Cybersécurité : la plupart des développeurs ne connaissent pas ce qu'est la sécurité,
selon Akasha Security
La sécurité de nos systèmes d'information revêt un caractère très important, car les conséquences liées à une mauvaise sécurisation des données peuvent être très fâcheuses ; cela aussi bien pour les entreprises que pour les particuliers. En effet, les conséquences d'une mauvaise sécurisation se traduisent souvent par la diffusion d'informations confidentielles à l'instar des coordonnées bancaires, de la situation patrimoniale, des codes confidentiels, etc. La sécurité est donc l'affaire de tous et tout un chacun doit être au moins initié sur les différentes conduites ou précautions à adopter afin d'assurer la sécurité des données. Cependant, une attention particulière est portée à l'endroit des développeurs, car ces derniers ont en charge le développement des différents outils que nous utilisons dans la vie de tous les jours. Du fait de leur rôle, ces derniers devraient être à l'aise sur les différents aspects liés à la sécurité afin de les intégrer dans les outils qu'ils mettent en place.
Cependant, suite à une étude qu'elle a menée, la société Akasha Security vient de publier un rapport dans lequel elle met en évidence l'insuffisance d'une formation adéquate pour les développeurs en matière de sécurité. Akasha Security estime que durant leur cursus universitaire, rares sont les développeurs qui bénéficient d'une formation intégrant des modules adéquats traitant de la sécurité. Selon lui, la majeure partie des développeurs qui ont cette compétence sont soit formés par leur employeur dans le cadre de leur travail, soit ils ont cherché eux-mêmes des formations adaptées.
Il est utile de préciser que Akasha Security est une société spécialisée dans la sécurité des systèmes d'information et son siège social se trouve à Houston au Texas.
Pour étayer son argumentaire dans son rapport, le spécialiste en sécurité affirme avoir interviewé un développeur diplômé qui a même écrit une application Web actuellement en production pour son université. « Le développeur en question ne connaissait même pas en quoi consistait le hachage ou salage de mot de passe avant de les stocker dans une base de données », a soutenu Akasha Security. Pour le spécialiste, cela n'est pas surprenant puisque les universités ne jouent pas correctement leur rôle notamment en enseignant la sécurité à leurs étudiants. Rappelons que le salage est une méthode permettant de renforcer la sécurité des informations qui sont destinées à être hachées (par exemple des mots de passe) en y ajoutant une donnée supplémentaire afin d’empêcher que deux informations identiques conduisent à la même empreinte. Le hachage par contre consiste à calculer une donnée de petite dimension à partir d’une donnée de grande dimension afin de s’en servir comme repère dans différents processus algorithmiques ; son objectif n’est donc pas de chiffrer des données, mais de donner une « empreinte » à une donnée.
Afin de mieux défendre ses arguments, Akasha Security a rappelé les conclusions d'une étude qui a été menée en 2016 par CloudPassage Study. En effet, l'étude de ce dernier révélait que les universités américaines avaient failli à leur mission de formation dans le domaine de la cybersécurité. Les conclusions relatives à cette étude se présentaient comme suit :
- dans le top 10 des meilleurs programmes de formation en informatiques aux États-Unis, aucun cours portant sur la cybersécurité n'a été identifié ;
- trois des 10 meilleures universités ne proposaient même pas de cours en sécurité ;
- sur les 36 meilleurs diplômes en sciences de l'informatique, un seul intègre un cours portant sur la sécurité ;
- sur les 50 premières universités, seules trois proposent des formations en sécurité.
Dans son rapport, le spécialiste en sécurité attire l'attention sur le fait qu'aujourd'hui, de grosses sommes d'argent sont dépensées chaque année par les sociétés, cela pour faire soit une évaluation de la vulnérabilité de leurs applications Web, soit pour faire des tests d'intrusion, etc. Les entreprises s'attachent également les services d'experts à qui elles versent beaucoup d'argent en heures de développement afin de corriger certaines failles qui auraient pu être évitées par les développeurs. Selon Akasha, pour une meilleure rentabilité et plus de sécurité, il est plus sûr et plus efficace de former les développeurs en amont. Une formation adéquate permettra à ces derniers d'avoir une certaine confiance en eux et de pouvoir intégrer les aspects liés à la sécurité dans leur code ; ainsi en cas de problème, ils pourront travailler en synergie et en toute quiétude pour identifier les parties en cause.
« Il est important que les équipes d'assurance qualité aient une formation en sécurité. Les développeurs, les testeurs et les gestionnaires devraient également tous connaître le Top 10 OWASP à un strict minimum. », a déclaré Akasha Security. Rappelons que l'OWASP (Open Web Application Security Project) est une communauté en ligne travaillant sur la sécurité des applications Web et sa vocation est de publier des recommandations de sécurisation Web et de proposer aux internautes, administrateurs et entreprises des méthodes et outils de référence permettant de contrôler le niveau de sécurisation des applications Web. Il a élaboré une liste des dix risques de sécurité applicatifs Web les plus critiques.
S'adressant aux entreprises, le spécialiste en sécurité affirme qu'une formation régulière à la sécurité pour les développeurs et les testeurs vous garantit que les nouveaux employés seront bien formés. Akasha Securit ajoute que « beaucoup de développeurs passent plus de temps à maintenir des applications plutôt que de chercher à accroître leurs compétences. Or il peut être difficile de rester au courant des récentes évolutions et changements aussi bien en termes de développement qu'en termes de sécurité si votre rôle à temps plein est de produire du code. Les développeurs ont besoin d'être régulièrement formés par des experts de la sécurité afin de se mettre à jour sur les dernières techniques et outils. »
Source : Akasha Security
Et vous?
Que pensez-vous des conclusions du rapport d'Akasha Security ?
Partagez-vous son avis ?
Partager