Quand on parle de cybersécurité, on pense toujours aux mauvais pirates informatiques et à ceux qui, de l’autre côté de la barrière, les combattent. Pourtant, tout a commencé bien plus tôt.
En particulier, pour les aspects logiciels, tout commence lorsqu'un programme est conçu et mis en œuvre.
Une mauvaise conception, le manque de connaissances en programmation de logiciels sécurisés et des tests et contrôles qualité inefficaces sont à l’origine des problèmes auxquels nous sommes confrontés chaque jour dans le cyberespace. Il existe pourtant des standards pour produire des applications sécurisées : Projet de sécurité des applications Web ouvertes, OWASP pour faire court.
La fondation OWASP est en ligne depuis le 1er décembre 2001 et est reconnue comme organisation américaine à but non lucratif depuis le 21 avril 2004. La fondation et ses collaborateurs respectent la règle fondamentale de ne s'affilier à aucune industrie technologique afin de maintenir intactes leur impartialité et leur crédibilité.
Mais pourquoi OWASP est-il si important?
Owasp est important car c'est désormais un standard mondial pour le développement de logiciels sécurisés mais pas seulement, c'est important car il y a des milliers d'experts en sécurité informatique qui collaborent quotidiennement sur les projets OWASP, c'est important car c'est un recueil de bonnes pratiques qui sont mis à disposition gratuitement, c'est important car parmi les nombreux projets, il y a aussi le Académie OWASP qui vise à diffuser des connaissances sur le développement de logiciels sécurisés.
OWASP est un standard de facto, adopté par les développeurs individuels mais aussi par les grands producteurs de logiciels. En fait, puisqu’il s’agit d’une norme, il va sans dire que son adoption par une organisation devient partie intégrante de la structure de cybersécurité de l’organisation elle-même.
Une organisation qui produit des logiciels, ainsi qu'une organisation dont les processus métiers dépendent fortement du logiciel utilisé (produit par elle ou non) doivent également prêter attention aux aspects politiques tels que par exemple l'adoption de l'OWASP en son sein.
L’adoption de l’OWASP ou d’autres normes de sécurité fait donc partie intégrante de la cybersécurité des entreprises et mérite à ce titre l’attention de la direction. En fait, il est absolument inutile d’investir dans le secteur de la sécurité sans penser également à la politique sectorielle.
Si, lors de la production d'un logiciel, vous ne prêtez pas attention aux normes de sécurité utilisées lors de la phase de production et de test, vous risquez de devoir mettre en œuvre une série de contrôles beaucoup plus coûteux que nécessaire, par rapport aux coûts de développement d'un logiciel sécurisé dès le départ. .
Naturellement, l’adoption d’une norme de production logicielle sûre ne garantit pas qu’il n’y aura pas de problème, mais au moins une garantie contre les problèmes déjà connus.
L’un des produits les plus importants d’OWASP est le Top dix, une liste des 10 principaux risques liés aux applications web, dans sa version 2021 :
A1 Contrôle d'accès brisé
A2 Échecs cryptographiques
A3 Injection
A4 Conception non sécurisée
Mauvaise configuration d'A5 Security
A6 Composants vulnérables et obsolètes
A7 Échecs d'identification et d'authentification
A8 Échecs de l'intégrité du logiciel et des données
A9 Échecs de journalisation et de surveillance de la sécurité
Contrefaçon de requête côté serveur A10
OWASP est présent en Italie et organise des événements sur tout le territoire avec ses partenaires, le prochain aura lieu le jeudi 20 juin 2024 à Cagliari à partir de 16.00hXNUMX, dans le cadre splendide de sa plage la plus populaire, Poetto.
L'événement sera sponsorisé par Equixément, Sécurité axée sur IMQ et Pluribus Un.
L'événement accueillera des professionnels de l'industrie, des développeurs de logiciels, des ingénieurs en qualité de logiciels et des étudiants en informatique s'intéressant fortement à la sécurité.
Pour les réservations: https://clicqui.net/2Lst5