La conformité à FinServ dépend de la sécurité logicielle
Les institutions de services financiers ont de bonnes raisons de s'assurer que le code logiciel qu'elles utilisent est sécurisé. Une motivation évidente, bien entendu, est la nécessité de protéger leurs données contre une violation, qui peut être coûteuse en termes de fuite d'informations personnelles, de frais de nettoyage, d'amendes et de restitution, et d'atteinte à la réputation d'une organisation. Une autre raison persistante est la nécessité de rester en conformité avec un éventail de réglementations industrielles et gouvernementales.
Parce qu'ils traitent de nombreuses informations sensibles, personnelles et financières, ainsi que l'argent des gens, les services financiers sont un secteur hautement réglementé. En fonction des services qu'elles fournissent, les entreprises doivent se conformer à un ensemble de règles et d'exigences.
La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est bien connue pour ses règles relatives à la protection des données des titulaires de cartes, par exemple. Les exigences de la Loi Sarbanes-Oxely régir la gestion des dossiers financiers. Les entreprises qui opèrent à l'international connaissent bien le Loi sur la résilience opérationnelle numérique (DORA), qui est un cadre de gestion des risques contraignant, et les normes mondiales pour les transferts de fonds établies par le Société pour les télécommunications financières interbancaires mondiales, connu sous le nom de Swift.
Et des lois telles que la Loi californienne sur la confidentialité des consommateurs (CCPA) et celui de l'UE Règlement général sur la protection des données (RGPD) fixe des exigences pour protéger la confidentialité et les informations personnelles des clients. Il en existe d'autres, comme les réglementations établies par l'Office of the Controller of the Currency (OCC) des États-Unis et la Banque centrale européenne (BCE).
Si cela ne suffit pas, Stratégie nationale de cybersécurité stipule notamment que les fabricants de logiciels devraient être tenus responsables de l'inefficacité de la sécurité des logiciels. Et l'Agence de cybersécurité et de sécurité des infrastructures (CISA), aux côtés de 17 partenaires américains et internationaux, a publié des directives sur Sécurisé dès la conception principes pour le développement de logiciels.
Un point commun pour les sociétés de services financiers est que le code sécurisé est un élément essentiel pour atteindre les objectifs de ces réglementations, ce qui peut faciliter la démonstration de leur conformité. Et cela montre pourquoi les développeurs ont besoin de formation et de perfectionnement pour garantir que la sécurité est appliquée au code dès le début du processus de développement.
À titre d'exemple de son fonctionnement, examinons la dernière version de la norme PCI DSS.
Le codage sécurisé (et la formation des développeurs) sont au cœur de la norme PCI DSS 4.0
PCI DSS 4.0, qui est devenue obligatoire le 1er avril 2024, inclut plusieurs mises à jour importantes de la norme PCI DSS 3.2.1, notamment l'accent sur le rôle que jouent les développeurs pour garantir la sécurité du code logiciel.
Dans le passé, PCI a reconnu depuis longtemps l'importance des logiciels sécurisés. La version 2.0, publiée en 2017, comprenait conseils pour les développeurs sur la garantie de transactions sécurisées sur les appareils mobiles. Les conseils de la version 4.0 mettent désormais l'accent sur l'application des meilleures pratiques de sécurité au développement de logiciels et incluent des conseils spécifiques sur la formation des développeurs.
Les exigences sont souvent énoncées de manière générale, bien que les entreprises puissent souhaiter mettre en œuvre une approche plus approfondie.
Par exemple, une exigence de la version 4.0 stipule que « les processus et les mécanismes de développement et de maintenance de systèmes et de logiciels sécurisés sont définis et compris ». Un bon moyen de s'en assurer est que les développeurs reçoivent une formation précise sur les langages de programmation et les frameworks qu'ils utilisent afin de combler les lacunes en matière de connaissances.
Une autre exigence stipule que les développeurs travaillant sur des logiciels sur mesure doivent suivre une formation au moins une fois tous les 12 mois, portant sur :
- Sécurité logicielle adaptée à leur fonction et à leurs langages de développement.
- Techniques de conception et de codage de logiciels sécurisés.
- Comment utiliser les outils de test de sécurité, s'ils sont utilisés, pour détecter les vulnérabilités des logiciels.
En réalité, une fois par an n'est pas assez fréquente pour résoudre les problèmes de sécurité fondamentaux et briser les mauvaises habitudes de codage. La formation doit être continue et mesurée, avec un processus de vérification des compétences pour s'assurer qu'elle est utilisée à bon escient.
La norme PCI DSS 4.0 inclut plus d'une demi-douzaine d'autres exigences qui concernent des domaines tels que la prévention et l'atténuation de divers types d'attaques, la documentation des composants logiciels tiers, l'identification et la gestion des vulnérabilités et d'autres mesures de sécurité. Dans tous les cas, les organisations seraient bien avisées de poursuivre ces mesures de manière approfondie. La formation sur les vecteurs d'attaque devrait être fréquente plutôt qu'annuelle. Les composants tiers, souvent source de vulnérabilités, doivent être soigneusement inventoriés par le biais d'un programme SBOM (Software Bill of Materials). Et les organisations doivent s'assurer de définir clairement les rôles en matière de gestion des vulnérabilités.
La nouvelle version donne également aux organisations une certaine flexibilité pour répondre à leurs exigences, en se concentrant sur les résultats plutôt que sur les cases à cocher, tout en ajoutant de nouvelles exigences pour les contrôles d'authentification, la longueur des mots de passe, les comptes partagés et d'autres facteurs.
La conformité commence au début du SDLC
Le point commun de ces réglementations est qu'elles visent à établir des normes élevées en matière de protection des données et des transactions dans le secteur des services financiers. Et, comme dans le cas de la dernière version de la norme PCI DSS, ils insistent de plus en plus sur l'importance d'un code sécurisé au début du cycle de vie du développement logiciel (SDLC). La stratégie nationale de cybersécurité et les principes Secure by Design de la CISA confient également la responsabilité de la sécurité aux fabricants de logiciels, avant leur expédition, de sorte que même les entreprises qui ne sont pas directement régies par la réglementation des services financiers doivent s'y conformer.
Les entreprises doivent combler le fossé qui existe entre les équipes DevOps (qui se concentrent sur la rapidité du développement) et les équipes AppSec (qui s'empressent d'intégrer la sécurité au processus) en formant les développeurs à intégrer la sécurité à leur approche. Cela nécessite toutefois un ensemble complexe de compétences, qui implique plus que des sessions de formation annuelles ou des programmes éducatifs standard et stagnants. La formation doit être continue et souple, conçue pour impliquer les apprenants dans des scénarios actifs et réels et dispensée en petites périodes adaptées à leurs horaires de travail.
Les sociétés de services financiers doivent garantir la sécurité à la fois pour se protéger contre les violations et pour rester en conformité avec des réglementations de plus en plus strictes. Les coûts liés à la non-conformité peuvent être aussi dommageables qu'une violation en termes d'impact sur la réputation d'une entreprise et de coûts financiers. Les IBM Rapport sur le coût d'une violation de données 2023, par exemple, a constaté que les organisations présentant un niveau élevé de non-conformité étaient confrontées, en moyenne, à des amendes et à d'autres coûts totalisant 5,05 millions de dollars, soit un demi-million de dollars plus supérieur au coût moyen d'une véritable violation de données.
La croissance continue des environnements basés sur le cloud et des transactions numériques a donné une importance capitale à la sécurité des logiciels dans le secteur des services financiers, ce que reconnaissent les réglementations telles que la norme PCI DSS. Le meilleur moyen de garantir la sécurité des logiciels est d'utiliser un codage sécurisé au début du SDLC. Et pour y parvenir, il faut former efficacement les développeurs aux pratiques de codage sécurisées.
Pour un aperçu complet de la manière dont le codage sécurisé peut contribuer à garantir le succès, la sécurité et les bénéfices des sociétés de services financiers, vous pouvez lire le nouveau livre électronique Secure Code Warrior : Le guide ultime des tendances en matière de sécurité dans les services financiers.
Consultez le Secure Code Warrior des pages de blog pour en savoir plus sur la cybersécurité, le paysage des menaces de plus en plus dangereuses, et pour savoir comment vous pouvez utiliser des technologies innovantes et des formations pour mieux protéger votre organisation et vos clients.
Les réglementations régissant le secteur des services financiers, telles que la norme PCI DSS, soulignent l'importance d'un code sécurisé et la nécessité de former les développeurs aux meilleures pratiques en matière de sécurité.
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
Les institutions de services financiers ont de bonnes raisons de s'assurer que le code logiciel qu'elles utilisent est sécurisé. Une motivation évidente, bien entendu, est la nécessité de protéger leurs données contre une violation, qui peut être coûteuse en termes de fuite d'informations personnelles, de frais de nettoyage, d'amendes et de restitution, et d'atteinte à la réputation d'une organisation. Une autre raison persistante est la nécessité de rester en conformité avec un éventail de réglementations industrielles et gouvernementales.
Parce qu'ils traitent de nombreuses informations sensibles, personnelles et financières, ainsi que l'argent des gens, les services financiers sont un secteur hautement réglementé. En fonction des services qu'elles fournissent, les entreprises doivent se conformer à un ensemble de règles et d'exigences.
La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est bien connue pour ses règles relatives à la protection des données des titulaires de cartes, par exemple. Les exigences de la Loi Sarbanes-Oxely régir la gestion des dossiers financiers. Les entreprises qui opèrent à l'international connaissent bien le Loi sur la résilience opérationnelle numérique (DORA), qui est un cadre de gestion des risques contraignant, et les normes mondiales pour les transferts de fonds établies par le Société pour les télécommunications financières interbancaires mondiales, connu sous le nom de Swift.
Et des lois telles que la Loi californienne sur la confidentialité des consommateurs (CCPA) et celui de l'UE Règlement général sur la protection des données (RGPD) fixe des exigences pour protéger la confidentialité et les informations personnelles des clients. Il en existe d'autres, comme les réglementations établies par l'Office of the Controller of the Currency (OCC) des États-Unis et la Banque centrale européenne (BCE).
Si cela ne suffit pas, Stratégie nationale de cybersécurité stipule notamment que les fabricants de logiciels devraient être tenus responsables de l'inefficacité de la sécurité des logiciels. Et l'Agence de cybersécurité et de sécurité des infrastructures (CISA), aux côtés de 17 partenaires américains et internationaux, a publié des directives sur Sécurisé dès la conception principes pour le développement de logiciels.
Un point commun pour les sociétés de services financiers est que le code sécurisé est un élément essentiel pour atteindre les objectifs de ces réglementations, ce qui peut faciliter la démonstration de leur conformité. Et cela montre pourquoi les développeurs ont besoin de formation et de perfectionnement pour garantir que la sécurité est appliquée au code dès le début du processus de développement.
À titre d'exemple de son fonctionnement, examinons la dernière version de la norme PCI DSS.
Le codage sécurisé (et la formation des développeurs) sont au cœur de la norme PCI DSS 4.0
PCI DSS 4.0, qui est devenue obligatoire le 1er avril 2024, inclut plusieurs mises à jour importantes de la norme PCI DSS 3.2.1, notamment l'accent sur le rôle que jouent les développeurs pour garantir la sécurité du code logiciel.
Dans le passé, PCI a reconnu depuis longtemps l'importance des logiciels sécurisés. La version 2.0, publiée en 2017, comprenait conseils pour les développeurs sur la garantie de transactions sécurisées sur les appareils mobiles. Les conseils de la version 4.0 mettent désormais l'accent sur l'application des meilleures pratiques de sécurité au développement de logiciels et incluent des conseils spécifiques sur la formation des développeurs.
Les exigences sont souvent énoncées de manière générale, bien que les entreprises puissent souhaiter mettre en œuvre une approche plus approfondie.
Par exemple, une exigence de la version 4.0 stipule que « les processus et les mécanismes de développement et de maintenance de systèmes et de logiciels sécurisés sont définis et compris ». Un bon moyen de s'en assurer est que les développeurs reçoivent une formation précise sur les langages de programmation et les frameworks qu'ils utilisent afin de combler les lacunes en matière de connaissances.
Une autre exigence stipule que les développeurs travaillant sur des logiciels sur mesure doivent suivre une formation au moins une fois tous les 12 mois, portant sur :
- Sécurité logicielle adaptée à leur fonction et à leurs langages de développement.
- Techniques de conception et de codage de logiciels sécurisés.
- Comment utiliser les outils de test de sécurité, s'ils sont utilisés, pour détecter les vulnérabilités des logiciels.
En réalité, une fois par an n'est pas assez fréquente pour résoudre les problèmes de sécurité fondamentaux et briser les mauvaises habitudes de codage. La formation doit être continue et mesurée, avec un processus de vérification des compétences pour s'assurer qu'elle est utilisée à bon escient.
La norme PCI DSS 4.0 inclut plus d'une demi-douzaine d'autres exigences qui concernent des domaines tels que la prévention et l'atténuation de divers types d'attaques, la documentation des composants logiciels tiers, l'identification et la gestion des vulnérabilités et d'autres mesures de sécurité. Dans tous les cas, les organisations seraient bien avisées de poursuivre ces mesures de manière approfondie. La formation sur les vecteurs d'attaque devrait être fréquente plutôt qu'annuelle. Les composants tiers, souvent source de vulnérabilités, doivent être soigneusement inventoriés par le biais d'un programme SBOM (Software Bill of Materials). Et les organisations doivent s'assurer de définir clairement les rôles en matière de gestion des vulnérabilités.
La nouvelle version donne également aux organisations une certaine flexibilité pour répondre à leurs exigences, en se concentrant sur les résultats plutôt que sur les cases à cocher, tout en ajoutant de nouvelles exigences pour les contrôles d'authentification, la longueur des mots de passe, les comptes partagés et d'autres facteurs.
La conformité commence au début du SDLC
Le point commun de ces réglementations est qu'elles visent à établir des normes élevées en matière de protection des données et des transactions dans le secteur des services financiers. Et, comme dans le cas de la dernière version de la norme PCI DSS, ils insistent de plus en plus sur l'importance d'un code sécurisé au début du cycle de vie du développement logiciel (SDLC). La stratégie nationale de cybersécurité et les principes Secure by Design de la CISA confient également la responsabilité de la sécurité aux fabricants de logiciels, avant leur expédition, de sorte que même les entreprises qui ne sont pas directement régies par la réglementation des services financiers doivent s'y conformer.
Les entreprises doivent combler le fossé qui existe entre les équipes DevOps (qui se concentrent sur la rapidité du développement) et les équipes AppSec (qui s'empressent d'intégrer la sécurité au processus) en formant les développeurs à intégrer la sécurité à leur approche. Cela nécessite toutefois un ensemble complexe de compétences, qui implique plus que des sessions de formation annuelles ou des programmes éducatifs standard et stagnants. La formation doit être continue et souple, conçue pour impliquer les apprenants dans des scénarios actifs et réels et dispensée en petites périodes adaptées à leurs horaires de travail.
Les sociétés de services financiers doivent garantir la sécurité à la fois pour se protéger contre les violations et pour rester en conformité avec des réglementations de plus en plus strictes. Les coûts liés à la non-conformité peuvent être aussi dommageables qu'une violation en termes d'impact sur la réputation d'une entreprise et de coûts financiers. Les IBM Rapport sur le coût d'une violation de données 2023, par exemple, a constaté que les organisations présentant un niveau élevé de non-conformité étaient confrontées, en moyenne, à des amendes et à d'autres coûts totalisant 5,05 millions de dollars, soit un demi-million de dollars plus supérieur au coût moyen d'une véritable violation de données.
La croissance continue des environnements basés sur le cloud et des transactions numériques a donné une importance capitale à la sécurité des logiciels dans le secteur des services financiers, ce que reconnaissent les réglementations telles que la norme PCI DSS. Le meilleur moyen de garantir la sécurité des logiciels est d'utiliser un codage sécurisé au début du SDLC. Et pour y parvenir, il faut former efficacement les développeurs aux pratiques de codage sécurisées.
Pour un aperçu complet de la manière dont le codage sécurisé peut contribuer à garantir le succès, la sécurité et les bénéfices des sociétés de services financiers, vous pouvez lire le nouveau livre électronique Secure Code Warrior : Le guide ultime des tendances en matière de sécurité dans les services financiers.
Consultez le Secure Code Warrior des pages de blog pour en savoir plus sur la cybersécurité, le paysage des menaces de plus en plus dangereuses, et pour savoir comment vous pouvez utiliser des technologies innovantes et des formations pour mieux protéger votre organisation et vos clients.
Les institutions de services financiers ont de bonnes raisons de s'assurer que le code logiciel qu'elles utilisent est sécurisé. Une motivation évidente, bien entendu, est la nécessité de protéger leurs données contre une violation, qui peut être coûteuse en termes de fuite d'informations personnelles, de frais de nettoyage, d'amendes et de restitution, et d'atteinte à la réputation d'une organisation. Une autre raison persistante est la nécessité de rester en conformité avec un éventail de réglementations industrielles et gouvernementales.
Parce qu'ils traitent de nombreuses informations sensibles, personnelles et financières, ainsi que l'argent des gens, les services financiers sont un secteur hautement réglementé. En fonction des services qu'elles fournissent, les entreprises doivent se conformer à un ensemble de règles et d'exigences.
La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est bien connue pour ses règles relatives à la protection des données des titulaires de cartes, par exemple. Les exigences de la Loi Sarbanes-Oxely régir la gestion des dossiers financiers. Les entreprises qui opèrent à l'international connaissent bien le Loi sur la résilience opérationnelle numérique (DORA), qui est un cadre de gestion des risques contraignant, et les normes mondiales pour les transferts de fonds établies par le Société pour les télécommunications financières interbancaires mondiales, connu sous le nom de Swift.
Et des lois telles que la Loi californienne sur la confidentialité des consommateurs (CCPA) et celui de l'UE Règlement général sur la protection des données (RGPD) fixe des exigences pour protéger la confidentialité et les informations personnelles des clients. Il en existe d'autres, comme les réglementations établies par l'Office of the Controller of the Currency (OCC) des États-Unis et la Banque centrale européenne (BCE).
Si cela ne suffit pas, Stratégie nationale de cybersécurité stipule notamment que les fabricants de logiciels devraient être tenus responsables de l'inefficacité de la sécurité des logiciels. Et l'Agence de cybersécurité et de sécurité des infrastructures (CISA), aux côtés de 17 partenaires américains et internationaux, a publié des directives sur Sécurisé dès la conception principes pour le développement de logiciels.
Un point commun pour les sociétés de services financiers est que le code sécurisé est un élément essentiel pour atteindre les objectifs de ces réglementations, ce qui peut faciliter la démonstration de leur conformité. Et cela montre pourquoi les développeurs ont besoin de formation et de perfectionnement pour garantir que la sécurité est appliquée au code dès le début du processus de développement.
À titre d'exemple de son fonctionnement, examinons la dernière version de la norme PCI DSS.
Le codage sécurisé (et la formation des développeurs) sont au cœur de la norme PCI DSS 4.0
PCI DSS 4.0, qui est devenue obligatoire le 1er avril 2024, inclut plusieurs mises à jour importantes de la norme PCI DSS 3.2.1, notamment l'accent sur le rôle que jouent les développeurs pour garantir la sécurité du code logiciel.
Dans le passé, PCI a reconnu depuis longtemps l'importance des logiciels sécurisés. La version 2.0, publiée en 2017, comprenait conseils pour les développeurs sur la garantie de transactions sécurisées sur les appareils mobiles. Les conseils de la version 4.0 mettent désormais l'accent sur l'application des meilleures pratiques de sécurité au développement de logiciels et incluent des conseils spécifiques sur la formation des développeurs.
Les exigences sont souvent énoncées de manière générale, bien que les entreprises puissent souhaiter mettre en œuvre une approche plus approfondie.
Par exemple, une exigence de la version 4.0 stipule que « les processus et les mécanismes de développement et de maintenance de systèmes et de logiciels sécurisés sont définis et compris ». Un bon moyen de s'en assurer est que les développeurs reçoivent une formation précise sur les langages de programmation et les frameworks qu'ils utilisent afin de combler les lacunes en matière de connaissances.
Une autre exigence stipule que les développeurs travaillant sur des logiciels sur mesure doivent suivre une formation au moins une fois tous les 12 mois, portant sur :
- Sécurité logicielle adaptée à leur fonction et à leurs langages de développement.
- Techniques de conception et de codage de logiciels sécurisés.
- Comment utiliser les outils de test de sécurité, s'ils sont utilisés, pour détecter les vulnérabilités des logiciels.
En réalité, une fois par an n'est pas assez fréquente pour résoudre les problèmes de sécurité fondamentaux et briser les mauvaises habitudes de codage. La formation doit être continue et mesurée, avec un processus de vérification des compétences pour s'assurer qu'elle est utilisée à bon escient.
La norme PCI DSS 4.0 inclut plus d'une demi-douzaine d'autres exigences qui concernent des domaines tels que la prévention et l'atténuation de divers types d'attaques, la documentation des composants logiciels tiers, l'identification et la gestion des vulnérabilités et d'autres mesures de sécurité. Dans tous les cas, les organisations seraient bien avisées de poursuivre ces mesures de manière approfondie. La formation sur les vecteurs d'attaque devrait être fréquente plutôt qu'annuelle. Les composants tiers, souvent source de vulnérabilités, doivent être soigneusement inventoriés par le biais d'un programme SBOM (Software Bill of Materials). Et les organisations doivent s'assurer de définir clairement les rôles en matière de gestion des vulnérabilités.
La nouvelle version donne également aux organisations une certaine flexibilité pour répondre à leurs exigences, en se concentrant sur les résultats plutôt que sur les cases à cocher, tout en ajoutant de nouvelles exigences pour les contrôles d'authentification, la longueur des mots de passe, les comptes partagés et d'autres facteurs.
La conformité commence au début du SDLC
Le point commun de ces réglementations est qu'elles visent à établir des normes élevées en matière de protection des données et des transactions dans le secteur des services financiers. Et, comme dans le cas de la dernière version de la norme PCI DSS, ils insistent de plus en plus sur l'importance d'un code sécurisé au début du cycle de vie du développement logiciel (SDLC). La stratégie nationale de cybersécurité et les principes Secure by Design de la CISA confient également la responsabilité de la sécurité aux fabricants de logiciels, avant leur expédition, de sorte que même les entreprises qui ne sont pas directement régies par la réglementation des services financiers doivent s'y conformer.
Les entreprises doivent combler le fossé qui existe entre les équipes DevOps (qui se concentrent sur la rapidité du développement) et les équipes AppSec (qui s'empressent d'intégrer la sécurité au processus) en formant les développeurs à intégrer la sécurité à leur approche. Cela nécessite toutefois un ensemble complexe de compétences, qui implique plus que des sessions de formation annuelles ou des programmes éducatifs standard et stagnants. La formation doit être continue et souple, conçue pour impliquer les apprenants dans des scénarios actifs et réels et dispensée en petites périodes adaptées à leurs horaires de travail.
Les sociétés de services financiers doivent garantir la sécurité à la fois pour se protéger contre les violations et pour rester en conformité avec des réglementations de plus en plus strictes. Les coûts liés à la non-conformité peuvent être aussi dommageables qu'une violation en termes d'impact sur la réputation d'une entreprise et de coûts financiers. Les IBM Rapport sur le coût d'une violation de données 2023, par exemple, a constaté que les organisations présentant un niveau élevé de non-conformité étaient confrontées, en moyenne, à des amendes et à d'autres coûts totalisant 5,05 millions de dollars, soit un demi-million de dollars plus supérieur au coût moyen d'une véritable violation de données.
La croissance continue des environnements basés sur le cloud et des transactions numériques a donné une importance capitale à la sécurité des logiciels dans le secteur des services financiers, ce que reconnaissent les réglementations telles que la norme PCI DSS. Le meilleur moyen de garantir la sécurité des logiciels est d'utiliser un codage sécurisé au début du SDLC. Et pour y parvenir, il faut former efficacement les développeurs aux pratiques de codage sécurisées.
Pour un aperçu complet de la manière dont le codage sécurisé peut contribuer à garantir le succès, la sécurité et les bénéfices des sociétés de services financiers, vous pouvez lire le nouveau livre électronique Secure Code Warrior : Le guide ultime des tendances en matière de sécurité dans les services financiers.
Consultez le Secure Code Warrior des pages de blog pour en savoir plus sur la cybersécurité, le paysage des menaces de plus en plus dangereuses, et pour savoir comment vous pouvez utiliser des technologies innovantes et des formations pour mieux protéger votre organisation et vos clients.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 표시데모 예약하기
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
Les institutions de services financiers ont de bonnes raisons de s'assurer que le code logiciel qu'elles utilisent est sécurisé. Une motivation évidente, bien entendu, est la nécessité de protéger leurs données contre une violation, qui peut être coûteuse en termes de fuite d'informations personnelles, de frais de nettoyage, d'amendes et de restitution, et d'atteinte à la réputation d'une organisation. Une autre raison persistante est la nécessité de rester en conformité avec un éventail de réglementations industrielles et gouvernementales.
Parce qu'ils traitent de nombreuses informations sensibles, personnelles et financières, ainsi que l'argent des gens, les services financiers sont un secteur hautement réglementé. En fonction des services qu'elles fournissent, les entreprises doivent se conformer à un ensemble de règles et d'exigences.
La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est bien connue pour ses règles relatives à la protection des données des titulaires de cartes, par exemple. Les exigences de la Loi Sarbanes-Oxely régir la gestion des dossiers financiers. Les entreprises qui opèrent à l'international connaissent bien le Loi sur la résilience opérationnelle numérique (DORA), qui est un cadre de gestion des risques contraignant, et les normes mondiales pour les transferts de fonds établies par le Société pour les télécommunications financières interbancaires mondiales, connu sous le nom de Swift.
Et des lois telles que la Loi californienne sur la confidentialité des consommateurs (CCPA) et celui de l'UE Règlement général sur la protection des données (RGPD) fixe des exigences pour protéger la confidentialité et les informations personnelles des clients. Il en existe d'autres, comme les réglementations établies par l'Office of the Controller of the Currency (OCC) des États-Unis et la Banque centrale européenne (BCE).
Si cela ne suffit pas, Stratégie nationale de cybersécurité stipule notamment que les fabricants de logiciels devraient être tenus responsables de l'inefficacité de la sécurité des logiciels. Et l'Agence de cybersécurité et de sécurité des infrastructures (CISA), aux côtés de 17 partenaires américains et internationaux, a publié des directives sur Sécurisé dès la conception principes pour le développement de logiciels.
Un point commun pour les sociétés de services financiers est que le code sécurisé est un élément essentiel pour atteindre les objectifs de ces réglementations, ce qui peut faciliter la démonstration de leur conformité. Et cela montre pourquoi les développeurs ont besoin de formation et de perfectionnement pour garantir que la sécurité est appliquée au code dès le début du processus de développement.
À titre d'exemple de son fonctionnement, examinons la dernière version de la norme PCI DSS.
Le codage sécurisé (et la formation des développeurs) sont au cœur de la norme PCI DSS 4.0
PCI DSS 4.0, qui est devenue obligatoire le 1er avril 2024, inclut plusieurs mises à jour importantes de la norme PCI DSS 3.2.1, notamment l'accent sur le rôle que jouent les développeurs pour garantir la sécurité du code logiciel.
Dans le passé, PCI a reconnu depuis longtemps l'importance des logiciels sécurisés. La version 2.0, publiée en 2017, comprenait conseils pour les développeurs sur la garantie de transactions sécurisées sur les appareils mobiles. Les conseils de la version 4.0 mettent désormais l'accent sur l'application des meilleures pratiques de sécurité au développement de logiciels et incluent des conseils spécifiques sur la formation des développeurs.
Les exigences sont souvent énoncées de manière générale, bien que les entreprises puissent souhaiter mettre en œuvre une approche plus approfondie.
Par exemple, une exigence de la version 4.0 stipule que « les processus et les mécanismes de développement et de maintenance de systèmes et de logiciels sécurisés sont définis et compris ». Un bon moyen de s'en assurer est que les développeurs reçoivent une formation précise sur les langages de programmation et les frameworks qu'ils utilisent afin de combler les lacunes en matière de connaissances.
Une autre exigence stipule que les développeurs travaillant sur des logiciels sur mesure doivent suivre une formation au moins une fois tous les 12 mois, portant sur :
- Sécurité logicielle adaptée à leur fonction et à leurs langages de développement.
- Techniques de conception et de codage de logiciels sécurisés.
- Comment utiliser les outils de test de sécurité, s'ils sont utilisés, pour détecter les vulnérabilités des logiciels.
En réalité, une fois par an n'est pas assez fréquente pour résoudre les problèmes de sécurité fondamentaux et briser les mauvaises habitudes de codage. La formation doit être continue et mesurée, avec un processus de vérification des compétences pour s'assurer qu'elle est utilisée à bon escient.
La norme PCI DSS 4.0 inclut plus d'une demi-douzaine d'autres exigences qui concernent des domaines tels que la prévention et l'atténuation de divers types d'attaques, la documentation des composants logiciels tiers, l'identification et la gestion des vulnérabilités et d'autres mesures de sécurité. Dans tous les cas, les organisations seraient bien avisées de poursuivre ces mesures de manière approfondie. La formation sur les vecteurs d'attaque devrait être fréquente plutôt qu'annuelle. Les composants tiers, souvent source de vulnérabilités, doivent être soigneusement inventoriés par le biais d'un programme SBOM (Software Bill of Materials). Et les organisations doivent s'assurer de définir clairement les rôles en matière de gestion des vulnérabilités.
La nouvelle version donne également aux organisations une certaine flexibilité pour répondre à leurs exigences, en se concentrant sur les résultats plutôt que sur les cases à cocher, tout en ajoutant de nouvelles exigences pour les contrôles d'authentification, la longueur des mots de passe, les comptes partagés et d'autres facteurs.
La conformité commence au début du SDLC
Le point commun de ces réglementations est qu'elles visent à établir des normes élevées en matière de protection des données et des transactions dans le secteur des services financiers. Et, comme dans le cas de la dernière version de la norme PCI DSS, ils insistent de plus en plus sur l'importance d'un code sécurisé au début du cycle de vie du développement logiciel (SDLC). La stratégie nationale de cybersécurité et les principes Secure by Design de la CISA confient également la responsabilité de la sécurité aux fabricants de logiciels, avant leur expédition, de sorte que même les entreprises qui ne sont pas directement régies par la réglementation des services financiers doivent s'y conformer.
Les entreprises doivent combler le fossé qui existe entre les équipes DevOps (qui se concentrent sur la rapidité du développement) et les équipes AppSec (qui s'empressent d'intégrer la sécurité au processus) en formant les développeurs à intégrer la sécurité à leur approche. Cela nécessite toutefois un ensemble complexe de compétences, qui implique plus que des sessions de formation annuelles ou des programmes éducatifs standard et stagnants. La formation doit être continue et souple, conçue pour impliquer les apprenants dans des scénarios actifs et réels et dispensée en petites périodes adaptées à leurs horaires de travail.
Les sociétés de services financiers doivent garantir la sécurité à la fois pour se protéger contre les violations et pour rester en conformité avec des réglementations de plus en plus strictes. Les coûts liés à la non-conformité peuvent être aussi dommageables qu'une violation en termes d'impact sur la réputation d'une entreprise et de coûts financiers. Les IBM Rapport sur le coût d'une violation de données 2023, par exemple, a constaté que les organisations présentant un niveau élevé de non-conformité étaient confrontées, en moyenne, à des amendes et à d'autres coûts totalisant 5,05 millions de dollars, soit un demi-million de dollars plus supérieur au coût moyen d'une véritable violation de données.
La croissance continue des environnements basés sur le cloud et des transactions numériques a donné une importance capitale à la sécurité des logiciels dans le secteur des services financiers, ce que reconnaissent les réglementations telles que la norme PCI DSS. Le meilleur moyen de garantir la sécurité des logiciels est d'utiliser un codage sécurisé au début du SDLC. Et pour y parvenir, il faut former efficacement les développeurs aux pratiques de codage sécurisées.
Pour un aperçu complet de la manière dont le codage sécurisé peut contribuer à garantir le succès, la sécurité et les bénéfices des sociétés de services financiers, vous pouvez lire le nouveau livre électronique Secure Code Warrior : Le guide ultime des tendances en matière de sécurité dans les services financiers.
Consultez le Secure Code Warrior des pages de blog pour en savoir plus sur la cybersécurité, le paysage des menaces de plus en plus dangereuses, et pour savoir comment vous pouvez utiliser des technologies innovantes et des formations pour mieux protéger votre organisation et vos clients.
목차
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기Télécharger
%20(1).avif)
.avif)
