Le PDG de SolarWinds donne au responsable de la sécurité l’autorité et la couverture aérienne pour faire de la sécurité des logiciels une priorité

Le PDG de SolarWinds donne au responsable de la sécurité l'autorité et la couverture aérienne pour faire de la sécurité des logiciels une priorité

Le nouveau leader apporte également des modifications au processus de développement logiciel pour qu’il soit plus difficile pour les attaquants de trouver des vulnérabilités.

Image: iStock / Andreus

Le PDG de SolarWinds, Sudhakar Ramakrishna, apporte des changements au niveau du conseil d’administration et dans les opérations quotidiennes pour changer l’état d’esprit de sécurité de l’entreprise. La société a lancé une initiative Secure by Design en réponse à la récente attaque de cybersécurité. Ce projet est conçu pour intégrer la sécurité dans la phase de conception du développement logiciel et pour faire de la sécurité une priorité continue plutôt qu’une priorité après le fait.

Lors d’une table ronde sur la cybersécurité, Ramakrishna a déclaré qu’il avait utilisé son expérience d’ingénieur et de gestionnaire pour façonner la réponse de l’entreprise à l’attaque. Il a créé un comité de cybersécurité pour le conseil d’administration qui comprend lui et deux membres du conseil en exercice. Il a également déclaré qu’il avait donné au responsable de la sécurité de l’entreprise le pouvoir d’arrêter toute version de logiciel si nécessaire pour résoudre les problèmes de sécurité.

«Nous offrons indépendance, confiance et couverture aérienne pour créer un niveau de confort et créer un siège à la table», a-t-il déclaré.

Il a déclaré que les entreprises doivent élever le profil des agents de sécurité au niveau du conseil d’administration pour illustrer l’importance du rôle pour l’ensemble de l’entreprise.

« Sinon, cela devient simplement un élément de coût dans le P&L », a-t-il déclaré.

Ramakrishna a décrit son plan pour changer la culture de sécurité de l’entreprise lors d’une table ronde « Big Breaches » avec les auteurs d’un nouveau livre et plusieurs experts de la sécurité de l’industrie.

Dans une discussion sur la façon de réduire la fréquence de ces attaques, Jimmy Sanders, responsable de la sécurité pour Netflix et le conseil d’administration international de l’ISSA, a déclaré que l’industrie doit adopter une approche différente de la sécurité, une approche qui oblige les mauvais acteurs à réussir avec un attaquez plusieurs fois pour accéder au lieu d’une seule fois.

VOIR: Politique de protection contre le vol d’identité (Netcost-Security Premium)

Ramakrishna a déclaré que son entreprise expérimentait une approche comme celle-ci. La société teste un processus de conception qui utilise simultanément plusieurs chaînes de construction parallèles pour créer un logiciel au lieu d’un seul.

« Nous voulons établir l’intégrité du logiciel par le biais de deux ou trois pipelines pour éviter les attaques de la chaîne d’approvisionnement et, comme l’a dit Jimmy, pour nous assurer que les attaquants doivent avoir raison trois fois pour réussir », a-t-il déclaré.

La conversation a également inclus Royal Hansen, vice-président de la sécurité pour Google; Robert Rodriguez, président et fondateur de SINET; et Gary McGraw, expert en sécurité logicielle et co-fondateur du Berryville Institute of Machine Learning. Neil Daswani, codirecteur du programme Advanced Cybersecurity Certificate de Stanford Online et ancien RSSI pour Symantec CBU et LifeLock, et Moudy Elbayadi, vice-président senior et directeur de la technologie chez Shutterfly, ont écrit le nouveau livre « Big Breaches: Cybersecurity for Everyone, « et a également participé à la discussion.

Dan Boneh, responsable du groupe de cryptographie appliquée pour l’Université de Stanford et codirecteur du laboratoire de sécurité informatique et du Center for Blockchain Research, a animé la conversation.

La table ronde a porté sur les causes profondes des violations, la sécurité de la chaîne d’approvisionnement, le cloud computing et la sécurité et la collaboration entre l’industrie de la sécurité et le gouvernement fédéral. Le groupe a discuté de l’attaque SolarWinds ainsi que de ce que l’industrie et le gouvernement fédéral américain peuvent faire pour réduire le nombre de fréquences de ces attaques.

Les causes profondes des failles de sécurité

Daswani a déclaré qu’il voyait deux compartiments pour la cause première des failles de sécurité: la gestion et la technique. Les raisons managériales sont:

  • Ne pas donner la priorité à la sécurité
  • Ne pas investir dans des solutions adéquates
  • Échec de l’exécution réussie des initiatives de sécurité existantes

Les causes techniques fondamentales des failles de sécurité sont:

  • Hameçonnage
  • Malware
  • Vulnérabilités logicielles
  • Compromis tiers
  • Données non chiffrées
  • Erreurs involontaires des employés

Daswani a déclaré que lorsque les organisations font les bons investissements en matière de sécurité, cela fournit une défense adéquate. Il a utilisé l’exemple de Google délivrant des clés de sécurité physiques à ses employés comme un investissement de sécurité réussi.

VOIR: Ingénierie sociale: une aide-mémoire pour les professionnels (PDF gratuit) (Netcost-Security)

Elbayadi a déclaré que l’industrie devrait donner la priorité à la sécurité autant qu’à la commodité lors de la création de produits de consommation.

«Les parties prenantes commerciales ne veulent pas ajouter plus de friction pour que le consommateur s’engage dans l’expérience, mais la barre devrait être relevée sur les pratiques de sécurité acceptées», a-t-il déclaré.

Sanders a déclaré qu’il devrait également y avoir des conséquences pour les entreprises qui ne respectent systématiquement pas les normes de sécurité de l’industrie, telles que le cryptage permanent des données.

« Vous ne permettriez pas à un constructeur automobile de fabriquer des voitures avec des freins toujours défectueux, mais les entreprises continuent de s’en tirer avec ces mauvaises pratiques de sécurité », a-t-il déclaré.

Hansen a déclaré qu’une autre priorité devrait être de donner la priorité à certains progiciels open source les plus couramment utilisés dans l’industrie.

« Cela ne résoudra pas tous les problèmes mais résoudra de gros morceaux, et cela nous apprendra également des outils et des méthodes », a-t-il déclaré.

Ramakrishna a déclaré que la société pourrait ne jamais être en mesure d’identifier le « patient zéro » dans l’attaque contre la société qui impliquait au moins quatre souches de logiciels malveillants. Les enquêteurs ont réduit la source probable à l’un de ces trois points d’entrée probables:

  • Une attaque de spear phishing très ciblée
  • Une vulnérabilité dans un logiciel tiers qui n’a pas été corrigée
  • Compromission des informations d’identification de quelques utilisateurs spécifiques

Il a déclaré que la société retournait aussi loin que la fin de 2019 pour recueillir des preuves.

  • Bac Pro Métiers de la sécurité Tome 1
  • Bac Pro Métiers de la sécurité Tome 2