Statique contre Formation dynamique à la cybersécurité : conformité impulsive, problèmes futurs

On dirait que la « conformité en matière de cybersécurité » est à la mode depuis des années, avec une infinité d'articles, d'initiatives et de comités discutant de la meilleure façon dont le monde devrait lutter contre l'énorme bête multimenace qu'est la cybercriminalité.

Le problème, c'est que nous ne semblons pas avoir fait cette de nombreux progrès. À l'échelle mondiale, le coût des violations de données n'a cessé d'augmenter, augmentant de 12 % en cinq ans pour s'établir à environ 3,92 millions de dollars américains par violation en 2019. Alors que notre utilisation d'Internet a explosé en quelques décennies à peine, de nombreuses entreprises ont dû se battre sans armes pour se lancer rapidement en ligne, créer leur boutique et faire face aux conséquences de logiciels non sécurisés, de ressources AppSec limitées et, dans certains cas, d'abus de confiance des clients.

De nos jours, nous sommes irréfutablement plus mûrs. Nous comprenons et discutons longuement de l'ampleur de la menace, les entreprises sont bien conscientes de l'impact qu'une cyberattaque peut avoir sur le sentiment des clients, leur réputation et leurs résultats, et de nombreuses entreprises cherchent activement à améliorer la sécurité des logiciels grâce à des formations à la conformité, à des recrutements qualifiés et, de plus en plus, à des initiatives DevSecOps. Malgré ces énormes avancées, nous ne sommes pas en train de gagner le combat, même pas de près. Il y a eu au moins quatre milliards de disques volés en matière de violations de données rien qu'en 2019.

L'un des ingrédients manquants était une répercussion quelque peu lente (au niveau gouvernemental) sur les normes de cybersécurité, les attentes et les conséquences d'une violation. L'avènement de GDPR a connu un certain essor, du moins en Europe, mais de nombreux organismes gouvernementaux sont en train de rattraper leur retard, et la nécessité soudaine de se conformer rapidement à de nouvelles initiatives de conformité pourrait avoir des effets indésirables à l'avenir.

Des imbéciles se précipitent (vers le mauvais entraînement)

Des directives robustes sous la forme de NIST, de nouvelles réglementations pour État de New York et la création du Conseil britannique de cybersécurité ont toutes été des victoires monumentales pour ceux qui mènent le bon combat pour assurer la sécurité de nos données. Ils reconnaissent les problèmes liés au développement logiciel actuel et prennent des mesures pour guider les organisations sur les normes qu'elles doivent désormais respecter pour être considérées comme éthiques et conformes, en termes de meilleures pratiques de sécurité.

Malheureusement, à ce stade, certains des éléments les plus importants sont un peu trop sujets à interprétation. Par exemple, l'un des mandats de la législation du Conseil britannique de cybersécurité est le suivant :

« Créer une liste définie de certifications et un cadre facile à comprendre expliquant comment elles sont toutes liées entre elles et quelles sont les capacités qu'elles véhiculent, en s'appuyant sur les cheminements de carrière déjà entrepris ».

Bien que leurs initiatives s'amélioreront et se développeront sans aucun doute au fil du temps, si les organisations sont déjà en train d'appuyer sur le bouton de panique et de se lancer dans la formation dès maintenant, elles pourraient bien se retrouver mal équipées pour l'avenir.

Les exigences d'une organisation en matière de cybersécurité évoluent rapidement, et il est peu probable que les solutions de formation statiques puissent endiguer le flux de logiciels non sécurisés au rythme requis. Le paysage évolue plus rapidement qu'un cours traditionnel ne peut être mis à jour, ce qui peut entraîner des difficultés à certains endroits dans le piège des exercices de conformité à cocher ; les développeurs, les sous-traitants et les autres professionnels de la sécurité ne reçoivent pas une formation adéquate, et nous sommes redevenus des cibles faciles.

L'entraînement statique et les outils statiques présentent les mêmes problèmes

Les outils d'analyse statique font partie intégrante du SDLC et font leur travail en analysant des outils de pointe pour les spécialistes AppSec rares et surchargés de travail que l'on trouve dans la plupart des grandes entreprises. Ils font un excellent travail, mais il y a un défaut : aucun outil ne peut détecter toutes les vulnérabilités, prenant en charge la vaste gamme de frameworks de programmation disponibles. C'est également un processus lent, et il suffit d'un bogue de sécurité pour passer entre les mailles du filet pour laisser une porte ouverte à un attaquant.

Avec l'entraînement statique, le problème est similaire. Si les développeurs reçoivent une formation à la sécurité sous la forme d'un cours rigide et « personnalisé », il est très peu probable qu'ils aient suivi le rythme des problèmes de sécurité les plus courants au cours de cette période. Il donne un aperçu de l'époque à laquelle il a été écrit, et il est rarement suffisamment revu, présenté dans la langue et le cadre préférés de l'étudiant, et il n'est pas non plus contextuel aux vulnérabilités auxquelles il est susceptible de faire face dans son travail quotidien. Imaginez que vous essayez de vous souvenir d'une information pertinente contenue dans une vidéo que vous avez regardée il y a des mois, tout en essayant de respecter les délais de livraison et de diffuser du code... il est peu probable que cela se produise.

Les méthodes de formation traditionnelles sont en train d'être réévaluées dans de nombreux secteurs, mais lorsqu'il s'agit de former les développeurs à la sécurité, il suffit de prendre en compte le volume considérable de violations de données que nous subissons encore (en particulier celles qui peuvent être attribuées à des vulnérabilités que nous savons comment éviter en matière de codage depuis des décennies) comme une injection SQL) pour réaliser que nous devons essayer une autre méthode.

Nous avons besoin d'une formation qui dépasse les limites d'un cours linéaire unique, capable de s'adapter aux besoins en constante évolution des meilleures pratiques en matière de cybersécurité.

Entraînement dynamique : la référence absolue

En proposant aux développeurs une solution de formation dynamique, qui peut être adaptée rapidement à l'entreprise, au niveau de compétence individuel et aux évolutions générales du secteur, vous leur fournissez les meilleures bases pour coder en toute sécurité, en gardant la sécurité au premier plan et en agissant dans un esprit conscient de la sécurité.

Une formation qui convient à tous, qui ne sera jamais revisitée et qui ne soit pas engageante au départ sera une perte de temps totale. Malheureusement, cela signifie que vous pourriez finir par acheter impulsivement un programme inefficace pour des raisons de conformité. Il peut être obsolète avant même que vous ne le déployez, ou à peine adapté aux besoins de leur travail quotidien.

L'entraînement dynamique est un outil vivant qui est constamment mis à jour, adapté aux besoins quotidiens, qui engage les utilisateurs à faire preuve d'esprit critique et leur permet réellement d'acquérir des compétences et de résoudre les problèmes.

Alors, à quoi ressemble un programme de formation dynamique dans un contexte de sécurité ?

Il s'agira de :

• De la taille d'une bouchée: Les développeurs peuvent acquérir des compétences par étapes faciles à gérer et beaucoup plus faciles à mémoriser (et surtout à appliquer) que de longs modules de formation et des vidéos
• Pertinent : À quoi sert une formation générique à la sécurité dont les exemples sont en C#, par exemple, lorsque le développeur code principalement en Java ? Toute formation doit s'appliquer directement à leur rôle, leur permettant de voir ce qu'ils doivent trouver et corriger (et, idéalement, éviter en premier lieu) pendant qu'ils codent.
• Actuel : Cela semble évident, mais ce n'est pas souvent le cas. Le paysage de la cybersécurité est en constante évolution, et l'augmentation du code entraîne une augmentation des responsabilités. Pour que les développeurs soient votre première ligne de défense, ils ont besoin d'une formation adaptée aux meilleures pratiques de sécurité modernes.
• Engagement : Ce n'est un secret pour personne que la « sécurité » peut être une corvée pour les développeurs, surtout si cela interfère avec leur flux créatif. Une formation adaptée leur montrera le pouvoir dont ils disposent pour résoudre les problèmes de sécurité quotidiens qui peuvent se transformer en risques énormes, en développant une culture de responsabilité et de sensibilisation à la sécurité.
• Amusant : L'entraînement dynamique est rarement ennuyeux ; il est censé être au moins un peu excitant de par sa conception. Pensez à ce que les développeurs adorent : résoudre des problèmes, rivaliser avec leurs pairs et, comme beaucoup d'entre nous sur le marché du travail, être récompensés et reconnus. Tirez parti de leurs points forts et concentrez-vous sur l'obtention des meilleurs résultats.

C'est une période passionnante pour les ingénieurs logiciels ; ils jouent un rôle essentiel dans l'innovation numérique, contribuent à créer des entreprises extraordinaires et prennent même le monde d'assaut avec leurs propres créations. Cependant, les organismes gouvernementaux et les grandes entreprises étant conscients du rôle qu'ils doivent jouer dans l'établissement de normes en matière de sécurité logicielle, il est important de les soutenir en leur proposant des solutions de formation efficaces et dynamiques qui favorisent l'amour pour le codage sécurisé, et non un exercice bureaucratique à cocher des cases.