Pour connaître les meilleures pratiques en matière de cybersécurité, tournez-vous vers le secteur financier
Publié à l'origine dans Réglementation Asie.
Avec l'augmentation des cyberattaques « touchant tous les types d'organisations dans tous les secteurs », la menace de violations de données coûteuses, embarrassantes et affectant les résultats financiers est bien réelle. Le problème n'est pas de diminuer, il se développe comme une tumeur.
On me demande souvent de donner des exemples d'organisations qui luttent contre ce problème, en explorant le « Far West » de la cybersécurité et des meilleures pratiques en matière d'AppSec avec une finesse et une maîtrise particulières. Je reviens plus souvent à une réponse qu'à d'autres : c'est le secteur financier qui s'en sort le mieux que la plupart des autres.
La réglementation : un facteur déterminant du leadership du secteur financier en matière de cybersécurité
L'une des raisons pour lesquelles le secteur financier joue si bien dans l'espace AppSec est qu'il est (du moins en partie) motivé par les préoccupations des régulateurs mondiaux, régionaux et nationaux concernant les impacts universels, voire catastrophiques, qui pourraient résulter d'une attaque de cybersécurité réussie ou d'un vol de données.
Le BCBS (Comité de Bâle sur le contrôle bancaire) a publié un rapport en décembre, qui détaille l'éventail des pratiques de cyber-résilience observées par les banques, les régulateurs et les autorités de supervision dans de nombreuses juridictions. Parmi ses principales conclusions figurait le problème de la pénurie de compétences en cybersécurité, un facteur auquel seules quelques juridictions se sont efforcées de faire face en mettant en œuvre des cybercertifications spécifiques.
« Certaines juridictions ont des normes informatiques spécifiques qui traitent des responsabilités du personnel informatique et des fonctions de sécurité de l'information, en accordant une attention particulière à la formation et aux compétences du personnel en cybersécurité », indique le rapport. Mais la plupart des juridictions n'en sont qu'aux « premières étapes » de la mise en œuvre de pratiques de supervision visant à contrôler les compétences et les ressources de la cybermain-d'œuvre d'une banque.
Dans la plupart des cas, les systèmes réglementaires obligent les entités réglementées à gérer les risques, mais il existe rarement une voie claire pour atténuer ces risques avec succès. Ils ne fixent pas d'exigences spécifiques (ni même de points de référence) concernant les compétences et les ressources du personnel en cybersécurité. La plupart des régulateurs évaluent le personnel de cybersécurité des institutions par le biais d'inspections sur site, où les questionnaires d'auto-évaluation sont une pratique courante, et les processus de formation sont particulièrement surveillés, mais ce n'est que dans quelques juridictions que les réglementations traitent spécifiquement des rôles et responsabilités du personnel informatique. En termes simples, la marge d'erreur est importante et l'accent mis sur la formation appropriée et l'évaluation ultérieure des compétences est plutôt faible.
Au Japon et en Corée du Sud, les autorités publiques ont défini des directives sur la gestion appropriée des effectifs de cybersécurité. Dans la plupart des autres juridictions, toutefois, les exigences réglementaires relatives à la gestion de la cybermain-d'œuvre se limitent aux attentes des superviseurs, où les superviseurs n'évaluent souvent pas les compétences en cybersécurité et la formation du personnel des organisations réglementées.
Seuls Hong Kong, Singapour et le Royaume-Uni ont publié des cadres dédiés pour certifier les aptitudes et les compétences du personnel informatique. Alors que des termes tels que « conformité » et « certification » ont tendance à faire froid dans le dos d'un développeur créatif et capable de résoudre des problèmes, chargé de créer des fonctionnalités logicielles exceptionnelles (dans ce domaine, la sécurité est souvent considérée comme le problème de quelqu'un d'autre, à savoir l'équipe de sécurité), les énormes quantités de données sensibles détenues par de nombreuses entités réglementées sont tout simplement trop précieuses pour être laissées entre les mains de ceux dont les compétences sont « assumées » plutôt que correctement vérifiées.
Heureusement, de nombreuses institutions bancaires et financières le reconnaissent sans nécessairement s'appuyer sur une voie réglementaire évidente. Les réglementations fournissent certainement une vue d'ensemble des attentes en matière de résultats finaux (c'est-à-dire des logiciels sécurisés), mais elles ont identifié que pour y parvenir, il fallait remédier à la pénurie de compétences en cybersécurité en formant les développeurs, en entretenant leurs relations avec les professionnels existants de la sécurité des applications et en développant une culture de sécurité positive qui favorise la responsabilité et l'appropriation.
Pourquoi le secteur financier dispose-t-il d'un « facteur X » en matière de cybersécurité ?
Quelques éléments entrent en jeu pour les entreprises du secteur bancaire, services financiers et les secteurs de l'assurance, qui constituent des piliers de force sur lesquels repose leur position de leader dans le paysage de la cybersécurité.
Bien entendu, en tant que gardiennes des finances mondiales (sans parler des millions d'enregistrements de données hautement sensibles), ce sont généralement des organisations très axées sur la conformité et réglementées. Les directives, réglementations et exigences mises à jour sont attendues et planifiées de manière significative. En conséquence, ils ont fait face à l'évolution des besoins en matière d'atténuation des cyberrisques, en adoptant certaines des politiques les plus strictes en matière de meilleures pratiques en matière de cybersécurité, ainsi que des processus de bout en bout visant à réduire leur exposition aux attaques potentielles.
Alors, qu'est-ce que les institutions financières font différemment des autres ? D'après mon expérience, ils ont jeté les bases pour être plus attentifs à la sécurité que les autres, en identifiant les besoins et en consacrant des ressources à des programmes de formation holistiques destinés non seulement aux professionnels de la sécurité des applications et aux testeurs d'intrusion, mais également à leurs équipes de développement (généralement très nombreuses et dispersées dans le monde entier).
La cybersécurité étant relativement récente dans la plupart des organisations, il est rafraîchissant de constater que les institutions financières font preuve d'une véritable ouverture d'esprit et d'innovation dans leur quête pour fournir des logiciels sûrs et sécurisés. Beaucoup ont vu les avantages de l'amélioration des compétences de la cohorte de développement avec une formation engageante qui les amène à sortir de la salle de classe et à vivre une expérience d'apprentissage pratique et pertinente qui les aide non seulement à résoudre les problèmes, mais aussi à comprendre l'importance d'un codage sécurisé en général.
Après tout, le codage sécurisé est un élément clé pour établir une relation solide et fonctionnelle entre les développeurs et l'équipe AppSec, ainsi que pour maintenir une solide culture de sécurité au sein de l'entreprise. Un autre facteur clé de la réussite d'un programme de sécurité est de s'assurer que les principales parties prenantes sont impliquées et en voient les avantages, même si elles ne sont pas elles-mêmes des professionnels de la sécurité.
Les institutions financières ont tendance à bien communiquer avec la direction générale, afin de s'assurer que les décideurs de haut niveau comprennent que les processus de sécurité ne sont pas des mesures « définies et oubliées » ; ils doivent évoluer aussi rapidement que la technologie utilisée et s'adapter à des risques variables.
Cela peut coûter du temps et de l'argent aujourd'hui, mais comme les vulnérabilités sont trente fois plus coûteuses à corriger dans du code validé, un programme de sécurité complet « qui inclut une formation de A à Z » permet d'économiser de l'argent à long terme : il est beaucoup moins coûteux lorsque les problèmes de sécurité sont résolus car ils sont écrits par des développeurs soucieux de la sécurité.
Les normes de sécurité commencent à suivre le rythme des risques croissants
L'un des principaux moteurs de la cyberconformité pour le secteur financier provient du Conseil des normes de sécurité PCI, qui reste déterminée à aider les organisations financières à mettre en œuvre des politiques de sécurité viables et à faire respecter les directives dans tous les domaines. Ils ont joué un rôle positif en aidant ce secteur à atteindre les normes de sécurité les plus élevées en matière de logiciels de paiement.
Cependant, force est de constater que nombre de nos clients du secteur financier ont même dépassé les directives actuelles du PCI Security Standards Council. Bien que ces directives recommandent une formation pour les développeurs (comme mentionné précédemment avec d'autres exemples d'informations réglementaires), elles ne spécifient pas de type particulier ni de point de référence à atteindre pour indiquer que la formation a été efficace.
Avec de nombreuses vulnérabilités, telles que l'injection SQL et le cross-site scripting (XSS), qui persistent depuis plus de vingt ans (et continuent de poser problème en 2019), force est de constater que toutes les formations ne sont pas équivalentes ou efficaces. En adoptant des formations pratiques, ludiques et sécurisées, les banques et autres sociétés de services financiers obtiennent de bien meilleurs résultats et une réelle réduction des vulnérabilités qui peuvent faire des ravages si elles sont exploitées.
La façon dont l'institution bancaire américaine Capital One a utilisé des techniques de formation ludiques dans le cadre de son Tech College innovant et de son système de certification en est un bon exemple. Selon Russell Wolfe, leur directeur de la formation à la cybersécurité et au cloud computing dans un récent webinaire, les programmes de formation volontaire et les tournois de codage ont rapidement gagné en popularité, suscitant une demande sans précédent et une motivation naturelle de la part des pairs à obtenir une certification et à aider à améliorer les compétences des autres.
Que peuvent faire les régulateurs pour s'assurer que le personnel de cybersécurité est correctement formé ?
Les régulateurs du monde entier peuvent réellement « améliorer » leurs politiques et directives existantes en matière de cyberréglementation, simplement en décrivant les méthodologies de formation et les normes acceptées que les personnes chargées de la protection de nos données doivent respecter. À l'heure actuelle, il semble que la plupart des politiques réglementaires fassent généralement référence à une exigence de formation, mais peu de mesures sont prises pour s'assurer que les personnes suivant une formation prescrite assimilent le contenu et les techniques nécessaires pour réellement contribuer à la lutte contre les cybermenaces.
La récente décision de la MAS (Autorité monétaire de Singapour) d'inclure l'adoption de programmes de formation en matière de sensibilisation à la sécurité et les meilleures pratiques de développement de logiciels sécurisés dans le dernière itération de ses directives en matière de risques technologiques est toutefois encourageante. Une fois que les directives entreront en vigueur, ils demanderont aux institutions financières de veiller à ce que leurs développeurs de logiciels soient formés pour appliquer le codage sécurisé, la révision du code source et les normes de test AppSec lors du développement de logiciels, ce qui devrait contribuer dans une large mesure à minimiser les bogues et les vulnérabilités.
Pour moi, former la cohorte de développeurs à l'aide de techniques pratiques et réelles est de loin la solution la plus intéressante et la plus pertinente pour leur travail, tout en jetant les bases d'une solide culture de sécurité que chaque organisation doit créer avant qu'il ne soit trop tard.
Compte tenu de la recrudescence des cyberattaques, qui touchent tous les types d'organisations dans tous les secteurs d'activité, la menace de violations de données coûteuses, embarrassantes et affectant les résultats financiers est bien réelle. Le problème n'est pas de diminuer, il se développe comme une tumeur.
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Publié à l'origine dans Réglementation Asie.
Avec l'augmentation des cyberattaques « touchant tous les types d'organisations dans tous les secteurs », la menace de violations de données coûteuses, embarrassantes et affectant les résultats financiers est bien réelle. Le problème n'est pas de diminuer, il se développe comme une tumeur.
On me demande souvent de donner des exemples d'organisations qui luttent contre ce problème, en explorant le « Far West » de la cybersécurité et des meilleures pratiques en matière d'AppSec avec une finesse et une maîtrise particulières. Je reviens plus souvent à une réponse qu'à d'autres : c'est le secteur financier qui s'en sort le mieux que la plupart des autres.
La réglementation : un facteur déterminant du leadership du secteur financier en matière de cybersécurité
L'une des raisons pour lesquelles le secteur financier joue si bien dans l'espace AppSec est qu'il est (du moins en partie) motivé par les préoccupations des régulateurs mondiaux, régionaux et nationaux concernant les impacts universels, voire catastrophiques, qui pourraient résulter d'une attaque de cybersécurité réussie ou d'un vol de données.
Le BCBS (Comité de Bâle sur le contrôle bancaire) a publié un rapport en décembre, qui détaille l'éventail des pratiques de cyber-résilience observées par les banques, les régulateurs et les autorités de supervision dans de nombreuses juridictions. Parmi ses principales conclusions figurait le problème de la pénurie de compétences en cybersécurité, un facteur auquel seules quelques juridictions se sont efforcées de faire face en mettant en œuvre des cybercertifications spécifiques.
« Certaines juridictions ont des normes informatiques spécifiques qui traitent des responsabilités du personnel informatique et des fonctions de sécurité de l'information, en accordant une attention particulière à la formation et aux compétences du personnel en cybersécurité », indique le rapport. Mais la plupart des juridictions n'en sont qu'aux « premières étapes » de la mise en œuvre de pratiques de supervision visant à contrôler les compétences et les ressources de la cybermain-d'œuvre d'une banque.
Dans la plupart des cas, les systèmes réglementaires obligent les entités réglementées à gérer les risques, mais il existe rarement une voie claire pour atténuer ces risques avec succès. Ils ne fixent pas d'exigences spécifiques (ni même de points de référence) concernant les compétences et les ressources du personnel en cybersécurité. La plupart des régulateurs évaluent le personnel de cybersécurité des institutions par le biais d'inspections sur site, où les questionnaires d'auto-évaluation sont une pratique courante, et les processus de formation sont particulièrement surveillés, mais ce n'est que dans quelques juridictions que les réglementations traitent spécifiquement des rôles et responsabilités du personnel informatique. En termes simples, la marge d'erreur est importante et l'accent mis sur la formation appropriée et l'évaluation ultérieure des compétences est plutôt faible.
Au Japon et en Corée du Sud, les autorités publiques ont défini des directives sur la gestion appropriée des effectifs de cybersécurité. Dans la plupart des autres juridictions, toutefois, les exigences réglementaires relatives à la gestion de la cybermain-d'œuvre se limitent aux attentes des superviseurs, où les superviseurs n'évaluent souvent pas les compétences en cybersécurité et la formation du personnel des organisations réglementées.
Seuls Hong Kong, Singapour et le Royaume-Uni ont publié des cadres dédiés pour certifier les aptitudes et les compétences du personnel informatique. Alors que des termes tels que « conformité » et « certification » ont tendance à faire froid dans le dos d'un développeur créatif et capable de résoudre des problèmes, chargé de créer des fonctionnalités logicielles exceptionnelles (dans ce domaine, la sécurité est souvent considérée comme le problème de quelqu'un d'autre, à savoir l'équipe de sécurité), les énormes quantités de données sensibles détenues par de nombreuses entités réglementées sont tout simplement trop précieuses pour être laissées entre les mains de ceux dont les compétences sont « assumées » plutôt que correctement vérifiées.
Heureusement, de nombreuses institutions bancaires et financières le reconnaissent sans nécessairement s'appuyer sur une voie réglementaire évidente. Les réglementations fournissent certainement une vue d'ensemble des attentes en matière de résultats finaux (c'est-à-dire des logiciels sécurisés), mais elles ont identifié que pour y parvenir, il fallait remédier à la pénurie de compétences en cybersécurité en formant les développeurs, en entretenant leurs relations avec les professionnels existants de la sécurité des applications et en développant une culture de sécurité positive qui favorise la responsabilité et l'appropriation.
Pourquoi le secteur financier dispose-t-il d'un « facteur X » en matière de cybersécurité ?
Quelques éléments entrent en jeu pour les entreprises du secteur bancaire, services financiers et les secteurs de l'assurance, qui constituent des piliers de force sur lesquels repose leur position de leader dans le paysage de la cybersécurité.
Bien entendu, en tant que gardiennes des finances mondiales (sans parler des millions d'enregistrements de données hautement sensibles), ce sont généralement des organisations très axées sur la conformité et réglementées. Les directives, réglementations et exigences mises à jour sont attendues et planifiées de manière significative. En conséquence, ils ont fait face à l'évolution des besoins en matière d'atténuation des cyberrisques, en adoptant certaines des politiques les plus strictes en matière de meilleures pratiques en matière de cybersécurité, ainsi que des processus de bout en bout visant à réduire leur exposition aux attaques potentielles.
Alors, qu'est-ce que les institutions financières font différemment des autres ? D'après mon expérience, ils ont jeté les bases pour être plus attentifs à la sécurité que les autres, en identifiant les besoins et en consacrant des ressources à des programmes de formation holistiques destinés non seulement aux professionnels de la sécurité des applications et aux testeurs d'intrusion, mais également à leurs équipes de développement (généralement très nombreuses et dispersées dans le monde entier).
La cybersécurité étant relativement récente dans la plupart des organisations, il est rafraîchissant de constater que les institutions financières font preuve d'une véritable ouverture d'esprit et d'innovation dans leur quête pour fournir des logiciels sûrs et sécurisés. Beaucoup ont vu les avantages de l'amélioration des compétences de la cohorte de développement avec une formation engageante qui les amène à sortir de la salle de classe et à vivre une expérience d'apprentissage pratique et pertinente qui les aide non seulement à résoudre les problèmes, mais aussi à comprendre l'importance d'un codage sécurisé en général.
Après tout, le codage sécurisé est un élément clé pour établir une relation solide et fonctionnelle entre les développeurs et l'équipe AppSec, ainsi que pour maintenir une solide culture de sécurité au sein de l'entreprise. Un autre facteur clé de la réussite d'un programme de sécurité est de s'assurer que les principales parties prenantes sont impliquées et en voient les avantages, même si elles ne sont pas elles-mêmes des professionnels de la sécurité.
Les institutions financières ont tendance à bien communiquer avec la direction générale, afin de s'assurer que les décideurs de haut niveau comprennent que les processus de sécurité ne sont pas des mesures « définies et oubliées » ; ils doivent évoluer aussi rapidement que la technologie utilisée et s'adapter à des risques variables.
Cela peut coûter du temps et de l'argent aujourd'hui, mais comme les vulnérabilités sont trente fois plus coûteuses à corriger dans du code validé, un programme de sécurité complet « qui inclut une formation de A à Z » permet d'économiser de l'argent à long terme : il est beaucoup moins coûteux lorsque les problèmes de sécurité sont résolus car ils sont écrits par des développeurs soucieux de la sécurité.
Les normes de sécurité commencent à suivre le rythme des risques croissants
L'un des principaux moteurs de la cyberconformité pour le secteur financier provient du Conseil des normes de sécurité PCI, qui reste déterminée à aider les organisations financières à mettre en œuvre des politiques de sécurité viables et à faire respecter les directives dans tous les domaines. Ils ont joué un rôle positif en aidant ce secteur à atteindre les normes de sécurité les plus élevées en matière de logiciels de paiement.
Cependant, force est de constater que nombre de nos clients du secteur financier ont même dépassé les directives actuelles du PCI Security Standards Council. Bien que ces directives recommandent une formation pour les développeurs (comme mentionné précédemment avec d'autres exemples d'informations réglementaires), elles ne spécifient pas de type particulier ni de point de référence à atteindre pour indiquer que la formation a été efficace.
Avec de nombreuses vulnérabilités, telles que l'injection SQL et le cross-site scripting (XSS), qui persistent depuis plus de vingt ans (et continuent de poser problème en 2019), force est de constater que toutes les formations ne sont pas équivalentes ou efficaces. En adoptant des formations pratiques, ludiques et sécurisées, les banques et autres sociétés de services financiers obtiennent de bien meilleurs résultats et une réelle réduction des vulnérabilités qui peuvent faire des ravages si elles sont exploitées.
La façon dont l'institution bancaire américaine Capital One a utilisé des techniques de formation ludiques dans le cadre de son Tech College innovant et de son système de certification en est un bon exemple. Selon Russell Wolfe, leur directeur de la formation à la cybersécurité et au cloud computing dans un récent webinaire, les programmes de formation volontaire et les tournois de codage ont rapidement gagné en popularité, suscitant une demande sans précédent et une motivation naturelle de la part des pairs à obtenir une certification et à aider à améliorer les compétences des autres.
Que peuvent faire les régulateurs pour s'assurer que le personnel de cybersécurité est correctement formé ?
Les régulateurs du monde entier peuvent réellement « améliorer » leurs politiques et directives existantes en matière de cyberréglementation, simplement en décrivant les méthodologies de formation et les normes acceptées que les personnes chargées de la protection de nos données doivent respecter. À l'heure actuelle, il semble que la plupart des politiques réglementaires fassent généralement référence à une exigence de formation, mais peu de mesures sont prises pour s'assurer que les personnes suivant une formation prescrite assimilent le contenu et les techniques nécessaires pour réellement contribuer à la lutte contre les cybermenaces.
La récente décision de la MAS (Autorité monétaire de Singapour) d'inclure l'adoption de programmes de formation en matière de sensibilisation à la sécurité et les meilleures pratiques de développement de logiciels sécurisés dans le dernière itération de ses directives en matière de risques technologiques est toutefois encourageante. Une fois que les directives entreront en vigueur, ils demanderont aux institutions financières de veiller à ce que leurs développeurs de logiciels soient formés pour appliquer le codage sécurisé, la révision du code source et les normes de test AppSec lors du développement de logiciels, ce qui devrait contribuer dans une large mesure à minimiser les bogues et les vulnérabilités.
Pour moi, former la cohorte de développeurs à l'aide de techniques pratiques et réelles est de loin la solution la plus intéressante et la plus pertinente pour leur travail, tout en jetant les bases d'une solide culture de sécurité que chaque organisation doit créer avant qu'il ne soit trop tard.
Publié à l'origine dans Réglementation Asie.
Avec l'augmentation des cyberattaques « touchant tous les types d'organisations dans tous les secteurs », la menace de violations de données coûteuses, embarrassantes et affectant les résultats financiers est bien réelle. Le problème n'est pas de diminuer, il se développe comme une tumeur.
On me demande souvent de donner des exemples d'organisations qui luttent contre ce problème, en explorant le « Far West » de la cybersécurité et des meilleures pratiques en matière d'AppSec avec une finesse et une maîtrise particulières. Je reviens plus souvent à une réponse qu'à d'autres : c'est le secteur financier qui s'en sort le mieux que la plupart des autres.
La réglementation : un facteur déterminant du leadership du secteur financier en matière de cybersécurité
L'une des raisons pour lesquelles le secteur financier joue si bien dans l'espace AppSec est qu'il est (du moins en partie) motivé par les préoccupations des régulateurs mondiaux, régionaux et nationaux concernant les impacts universels, voire catastrophiques, qui pourraient résulter d'une attaque de cybersécurité réussie ou d'un vol de données.
Le BCBS (Comité de Bâle sur le contrôle bancaire) a publié un rapport en décembre, qui détaille l'éventail des pratiques de cyber-résilience observées par les banques, les régulateurs et les autorités de supervision dans de nombreuses juridictions. Parmi ses principales conclusions figurait le problème de la pénurie de compétences en cybersécurité, un facteur auquel seules quelques juridictions se sont efforcées de faire face en mettant en œuvre des cybercertifications spécifiques.
« Certaines juridictions ont des normes informatiques spécifiques qui traitent des responsabilités du personnel informatique et des fonctions de sécurité de l'information, en accordant une attention particulière à la formation et aux compétences du personnel en cybersécurité », indique le rapport. Mais la plupart des juridictions n'en sont qu'aux « premières étapes » de la mise en œuvre de pratiques de supervision visant à contrôler les compétences et les ressources de la cybermain-d'œuvre d'une banque.
Dans la plupart des cas, les systèmes réglementaires obligent les entités réglementées à gérer les risques, mais il existe rarement une voie claire pour atténuer ces risques avec succès. Ils ne fixent pas d'exigences spécifiques (ni même de points de référence) concernant les compétences et les ressources du personnel en cybersécurité. La plupart des régulateurs évaluent le personnel de cybersécurité des institutions par le biais d'inspections sur site, où les questionnaires d'auto-évaluation sont une pratique courante, et les processus de formation sont particulièrement surveillés, mais ce n'est que dans quelques juridictions que les réglementations traitent spécifiquement des rôles et responsabilités du personnel informatique. En termes simples, la marge d'erreur est importante et l'accent mis sur la formation appropriée et l'évaluation ultérieure des compétences est plutôt faible.
Au Japon et en Corée du Sud, les autorités publiques ont défini des directives sur la gestion appropriée des effectifs de cybersécurité. Dans la plupart des autres juridictions, toutefois, les exigences réglementaires relatives à la gestion de la cybermain-d'œuvre se limitent aux attentes des superviseurs, où les superviseurs n'évaluent souvent pas les compétences en cybersécurité et la formation du personnel des organisations réglementées.
Seuls Hong Kong, Singapour et le Royaume-Uni ont publié des cadres dédiés pour certifier les aptitudes et les compétences du personnel informatique. Alors que des termes tels que « conformité » et « certification » ont tendance à faire froid dans le dos d'un développeur créatif et capable de résoudre des problèmes, chargé de créer des fonctionnalités logicielles exceptionnelles (dans ce domaine, la sécurité est souvent considérée comme le problème de quelqu'un d'autre, à savoir l'équipe de sécurité), les énormes quantités de données sensibles détenues par de nombreuses entités réglementées sont tout simplement trop précieuses pour être laissées entre les mains de ceux dont les compétences sont « assumées » plutôt que correctement vérifiées.
Heureusement, de nombreuses institutions bancaires et financières le reconnaissent sans nécessairement s'appuyer sur une voie réglementaire évidente. Les réglementations fournissent certainement une vue d'ensemble des attentes en matière de résultats finaux (c'est-à-dire des logiciels sécurisés), mais elles ont identifié que pour y parvenir, il fallait remédier à la pénurie de compétences en cybersécurité en formant les développeurs, en entretenant leurs relations avec les professionnels existants de la sécurité des applications et en développant une culture de sécurité positive qui favorise la responsabilité et l'appropriation.
Pourquoi le secteur financier dispose-t-il d'un « facteur X » en matière de cybersécurité ?
Quelques éléments entrent en jeu pour les entreprises du secteur bancaire, services financiers et les secteurs de l'assurance, qui constituent des piliers de force sur lesquels repose leur position de leader dans le paysage de la cybersécurité.
Bien entendu, en tant que gardiennes des finances mondiales (sans parler des millions d'enregistrements de données hautement sensibles), ce sont généralement des organisations très axées sur la conformité et réglementées. Les directives, réglementations et exigences mises à jour sont attendues et planifiées de manière significative. En conséquence, ils ont fait face à l'évolution des besoins en matière d'atténuation des cyberrisques, en adoptant certaines des politiques les plus strictes en matière de meilleures pratiques en matière de cybersécurité, ainsi que des processus de bout en bout visant à réduire leur exposition aux attaques potentielles.
Alors, qu'est-ce que les institutions financières font différemment des autres ? D'après mon expérience, ils ont jeté les bases pour être plus attentifs à la sécurité que les autres, en identifiant les besoins et en consacrant des ressources à des programmes de formation holistiques destinés non seulement aux professionnels de la sécurité des applications et aux testeurs d'intrusion, mais également à leurs équipes de développement (généralement très nombreuses et dispersées dans le monde entier).
La cybersécurité étant relativement récente dans la plupart des organisations, il est rafraîchissant de constater que les institutions financières font preuve d'une véritable ouverture d'esprit et d'innovation dans leur quête pour fournir des logiciels sûrs et sécurisés. Beaucoup ont vu les avantages de l'amélioration des compétences de la cohorte de développement avec une formation engageante qui les amène à sortir de la salle de classe et à vivre une expérience d'apprentissage pratique et pertinente qui les aide non seulement à résoudre les problèmes, mais aussi à comprendre l'importance d'un codage sécurisé en général.
Après tout, le codage sécurisé est un élément clé pour établir une relation solide et fonctionnelle entre les développeurs et l'équipe AppSec, ainsi que pour maintenir une solide culture de sécurité au sein de l'entreprise. Un autre facteur clé de la réussite d'un programme de sécurité est de s'assurer que les principales parties prenantes sont impliquées et en voient les avantages, même si elles ne sont pas elles-mêmes des professionnels de la sécurité.
Les institutions financières ont tendance à bien communiquer avec la direction générale, afin de s'assurer que les décideurs de haut niveau comprennent que les processus de sécurité ne sont pas des mesures « définies et oubliées » ; ils doivent évoluer aussi rapidement que la technologie utilisée et s'adapter à des risques variables.
Cela peut coûter du temps et de l'argent aujourd'hui, mais comme les vulnérabilités sont trente fois plus coûteuses à corriger dans du code validé, un programme de sécurité complet « qui inclut une formation de A à Z » permet d'économiser de l'argent à long terme : il est beaucoup moins coûteux lorsque les problèmes de sécurité sont résolus car ils sont écrits par des développeurs soucieux de la sécurité.
Les normes de sécurité commencent à suivre le rythme des risques croissants
L'un des principaux moteurs de la cyberconformité pour le secteur financier provient du Conseil des normes de sécurité PCI, qui reste déterminée à aider les organisations financières à mettre en œuvre des politiques de sécurité viables et à faire respecter les directives dans tous les domaines. Ils ont joué un rôle positif en aidant ce secteur à atteindre les normes de sécurité les plus élevées en matière de logiciels de paiement.
Cependant, force est de constater que nombre de nos clients du secteur financier ont même dépassé les directives actuelles du PCI Security Standards Council. Bien que ces directives recommandent une formation pour les développeurs (comme mentionné précédemment avec d'autres exemples d'informations réglementaires), elles ne spécifient pas de type particulier ni de point de référence à atteindre pour indiquer que la formation a été efficace.
Avec de nombreuses vulnérabilités, telles que l'injection SQL et le cross-site scripting (XSS), qui persistent depuis plus de vingt ans (et continuent de poser problème en 2019), force est de constater que toutes les formations ne sont pas équivalentes ou efficaces. En adoptant des formations pratiques, ludiques et sécurisées, les banques et autres sociétés de services financiers obtiennent de bien meilleurs résultats et une réelle réduction des vulnérabilités qui peuvent faire des ravages si elles sont exploitées.
La façon dont l'institution bancaire américaine Capital One a utilisé des techniques de formation ludiques dans le cadre de son Tech College innovant et de son système de certification en est un bon exemple. Selon Russell Wolfe, leur directeur de la formation à la cybersécurité et au cloud computing dans un récent webinaire, les programmes de formation volontaire et les tournois de codage ont rapidement gagné en popularité, suscitant une demande sans précédent et une motivation naturelle de la part des pairs à obtenir une certification et à aider à améliorer les compétences des autres.
Que peuvent faire les régulateurs pour s'assurer que le personnel de cybersécurité est correctement formé ?
Les régulateurs du monde entier peuvent réellement « améliorer » leurs politiques et directives existantes en matière de cyberréglementation, simplement en décrivant les méthodologies de formation et les normes acceptées que les personnes chargées de la protection de nos données doivent respecter. À l'heure actuelle, il semble que la plupart des politiques réglementaires fassent généralement référence à une exigence de formation, mais peu de mesures sont prises pour s'assurer que les personnes suivant une formation prescrite assimilent le contenu et les techniques nécessaires pour réellement contribuer à la lutte contre les cybermenaces.
La récente décision de la MAS (Autorité monétaire de Singapour) d'inclure l'adoption de programmes de formation en matière de sensibilisation à la sécurité et les meilleures pratiques de développement de logiciels sécurisés dans le dernière itération de ses directives en matière de risques technologiques est toutefois encourageante. Une fois que les directives entreront en vigueur, ils demanderont aux institutions financières de veiller à ce que leurs développeurs de logiciels soient formés pour appliquer le codage sécurisé, la révision du code source et les normes de test AppSec lors du développement de logiciels, ce qui devrait contribuer dans une large mesure à minimiser les bogues et les vulnérabilités.
Pour moi, former la cohorte de développeurs à l'aide de techniques pratiques et réelles est de loin la solution la plus intéressante et la plus pertinente pour leur travail, tout en jetant les bases d'une solide culture de sécurité que chaque organisation doit créer avant qu'il ne soit trop tard.
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
レポートを表示するデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Publié à l'origine dans Réglementation Asie.
Avec l'augmentation des cyberattaques « touchant tous les types d'organisations dans tous les secteurs », la menace de violations de données coûteuses, embarrassantes et affectant les résultats financiers est bien réelle. Le problème n'est pas de diminuer, il se développe comme une tumeur.
On me demande souvent de donner des exemples d'organisations qui luttent contre ce problème, en explorant le « Far West » de la cybersécurité et des meilleures pratiques en matière d'AppSec avec une finesse et une maîtrise particulières. Je reviens plus souvent à une réponse qu'à d'autres : c'est le secteur financier qui s'en sort le mieux que la plupart des autres.
La réglementation : un facteur déterminant du leadership du secteur financier en matière de cybersécurité
L'une des raisons pour lesquelles le secteur financier joue si bien dans l'espace AppSec est qu'il est (du moins en partie) motivé par les préoccupations des régulateurs mondiaux, régionaux et nationaux concernant les impacts universels, voire catastrophiques, qui pourraient résulter d'une attaque de cybersécurité réussie ou d'un vol de données.
Le BCBS (Comité de Bâle sur le contrôle bancaire) a publié un rapport en décembre, qui détaille l'éventail des pratiques de cyber-résilience observées par les banques, les régulateurs et les autorités de supervision dans de nombreuses juridictions. Parmi ses principales conclusions figurait le problème de la pénurie de compétences en cybersécurité, un facteur auquel seules quelques juridictions se sont efforcées de faire face en mettant en œuvre des cybercertifications spécifiques.
« Certaines juridictions ont des normes informatiques spécifiques qui traitent des responsabilités du personnel informatique et des fonctions de sécurité de l'information, en accordant une attention particulière à la formation et aux compétences du personnel en cybersécurité », indique le rapport. Mais la plupart des juridictions n'en sont qu'aux « premières étapes » de la mise en œuvre de pratiques de supervision visant à contrôler les compétences et les ressources de la cybermain-d'œuvre d'une banque.
Dans la plupart des cas, les systèmes réglementaires obligent les entités réglementées à gérer les risques, mais il existe rarement une voie claire pour atténuer ces risques avec succès. Ils ne fixent pas d'exigences spécifiques (ni même de points de référence) concernant les compétences et les ressources du personnel en cybersécurité. La plupart des régulateurs évaluent le personnel de cybersécurité des institutions par le biais d'inspections sur site, où les questionnaires d'auto-évaluation sont une pratique courante, et les processus de formation sont particulièrement surveillés, mais ce n'est que dans quelques juridictions que les réglementations traitent spécifiquement des rôles et responsabilités du personnel informatique. En termes simples, la marge d'erreur est importante et l'accent mis sur la formation appropriée et l'évaluation ultérieure des compétences est plutôt faible.
Au Japon et en Corée du Sud, les autorités publiques ont défini des directives sur la gestion appropriée des effectifs de cybersécurité. Dans la plupart des autres juridictions, toutefois, les exigences réglementaires relatives à la gestion de la cybermain-d'œuvre se limitent aux attentes des superviseurs, où les superviseurs n'évaluent souvent pas les compétences en cybersécurité et la formation du personnel des organisations réglementées.
Seuls Hong Kong, Singapour et le Royaume-Uni ont publié des cadres dédiés pour certifier les aptitudes et les compétences du personnel informatique. Alors que des termes tels que « conformité » et « certification » ont tendance à faire froid dans le dos d'un développeur créatif et capable de résoudre des problèmes, chargé de créer des fonctionnalités logicielles exceptionnelles (dans ce domaine, la sécurité est souvent considérée comme le problème de quelqu'un d'autre, à savoir l'équipe de sécurité), les énormes quantités de données sensibles détenues par de nombreuses entités réglementées sont tout simplement trop précieuses pour être laissées entre les mains de ceux dont les compétences sont « assumées » plutôt que correctement vérifiées.
Heureusement, de nombreuses institutions bancaires et financières le reconnaissent sans nécessairement s'appuyer sur une voie réglementaire évidente. Les réglementations fournissent certainement une vue d'ensemble des attentes en matière de résultats finaux (c'est-à-dire des logiciels sécurisés), mais elles ont identifié que pour y parvenir, il fallait remédier à la pénurie de compétences en cybersécurité en formant les développeurs, en entretenant leurs relations avec les professionnels existants de la sécurité des applications et en développant une culture de sécurité positive qui favorise la responsabilité et l'appropriation.
Pourquoi le secteur financier dispose-t-il d'un « facteur X » en matière de cybersécurité ?
Quelques éléments entrent en jeu pour les entreprises du secteur bancaire, services financiers et les secteurs de l'assurance, qui constituent des piliers de force sur lesquels repose leur position de leader dans le paysage de la cybersécurité.
Bien entendu, en tant que gardiennes des finances mondiales (sans parler des millions d'enregistrements de données hautement sensibles), ce sont généralement des organisations très axées sur la conformité et réglementées. Les directives, réglementations et exigences mises à jour sont attendues et planifiées de manière significative. En conséquence, ils ont fait face à l'évolution des besoins en matière d'atténuation des cyberrisques, en adoptant certaines des politiques les plus strictes en matière de meilleures pratiques en matière de cybersécurité, ainsi que des processus de bout en bout visant à réduire leur exposition aux attaques potentielles.
Alors, qu'est-ce que les institutions financières font différemment des autres ? D'après mon expérience, ils ont jeté les bases pour être plus attentifs à la sécurité que les autres, en identifiant les besoins et en consacrant des ressources à des programmes de formation holistiques destinés non seulement aux professionnels de la sécurité des applications et aux testeurs d'intrusion, mais également à leurs équipes de développement (généralement très nombreuses et dispersées dans le monde entier).
La cybersécurité étant relativement récente dans la plupart des organisations, il est rafraîchissant de constater que les institutions financières font preuve d'une véritable ouverture d'esprit et d'innovation dans leur quête pour fournir des logiciels sûrs et sécurisés. Beaucoup ont vu les avantages de l'amélioration des compétences de la cohorte de développement avec une formation engageante qui les amène à sortir de la salle de classe et à vivre une expérience d'apprentissage pratique et pertinente qui les aide non seulement à résoudre les problèmes, mais aussi à comprendre l'importance d'un codage sécurisé en général.
Après tout, le codage sécurisé est un élément clé pour établir une relation solide et fonctionnelle entre les développeurs et l'équipe AppSec, ainsi que pour maintenir une solide culture de sécurité au sein de l'entreprise. Un autre facteur clé de la réussite d'un programme de sécurité est de s'assurer que les principales parties prenantes sont impliquées et en voient les avantages, même si elles ne sont pas elles-mêmes des professionnels de la sécurité.
Les institutions financières ont tendance à bien communiquer avec la direction générale, afin de s'assurer que les décideurs de haut niveau comprennent que les processus de sécurité ne sont pas des mesures « définies et oubliées » ; ils doivent évoluer aussi rapidement que la technologie utilisée et s'adapter à des risques variables.
Cela peut coûter du temps et de l'argent aujourd'hui, mais comme les vulnérabilités sont trente fois plus coûteuses à corriger dans du code validé, un programme de sécurité complet « qui inclut une formation de A à Z » permet d'économiser de l'argent à long terme : il est beaucoup moins coûteux lorsque les problèmes de sécurité sont résolus car ils sont écrits par des développeurs soucieux de la sécurité.
Les normes de sécurité commencent à suivre le rythme des risques croissants
L'un des principaux moteurs de la cyberconformité pour le secteur financier provient du Conseil des normes de sécurité PCI, qui reste déterminée à aider les organisations financières à mettre en œuvre des politiques de sécurité viables et à faire respecter les directives dans tous les domaines. Ils ont joué un rôle positif en aidant ce secteur à atteindre les normes de sécurité les plus élevées en matière de logiciels de paiement.
Cependant, force est de constater que nombre de nos clients du secteur financier ont même dépassé les directives actuelles du PCI Security Standards Council. Bien que ces directives recommandent une formation pour les développeurs (comme mentionné précédemment avec d'autres exemples d'informations réglementaires), elles ne spécifient pas de type particulier ni de point de référence à atteindre pour indiquer que la formation a été efficace.
Avec de nombreuses vulnérabilités, telles que l'injection SQL et le cross-site scripting (XSS), qui persistent depuis plus de vingt ans (et continuent de poser problème en 2019), force est de constater que toutes les formations ne sont pas équivalentes ou efficaces. En adoptant des formations pratiques, ludiques et sécurisées, les banques et autres sociétés de services financiers obtiennent de bien meilleurs résultats et une réelle réduction des vulnérabilités qui peuvent faire des ravages si elles sont exploitées.
La façon dont l'institution bancaire américaine Capital One a utilisé des techniques de formation ludiques dans le cadre de son Tech College innovant et de son système de certification en est un bon exemple. Selon Russell Wolfe, leur directeur de la formation à la cybersécurité et au cloud computing dans un récent webinaire, les programmes de formation volontaire et les tournois de codage ont rapidement gagné en popularité, suscitant une demande sans précédent et une motivation naturelle de la part des pairs à obtenir une certification et à aider à améliorer les compétences des autres.
Que peuvent faire les régulateurs pour s'assurer que le personnel de cybersécurité est correctement formé ?
Les régulateurs du monde entier peuvent réellement « améliorer » leurs politiques et directives existantes en matière de cyberréglementation, simplement en décrivant les méthodologies de formation et les normes acceptées que les personnes chargées de la protection de nos données doivent respecter. À l'heure actuelle, il semble que la plupart des politiques réglementaires fassent généralement référence à une exigence de formation, mais peu de mesures sont prises pour s'assurer que les personnes suivant une formation prescrite assimilent le contenu et les techniques nécessaires pour réellement contribuer à la lutte contre les cybermenaces.
La récente décision de la MAS (Autorité monétaire de Singapour) d'inclure l'adoption de programmes de formation en matière de sensibilisation à la sécurité et les meilleures pratiques de développement de logiciels sécurisés dans le dernière itération de ses directives en matière de risques technologiques est toutefois encourageante. Une fois que les directives entreront en vigueur, ils demanderont aux institutions financières de veiller à ce que leurs développeurs de logiciels soient formés pour appliquer le codage sécurisé, la révision du code source et les normes de test AppSec lors du développement de logiciels, ce qui devrait contribuer dans une large mesure à minimiser les bogues et les vulnérabilités.
Pour moi, former la cohorte de développeurs à l'aide de techniques pratiques et réelles est de loin la solution la plus intéressante et la plus pertinente pour leur travail, tout en jetant les bases d'une solide culture de sécurité que chaque organisation doit créer avant qu'il ne soit trop tard.
%20(1).avif)
.avif)
