{"id":345681,"date":"2022-09-02T18:53:47","date_gmt":"2022-09-02T20:53:47","guid":{"rendered":"https:\/\/teknomers.com\/fr\/langle-mort-de-securite-ultime-que-vous-ne-savez-pas-que-vous-avez\/"},"modified":"2022-09-02T18:53:48","modified_gmt":"2022-09-02T20:53:48","slug":"langle-mort-de-securite-ultime-que-vous-ne-savez-pas-que-vous-avez","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/langle-mort-de-securite-ultime-que-vous-ne-savez-pas-que-vous-avez\/","title":{"rendered":"L&#8217;angle mort de s\u00e9curit\u00e9 ultime que vous ne savez pas que vous avez"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<h4 style=\"text-align: left\">Combien de temps les d\u00e9veloppeurs passent-ils r\u00e9ellement \u00e0 \u00e9crire du code\u00a0?<\/h4>\n<p>Selon de r\u00e9cents <a rel=\"nofollow noopener\" href=\"https:\/\/tidelift.com\/subscription\/managed-open-source-survey\" target=\"_blank\">\u00e9tudes<\/a>, les d\u00e9veloppeurs passent plus de temps \u00e0 maintenir, tester et s\u00e9curiser le code existant qu&#8217;\u00e0 \u00e9crire ou \u00e0 am\u00e9liorer le code.  Les vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 ont la mauvaise habitude d&#8217;appara\u00eetre au cours du processus de d\u00e9veloppement logiciel, pour ne faire surface qu&#8217;apr\u00e8s le d\u00e9ploiement d&#8217;une application.  La partie d\u00e9cevante est que bon nombre de ces failles de s\u00e9curit\u00e9 et bogues auraient pu \u00eatre r\u00e9solus \u00e0 un stade ant\u00e9rieur et qu&#8217;il existe des m\u00e9thodes et des outils appropri\u00e9s pour les d\u00e9couvrir.<\/p>\n<p>Combien de temps un d\u00e9veloppeur passe-t-il \u00e0 apprendre \u00e0 \u00e9crire un code fonctionnel\u00a0?  Et combien d\u00e9pense-t-on pour se renseigner sur la s\u00e9curit\u00e9 du code\u00a0?  Ou apprendre \u00e0 ne pas coder\u00a0?&#8221;<\/p>\n<p>Ne serait-il pas pr\u00e9f\u00e9rable d&#8217;\u00e9radiquer le probl\u00e8me du syst\u00e8me plut\u00f4t que de l&#8217;avoir l\u00e0, puis d&#8217;essayer de d\u00e9tecter et d&#8217;arr\u00eater une attaque en cours le ciblant\u00a0?<\/p>\n<p><em>Vous pouvez tester vos comp\u00e9tences en codage s\u00e9curis\u00e9 avec ce court <\/em><a rel=\"nofollow noopener\" href=\"https:\/\/cydrillsergeant.com\/selfassessment?utm_source=hackernews&amp;utm_medium=referral&amp;utm_campaign=HackerNewsBlog\" target=\"_blank\"><em>auto-\u00e9valuation.<\/em><\/a><\/p>\n<h2>Le vrai co\u00fbt des bugs<\/h2>\n<p>Tout le monde fait des erreurs, m\u00eame les d\u00e9veloppeurs.  Les bugs logiciels sont in\u00e9vitables et sont accept\u00e9s comme le &#8220;co\u00fbt de faire des affaires&#8221; dans ce domaine. <\/p>\n<p>Cela \u00e9tant dit, tout bogue non corrig\u00e9 dans le code est la pierre angulaire des attaquants.  S&#8217;ils peuvent trouver au moins un bogue dans un syst\u00e8me qui peut \u00eatre exploit\u00e9 de la bonne mani\u00e8re (c&#8217;est-\u00e0-dire une vuln\u00e9rabilit\u00e9 logicielle), ils peuvent exploiter cette vuln\u00e9rabilit\u00e9 pour causer des dommages massifs, potentiellement \u00e0 l&#8217;\u00e9chelle de dizaines de millions de dollars &#8211; comme nous voir \u00e0 travers des cas tr\u00e8s m\u00e9diatis\u00e9s qui font la une des journaux chaque ann\u00e9e.<\/p>\n<p>Et m\u00eame lorsqu&#8217;il s&#8217;agit de vuln\u00e9rabilit\u00e9s moins graves, leur correction peut \u00eatre tr\u00e8s co\u00fbteuse, en particulier si une faiblesse est introduite beaucoup plus t\u00f4t dans le SDLC en raison d&#8217;un d\u00e9faut de conception ou d&#8217;une exigence de s\u00e9curit\u00e9 manquante.<\/p>\n<h2>Pourquoi l&#8217;approche actuelle de la s\u00e9curit\u00e9 logicielle est-elle insuffisante\u00a0?<\/h2>\n<h4 style=\"text-align: left\">1 \u2014 Trop de d\u00e9pendance \u00e0 la technologie (et pas assez \u00e0 l&#8217;humain)<\/h4>\n<p>Les outils d&#8217;automatisation et de cybers\u00e9curit\u00e9 sont cens\u00e9s r\u00e9duire la charge de travail des d\u00e9veloppeurs et du personnel de s\u00e9curit\u00e9 des applications en analysant, d\u00e9tectant et att\u00e9nuant les vuln\u00e9rabilit\u00e9s logicielles, cependant\u00a0:<\/p>\n<ul>\n<li>Bien que ces outils contribuent aux efforts de cybers\u00e9curit\u00e9, des \u00e9tudes montrent qu&#8217;ils ne peuvent d\u00e9couvrir que 45\u00a0% des <a rel=\"nofollow noopener\" href=\"https:\/\/owasp.org\/www-pdf-archive\/OTGv4.pdf\" target=\"_blank\">vuln\u00e9rabilit\u00e9s globales<\/a><\/li>\n<li>Ils peuvent \u00e9galement produire des &#8220;faux positifs&#8221;, entra\u00eenant des inqui\u00e9tudes, des retards et des retouches inutiles<\/li>\n<li>\u2026 ou pire encore, des &#8220;faux n\u00e9gatifs&#8221;, cr\u00e9ant un faux sentiment de s\u00e9curit\u00e9 extr\u00eamement dangereux<\/li>\n<\/ul>\n<h4 style=\"text-align: left\">2 \u2014 La d\u00e9connexion DevSec<\/h4>\n<p>La d\u00e9connexion DevSec fait r\u00e9f\u00e9rence \u00e0 la tension bien connue entre les \u00e9quipes de d\u00e9veloppement et les \u00e9quipes de s\u00e9curit\u00e9 en raison de priorit\u00e9s diff\u00e9rentes (et souvent contradictoires) en ce qui concerne les nouvelles fonctionnalit\u00e9s et les corrections de bogues.<\/p>\n<p>En raison de ce frottement, <a rel=\"nofollow noopener\" href=\"https:\/\/info.veracode.com\/survey-report-esg-modern-application-development-security.html\" target=\"_blank\">48% des d\u00e9veloppeurs<\/a> finissent par pousser r\u00e9guli\u00e8rement du code vuln\u00e9rable en production.  Les vuln\u00e9rabilit\u00e9s d\u00e9couvertes plus tard dans le cycle de d\u00e9veloppement ne sont souvent pas att\u00e9nu\u00e9es ou finissent par cr\u00e9er des co\u00fbts, des retards et des risques suppl\u00e9mentaires plus tard.  Ce sont les cons\u00e9quences d&#8217;une r\u00e9flexion \u00e0 court terme : en fin de compte, il serait pr\u00e9f\u00e9rable de r\u00e9soudre le probl\u00e8me \u00e0 la source au lieu de consacrer du temps et des ressources \u00e0 rechercher des failles de code plus tard dans le cycle de vie du d\u00e9veloppement logiciel.<\/p>\n<h4 style=\"text-align: left\">3 \u2014 Surveillez votre cha\u00eene d&#8217;approvisionnement mais pas votre propre logiciel<\/h4>\n<p>Une autre erreur courante consiste \u00e0 se concentrer uniquement sur la s\u00e9curit\u00e9 de la cha\u00eene d&#8217;approvisionnement logicielle et \u00e0 ne traiter que les vuln\u00e9rabilit\u00e9s connues des produits et packages logiciels existants r\u00e9pertori\u00e9s dans la c\u00e9l\u00e8bre base de donn\u00e9es Common Vulnerabilities and Exposures ou la National Vulnerability Database.<\/p>\n<p>Traiter les vuln\u00e9rabilit\u00e9s des composants tiers, vos d\u00e9pendances ou l&#8217;environnement d&#8217;exploitation est essentiel, mais cela ne vous aidera pas avec les vuln\u00e9rabilit\u00e9s de votre propre code.<\/p>\n<p>De m\u00eame, la surveillance des attaques potentielles via des syst\u00e8mes de d\u00e9tection d&#8217;intrusion (IDS) ou des pare-feu suivis d&#8217;une r\u00e9ponse aux incidents est une bonne id\u00e9e &#8211; et est reconnue par le Top 10 de l&#8217;OWASP comme une n\u00e9cessit\u00e9 &#8211; mais ces activit\u00e9s ne traitent que des cons\u00e9quences des cyberattaques plut\u00f4t que de la cause.<\/p>\n<h2>La solution : faire du codage s\u00e9curis\u00e9 un sport d&#8217;\u00e9quipe<\/h2>\n<p>Votre cybers\u00e9curit\u00e9 est aussi solide que votre maillon le plus faible.  Le d\u00e9veloppement de logiciels n&#8217;est pas un travail \u00e0 la cha\u00eene et, malgr\u00e9 toutes les pr\u00e9visions, il ne sera pas enti\u00e8rement automatis\u00e9 de si t\u00f4t.  Les programmeurs sont des r\u00e9solveurs de probl\u00e8mes cr\u00e9atifs qui doivent prendre des centaines de d\u00e9cisions chaque jour lorsqu&#8217;ils \u00e9crivent du code, car le d\u00e9veloppement de logiciels est un type de savoir-faire. <\/p>\n<blockquote><p><b>En fin de compte, qu&#8217;un morceau de code soit s\u00e9curis\u00e9 ou non d\u00e9pend des comp\u00e9tences des d\u00e9veloppeurs individuels. <\/b><\/p><\/blockquote>\n<p>Les processus, les normes et les outils peuvent aider \u00e0 favoriser et \u00e0 renforcer les meilleures pratiques, mais si un d\u00e9veloppeur n&#8217;est pas au courant d&#8217;un type particulier de mauvaise pratique, il est susceptible de continuer \u00e0 commettre la m\u00eame erreur (et \u00e0 introduire le m\u00eame type de vuln\u00e9rabilit\u00e9 dans le code) maintes et maintes fois.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"600\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1662152027_692_Langle-mort-de-securite-ultime-que-vous-ne-savez-pas.jpg\" \/><\/div>\n<h2>6 conseils pour renforcer le codage s\u00e9curis\u00e9<\/h2>\n<p>Le nombre de vuln\u00e9rabilit\u00e9s nouvellement d\u00e9couvertes augmente et les menaces pos\u00e9es par les cyber-acteurs malveillants deviennent de plus en plus sophistiqu\u00e9es.  La plupart des organisations commencent \u00e0 mettre en \u0153uvre un cycle de vie de d\u00e9veloppement s\u00e9curis\u00e9 apr\u00e8s un incident, mais si vous nous demandez quand vous devriez commencer, la r\u00e9ponse, bien s\u00fbr, sera toujours le plus t\u00f4t sera le mieux.<\/p>\n<p>En effet, lorsqu&#8217;il s&#8217;agit de vuln\u00e9rabilit\u00e9s critiques, m\u00eame des heures peuvent faire la diff\u00e9rence entre l&#8217;absence de dommages durables et un d\u00e9sastre financier. <\/p>\n<p>Voici nos meilleurs conseils pour y parvenir\u00a0:<\/p>\n<p><b>1 \u2014 D\u00e9calage \u00e0 gauche &#8211; \u00e9tendre la perspective de s\u00e9curit\u00e9 aux premi\u00e8res phases de d\u00e9veloppement <\/b><\/p>\n<ol>\n<\/ol>\n<p>S&#8217;appuyer sur l&#8217;automatisation des outils de s\u00e9curit\u00e9 de style DevSecOps ne suffit pas en soi, vous devez mettre en \u0153uvre un v\u00e9ritable changement de culture.  SAST, DAST ou test d&#8217;intrusion se trouve \u00e0 droite dans le SDLC\u00a0;  d\u00e9caler vers la gauche vers le d\u00e9but du cycle de vie du d\u00e9veloppement logiciel pour une couverture plus compl\u00e8te.<\/p>\n<p><b>2 \u2014 Adopter une approche s\u00e9curis\u00e9e du cycle de vie du d\u00e9veloppement<\/b><\/p>\n<ol>\n<\/ol>\n<p>MS SDL ou OWASP SAMM, par exemple, fourniront un cadre pour vos processus et agiront comme un bon point de d\u00e9part pour votre initiative de cybers\u00e9curit\u00e9.<\/p>\n<p><b>3 \u2014 Couvrir l&#8217;ensemble de votre \u00e9cosyst\u00e8me informatique<\/b><\/p>\n<ol>\n<\/ol>\n<p>Les vuln\u00e9rabilit\u00e9s tierces pr\u00e9sentent un risque \u00e9norme pour la cybers\u00e9curit\u00e9 de votre entreprise, mais vos propres d\u00e9veloppeurs peuvent \u00e9galement introduire des probl\u00e8mes dans l&#8217;application.  Vous devez \u00eatre en mesure de d\u00e9tecter et de r\u00e9soudre les vuln\u00e9rabilit\u00e9s sur site, dans le cloud et dans des environnements tiers. <\/p>\n<p><b>4 \u2014 Passer de la r\u00e9action \u00e0 la pr\u00e9vention<\/b><\/p>\n<ol>\n<\/ol>\n<p>Ajoutez des concepts de programmation d\u00e9fensive \u00e0 vos directives de codage.  La robustesse est ce qu&#8217;il vous faut.  Une bonne s\u00e9curit\u00e9 est une question de parano\u00efa, apr\u00e8s tout.<\/p>\n<p><b>5 &#8211; L&#8217;\u00e9tat d&#8217;esprit compte plus que la technologie<\/b><\/p>\n<ol>\n<\/ol>\n<p>Les pare-feu et les IDS ne prot\u00e9geront pas \u00e0 eux seuls votre logiciel contre les pirates\u00a0;  ils traitent simplement des cons\u00e9quences des vuln\u00e9rabilit\u00e9s d\u00e9j\u00e0 existantes.  Attaquez le probl\u00e8me \u00e0 sa racine : l&#8217;\u00e9tat d&#8217;esprit et la responsabilit\u00e9 personnelle des d\u00e9veloppeurs.<\/p>\n<p><b>6 \u2014 Investissez dans une formation au code s\u00e9curis\u00e9<\/b><\/p>\n<ol>\n<\/ol>\n<p>Recherchez un qui couvre un large \u00e9ventail de langages de programmation et fournit une couverture compl\u00e8te des normes de codage s\u00e9curis\u00e9, des bases de donn\u00e9es de vuln\u00e9rabilit\u00e9s et des types de faiblesses logicielles critiques reconnus par l&#8217;industrie.  Les exercices pratiques en laboratoire dans les environnements natifs des d\u00e9veloppeurs sont un \u00e9norme avantage pour les mettre rapidement \u00e0 niveau et combler cet emb\u00eatant savoir-faire.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/cydrill.com\/?utm_source=hackernews&amp;utm_medium=referral&amp;utm_campaign=HackerNewsBlog\" target=\"_blank\">Le parcours d&#8217;apprentissage mixte de Cydrill<\/a> propose une formation en codage s\u00e9curis\u00e9 proactif et efficace aux d\u00e9veloppeurs des entreprises Fortune 500 du monde entier.  En combinant <a rel=\"nofollow noopener\" href=\"https:\/\/cydrill.com\/courses\/?utm_source=hackernews&amp;utm_medium=referral&amp;utm_campaign=HackerNewsBlog\" target=\"_blank\">formation dirig\u00e9e par un instructeur, apprentissage en ligne,<\/a> laboratoires pratiques et gamification, Cydrill fournit une approche nouvelle et efficace pour apprendre \u00e0 coder en toute s\u00e9curit\u00e9. <\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/09\/the-ultimate-security-blind-spot-you.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Combien de temps les d\u00e9veloppeurs passent-ils r\u00e9ellement \u00e0 \u00e9crire du code\u00a0? Selon de r\u00e9cents \u00e9tudes, les d\u00e9veloppeurs passent plus de temps \u00e0 maintenir, tester et s\u00e9curiser le code existant qu&#8217;\u00e0 \u00e9crire ou \u00e0 am\u00e9liorer le code. Les vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 ont la mauvaise habitude d&#8217;appara\u00eetre au cours du processus de d\u00e9veloppement logiciel, pour ne faire [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":345682,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4106,4168,4158,4165,4161,4157,4159,4171,4170,32649,4167,4160,759,4163,4162,132,8919,1835,4172,4169,8769,4166,188,4164],"class_list":["post-345681","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-avez","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-langle","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-mort","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pas","tag-savez","tag-securite","tag-securite-informatique","tag-securite-internet","tag-ultime","tag-violation-de-donnees","tag-vous","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/345681","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=345681"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/345681\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/345682"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=345681"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=345681"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=345681"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}