avant des exercices pratiques qui abordent directement les problèmes auxquels ils sont confrontés au quotidien. Cette formation spécifique aux développeurs doit être dispensée en parallèle avec des programmes de formation de base et avancés sur la sécurité des applications pour les personnes occupant des rôles dans le SDLC qui ne nécessitent pas nécessairement une expertise pratique. Ce type d'initiatives permettra à l'ensemble de l'équipe de penser différemment, de prendre des décisions plus éclairées et d'intégrer la sécurité dans tous les aspects du développement.
Il est pourtant important que les organisations comprennent que la sécurité des applications évolue et change constamment. Construire une équipe soucieuse de la sécurité et appliquant les principes clés de l’AppSec à chaque étape du cycle de développement ne peut pas être réalisé avec un programme de formation « une fois terminé ». Pour garantir que les équipes maintiennent cet état d’esprit axé sur la sécurité, un programme de formation continu et évolutif est essentiel.
De nombreuses organisations engagent leurs équipes en reconnaissant et en célébrant les champions de la sécurité, qui conduisent un changement de comportement en matière de sécurité au sein de l'équipe. En offrant des incitations ou des récompenses à ceux qui appliquent systématiquement les meilleures pratiques de sécurité dans leur travail quotidien, ils encouragent les champions à impliquer les autres et à influencer de manière organique le changement. Par exemple, en mesurant les résultats – comme le nombre de vulnérabilités dans un code avant et après les programmes de formation – et en reconnaissant les succès, il est également beaucoup plus facile d'obtenir l'adhésion du conseil d'administration et de justifier auprès des décideurs l'investissement dans une formation sécurisée au codage. .
Innover rapidement et battre la concurrence sur le marché tout en accordant la priorité à la sécurité est possible lorsque les gens du SDLC font de la sécurité une priorité absolue. En fait, à mesure que le nombre de vulnérabilités augmente et que les cyberattaques ne montrent aucun signe de ralentissement, le codage sécurisé est indispensable au succès de toute application. Tant que l’ensemble du SDLC est pris en compte dans le cadre d’initiatives éducatives continues, sur mesure et mesurables, la sécurité n’a pas d’importance. avons empirer avant de s'améliorer.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
