Prévisions pour 2024 : La sécurité, l'IA, la fidélisation des développeurs et la voie à suivre
Nous sommes arrivés à cette période de l'année. Le moment de réfléchir à tout ce qui s'est passé, à ce que nous pensions qu'il se passerait et qui ne s'est pas produit, aux leçons tirées et à ce qui, selon nous, façonnera les décisions, les actions et les résultats au cours des 12 prochains mois.
Une dynamique économique difficile, des menaces de cybersécurité émergentes et l'introduction la plus accessible de la société à l'IA à ce jour ont façonné ce qui a été une année 2023 intéressante pour DevSecOps. Plus curieux encore, aucun de ces éléments n'est dans le rétroviseur alors que nous tournons la page et que nous nous dirigeons vers 2024. Ils sont au cœur des préoccupations des organisations, de leurs équipes de développeurs et de cybersécurité, ainsi que des organismes de réglementation gouvernementaux.
Alors que les priorités changent rapidement, voici les principales prédictions que Secure Code Warrior voit se réaliser au cours des 12 prochains mois :
Les organisations accorderont une grande importance à la fidélisation des développeurs
Les développeurs apportent une valeur immense aux organisations et à leurs clients. Il appartient désormais aux entreprises de démontrer cette valeur et d'apprécier ce que le développeur peut apporter à leurs résultats. Davantage d'investissements seront réalisés dans des stratégies de rétention, des programmes et d'autres efforts pour s'assurer que les développeurs sont plus à même de faire de leur employeur actuel leur destination de carrière à long terme. L'apprentissage et le développement seront un facteur de différenciation important pour ces entreprises.
Plus de demandes de la part des développeurs mettront le contenu et les intégrations au premier plan.
Les pressions exercées sur les développeurs ne vont pas se relâcher de sitôt, sachant que les organisations veulent plus de logiciels et une transformation numérique continue pour arriver plus tôt dans les mains de leurs clients. Pour que les développeurs restent pointus, anticipent les obstacles émergents dans les cycles de vie du développement logiciel (SDLC) et aient accès à davantage de ressources pour accélérer l'innovation - davantage de contenu d'apprentissage et d'intégrations tierces seront d'une importance capitale.
L'outil d'IA est le nouveau Stack Overflow
De la même manière que les développeurs se tournent vers Stack Overflow ou les forums open source pour obtenir de l'aide, les développeurs commenceront à se tourner vers les outils d'IA. Toutefois, cela crée un faux sentiment de sécurité. Les développeurs utiliseront l'IA comme un "canal d'aide", mais les organisations se rendront compte que cette approche n'est pas suffisante.
La remédiation par l'IA est là pour durer
L'IA ne remplacera pas le développeur demain, mais la technologie s'intègre de plus en plus dans le cycle de vie du développement logiciel (SDLC), créant un processus plus infaillible pour éviter d'introduire des vulnérabilités, ou pour identifier un correctif compatible. Nous assisterons certainement à de nouvelles expérimentations tout au long de l'année, qui entraîneront inévitablement un changement dans le comportement des développeurs, des investissements organisationnels, une réaffectation du personnel et de nouvelles approches de la gestion des risques en matière de cybersécurité.
Dépendance à l'égard de l'IA + croissance explosive des API = mesures réglementaires
Le nombre d'entreprises qui alimentent leurs activités par la création et l'activation accélérées d'API a considérablement élargi le vecteur de menace des API. Avec la propension de l'utilisation de l'IA à augmenter de manière exponentielle la vitesse à laquelle les API sont créées et lancées, une meilleure gouvernance de la sécurité des API devra être une priorité - et de nouvelles mesures réglementaires ne manqueront pas d'être introduites.
Davantage de conséquences pour les éditeurs de logiciels qui ne fournissent pas de code sécurisé
La directrice de la CISA, Jen Easterly, a clairement indiqué que les fournisseurs de logiciels ne devraient pas être autorisés à "passer la main"lorsqu'il s'agit de la sécurité de leurs produits. Bien que les pouvoirs de la CISA ne s'étendent que jusqu'à un certain point - aider à faire appliquer les pratiques de conception sécurisée aux fournisseurs qui vendent aux agences fédérales - l'incident MOVEit survenu au début de l'année a réaffirmé que les grands fournisseurs de logiciels doivent atteindre et dépasser un nouveau point de référence. Il faut davantage de responsabilité et de conséquences pour les récidivistes qui envoient des codes non sécurisés.
Le Top 10 de l'OWASP de 2024 mettra à nouveau l'accent sur les défauts de conception
En parlant de conception sécurisée, l'OWASP a introduit en 2021 la catégorie "Conception non sécurisée", qui met l'accent sur les problèmes et les failles de sécurité architecturaux. Alors que nous anticipons leur prochaine liste Top 10 (très probablement en 2024), il y aura une plus grande conversation au niveau de la direction sur la différence entre une conception non sécurisée et une mise en œuvre non sécurisée, en mettant l'accent sur les équipes développant un cycle de vie de développement logiciel sécurisé (SSDLC), y compris une procédure complète de modélisation des menaces qui prend en charge l'authentification critique et la configuration du contrôle d'accès.
Les fournisseurs de DevSecOps devront prouver un retour sur investissement spécifique pour cibler les différents acheteurs exécutifs.
Afin de vendre à plusieurs groupes dans un cycle de vente compétitif, les fournisseurs devront adapter leurs conversations aux différents secteurs de l'entreprise. Traditionnellement, les fournisseurs de solutions de sécurité s'adressent principalement aux RSSI ou aux responsables de la sécurité. En 2024, il sera davantage nécessaire de pouvoir prouver la réduction des risques dans des contextes de plus en plus spécifiques pour les cadres de L&D et DevOps/AppSec - en plus de la sécurité/des CISO.
Le "gatekeeping" sera la clé de la maturité en matière de sécurité dans le développement de logiciels
Les RSSI sont toujours tenus de prouver la valeur commerciale des efforts de cybersécurité, ainsi que l'efficacité de leur programme au fil du temps. Les développeurs devront de plus en plus prouver qu'ils sont sensibilisés à la sécurité avant de se voir confier des projets portant sur des référentiels sensibles. Les RSSI qui adoptent une norme de "gatekeeping" et donnent la priorité au codage sécurisé dès le début du processus de création de logiciels seront mieux à même de positionner leurs équipes sur la voie de l'excellence en matière de sécurité.
La sécurité réactive sera considérée comme une vieille école
Alors que l'objectif d'une cyber-résilience accrue continue de dominer les stratégies cybernétiques dans de nombreux secteurs verticaux, ceux qui s'appuient sur la réaction et la réponse aux incidents comme seuls principes fondamentaux de leur plan se retrouveront dans une situation d'exposition et de risque inacceptables. "La sécurité au niveau du code doit être une priorité, au même titre que l'amélioration et la vérification des compétences des développeurs qui travaillent sur les logiciels et les infrastructures numériques critiques que nous considérons comme acquis. Aujourd'hui, plus que jamais, les gouvernements comme les entreprises doivent s'engager dans un programme de sécurité préventif et hautement conscient, dans lequel chaque membre du personnel est habilité à partager la responsabilité.
En tant que leader de la formation et de la mise en œuvre du codage sécurisé, nous sommes enthousiastes pour l'année à venir et nous collaborons avec nos plus de 600 clients pour devancer cette dynamique en évolution. À quoi ressemble votre 2024 et comment Secure Code Warrior peut-il vous aider ?
Vous souhaitez en savoir plus ? Suivez-nous sur X et LinkedIn pour rester au courant de toutes les annonces.
Secure Code Warrior les 10 principales prédictions pour le secteur de la cybersécurité en 2024 et au-delà.
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationSecure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior crée une culture de développeurs axés sur la sécurité en leur donnant les compétences nécessaires pour coder de manière sécurisée. Notre programme phare Agile Learning Platform propose des parcours pertinents basés sur les compétences, des exercices pratiques missions et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé.
Nous sommes arrivés à cette période de l'année. Le moment de réfléchir à tout ce qui s'est passé, à ce que nous pensions qu'il se passerait et qui ne s'est pas produit, aux leçons tirées et à ce qui, selon nous, façonnera les décisions, les actions et les résultats au cours des 12 prochains mois.
Une dynamique économique difficile, des menaces de cybersécurité émergentes et l'introduction la plus accessible de la société à l'IA à ce jour ont façonné ce qui a été une année 2023 intéressante pour DevSecOps. Plus curieux encore, aucun de ces éléments n'est dans le rétroviseur alors que nous tournons la page et que nous nous dirigeons vers 2024. Ils sont au cœur des préoccupations des organisations, de leurs équipes de développeurs et de cybersécurité, ainsi que des organismes de réglementation gouvernementaux.
Alors que les priorités changent rapidement, voici les principales prédictions que Secure Code Warrior voit se réaliser au cours des 12 prochains mois :
Les organisations accorderont une grande importance à la fidélisation des développeurs
Les développeurs apportent une valeur immense aux organisations et à leurs clients. Il appartient désormais aux entreprises de démontrer cette valeur et d'apprécier ce que le développeur peut apporter à leurs résultats. Davantage d'investissements seront réalisés dans des stratégies de rétention, des programmes et d'autres efforts pour s'assurer que les développeurs sont plus à même de faire de leur employeur actuel leur destination de carrière à long terme. L'apprentissage et le développement seront un facteur de différenciation important pour ces entreprises.
Plus de demandes de la part des développeurs mettront le contenu et les intégrations au premier plan.
Les pressions exercées sur les développeurs ne vont pas se relâcher de sitôt, sachant que les organisations veulent plus de logiciels et une transformation numérique continue pour arriver plus tôt dans les mains de leurs clients. Pour que les développeurs restent pointus, anticipent les obstacles émergents dans les cycles de vie du développement logiciel (SDLC) et aient accès à davantage de ressources pour accélérer l'innovation - davantage de contenu d'apprentissage et d'intégrations tierces seront d'une importance capitale.
L'outil d'IA est le nouveau Stack Overflow
De la même manière que les développeurs se tournent vers Stack Overflow ou les forums open source pour obtenir de l'aide, les développeurs commenceront à se tourner vers les outils d'IA. Toutefois, cela crée un faux sentiment de sécurité. Les développeurs utiliseront l'IA comme un "canal d'aide", mais les organisations se rendront compte que cette approche n'est pas suffisante.
La remédiation par l'IA est là pour durer
L'IA ne remplacera pas le développeur demain, mais la technologie s'intègre de plus en plus dans le cycle de vie du développement logiciel (SDLC), créant un processus plus infaillible pour éviter d'introduire des vulnérabilités, ou pour identifier un correctif compatible. Nous assisterons certainement à de nouvelles expérimentations tout au long de l'année, qui entraîneront inévitablement un changement dans le comportement des développeurs, des investissements organisationnels, une réaffectation du personnel et de nouvelles approches de la gestion des risques en matière de cybersécurité.
Dépendance à l'égard de l'IA + croissance explosive des API = mesures réglementaires
Le nombre d'entreprises qui alimentent leurs activités par la création et l'activation accélérées d'API a considérablement élargi le vecteur de menace des API. Avec la propension de l'utilisation de l'IA à augmenter de manière exponentielle la vitesse à laquelle les API sont créées et lancées, une meilleure gouvernance de la sécurité des API devra être une priorité - et de nouvelles mesures réglementaires ne manqueront pas d'être introduites.
Davantage de conséquences pour les éditeurs de logiciels qui ne fournissent pas de code sécurisé
La directrice de la CISA, Jen Easterly, a clairement indiqué que les fournisseurs de logiciels ne devraient pas être autorisés à "passer la main"lorsqu'il s'agit de la sécurité de leurs produits. Bien que les pouvoirs de la CISA ne s'étendent que jusqu'à un certain point - aider à faire appliquer les pratiques de conception sécurisée aux fournisseurs qui vendent aux agences fédérales - l'incident MOVEit survenu au début de l'année a réaffirmé que les grands fournisseurs de logiciels doivent atteindre et dépasser un nouveau point de référence. Il faut davantage de responsabilité et de conséquences pour les récidivistes qui envoient des codes non sécurisés.
Le Top 10 de l'OWASP de 2024 mettra à nouveau l'accent sur les défauts de conception
En parlant de conception sécurisée, l'OWASP a introduit en 2021 la catégorie "Conception non sécurisée", qui met l'accent sur les problèmes et les failles de sécurité architecturaux. Alors que nous anticipons leur prochaine liste Top 10 (très probablement en 2024), il y aura une plus grande conversation au niveau de la direction sur la différence entre une conception non sécurisée et une mise en œuvre non sécurisée, en mettant l'accent sur les équipes développant un cycle de vie de développement logiciel sécurisé (SSDLC), y compris une procédure complète de modélisation des menaces qui prend en charge l'authentification critique et la configuration du contrôle d'accès.
Les fournisseurs de DevSecOps devront prouver un retour sur investissement spécifique pour cibler les différents acheteurs exécutifs.
Afin de vendre à plusieurs groupes dans un cycle de vente compétitif, les fournisseurs devront adapter leurs conversations aux différents secteurs de l'entreprise. Traditionnellement, les fournisseurs de solutions de sécurité s'adressent principalement aux RSSI ou aux responsables de la sécurité. En 2024, il sera davantage nécessaire de pouvoir prouver la réduction des risques dans des contextes de plus en plus spécifiques pour les cadres de L&D et DevOps/AppSec - en plus de la sécurité/des CISO.
Le "gatekeeping" sera la clé de la maturité en matière de sécurité dans le développement de logiciels
Les RSSI sont toujours tenus de prouver la valeur commerciale des efforts de cybersécurité, ainsi que l'efficacité de leur programme au fil du temps. Les développeurs devront de plus en plus prouver qu'ils sont sensibilisés à la sécurité avant de se voir confier des projets portant sur des référentiels sensibles. Les RSSI qui adoptent une norme de "gatekeeping" et donnent la priorité au codage sécurisé dès le début du processus de création de logiciels seront mieux à même de positionner leurs équipes sur la voie de l'excellence en matière de sécurité.
La sécurité réactive sera considérée comme une vieille école
Alors que l'objectif d'une cyber-résilience accrue continue de dominer les stratégies cybernétiques dans de nombreux secteurs verticaux, ceux qui s'appuient sur la réaction et la réponse aux incidents comme seuls principes fondamentaux de leur plan se retrouveront dans une situation d'exposition et de risque inacceptables. "La sécurité au niveau du code doit être une priorité, au même titre que l'amélioration et la vérification des compétences des développeurs qui travaillent sur les logiciels et les infrastructures numériques critiques que nous considérons comme acquis. Aujourd'hui, plus que jamais, les gouvernements comme les entreprises doivent s'engager dans un programme de sécurité préventif et hautement conscient, dans lequel chaque membre du personnel est habilité à partager la responsabilité.
En tant que leader de la formation et de la mise en œuvre du codage sécurisé, nous sommes enthousiastes pour l'année à venir et nous collaborons avec nos plus de 600 clients pour devancer cette dynamique en évolution. À quoi ressemble votre 2024 et comment Secure Code Warrior peut-il vous aider ?
Vous souhaitez en savoir plus ? Suivez-nous sur X et LinkedIn pour rester au courant de toutes les annonces.
Nous sommes arrivés à cette période de l'année. Le moment de réfléchir à tout ce qui s'est passé, à ce que nous pensions qu'il se passerait et qui ne s'est pas produit, aux leçons tirées et à ce qui, selon nous, façonnera les décisions, les actions et les résultats au cours des 12 prochains mois.
Une dynamique économique difficile, des menaces de cybersécurité émergentes et l'introduction la plus accessible de la société à l'IA à ce jour ont façonné ce qui a été une année 2023 intéressante pour DevSecOps. Plus curieux encore, aucun de ces éléments n'est dans le rétroviseur alors que nous tournons la page et que nous nous dirigeons vers 2024. Ils sont au cœur des préoccupations des organisations, de leurs équipes de développeurs et de cybersécurité, ainsi que des organismes de réglementation gouvernementaux.
Alors que les priorités changent rapidement, voici les principales prédictions que Secure Code Warrior voit se réaliser au cours des 12 prochains mois :
Les organisations accorderont une grande importance à la fidélisation des développeurs
Les développeurs apportent une valeur immense aux organisations et à leurs clients. Il appartient désormais aux entreprises de démontrer cette valeur et d'apprécier ce que le développeur peut apporter à leurs résultats. Davantage d'investissements seront réalisés dans des stratégies de rétention, des programmes et d'autres efforts pour s'assurer que les développeurs sont plus à même de faire de leur employeur actuel leur destination de carrière à long terme. L'apprentissage et le développement seront un facteur de différenciation important pour ces entreprises.
Plus de demandes de la part des développeurs mettront le contenu et les intégrations au premier plan.
Les pressions exercées sur les développeurs ne vont pas se relâcher de sitôt, sachant que les organisations veulent plus de logiciels et une transformation numérique continue pour arriver plus tôt dans les mains de leurs clients. Pour que les développeurs restent pointus, anticipent les obstacles émergents dans les cycles de vie du développement logiciel (SDLC) et aient accès à davantage de ressources pour accélérer l'innovation - davantage de contenu d'apprentissage et d'intégrations tierces seront d'une importance capitale.
L'outil d'IA est le nouveau Stack Overflow
De la même manière que les développeurs se tournent vers Stack Overflow ou les forums open source pour obtenir de l'aide, les développeurs commenceront à se tourner vers les outils d'IA. Toutefois, cela crée un faux sentiment de sécurité. Les développeurs utiliseront l'IA comme un "canal d'aide", mais les organisations se rendront compte que cette approche n'est pas suffisante.
La remédiation par l'IA est là pour durer
L'IA ne remplacera pas le développeur demain, mais la technologie s'intègre de plus en plus dans le cycle de vie du développement logiciel (SDLC), créant un processus plus infaillible pour éviter d'introduire des vulnérabilités, ou pour identifier un correctif compatible. Nous assisterons certainement à de nouvelles expérimentations tout au long de l'année, qui entraîneront inévitablement un changement dans le comportement des développeurs, des investissements organisationnels, une réaffectation du personnel et de nouvelles approches de la gestion des risques en matière de cybersécurité.
Dépendance à l'égard de l'IA + croissance explosive des API = mesures réglementaires
Le nombre d'entreprises qui alimentent leurs activités par la création et l'activation accélérées d'API a considérablement élargi le vecteur de menace des API. Avec la propension de l'utilisation de l'IA à augmenter de manière exponentielle la vitesse à laquelle les API sont créées et lancées, une meilleure gouvernance de la sécurité des API devra être une priorité - et de nouvelles mesures réglementaires ne manqueront pas d'être introduites.
Davantage de conséquences pour les éditeurs de logiciels qui ne fournissent pas de code sécurisé
La directrice de la CISA, Jen Easterly, a clairement indiqué que les fournisseurs de logiciels ne devraient pas être autorisés à "passer la main"lorsqu'il s'agit de la sécurité de leurs produits. Bien que les pouvoirs de la CISA ne s'étendent que jusqu'à un certain point - aider à faire appliquer les pratiques de conception sécurisée aux fournisseurs qui vendent aux agences fédérales - l'incident MOVEit survenu au début de l'année a réaffirmé que les grands fournisseurs de logiciels doivent atteindre et dépasser un nouveau point de référence. Il faut davantage de responsabilité et de conséquences pour les récidivistes qui envoient des codes non sécurisés.
Le Top 10 de l'OWASP de 2024 mettra à nouveau l'accent sur les défauts de conception
En parlant de conception sécurisée, l'OWASP a introduit en 2021 la catégorie "Conception non sécurisée", qui met l'accent sur les problèmes et les failles de sécurité architecturaux. Alors que nous anticipons leur prochaine liste Top 10 (très probablement en 2024), il y aura une plus grande conversation au niveau de la direction sur la différence entre une conception non sécurisée et une mise en œuvre non sécurisée, en mettant l'accent sur les équipes développant un cycle de vie de développement logiciel sécurisé (SSDLC), y compris une procédure complète de modélisation des menaces qui prend en charge l'authentification critique et la configuration du contrôle d'accès.
Les fournisseurs de DevSecOps devront prouver un retour sur investissement spécifique pour cibler les différents acheteurs exécutifs.
Afin de vendre à plusieurs groupes dans un cycle de vente compétitif, les fournisseurs devront adapter leurs conversations aux différents secteurs de l'entreprise. Traditionnellement, les fournisseurs de solutions de sécurité s'adressent principalement aux RSSI ou aux responsables de la sécurité. En 2024, il sera davantage nécessaire de pouvoir prouver la réduction des risques dans des contextes de plus en plus spécifiques pour les cadres de L&D et DevOps/AppSec - en plus de la sécurité/des CISO.
Le "gatekeeping" sera la clé de la maturité en matière de sécurité dans le développement de logiciels
Les RSSI sont toujours tenus de prouver la valeur commerciale des efforts de cybersécurité, ainsi que l'efficacité de leur programme au fil du temps. Les développeurs devront de plus en plus prouver qu'ils sont sensibilisés à la sécurité avant de se voir confier des projets portant sur des référentiels sensibles. Les RSSI qui adoptent une norme de "gatekeeping" et donnent la priorité au codage sécurisé dès le début du processus de création de logiciels seront mieux à même de positionner leurs équipes sur la voie de l'excellence en matière de sécurité.
La sécurité réactive sera considérée comme une vieille école
Alors que l'objectif d'une cyber-résilience accrue continue de dominer les stratégies cybernétiques dans de nombreux secteurs verticaux, ceux qui s'appuient sur la réaction et la réponse aux incidents comme seuls principes fondamentaux de leur plan se retrouveront dans une situation d'exposition et de risque inacceptables. "La sécurité au niveau du code doit être une priorité, au même titre que l'amélioration et la vérification des compétences des développeurs qui travaillent sur les logiciels et les infrastructures numériques critiques que nous considérons comme acquis. Aujourd'hui, plus que jamais, les gouvernements comme les entreprises doivent s'engager dans un programme de sécurité préventif et hautement conscient, dans lequel chaque membre du personnel est habilité à partager la responsabilité.
En tant que leader de la formation et de la mise en œuvre du codage sécurisé, nous sommes enthousiastes pour l'année à venir et nous collaborons avec nos plus de 600 clients pour devancer cette dynamique en évolution. À quoi ressemble votre 2024 et comment Secure Code Warrior peut-il vous aider ?
Vous souhaitez en savoir plus ? Suivez-nous sur X et LinkedIn pour rester au courant de toutes les annonces.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationSecure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationSecure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior crée une culture de développeurs axés sur la sécurité en leur donnant les compétences nécessaires pour coder de manière sécurisée. Notre programme phare Agile Learning Platform propose des parcours pertinents basés sur les compétences, des exercices pratiques missions et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé.
Nous sommes arrivés à cette période de l'année. Le moment de réfléchir à tout ce qui s'est passé, à ce que nous pensions qu'il se passerait et qui ne s'est pas produit, aux leçons tirées et à ce qui, selon nous, façonnera les décisions, les actions et les résultats au cours des 12 prochains mois.
Une dynamique économique difficile, des menaces de cybersécurité émergentes et l'introduction la plus accessible de la société à l'IA à ce jour ont façonné ce qui a été une année 2023 intéressante pour DevSecOps. Plus curieux encore, aucun de ces éléments n'est dans le rétroviseur alors que nous tournons la page et que nous nous dirigeons vers 2024. Ils sont au cœur des préoccupations des organisations, de leurs équipes de développeurs et de cybersécurité, ainsi que des organismes de réglementation gouvernementaux.
Alors que les priorités changent rapidement, voici les principales prédictions que Secure Code Warrior voit se réaliser au cours des 12 prochains mois :
Les organisations accorderont une grande importance à la fidélisation des développeurs
Les développeurs apportent une valeur immense aux organisations et à leurs clients. Il appartient désormais aux entreprises de démontrer cette valeur et d'apprécier ce que le développeur peut apporter à leurs résultats. Davantage d'investissements seront réalisés dans des stratégies de rétention, des programmes et d'autres efforts pour s'assurer que les développeurs sont plus à même de faire de leur employeur actuel leur destination de carrière à long terme. L'apprentissage et le développement seront un facteur de différenciation important pour ces entreprises.
Plus de demandes de la part des développeurs mettront le contenu et les intégrations au premier plan.
Les pressions exercées sur les développeurs ne vont pas se relâcher de sitôt, sachant que les organisations veulent plus de logiciels et une transformation numérique continue pour arriver plus tôt dans les mains de leurs clients. Pour que les développeurs restent pointus, anticipent les obstacles émergents dans les cycles de vie du développement logiciel (SDLC) et aient accès à davantage de ressources pour accélérer l'innovation - davantage de contenu d'apprentissage et d'intégrations tierces seront d'une importance capitale.
L'outil d'IA est le nouveau Stack Overflow
De la même manière que les développeurs se tournent vers Stack Overflow ou les forums open source pour obtenir de l'aide, les développeurs commenceront à se tourner vers les outils d'IA. Toutefois, cela crée un faux sentiment de sécurité. Les développeurs utiliseront l'IA comme un "canal d'aide", mais les organisations se rendront compte que cette approche n'est pas suffisante.
La remédiation par l'IA est là pour durer
L'IA ne remplacera pas le développeur demain, mais la technologie s'intègre de plus en plus dans le cycle de vie du développement logiciel (SDLC), créant un processus plus infaillible pour éviter d'introduire des vulnérabilités, ou pour identifier un correctif compatible. Nous assisterons certainement à de nouvelles expérimentations tout au long de l'année, qui entraîneront inévitablement un changement dans le comportement des développeurs, des investissements organisationnels, une réaffectation du personnel et de nouvelles approches de la gestion des risques en matière de cybersécurité.
Dépendance à l'égard de l'IA + croissance explosive des API = mesures réglementaires
Le nombre d'entreprises qui alimentent leurs activités par la création et l'activation accélérées d'API a considérablement élargi le vecteur de menace des API. Avec la propension de l'utilisation de l'IA à augmenter de manière exponentielle la vitesse à laquelle les API sont créées et lancées, une meilleure gouvernance de la sécurité des API devra être une priorité - et de nouvelles mesures réglementaires ne manqueront pas d'être introduites.
Davantage de conséquences pour les éditeurs de logiciels qui ne fournissent pas de code sécurisé
La directrice de la CISA, Jen Easterly, a clairement indiqué que les fournisseurs de logiciels ne devraient pas être autorisés à "passer la main"lorsqu'il s'agit de la sécurité de leurs produits. Bien que les pouvoirs de la CISA ne s'étendent que jusqu'à un certain point - aider à faire appliquer les pratiques de conception sécurisée aux fournisseurs qui vendent aux agences fédérales - l'incident MOVEit survenu au début de l'année a réaffirmé que les grands fournisseurs de logiciels doivent atteindre et dépasser un nouveau point de référence. Il faut davantage de responsabilité et de conséquences pour les récidivistes qui envoient des codes non sécurisés.
Le Top 10 de l'OWASP de 2024 mettra à nouveau l'accent sur les défauts de conception
En parlant de conception sécurisée, l'OWASP a introduit en 2021 la catégorie "Conception non sécurisée", qui met l'accent sur les problèmes et les failles de sécurité architecturaux. Alors que nous anticipons leur prochaine liste Top 10 (très probablement en 2024), il y aura une plus grande conversation au niveau de la direction sur la différence entre une conception non sécurisée et une mise en œuvre non sécurisée, en mettant l'accent sur les équipes développant un cycle de vie de développement logiciel sécurisé (SSDLC), y compris une procédure complète de modélisation des menaces qui prend en charge l'authentification critique et la configuration du contrôle d'accès.
Les fournisseurs de DevSecOps devront prouver un retour sur investissement spécifique pour cibler les différents acheteurs exécutifs.
Afin de vendre à plusieurs groupes dans un cycle de vente compétitif, les fournisseurs devront adapter leurs conversations aux différents secteurs de l'entreprise. Traditionnellement, les fournisseurs de solutions de sécurité s'adressent principalement aux RSSI ou aux responsables de la sécurité. En 2024, il sera davantage nécessaire de pouvoir prouver la réduction des risques dans des contextes de plus en plus spécifiques pour les cadres de L&D et DevOps/AppSec - en plus de la sécurité/des CISO.
Le "gatekeeping" sera la clé de la maturité en matière de sécurité dans le développement de logiciels
Les RSSI sont toujours tenus de prouver la valeur commerciale des efforts de cybersécurité, ainsi que l'efficacité de leur programme au fil du temps. Les développeurs devront de plus en plus prouver qu'ils sont sensibilisés à la sécurité avant de se voir confier des projets portant sur des référentiels sensibles. Les RSSI qui adoptent une norme de "gatekeeping" et donnent la priorité au codage sécurisé dès le début du processus de création de logiciels seront mieux à même de positionner leurs équipes sur la voie de l'excellence en matière de sécurité.
La sécurité réactive sera considérée comme une vieille école
Alors que l'objectif d'une cyber-résilience accrue continue de dominer les stratégies cybernétiques dans de nombreux secteurs verticaux, ceux qui s'appuient sur la réaction et la réponse aux incidents comme seuls principes fondamentaux de leur plan se retrouveront dans une situation d'exposition et de risque inacceptables. "La sécurité au niveau du code doit être une priorité, au même titre que l'amélioration et la vérification des compétences des développeurs qui travaillent sur les logiciels et les infrastructures numériques critiques que nous considérons comme acquis. Aujourd'hui, plus que jamais, les gouvernements comme les entreprises doivent s'engager dans un programme de sécurité préventif et hautement conscient, dans lequel chaque membre du personnel est habilité à partager la responsabilité.
En tant que leader de la formation et de la mise en œuvre du codage sécurisé, nous sommes enthousiastes pour l'année à venir et nous collaborons avec nos plus de 600 clients pour devancer cette dynamique en évolution. À quoi ressemble votre 2024 et comment Secure Code Warrior peut-il vous aider ?
Vous souhaitez en savoir plus ? Suivez-nous sur X et LinkedIn pour rester au courant de toutes les annonces.
Table des matières
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.
Plongée en profondeur : Naviguer dans la vulnérabilité critique de CUPS dans les systèmes GNU-Linux
Découvrez les derniers défis de sécurité auxquels sont confrontés les utilisateurs de Linux en explorant les récentes vulnérabilités de haute sévérité dans le système d'impression commun d'UNIX (CUPS). Apprenez comment ces problèmes peuvent conduire à une potentielle exécution de code à distance (RCE) et ce que vous pouvez faire pour protéger vos systèmes.