Serveur d'impression

Chaque diplôme en informatique devrait nécessiter un cours en cybersécurité – Serveur d’impression

Le 14 octobre 2019 - 8 minutes de lecture

Résumé

Alors que la connectivité continue de s'étendre d'Internet à nos poignets, à nos voitures et à nos moyens de subsistance, la sécurité continuera de devenir de plus en plus importante pour la sécurité dans le monde réel. Si les entreprises ne parviennent pas à faire face à cette situation, l'état de la sécurité restera le même et les enjeux monteront astronomiquement. S'attaquer systématiquement au problème de la sécurité commence par l'éducation des développeurs de logiciels à grande échelle. Étant donné que la plupart des violations peuvent être facilement évitées grâce aux meilleures pratiques de l'industrie, une petite quantité de connaissances peut aller très loin. Les universités devraient revoir leurs exigences en matière de diplômes afin d’établir une norme de cours de sécurité pour tous les étudiants en informatique. Un tel cours devrait enseigner les bases de la création de logiciels sécurisés, notamment les pièges de sécurité communs, les pratiques de codage sécurisé et la sécurité des applications.

Jorg Greuel / Getty Images

La cybersécurité dévore le monde des logiciels. Ces dernières années, nous avons assisté à un nombre croissant de problèmes de sécurité, allant de l’intervention russe à l’élection présidentielle américaine de 2016 à la violation par Equifax de la confidentialité des informations personnelles des Américains en passant par les nombreux problèmes de données de Facebook. Pire encore, rien ne semble s’améliorer. Au cours des six dernières années, plus de 1 000 violations de données ont été commises dans le monde, malgré les promesses de sociétés du monde entier selon lesquelles «nous prenons votre confidentialité et votre sécurité au sérieux».

Le problème est que de nombreuses entreprises ne sont pas incitées à prendre soin de nos informations personnelles lorsque la sanction la plus lourde n’est rien de plus qu’une tape sur les doigts. Les entreprises sacrifient souvent la sécurité pour d'autres développements commerciaux, car investir dans celui-ci ne procure souvent aucun avantage financier immédiat. En outre, les entreprises et les gouvernements n'amélioreront pas et ne pourront pas améliorer leur posture sans un réservoir de personnes talentueuses qui comprennent comment fonctionne la sécurité.

En tant que chercheur en sécurité qui a découvert des centaines de failles dans les systèmes des entreprises et des gouvernements, je peux dire que les problèmes les plus graves sont souvent les plus simples – un indicateur indiquant que les entreprises doivent revenir en arrière et revoir les bases. La recherche de violations de données révèle une tendance remarquable: dans presque tous les cas, elles ne résultent pas de l’exploitation de nouvelles vulnérabilités par des pirates informatiques sophistiqués, mais plutôt de simples erreurs que tout observateur averti pourrait détecter. L’infraction d’Equifax, selon son PDG, était due à la faute d’un seul employé et était facilement évitable. De la même manière, Dow Jones a été victime d'une violation de données lorsqu'un employé a mal configuré un serveur stockant les informations des utilisateurs, exposant ainsi les données des clients à tout visiteur public.

La pénurie de talents en cybersécurité est bien documentée, selon une source, il existe environ 500 000 emplois non pourvus aux États-Unis seulement. Bien qu'il soit clair que ces travailleurs sont absolument nécessaires, je me demande si les rôles génériques en matière de cybersécurité sont tout ce dont nous avons besoin pour lutter contre les futures atteintes à la confidentialité et aux attaques de données. Après tout, dans un monde de plus en plus dominé par Internet, les créateurs de logiciels jouent un rôle crucial. Alors que la connectivité continue de s'étendre d'Internet à nos poignets, à nos voitures et à nos moyens de subsistance, la sécurité continuera de devenir de plus en plus importante pour la sécurité dans le monde réel. Si les entreprises n'agissent pas, l'état de la sécurité restera le même et l'enjeu grandira astronomiquement.

Si vous demandez à un ingénieur logiciel en général quel rôle joue la sécurité dans son processus de développement, la plupart des réponses se résumeraient probablement entre “Je ne pense pas vraiment à la sécurité” ou “J'introduis la sécurité quand j'en ai besoin”. , les développeurs ne sont malheureusement pas préparés et beaucoup n’ont même pas les connaissances de base en matière de sécurité. Dans une enquête, près de 70% des professionnels du développement et de l'informatique ont qualifié leur formation de "sécurité insuffisante" et 86% ont déclaré que leurs entreprises n'investissaient pas suffisamment dans ce type de formation. En conséquence, la plupart des développeurs considèrent la sécurité comme une réflexion après coup, une étape supplémentaire qui empêche tout développement rapide. Mais comme les violations de données deviennent la norme, ce paradigme doit changer. Pourquoi les ingénieurs en logiciel – qui construisent le code à la base des avancées technologiques – ne devraient-ils pas être responsables de la sécurité du code?

S'attaquer systématiquement au problème de la sécurité commence par l'éducation des développeurs de logiciels à grande échelle. Étant donné que la plupart des violations peuvent être facilement évitées grâce aux meilleures pratiques de l'industrie, une petite quantité de connaissances peut aller très loin. Les universités sont en partie responsables de ce manque de préparation. L’un des 24 meilleurs programmes de premier cycle en informatique des États-Unis d’Amérique énumère un cours de sécurité comme exigence fondamentale (j’ai vérifié). Cette seule exception: UC San Diego. Dans les 23 autres écoles, les étudiants peuvent obtenir un diplôme sans prendre un seul cours de sécurité et écrire un code qui affecte les appareils sur lesquels nous comptons de plus en plus.

En tant qu'étudiant de premier cycle à Stanford, j'ai l'occasion de constater de visu comment la prochaine génération d'informaticiens et de développeurs de logiciels est incubée. Bien que le programme couvre bien les bases de l'informatique et les grandes tendances telles que l'apprentissage automatique, la sécurité est nettement absente de la liste des exigences du diplôme. Les seuls cours de sécurité pratiques de Stanford pour les majeures en informatique sont proposés en option à ceux qui pourraient manifester de l’intérêt.

Étant donné que Stanford, parmi d’autres universités, produit des informaticiens qui seront inévitablement responsables de l’impact de la technologie sur notre monde au cours des prochaines décennies, il est du devoir des collèges de veiller à ce que les étudiants puissent obtenir un emploi, mais aussi coder avec attention et précision que la sécurité nécessite. Pour cette raison, les universités devraient revoir leurs exigences en matière de diplômes afin d’établir une norme de cours de sécurité pour tous les étudiants en informatique. Un tel cours devrait enseigner les bases de la création de logiciels sécurisés, notamment les pièges de sécurité communs, les pratiques de codage sécurisé et la sécurité des applications. Grâce à ce cours, les universités pourraient également explorer les conséquences de l’application de la technologie sur le fonctionnement de la société en général, à mesure que les étudiants acquerront les connaissances techniques nécessaires à la construction d’un Internet sécurisé.

La communauté de la sécurité n'arrête pas d'efforts pour améliorer la sécurité mondiale. Les entreprises doivent faire de l'expérience de la sécurité une priorité lors de l'embauche de développeurs, et les écoles doivent se préparer en leur fournissant les compétences de sécurité nécessaires pour être des développeurs chevronnés. Tant que la capacité du développeur à coder de manière sécurisée aura autant de valeur que sa capacité à écrire un algorithme de tri, nous continuerons à faire face à des problèmes à grande échelle. Donnez aux ingénieurs en logiciel les connaissances de base nécessaires pour créer un code sécurisé, et les résultats seront rentables.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.