Définir un code sécurisé
Les développeurs qui créent les logiciels, les applications et les programmes qui alimentent les activités numériques sont devenus l'élément vital de nombreuses organisations. La plupart des entreprises modernes ne pourraient pas fonctionner (de manière rentable) sans applications et programmes compétitifs, ou sans accès 24 heures sur 24 à leurs sites web et autres infrastructures.
Pourtant, ces mêmes points de contact sont souvent la porte d'entrée que les pirates et autres utilisateurs malveillants utilisent pour voler des informations, lancer des attaques et passer à d'autres activités criminelles telles que la fraude et les ransomwares. Le dernier rapport Verizon Data Breach Investigations Report souligne que les menaces qui pèsent sur les entreprises et les organisations sont plus dangereuses et plus coûteuses aujourd'hui qu'à n'importe quel autre moment de l'histoire.
Les attaques réussies restent fréquentes, même si les dépenses de cybersécurité dans la plupart des organisations sont en nette augmentation, et même si des mouvements comme DevSecOps déplacent la sécurité vers les développeurs qui sont l'élément vital de l'entreprise aujourd'hui.
Les développeurs comprennent l'importance de la sécurité et souhaitent majoritairement déployer un code sûr et de qualité, mais les vulnérabilités des logiciels continuent d'être exploitées.
Pourquoi ?
Pour la deuxième année, Secure Code Warrior a mené l'enquête The state of developer-driven security survey, 2022 en partenariat avec Evans Data Corp en décembre 2021. Nous avons interrogé 1 200 développeurs dans le monde entier pour comprendre les compétences, les perceptions et les comportements en matière de pratiques de codage sécurisées, ainsi que leur impact et leur pertinence perçue dans le cycle de vie du développement logiciel (SDLC).
L'enquête a mis en évidence l'absence d'une définition claire ou d'une compréhension de ce qu'est un code sécurisé. Il s'avère qu'il existe un écart important entre ce que les développeurs pensent être un code sécurisé et ce qu'est réellement un code sécurisé.
Il n'est pas surprenant que l'écriture d'un code de qualité soit une priorité absolue pour la communauté des développeurs, mais lorsqu'on les interroge spécifiquement sur le code sécurisé, seuls 29 % d'entre eux déclarent que la pratique active de l'écriture d'un code exempt de vulnérabilités est une priorité. Au contraire, les développeurs associent des pratiques moins sûres et beaucoup moins fiables à la création d'un code sécurisé. Par exemple, l'examen minutieux du code existant (37 %) et le recours à des bibliothèques externes pour obtenir un code sûr (37 %) sont les principales pratiques que les développeurs associent au codage sécurisé. La réutilisation d'un code déjà jugé sûr (32 %) est un autre choix populaire. La pratique active consistant à écrire un code exempt de vulnérabilités arrive en 6e position, 29 % des répondants déclarant qu'il s'agit d'une pratique essentielle à la création d'un code sûr. Interrogés plus avant, les participants ont déclaré que le manque de temps et l'absence d'une approche cohérente de la part de la direction constituaient les principaux obstacles à la création d'un code sécurisé.
La dépendance à l'égard du code existant est l'un des facteurs qui augmentent le risque que les logiciels soient livrés avec des vulnérabilités exploitables. Pour que les développeurs puissent créer un code de qualité qui soit également sûr, il est nécessaire de se pencher sur la question de savoir ce qui constitue un code sûr.
Il s'avère qu'il existe un écart important entre ce que les développeurs pensent être un code sécurisé et ce qu'est réellement un code sécurisé.
Que peuvent faire les organisations pour remédier à la situation ?
L'un des principaux messages de l'enquête est que la communauté des développeurs dans son ensemble est composée de professionnels qui se soucient de ce qu'ils font. L'écriture d'un code de qualité supérieure est pour eux, en tant que groupe, d'une importance capitale. Le problème est que, dans de nombreux cas, les organisations pour lesquelles ils travaillent n'ont pas identifié les meilleures pratiques nécessaires pour produire un code sécurisé et n'ont pas consacré suffisamment de ressources à la formation de leurs développeurs ou ne leur ont pas donné les moyens d'atteindre ces objectifs.
En fait, la plupart des développeurs ont déclaré que leur organisation ne disposait même pas d'une définition claire de ce qui constitue un code sécurisé. L'un des exemples les plus inquiétants est que 28 % des répondants à l'enquête ont déclaré que leur organisation considérait que le code était sécurisé si aucune violation n'était signalée une fois que l'application ou le programme était déployé dans un environnement de production ou mis à la disposition du public.
Cela va probablement sans dire, mais dans le paysage complexe des menaces d'aujourd'hui, se contenter d'espérer de bons résultats sans y travailler réellement produira probablement des résultats prévisibles : encore plus d'atteintes à la sécurité.
Heureusement, il s'agit d'une situation où il est relativement facile d'au moins commencer à résoudre le problème, puis de commencer à travailler pour atteindre l'objectif d'un code sécurisé. La première étape, sans doute la plus importante, consiste pour les organisations à définir ce qu'elles considèrent comme du code sécurisé. Tout ce qui ne correspond pas à cette définition doit être considéré comme non sécurisé.
Le codage sécurisé devrait être défini comme la pratique de développeurs compétents qui écrivent un code exempt de vulnérabilités, dès le début du cycle de développement durable. Ce n'est qu'une fois cette pratique définie que la communauté des développeurs peut travailler à la réalisation de cet objectif.
Faire de l'objectif d'un code sécurisé une réalité
Une fois la définition du code sécurisé établie, les organisations doivent être prêtes à soutenir ces efforts et leurs développeurs qui réaliseront l'objectif de mise en œuvre de pratiques de code totalement sécurisé. Ce soutien est essentiel. Sans lui, la définition du code sécurisé au sein de votre organisation, bien qu'importante, ne sera guère plus qu'un tigre de papier. Les pratiques de codage sécurisé doivent être approuvées par la direction et bénéficier de l'attention, de l'autorité et du budget nécessaires pour réussir.
Cela peut nécessiter de nouveaux objectifs de référence pour les développeurs, qui ont traditionnellement été évalués en fonction de la vitesse de leur codage. En fait, 37 % des développeurs interrogés dans le cadre de l'enquête ont déclaré avoir laissé des vulnérabilités connues dans leur code parce que les délais serrés ne leur laissaient pas le temps de les corriger ou de coder correctement dès le départ. Dans un premier temps, cela peut signifier qu'il faut augmenter les délais pour donner aux développeurs plus de temps pour coder correctement, mais cette perte de temps au début du processus de codage sera probablement compensée plus tard parce qu'il sera moins nécessaire de réviser les programmes, d'appliquer des correctifs et d'effectuer des travaux post-déploiement. En outre, l'élimination de la possibilité d'une violation dès son déploiement peut permettre d'économiser des centaines d'heures et éventuellement des millions en pertes de revenus, en amendes et en coûts de nettoyage.
Les développeurs auront également besoin d'une formation pratique pertinente, en particulier en ce qui concerne les vulnérabilités spécifiques qu'ils sont susceptibles de rencontrer, et d'une aide pour apprendre à identifier et à corriger les vulnérabilités du code. Cela est d'autant plus vrai que 36 % des personnes interrogées dans le cadre de l'enquête ont déclaré vouloir supprimer les vulnérabilités de leur code, mais ne pas avoir les compétences ou les connaissances nécessaires pour le faire.
37 % des développeurs interrogés ont déclaré avoir laissé des vulnérabilités connues dans leur code parce que les délais serrés ne leur laissaient pas le temps de les corriger ou de coder correctement dès le départ.
Vous souhaitez en savoir plus sur ce sujet ?
Livre blanc : Les défis (et les opportunités) pour améliorer la sécurité des logiciels.
Rapport : Enquête sur l'état de la sécurité pilotée par les développeurs, 2022.
Les développeurs qui créent les logiciels, les applications et les programmes qui alimentent les activités numériques sont devenus l'élément vital de nombreuses organisations. La plupart des entreprises modernes ne pourraient pas fonctionner (de manière rentable) sans applications et programmes compétitifs, ou sans accès 24 heures sur 24 à leurs sites web et autres infrastructures.
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationSecure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior crée une culture de développeurs axés sur la sécurité en leur donnant les compétences nécessaires pour coder de manière sécurisée. Notre programme phare Agile Learning Platform propose des parcours pertinents basés sur les compétences, des exercices pratiques missions et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé.
Les développeurs qui créent les logiciels, les applications et les programmes qui alimentent les activités numériques sont devenus l'élément vital de nombreuses organisations. La plupart des entreprises modernes ne pourraient pas fonctionner (de manière rentable) sans applications et programmes compétitifs, ou sans accès 24 heures sur 24 à leurs sites web et autres infrastructures.
Pourtant, ces mêmes points de contact sont souvent la porte d'entrée que les pirates et autres utilisateurs malveillants utilisent pour voler des informations, lancer des attaques et passer à d'autres activités criminelles telles que la fraude et les ransomwares. Le dernier rapport Verizon Data Breach Investigations Report souligne que les menaces qui pèsent sur les entreprises et les organisations sont plus dangereuses et plus coûteuses aujourd'hui qu'à n'importe quel autre moment de l'histoire.
Les attaques réussies restent fréquentes, même si les dépenses de cybersécurité dans la plupart des organisations sont en nette augmentation, et même si des mouvements comme DevSecOps déplacent la sécurité vers les développeurs qui sont l'élément vital de l'entreprise aujourd'hui.
Les développeurs comprennent l'importance de la sécurité et souhaitent majoritairement déployer un code sûr et de qualité, mais les vulnérabilités des logiciels continuent d'être exploitées.
Pourquoi ?
Pour la deuxième année, Secure Code Warrior a mené l'enquête The state of developer-driven security survey, 2022 en partenariat avec Evans Data Corp en décembre 2021. Nous avons interrogé 1 200 développeurs dans le monde entier pour comprendre les compétences, les perceptions et les comportements en matière de pratiques de codage sécurisées, ainsi que leur impact et leur pertinence perçue dans le cycle de vie du développement logiciel (SDLC).
L'enquête a mis en évidence l'absence d'une définition claire ou d'une compréhension de ce qu'est un code sécurisé. Il s'avère qu'il existe un écart important entre ce que les développeurs pensent être un code sécurisé et ce qu'est réellement un code sécurisé.
Il n'est pas surprenant que l'écriture d'un code de qualité soit une priorité absolue pour la communauté des développeurs, mais lorsqu'on les interroge spécifiquement sur le code sécurisé, seuls 29 % d'entre eux déclarent que la pratique active de l'écriture d'un code exempt de vulnérabilités est une priorité. Au contraire, les développeurs associent des pratiques moins sûres et beaucoup moins fiables à la création d'un code sécurisé. Par exemple, l'examen minutieux du code existant (37 %) et le recours à des bibliothèques externes pour obtenir un code sûr (37 %) sont les principales pratiques que les développeurs associent au codage sécurisé. La réutilisation d'un code déjà jugé sûr (32 %) est un autre choix populaire. La pratique active consistant à écrire un code exempt de vulnérabilités arrive en 6e position, 29 % des répondants déclarant qu'il s'agit d'une pratique essentielle à la création d'un code sûr. Interrogés plus avant, les participants ont déclaré que le manque de temps et l'absence d'une approche cohérente de la part de la direction constituaient les principaux obstacles à la création d'un code sécurisé.
La dépendance à l'égard du code existant est l'un des facteurs qui augmentent le risque que les logiciels soient livrés avec des vulnérabilités exploitables. Pour que les développeurs puissent créer un code de qualité qui soit également sûr, il est nécessaire de se pencher sur la question de savoir ce qui constitue un code sûr.
Il s'avère qu'il existe un écart important entre ce que les développeurs pensent être un code sécurisé et ce qu'est réellement un code sécurisé.
Que peuvent faire les organisations pour remédier à la situation ?
L'un des principaux messages de l'enquête est que la communauté des développeurs dans son ensemble est composée de professionnels qui se soucient de ce qu'ils font. L'écriture d'un code de qualité supérieure est pour eux, en tant que groupe, d'une importance capitale. Le problème est que, dans de nombreux cas, les organisations pour lesquelles ils travaillent n'ont pas identifié les meilleures pratiques nécessaires pour produire un code sécurisé et n'ont pas consacré suffisamment de ressources à la formation de leurs développeurs ou ne leur ont pas donné les moyens d'atteindre ces objectifs.
En fait, la plupart des développeurs ont déclaré que leur organisation ne disposait même pas d'une définition claire de ce qui constitue un code sécurisé. L'un des exemples les plus inquiétants est que 28 % des répondants à l'enquête ont déclaré que leur organisation considérait que le code était sécurisé si aucune violation n'était signalée une fois que l'application ou le programme était déployé dans un environnement de production ou mis à la disposition du public.
Cela va probablement sans dire, mais dans le paysage complexe des menaces d'aujourd'hui, se contenter d'espérer de bons résultats sans y travailler réellement produira probablement des résultats prévisibles : encore plus d'atteintes à la sécurité.
Heureusement, il s'agit d'une situation où il est relativement facile d'au moins commencer à résoudre le problème, puis de commencer à travailler pour atteindre l'objectif d'un code sécurisé. La première étape, sans doute la plus importante, consiste pour les organisations à définir ce qu'elles considèrent comme du code sécurisé. Tout ce qui ne correspond pas à cette définition doit être considéré comme non sécurisé.
Le codage sécurisé devrait être défini comme la pratique de développeurs compétents qui écrivent un code exempt de vulnérabilités, dès le début du cycle de développement durable. Ce n'est qu'une fois cette pratique définie que la communauté des développeurs peut travailler à la réalisation de cet objectif.
Faire de l'objectif d'un code sécurisé une réalité
Une fois la définition du code sécurisé établie, les organisations doivent être prêtes à soutenir ces efforts et leurs développeurs qui réaliseront l'objectif de mise en œuvre de pratiques de code totalement sécurisé. Ce soutien est essentiel. Sans lui, la définition du code sécurisé au sein de votre organisation, bien qu'importante, ne sera guère plus qu'un tigre de papier. Les pratiques de codage sécurisé doivent être approuvées par la direction et bénéficier de l'attention, de l'autorité et du budget nécessaires pour réussir.
Cela peut nécessiter de nouveaux objectifs de référence pour les développeurs, qui ont traditionnellement été évalués en fonction de la vitesse de leur codage. En fait, 37 % des développeurs interrogés dans le cadre de l'enquête ont déclaré avoir laissé des vulnérabilités connues dans leur code parce que les délais serrés ne leur laissaient pas le temps de les corriger ou de coder correctement dès le départ. Dans un premier temps, cela peut signifier qu'il faut augmenter les délais pour donner aux développeurs plus de temps pour coder correctement, mais cette perte de temps au début du processus de codage sera probablement compensée plus tard parce qu'il sera moins nécessaire de réviser les programmes, d'appliquer des correctifs et d'effectuer des travaux post-déploiement. En outre, l'élimination de la possibilité d'une violation dès son déploiement peut permettre d'économiser des centaines d'heures et éventuellement des millions en pertes de revenus, en amendes et en coûts de nettoyage.
Les développeurs auront également besoin d'une formation pratique pertinente, en particulier en ce qui concerne les vulnérabilités spécifiques qu'ils sont susceptibles de rencontrer, et d'une aide pour apprendre à identifier et à corriger les vulnérabilités du code. Cela est d'autant plus vrai que 36 % des personnes interrogées dans le cadre de l'enquête ont déclaré vouloir supprimer les vulnérabilités de leur code, mais ne pas avoir les compétences ou les connaissances nécessaires pour le faire.
37 % des développeurs interrogés ont déclaré avoir laissé des vulnérabilités connues dans leur code parce que les délais serrés ne leur laissaient pas le temps de les corriger ou de coder correctement dès le départ.
Vous souhaitez en savoir plus sur ce sujet ?
Livre blanc : Les défis (et les opportunités) pour améliorer la sécurité des logiciels.
Rapport : Enquête sur l'état de la sécurité pilotée par les développeurs, 2022.
Les développeurs qui créent les logiciels, les applications et les programmes qui alimentent les activités numériques sont devenus l'élément vital de nombreuses organisations. La plupart des entreprises modernes ne pourraient pas fonctionner (de manière rentable) sans applications et programmes compétitifs, ou sans accès 24 heures sur 24 à leurs sites web et autres infrastructures.
Pourtant, ces mêmes points de contact sont souvent la porte d'entrée que les pirates et autres utilisateurs malveillants utilisent pour voler des informations, lancer des attaques et passer à d'autres activités criminelles telles que la fraude et les ransomwares. Le dernier rapport Verizon Data Breach Investigations Report souligne que les menaces qui pèsent sur les entreprises et les organisations sont plus dangereuses et plus coûteuses aujourd'hui qu'à n'importe quel autre moment de l'histoire.
Les attaques réussies restent fréquentes, même si les dépenses de cybersécurité dans la plupart des organisations sont en nette augmentation, et même si des mouvements comme DevSecOps déplacent la sécurité vers les développeurs qui sont l'élément vital de l'entreprise aujourd'hui.
Les développeurs comprennent l'importance de la sécurité et souhaitent majoritairement déployer un code sûr et de qualité, mais les vulnérabilités des logiciels continuent d'être exploitées.
Pourquoi ?
Pour la deuxième année, Secure Code Warrior a mené l'enquête The state of developer-driven security survey, 2022 en partenariat avec Evans Data Corp en décembre 2021. Nous avons interrogé 1 200 développeurs dans le monde entier pour comprendre les compétences, les perceptions et les comportements en matière de pratiques de codage sécurisées, ainsi que leur impact et leur pertinence perçue dans le cycle de vie du développement logiciel (SDLC).
L'enquête a mis en évidence l'absence d'une définition claire ou d'une compréhension de ce qu'est un code sécurisé. Il s'avère qu'il existe un écart important entre ce que les développeurs pensent être un code sécurisé et ce qu'est réellement un code sécurisé.
Il n'est pas surprenant que l'écriture d'un code de qualité soit une priorité absolue pour la communauté des développeurs, mais lorsqu'on les interroge spécifiquement sur le code sécurisé, seuls 29 % d'entre eux déclarent que la pratique active de l'écriture d'un code exempt de vulnérabilités est une priorité. Au contraire, les développeurs associent des pratiques moins sûres et beaucoup moins fiables à la création d'un code sécurisé. Par exemple, l'examen minutieux du code existant (37 %) et le recours à des bibliothèques externes pour obtenir un code sûr (37 %) sont les principales pratiques que les développeurs associent au codage sécurisé. La réutilisation d'un code déjà jugé sûr (32 %) est un autre choix populaire. La pratique active consistant à écrire un code exempt de vulnérabilités arrive en 6e position, 29 % des répondants déclarant qu'il s'agit d'une pratique essentielle à la création d'un code sûr. Interrogés plus avant, les participants ont déclaré que le manque de temps et l'absence d'une approche cohérente de la part de la direction constituaient les principaux obstacles à la création d'un code sécurisé.
La dépendance à l'égard du code existant est l'un des facteurs qui augmentent le risque que les logiciels soient livrés avec des vulnérabilités exploitables. Pour que les développeurs puissent créer un code de qualité qui soit également sûr, il est nécessaire de se pencher sur la question de savoir ce qui constitue un code sûr.
Il s'avère qu'il existe un écart important entre ce que les développeurs pensent être un code sécurisé et ce qu'est réellement un code sécurisé.
Que peuvent faire les organisations pour remédier à la situation ?
L'un des principaux messages de l'enquête est que la communauté des développeurs dans son ensemble est composée de professionnels qui se soucient de ce qu'ils font. L'écriture d'un code de qualité supérieure est pour eux, en tant que groupe, d'une importance capitale. Le problème est que, dans de nombreux cas, les organisations pour lesquelles ils travaillent n'ont pas identifié les meilleures pratiques nécessaires pour produire un code sécurisé et n'ont pas consacré suffisamment de ressources à la formation de leurs développeurs ou ne leur ont pas donné les moyens d'atteindre ces objectifs.
En fait, la plupart des développeurs ont déclaré que leur organisation ne disposait même pas d'une définition claire de ce qui constitue un code sécurisé. L'un des exemples les plus inquiétants est que 28 % des répondants à l'enquête ont déclaré que leur organisation considérait que le code était sécurisé si aucune violation n'était signalée une fois que l'application ou le programme était déployé dans un environnement de production ou mis à la disposition du public.
Cela va probablement sans dire, mais dans le paysage complexe des menaces d'aujourd'hui, se contenter d'espérer de bons résultats sans y travailler réellement produira probablement des résultats prévisibles : encore plus d'atteintes à la sécurité.
Heureusement, il s'agit d'une situation où il est relativement facile d'au moins commencer à résoudre le problème, puis de commencer à travailler pour atteindre l'objectif d'un code sécurisé. La première étape, sans doute la plus importante, consiste pour les organisations à définir ce qu'elles considèrent comme du code sécurisé. Tout ce qui ne correspond pas à cette définition doit être considéré comme non sécurisé.
Le codage sécurisé devrait être défini comme la pratique de développeurs compétents qui écrivent un code exempt de vulnérabilités, dès le début du cycle de développement durable. Ce n'est qu'une fois cette pratique définie que la communauté des développeurs peut travailler à la réalisation de cet objectif.
Faire de l'objectif d'un code sécurisé une réalité
Une fois la définition du code sécurisé établie, les organisations doivent être prêtes à soutenir ces efforts et leurs développeurs qui réaliseront l'objectif de mise en œuvre de pratiques de code totalement sécurisé. Ce soutien est essentiel. Sans lui, la définition du code sécurisé au sein de votre organisation, bien qu'importante, ne sera guère plus qu'un tigre de papier. Les pratiques de codage sécurisé doivent être approuvées par la direction et bénéficier de l'attention, de l'autorité et du budget nécessaires pour réussir.
Cela peut nécessiter de nouveaux objectifs de référence pour les développeurs, qui ont traditionnellement été évalués en fonction de la vitesse de leur codage. En fait, 37 % des développeurs interrogés dans le cadre de l'enquête ont déclaré avoir laissé des vulnérabilités connues dans leur code parce que les délais serrés ne leur laissaient pas le temps de les corriger ou de coder correctement dès le départ. Dans un premier temps, cela peut signifier qu'il faut augmenter les délais pour donner aux développeurs plus de temps pour coder correctement, mais cette perte de temps au début du processus de codage sera probablement compensée plus tard parce qu'il sera moins nécessaire de réviser les programmes, d'appliquer des correctifs et d'effectuer des travaux post-déploiement. En outre, l'élimination de la possibilité d'une violation dès son déploiement peut permettre d'économiser des centaines d'heures et éventuellement des millions en pertes de revenus, en amendes et en coûts de nettoyage.
Les développeurs auront également besoin d'une formation pratique pertinente, en particulier en ce qui concerne les vulnérabilités spécifiques qu'ils sont susceptibles de rencontrer, et d'une aide pour apprendre à identifier et à corriger les vulnérabilités du code. Cela est d'autant plus vrai que 36 % des personnes interrogées dans le cadre de l'enquête ont déclaré vouloir supprimer les vulnérabilités de leur code, mais ne pas avoir les compétences ou les connaissances nécessaires pour le faire.
37 % des développeurs interrogés ont déclaré avoir laissé des vulnérabilités connues dans leur code parce que les délais serrés ne leur laissaient pas le temps de les corriger ou de coder correctement dès le départ.
Vous souhaitez en savoir plus sur ce sujet ?
Livre blanc : Les défis (et les opportunités) pour améliorer la sécurité des logiciels.
Rapport : Enquête sur l'état de la sécurité pilotée par les développeurs, 2022.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationSecure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior crée une culture de développeurs axés sur la sécurité en leur donnant les compétences nécessaires pour coder de manière sécurisée. Notre programme phare Agile Learning Platform propose des parcours pertinents basés sur les compétences, des exercices pratiques missions et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé.
Les développeurs qui créent les logiciels, les applications et les programmes qui alimentent les activités numériques sont devenus l'élément vital de nombreuses organisations. La plupart des entreprises modernes ne pourraient pas fonctionner (de manière rentable) sans applications et programmes compétitifs, ou sans accès 24 heures sur 24 à leurs sites web et autres infrastructures.
Pourtant, ces mêmes points de contact sont souvent la porte d'entrée que les pirates et autres utilisateurs malveillants utilisent pour voler des informations, lancer des attaques et passer à d'autres activités criminelles telles que la fraude et les ransomwares. Le dernier rapport Verizon Data Breach Investigations Report souligne que les menaces qui pèsent sur les entreprises et les organisations sont plus dangereuses et plus coûteuses aujourd'hui qu'à n'importe quel autre moment de l'histoire.
Les attaques réussies restent fréquentes, même si les dépenses de cybersécurité dans la plupart des organisations sont en nette augmentation, et même si des mouvements comme DevSecOps déplacent la sécurité vers les développeurs qui sont l'élément vital de l'entreprise aujourd'hui.
Les développeurs comprennent l'importance de la sécurité et souhaitent majoritairement déployer un code sûr et de qualité, mais les vulnérabilités des logiciels continuent d'être exploitées.
Pourquoi ?
Pour la deuxième année, Secure Code Warrior a mené l'enquête The state of developer-driven security survey, 2022 en partenariat avec Evans Data Corp en décembre 2021. Nous avons interrogé 1 200 développeurs dans le monde entier pour comprendre les compétences, les perceptions et les comportements en matière de pratiques de codage sécurisées, ainsi que leur impact et leur pertinence perçue dans le cycle de vie du développement logiciel (SDLC).
L'enquête a mis en évidence l'absence d'une définition claire ou d'une compréhension de ce qu'est un code sécurisé. Il s'avère qu'il existe un écart important entre ce que les développeurs pensent être un code sécurisé et ce qu'est réellement un code sécurisé.
Il n'est pas surprenant que l'écriture d'un code de qualité soit une priorité absolue pour la communauté des développeurs, mais lorsqu'on les interroge spécifiquement sur le code sécurisé, seuls 29 % d'entre eux déclarent que la pratique active de l'écriture d'un code exempt de vulnérabilités est une priorité. Au contraire, les développeurs associent des pratiques moins sûres et beaucoup moins fiables à la création d'un code sécurisé. Par exemple, l'examen minutieux du code existant (37 %) et le recours à des bibliothèques externes pour obtenir un code sûr (37 %) sont les principales pratiques que les développeurs associent au codage sécurisé. La réutilisation d'un code déjà jugé sûr (32 %) est un autre choix populaire. La pratique active consistant à écrire un code exempt de vulnérabilités arrive en 6e position, 29 % des répondants déclarant qu'il s'agit d'une pratique essentielle à la création d'un code sûr. Interrogés plus avant, les participants ont déclaré que le manque de temps et l'absence d'une approche cohérente de la part de la direction constituaient les principaux obstacles à la création d'un code sécurisé.
La dépendance à l'égard du code existant est l'un des facteurs qui augmentent le risque que les logiciels soient livrés avec des vulnérabilités exploitables. Pour que les développeurs puissent créer un code de qualité qui soit également sûr, il est nécessaire de se pencher sur la question de savoir ce qui constitue un code sûr.
Il s'avère qu'il existe un écart important entre ce que les développeurs pensent être un code sécurisé et ce qu'est réellement un code sécurisé.
Que peuvent faire les organisations pour remédier à la situation ?
L'un des principaux messages de l'enquête est que la communauté des développeurs dans son ensemble est composée de professionnels qui se soucient de ce qu'ils font. L'écriture d'un code de qualité supérieure est pour eux, en tant que groupe, d'une importance capitale. Le problème est que, dans de nombreux cas, les organisations pour lesquelles ils travaillent n'ont pas identifié les meilleures pratiques nécessaires pour produire un code sécurisé et n'ont pas consacré suffisamment de ressources à la formation de leurs développeurs ou ne leur ont pas donné les moyens d'atteindre ces objectifs.
En fait, la plupart des développeurs ont déclaré que leur organisation ne disposait même pas d'une définition claire de ce qui constitue un code sécurisé. L'un des exemples les plus inquiétants est que 28 % des répondants à l'enquête ont déclaré que leur organisation considérait que le code était sécurisé si aucune violation n'était signalée une fois que l'application ou le programme était déployé dans un environnement de production ou mis à la disposition du public.
Cela va probablement sans dire, mais dans le paysage complexe des menaces d'aujourd'hui, se contenter d'espérer de bons résultats sans y travailler réellement produira probablement des résultats prévisibles : encore plus d'atteintes à la sécurité.
Heureusement, il s'agit d'une situation où il est relativement facile d'au moins commencer à résoudre le problème, puis de commencer à travailler pour atteindre l'objectif d'un code sécurisé. La première étape, sans doute la plus importante, consiste pour les organisations à définir ce qu'elles considèrent comme du code sécurisé. Tout ce qui ne correspond pas à cette définition doit être considéré comme non sécurisé.
Le codage sécurisé devrait être défini comme la pratique de développeurs compétents qui écrivent un code exempt de vulnérabilités, dès le début du cycle de développement durable. Ce n'est qu'une fois cette pratique définie que la communauté des développeurs peut travailler à la réalisation de cet objectif.
Faire de l'objectif d'un code sécurisé une réalité
Une fois la définition du code sécurisé établie, les organisations doivent être prêtes à soutenir ces efforts et leurs développeurs qui réaliseront l'objectif de mise en œuvre de pratiques de code totalement sécurisé. Ce soutien est essentiel. Sans lui, la définition du code sécurisé au sein de votre organisation, bien qu'importante, ne sera guère plus qu'un tigre de papier. Les pratiques de codage sécurisé doivent être approuvées par la direction et bénéficier de l'attention, de l'autorité et du budget nécessaires pour réussir.
Cela peut nécessiter de nouveaux objectifs de référence pour les développeurs, qui ont traditionnellement été évalués en fonction de la vitesse de leur codage. En fait, 37 % des développeurs interrogés dans le cadre de l'enquête ont déclaré avoir laissé des vulnérabilités connues dans leur code parce que les délais serrés ne leur laissaient pas le temps de les corriger ou de coder correctement dès le départ. Dans un premier temps, cela peut signifier qu'il faut augmenter les délais pour donner aux développeurs plus de temps pour coder correctement, mais cette perte de temps au début du processus de codage sera probablement compensée plus tard parce qu'il sera moins nécessaire de réviser les programmes, d'appliquer des correctifs et d'effectuer des travaux post-déploiement. En outre, l'élimination de la possibilité d'une violation dès son déploiement peut permettre d'économiser des centaines d'heures et éventuellement des millions en pertes de revenus, en amendes et en coûts de nettoyage.
Les développeurs auront également besoin d'une formation pratique pertinente, en particulier en ce qui concerne les vulnérabilités spécifiques qu'ils sont susceptibles de rencontrer, et d'une aide pour apprendre à identifier et à corriger les vulnérabilités du code. Cela est d'autant plus vrai que 36 % des personnes interrogées dans le cadre de l'enquête ont déclaré vouloir supprimer les vulnérabilités de leur code, mais ne pas avoir les compétences ou les connaissances nécessaires pour le faire.
37 % des développeurs interrogés ont déclaré avoir laissé des vulnérabilités connues dans leur code parce que les délais serrés ne leur laissaient pas le temps de les corriger ou de coder correctement dès le départ.
Vous souhaitez en savoir plus sur ce sujet ?
Livre blanc : Les défis (et les opportunités) pour améliorer la sécurité des logiciels.
Rapport : Enquête sur l'état de la sécurité pilotée par les développeurs, 2022.
Table des matières
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.
Plongée en profondeur : Naviguer dans la vulnérabilité critique de CUPS dans les systèmes GNU-Linux
Découvrez les derniers défis de sécurité auxquels sont confrontés les utilisateurs de Linux en explorant les récentes vulnérabilités de haute sévérité dans le système d'impression commun d'UNIX (CUPS). Apprenez comment ces problèmes peuvent conduire à une potentielle exécution de code à distance (RCE) et ce que vous pouvez faire pour protéger vos systèmes.