Définir un code sécurisé
Les développeurs qui créent les logiciels, les applications et les programmes qui alimentent les activités numériques sont devenus l'élément vital de nombreuses organisations. La plupart des entreprises modernes ne pourraient pas fonctionner (de manière rentable) sans applications et programmes compétitifs, ou sans accès 24 heures sur 24 à leurs sites web et autres infrastructures.
Pourtant, ces mêmes points de contact sont souvent la porte d'entrée que les pirates et autres utilisateurs malveillants utilisent pour voler des informations, lancer des attaques et passer à d'autres activités criminelles telles que la fraude et les ransomwares. Le dernier rapport Verizon Data Breach Investigations Report souligne que les menaces qui pèsent sur les entreprises et les organisations sont plus dangereuses et plus coûteuses aujourd'hui qu'à n'importe quel autre moment de l'histoire.
Les attaques réussies restent fréquentes, même si les dépenses de cybersécurité dans la plupart des organisations sont en nette augmentation, et même si des mouvements comme DevSecOps déplacent la sécurité vers les développeurs qui sont l'élément vital de l'entreprise aujourd'hui.
Les développeurs comprennent l'importance de la sécurité et souhaitent majoritairement déployer un code sûr et de qualité, mais les vulnérabilités des logiciels continuent d'être exploitées.
Pourquoi ?
Pour la deuxième année, Secure Code Warrior a mené l'enquête The state of developer-driven security survey, 2022 en partenariat avec Evans Data Corp en décembre 2021. Nous avons interrogé 1 200 développeurs dans le monde entier pour comprendre les compétences, les perceptions et les comportements en matière de pratiques de codage sécurisées, ainsi que leur impact et leur pertinence perçue dans le cycle de vie du développement logiciel (SDLC).
L'enquête a mis en évidence l'absence d'une définition claire ou d'une compréhension de ce qu'est un code sécurisé. Il s'avère qu'il existe un écart important entre ce que les développeurs pensent être un code sécurisé et ce qu'est réellement un code sécurisé.
Il n'est pas surprenant que l'écriture d'un code de qualité soit une priorité absolue pour la communauté des développeurs, mais lorsqu'on les interroge spécifiquement sur le code sécurisé, seuls 29 % d'entre eux déclarent que la pratique active de l'écriture d'un code exempt de vulnérabilités est une priorité. Au contraire, les développeurs associent des pratiques moins sûres et beaucoup moins fiables à la création d'un code sécurisé. Par exemple, l'examen minutieux du code existant (37 %) et le recours à des bibliothèques externes pour obtenir un code sûr (37 %) sont les principales pratiques que les développeurs associent au codage sécurisé. La réutilisation d'un code déjà jugé sûr (32 %) est un autre choix populaire. La pratique active consistant à écrire un code exempt de vulnérabilités arrive en 6e position, 29 % des répondants déclarant qu'il s'agit d'une pratique essentielle à la création d'un code sûr. Interrogés plus avant, les participants ont déclaré que le manque de temps et l'absence d'une approche cohérente de la part de la direction constituaient les principaux obstacles à la création d'un code sécurisé.
La dépendance à l'égard du code existant est l'un des facteurs qui augmentent le risque que les logiciels soient livrés avec des vulnérabilités exploitables. Pour que les développeurs puissent créer un code de qualité qui soit également sûr, il est nécessaire de se pencher sur la question de savoir ce qui constitue un code sûr.
Il s'avère qu'il existe un écart important entre ce que les développeurs pensent être un code sécurisé et ce qu'est réellement un code sécurisé.
Que peuvent faire les organisations pour remédier à la situation ?
L'un des principaux messages de l'enquête est que la communauté des développeurs dans son ensemble est composée de professionnels qui se soucient de ce qu'ils font. L'écriture d'un code de qualité supérieure est pour eux, en tant que groupe, d'une importance capitale. Le problème est que, dans de nombreux cas, les organisations pour lesquelles ils travaillent n'ont pas identifié les meilleures pratiques nécessaires pour produire un code sécurisé et n'ont pas consacré suffisamment de ressources à la formation de leurs développeurs ou ne leur ont pas donné les moyens d'atteindre ces objectifs.
En fait, la plupart des développeurs ont déclaré que leur organisation ne disposait même pas d'une définition claire de ce qui constitue un code sécurisé. L'un des exemples les plus inquiétants est que 28 % des répondants à l'enquête ont déclaré que leur organisation considérait que le code était sécurisé si aucune violation n'était signalée une fois que l'application ou le programme était déployé dans un environnement de production ou mis à la disposition du public.
Cela va probablement sans dire, mais dans le paysage complexe des menaces d'aujourd'hui, se contenter d'espérer de bons résultats sans y travailler réellement produira probablement des résultats prévisibles : encore plus d'atteintes à la sécurité.
Heureusement, il s'agit d'une situation où il est relativement facile d'au moins commencer à résoudre le problème, puis de commencer à travailler pour atteindre l'objectif d'un code sécurisé. La première étape, sans doute la plus importante, consiste pour les organisations à définir ce qu'elles considèrent comme du code sécurisé. Tout ce qui ne correspond pas à cette définition doit être considéré comme non sécurisé.
Le codage sécurisé devrait être défini comme la pratique de développeurs compétents qui écrivent un code exempt de vulnérabilités, dès le début du cycle de développement durable. Ce n'est qu'une fois cette pratique définie que la communauté des développeurs peut travailler à la réalisation de cet objectif.
Faire de l'objectif d'un code sécurisé une réalité
Une fois la définition du code sécurisé établie, les organisations doivent être prêtes à soutenir ces efforts et leurs développeurs qui réaliseront l'objectif de mise en œuvre de pratiques de code totalement sécurisé. Ce soutien est essentiel. Sans lui, la définition du code sécurisé au sein de votre organisation, bien qu'importante, ne sera guère plus qu'un tigre de papier. Les pratiques de codage sécurisé doivent être approuvées par la direction et bénéficier de l'attention, de l'autorité et du budget nécessaires pour réussir.
Cela peut nécessiter de nouveaux objectifs de référence pour les développeurs, qui ont traditionnellement été évalués en fonction de la vitesse de leur codage. En fait, 37 % des développeurs interrogés dans le cadre de l'enquête ont déclaré avoir laissé des vulnérabilités connues dans leur code parce que les délais serrés ne leur laissaient pas le temps de les corriger ou de coder correctement dès le départ. Dans un premier temps, cela peut signifier qu'il faut augmenter les délais pour donner aux développeurs plus de temps pour coder correctement, mais cette perte de temps au début du processus de codage sera probablement compensée plus tard parce qu'il sera moins nécessaire de réviser les programmes, d'appliquer des correctifs et d'effectuer des travaux post-déploiement. En outre, l'élimination de la possibilité d'une violation dès son déploiement peut permettre d'économiser des centaines d'heures et éventuellement des millions en pertes de revenus, en amendes et en coûts de nettoyage.
Les développeurs auront également besoin d'une formation pratique pertinente, en particulier en ce qui concerne les vulnérabilités spécifiques qu'ils sont susceptibles de rencontrer, et d'une aide pour apprendre à identifier et à corriger les vulnérabilités du code. Cela est d'autant plus vrai que 36 % des personnes interrogées dans le cadre de l'enquête ont déclaré vouloir supprimer les vulnérabilités de leur code, mais ne pas avoir les compétences ou les connaissances nécessaires pour le faire.
37 % des développeurs interrogés ont déclaré avoir laissé des vulnérabilités connues dans leur code parce que les délais serrés ne leur laissaient pas le temps de les corriger ou de coder correctement dès le départ.
Vous souhaitez en savoir plus sur ce sujet ?
Livre blanc : Les défis (et les opportunités) pour améliorer la sécurité des logiciels.
Rapport : Enquête sur l'état de la sécurité pilotée par les développeurs, 2022.
Les développeurs qui créent les logiciels, les applications et les programmes qui alimentent les activités numériques sont devenus l'élément vital de nombreuses organisations. La plupart des entreprises modernes ne pourraient pas fonctionner (de manière rentable) sans applications et programmes compétitifs, ou sans accès 24 heures sur 24 à leurs sites web et autres infrastructures.
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstration
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Cet article a été écrit par Secure Code Warrior L'équipe d'experts du secteur de s'engage à fournir aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie des pratiques de codage sécurisé, des tendances du secteur et des connaissances du monde réel.
Les développeurs qui créent les logiciels, les applications et les programmes qui alimentent les activités numériques sont devenus l'élément vital de nombreuses organisations. La plupart des entreprises modernes ne pourraient pas fonctionner (de manière rentable) sans applications et programmes compétitifs, ou sans accès 24 heures sur 24 à leurs sites web et autres infrastructures.
Pourtant, ces mêmes points de contact sont souvent la porte d'entrée que les pirates et autres utilisateurs malveillants utilisent pour voler des informations, lancer des attaques et passer à d'autres activités criminelles telles que la fraude et les ransomwares. Le dernier rapport Verizon Data Breach Investigations Report souligne que les menaces qui pèsent sur les entreprises et les organisations sont plus dangereuses et plus coûteuses aujourd'hui qu'à n'importe quel autre moment de l'histoire.
Les attaques réussies restent fréquentes, même si les dépenses de cybersécurité dans la plupart des organisations sont en nette augmentation, et même si des mouvements comme DevSecOps déplacent la sécurité vers les développeurs qui sont l'élément vital de l'entreprise aujourd'hui.
Les développeurs comprennent l'importance de la sécurité et souhaitent majoritairement déployer un code sûr et de qualité, mais les vulnérabilités des logiciels continuent d'être exploitées.
Pourquoi ?
Pour la deuxième année, Secure Code Warrior a mené l'enquête The state of developer-driven security survey, 2022 en partenariat avec Evans Data Corp en décembre 2021. Nous avons interrogé 1 200 développeurs dans le monde entier pour comprendre les compétences, les perceptions et les comportements en matière de pratiques de codage sécurisées, ainsi que leur impact et leur pertinence perçue dans le cycle de vie du développement logiciel (SDLC).
L'enquête a mis en évidence l'absence d'une définition claire ou d'une compréhension de ce qu'est un code sécurisé. Il s'avère qu'il existe un écart important entre ce que les développeurs pensent être un code sécurisé et ce qu'est réellement un code sécurisé.
Il n'est pas surprenant que l'écriture d'un code de qualité soit une priorité absolue pour la communauté des développeurs, mais lorsqu'on les interroge spécifiquement sur le code sécurisé, seuls 29 % d'entre eux déclarent que la pratique active de l'écriture d'un code exempt de vulnérabilités est une priorité. Au contraire, les développeurs associent des pratiques moins sûres et beaucoup moins fiables à la création d'un code sécurisé. Par exemple, l'examen minutieux du code existant (37 %) et le recours à des bibliothèques externes pour obtenir un code sûr (37 %) sont les principales pratiques que les développeurs associent au codage sécurisé. La réutilisation d'un code déjà jugé sûr (32 %) est un autre choix populaire. La pratique active consistant à écrire un code exempt de vulnérabilités arrive en 6e position, 29 % des répondants déclarant qu'il s'agit d'une pratique essentielle à la création d'un code sûr. Interrogés plus avant, les participants ont déclaré que le manque de temps et l'absence d'une approche cohérente de la part de la direction constituaient les principaux obstacles à la création d'un code sécurisé.
La dépendance à l'égard du code existant est l'un des facteurs qui augmentent le risque que les logiciels soient livrés avec des vulnérabilités exploitables. Pour que les développeurs puissent créer un code de qualité qui soit également sûr, il est nécessaire de se pencher sur la question de savoir ce qui constitue un code sûr.
Il s'avère qu'il existe un écart important entre ce que les développeurs pensent être un code sécurisé et ce qu'est réellement un code sécurisé.
Que peuvent faire les organisations pour remédier à la situation ?
L'un des principaux messages de l'enquête est que la communauté des développeurs dans son ensemble est composée de professionnels qui se soucient de ce qu'ils font. L'écriture d'un code de qualité supérieure est pour eux, en tant que groupe, d'une importance capitale. Le problème est que, dans de nombreux cas, les organisations pour lesquelles ils travaillent n'ont pas identifié les meilleures pratiques nécessaires pour produire un code sécurisé et n'ont pas consacré suffisamment de ressources à la formation de leurs développeurs ou ne leur ont pas donné les moyens d'atteindre ces objectifs.
En fait, la plupart des développeurs ont déclaré que leur organisation ne disposait même pas d'une définition claire de ce qui constitue un code sécurisé. L'un des exemples les plus inquiétants est que 28 % des répondants à l'enquête ont déclaré que leur organisation considérait que le code était sécurisé si aucune violation n'était signalée une fois que l'application ou le programme était déployé dans un environnement de production ou mis à la disposition du public.
Cela va probablement sans dire, mais dans le paysage complexe des menaces d'aujourd'hui, se contenter d'espérer de bons résultats sans y travailler réellement produira probablement des résultats prévisibles : encore plus d'atteintes à la sécurité.
Heureusement, il s'agit d'une situation où il est relativement facile d'au moins commencer à résoudre le problème, puis de commencer à travailler pour atteindre l'objectif d'un code sécurisé. La première étape, sans doute la plus importante, consiste pour les organisations à définir ce qu'elles considèrent comme du code sécurisé. Tout ce qui ne correspond pas à cette définition doit être considéré comme non sécurisé.
Le codage sécurisé devrait être défini comme la pratique de développeurs compétents qui écrivent un code exempt de vulnérabilités, dès le début du cycle de développement durable. Ce n'est qu'une fois cette pratique définie que la communauté des développeurs peut travailler à la réalisation de cet objectif.
Faire de l'objectif d'un code sécurisé une réalité
Une fois la définition du code sécurisé établie, les organisations doivent être prêtes à soutenir ces efforts et leurs développeurs qui réaliseront l'objectif de mise en œuvre de pratiques de code totalement sécurisé. Ce soutien est essentiel. Sans lui, la définition du code sécurisé au sein de votre organisation, bien qu'importante, ne sera guère plus qu'un tigre de papier. Les pratiques de codage sécurisé doivent être approuvées par la direction et bénéficier de l'attention, de l'autorité et du budget nécessaires pour réussir.
Cela peut nécessiter de nouveaux objectifs de référence pour les développeurs, qui ont traditionnellement été évalués en fonction de la vitesse de leur codage. En fait, 37 % des développeurs interrogés dans le cadre de l'enquête ont déclaré avoir laissé des vulnérabilités connues dans leur code parce que les délais serrés ne leur laissaient pas le temps de les corriger ou de coder correctement dès le départ. Dans un premier temps, cela peut signifier qu'il faut augmenter les délais pour donner aux développeurs plus de temps pour coder correctement, mais cette perte de temps au début du processus de codage sera probablement compensée plus tard parce qu'il sera moins nécessaire de réviser les programmes, d'appliquer des correctifs et d'effectuer des travaux post-déploiement. En outre, l'élimination de la possibilité d'une violation dès son déploiement peut permettre d'économiser des centaines d'heures et éventuellement des millions en pertes de revenus, en amendes et en coûts de nettoyage.
Les développeurs auront également besoin d'une formation pratique pertinente, en particulier en ce qui concerne les vulnérabilités spécifiques qu'ils sont susceptibles de rencontrer, et d'une aide pour apprendre à identifier et à corriger les vulnérabilités du code. Cela est d'autant plus vrai que 36 % des personnes interrogées dans le cadre de l'enquête ont déclaré vouloir supprimer les vulnérabilités de leur code, mais ne pas avoir les compétences ou les connaissances nécessaires pour le faire.
37 % des développeurs interrogés ont déclaré avoir laissé des vulnérabilités connues dans leur code parce que les délais serrés ne leur laissaient pas le temps de les corriger ou de coder correctement dès le départ.
Vous souhaitez en savoir plus sur ce sujet ?
Livre blanc : Les défis (et les opportunités) pour améliorer la sécurité des logiciels.
Rapport : Enquête sur l'état de la sécurité pilotée par les développeurs, 2022.
Les développeurs qui créent les logiciels, les applications et les programmes qui alimentent les activités numériques sont devenus l'élément vital de nombreuses organisations. La plupart des entreprises modernes ne pourraient pas fonctionner (de manière rentable) sans applications et programmes compétitifs, ou sans accès 24 heures sur 24 à leurs sites web et autres infrastructures.
Pourtant, ces mêmes points de contact sont souvent la porte d'entrée que les pirates et autres utilisateurs malveillants utilisent pour voler des informations, lancer des attaques et passer à d'autres activités criminelles telles que la fraude et les ransomwares. Le dernier rapport Verizon Data Breach Investigations Report souligne que les menaces qui pèsent sur les entreprises et les organisations sont plus dangereuses et plus coûteuses aujourd'hui qu'à n'importe quel autre moment de l'histoire.
Les attaques réussies restent fréquentes, même si les dépenses de cybersécurité dans la plupart des organisations sont en nette augmentation, et même si des mouvements comme DevSecOps déplacent la sécurité vers les développeurs qui sont l'élément vital de l'entreprise aujourd'hui.
Les développeurs comprennent l'importance de la sécurité et souhaitent majoritairement déployer un code sûr et de qualité, mais les vulnérabilités des logiciels continuent d'être exploitées.
Pourquoi ?
Pour la deuxième année, Secure Code Warrior a mené l'enquête The state of developer-driven security survey, 2022 en partenariat avec Evans Data Corp en décembre 2021. Nous avons interrogé 1 200 développeurs dans le monde entier pour comprendre les compétences, les perceptions et les comportements en matière de pratiques de codage sécurisées, ainsi que leur impact et leur pertinence perçue dans le cycle de vie du développement logiciel (SDLC).
L'enquête a mis en évidence l'absence d'une définition claire ou d'une compréhension de ce qu'est un code sécurisé. Il s'avère qu'il existe un écart important entre ce que les développeurs pensent être un code sécurisé et ce qu'est réellement un code sécurisé.
Il n'est pas surprenant que l'écriture d'un code de qualité soit une priorité absolue pour la communauté des développeurs, mais lorsqu'on les interroge spécifiquement sur le code sécurisé, seuls 29 % d'entre eux déclarent que la pratique active de l'écriture d'un code exempt de vulnérabilités est une priorité. Au contraire, les développeurs associent des pratiques moins sûres et beaucoup moins fiables à la création d'un code sécurisé. Par exemple, l'examen minutieux du code existant (37 %) et le recours à des bibliothèques externes pour obtenir un code sûr (37 %) sont les principales pratiques que les développeurs associent au codage sécurisé. La réutilisation d'un code déjà jugé sûr (32 %) est un autre choix populaire. La pratique active consistant à écrire un code exempt de vulnérabilités arrive en 6e position, 29 % des répondants déclarant qu'il s'agit d'une pratique essentielle à la création d'un code sûr. Interrogés plus avant, les participants ont déclaré que le manque de temps et l'absence d'une approche cohérente de la part de la direction constituaient les principaux obstacles à la création d'un code sécurisé.
La dépendance à l'égard du code existant est l'un des facteurs qui augmentent le risque que les logiciels soient livrés avec des vulnérabilités exploitables. Pour que les développeurs puissent créer un code de qualité qui soit également sûr, il est nécessaire de se pencher sur la question de savoir ce qui constitue un code sûr.
Il s'avère qu'il existe un écart important entre ce que les développeurs pensent être un code sécurisé et ce qu'est réellement un code sécurisé.
Que peuvent faire les organisations pour remédier à la situation ?
L'un des principaux messages de l'enquête est que la communauté des développeurs dans son ensemble est composée de professionnels qui se soucient de ce qu'ils font. L'écriture d'un code de qualité supérieure est pour eux, en tant que groupe, d'une importance capitale. Le problème est que, dans de nombreux cas, les organisations pour lesquelles ils travaillent n'ont pas identifié les meilleures pratiques nécessaires pour produire un code sécurisé et n'ont pas consacré suffisamment de ressources à la formation de leurs développeurs ou ne leur ont pas donné les moyens d'atteindre ces objectifs.
En fait, la plupart des développeurs ont déclaré que leur organisation ne disposait même pas d'une définition claire de ce qui constitue un code sécurisé. L'un des exemples les plus inquiétants est que 28 % des répondants à l'enquête ont déclaré que leur organisation considérait que le code était sécurisé si aucune violation n'était signalée une fois que l'application ou le programme était déployé dans un environnement de production ou mis à la disposition du public.
Cela va probablement sans dire, mais dans le paysage complexe des menaces d'aujourd'hui, se contenter d'espérer de bons résultats sans y travailler réellement produira probablement des résultats prévisibles : encore plus d'atteintes à la sécurité.
Heureusement, il s'agit d'une situation où il est relativement facile d'au moins commencer à résoudre le problème, puis de commencer à travailler pour atteindre l'objectif d'un code sécurisé. La première étape, sans doute la plus importante, consiste pour les organisations à définir ce qu'elles considèrent comme du code sécurisé. Tout ce qui ne correspond pas à cette définition doit être considéré comme non sécurisé.
Le codage sécurisé devrait être défini comme la pratique de développeurs compétents qui écrivent un code exempt de vulnérabilités, dès le début du cycle de développement durable. Ce n'est qu'une fois cette pratique définie que la communauté des développeurs peut travailler à la réalisation de cet objectif.
Faire de l'objectif d'un code sécurisé une réalité
Une fois la définition du code sécurisé établie, les organisations doivent être prêtes à soutenir ces efforts et leurs développeurs qui réaliseront l'objectif de mise en œuvre de pratiques de code totalement sécurisé. Ce soutien est essentiel. Sans lui, la définition du code sécurisé au sein de votre organisation, bien qu'importante, ne sera guère plus qu'un tigre de papier. Les pratiques de codage sécurisé doivent être approuvées par la direction et bénéficier de l'attention, de l'autorité et du budget nécessaires pour réussir.
Cela peut nécessiter de nouveaux objectifs de référence pour les développeurs, qui ont traditionnellement été évalués en fonction de la vitesse de leur codage. En fait, 37 % des développeurs interrogés dans le cadre de l'enquête ont déclaré avoir laissé des vulnérabilités connues dans leur code parce que les délais serrés ne leur laissaient pas le temps de les corriger ou de coder correctement dès le départ. Dans un premier temps, cela peut signifier qu'il faut augmenter les délais pour donner aux développeurs plus de temps pour coder correctement, mais cette perte de temps au début du processus de codage sera probablement compensée plus tard parce qu'il sera moins nécessaire de réviser les programmes, d'appliquer des correctifs et d'effectuer des travaux post-déploiement. En outre, l'élimination de la possibilité d'une violation dès son déploiement peut permettre d'économiser des centaines d'heures et éventuellement des millions en pertes de revenus, en amendes et en coûts de nettoyage.
Les développeurs auront également besoin d'une formation pratique pertinente, en particulier en ce qui concerne les vulnérabilités spécifiques qu'ils sont susceptibles de rencontrer, et d'une aide pour apprendre à identifier et à corriger les vulnérabilités du code. Cela est d'autant plus vrai que 36 % des personnes interrogées dans le cadre de l'enquête ont déclaré vouloir supprimer les vulnérabilités de leur code, mais ne pas avoir les compétences ou les connaissances nécessaires pour le faire.
37 % des développeurs interrogés ont déclaré avoir laissé des vulnérabilités connues dans leur code parce que les délais serrés ne leur laissaient pas le temps de les corriger ou de coder correctement dès le départ.
Vous souhaitez en savoir plus sur ce sujet ?
Livre blanc : Les défis (et les opportunités) pour améliorer la sécurité des logiciels.
Rapport : Enquête sur l'état de la sécurité pilotée par les développeurs, 2022.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstration
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Cet article a été écrit par Secure Code Warrior L'équipe d'experts du secteur de s'engage à fournir aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie des pratiques de codage sécurisé, des tendances du secteur et des connaissances du monde réel.
Les développeurs qui créent les logiciels, les applications et les programmes qui alimentent les activités numériques sont devenus l'élément vital de nombreuses organisations. La plupart des entreprises modernes ne pourraient pas fonctionner (de manière rentable) sans applications et programmes compétitifs, ou sans accès 24 heures sur 24 à leurs sites web et autres infrastructures.
Pourtant, ces mêmes points de contact sont souvent la porte d'entrée que les pirates et autres utilisateurs malveillants utilisent pour voler des informations, lancer des attaques et passer à d'autres activités criminelles telles que la fraude et les ransomwares. Le dernier rapport Verizon Data Breach Investigations Report souligne que les menaces qui pèsent sur les entreprises et les organisations sont plus dangereuses et plus coûteuses aujourd'hui qu'à n'importe quel autre moment de l'histoire.
Les attaques réussies restent fréquentes, même si les dépenses de cybersécurité dans la plupart des organisations sont en nette augmentation, et même si des mouvements comme DevSecOps déplacent la sécurité vers les développeurs qui sont l'élément vital de l'entreprise aujourd'hui.
Les développeurs comprennent l'importance de la sécurité et souhaitent majoritairement déployer un code sûr et de qualité, mais les vulnérabilités des logiciels continuent d'être exploitées.
Pourquoi ?
Pour la deuxième année, Secure Code Warrior a mené l'enquête The state of developer-driven security survey, 2022 en partenariat avec Evans Data Corp en décembre 2021. Nous avons interrogé 1 200 développeurs dans le monde entier pour comprendre les compétences, les perceptions et les comportements en matière de pratiques de codage sécurisées, ainsi que leur impact et leur pertinence perçue dans le cycle de vie du développement logiciel (SDLC).
L'enquête a mis en évidence l'absence d'une définition claire ou d'une compréhension de ce qu'est un code sécurisé. Il s'avère qu'il existe un écart important entre ce que les développeurs pensent être un code sécurisé et ce qu'est réellement un code sécurisé.
Il n'est pas surprenant que l'écriture d'un code de qualité soit une priorité absolue pour la communauté des développeurs, mais lorsqu'on les interroge spécifiquement sur le code sécurisé, seuls 29 % d'entre eux déclarent que la pratique active de l'écriture d'un code exempt de vulnérabilités est une priorité. Au contraire, les développeurs associent des pratiques moins sûres et beaucoup moins fiables à la création d'un code sécurisé. Par exemple, l'examen minutieux du code existant (37 %) et le recours à des bibliothèques externes pour obtenir un code sûr (37 %) sont les principales pratiques que les développeurs associent au codage sécurisé. La réutilisation d'un code déjà jugé sûr (32 %) est un autre choix populaire. La pratique active consistant à écrire un code exempt de vulnérabilités arrive en 6e position, 29 % des répondants déclarant qu'il s'agit d'une pratique essentielle à la création d'un code sûr. Interrogés plus avant, les participants ont déclaré que le manque de temps et l'absence d'une approche cohérente de la part de la direction constituaient les principaux obstacles à la création d'un code sécurisé.
La dépendance à l'égard du code existant est l'un des facteurs qui augmentent le risque que les logiciels soient livrés avec des vulnérabilités exploitables. Pour que les développeurs puissent créer un code de qualité qui soit également sûr, il est nécessaire de se pencher sur la question de savoir ce qui constitue un code sûr.
Il s'avère qu'il existe un écart important entre ce que les développeurs pensent être un code sécurisé et ce qu'est réellement un code sécurisé.
Que peuvent faire les organisations pour remédier à la situation ?
L'un des principaux messages de l'enquête est que la communauté des développeurs dans son ensemble est composée de professionnels qui se soucient de ce qu'ils font. L'écriture d'un code de qualité supérieure est pour eux, en tant que groupe, d'une importance capitale. Le problème est que, dans de nombreux cas, les organisations pour lesquelles ils travaillent n'ont pas identifié les meilleures pratiques nécessaires pour produire un code sécurisé et n'ont pas consacré suffisamment de ressources à la formation de leurs développeurs ou ne leur ont pas donné les moyens d'atteindre ces objectifs.
En fait, la plupart des développeurs ont déclaré que leur organisation ne disposait même pas d'une définition claire de ce qui constitue un code sécurisé. L'un des exemples les plus inquiétants est que 28 % des répondants à l'enquête ont déclaré que leur organisation considérait que le code était sécurisé si aucune violation n'était signalée une fois que l'application ou le programme était déployé dans un environnement de production ou mis à la disposition du public.
Cela va probablement sans dire, mais dans le paysage complexe des menaces d'aujourd'hui, se contenter d'espérer de bons résultats sans y travailler réellement produira probablement des résultats prévisibles : encore plus d'atteintes à la sécurité.
Heureusement, il s'agit d'une situation où il est relativement facile d'au moins commencer à résoudre le problème, puis de commencer à travailler pour atteindre l'objectif d'un code sécurisé. La première étape, sans doute la plus importante, consiste pour les organisations à définir ce qu'elles considèrent comme du code sécurisé. Tout ce qui ne correspond pas à cette définition doit être considéré comme non sécurisé.
Le codage sécurisé devrait être défini comme la pratique de développeurs compétents qui écrivent un code exempt de vulnérabilités, dès le début du cycle de développement durable. Ce n'est qu'une fois cette pratique définie que la communauté des développeurs peut travailler à la réalisation de cet objectif.
Faire de l'objectif d'un code sécurisé une réalité
Une fois la définition du code sécurisé établie, les organisations doivent être prêtes à soutenir ces efforts et leurs développeurs qui réaliseront l'objectif de mise en œuvre de pratiques de code totalement sécurisé. Ce soutien est essentiel. Sans lui, la définition du code sécurisé au sein de votre organisation, bien qu'importante, ne sera guère plus qu'un tigre de papier. Les pratiques de codage sécurisé doivent être approuvées par la direction et bénéficier de l'attention, de l'autorité et du budget nécessaires pour réussir.
Cela peut nécessiter de nouveaux objectifs de référence pour les développeurs, qui ont traditionnellement été évalués en fonction de la vitesse de leur codage. En fait, 37 % des développeurs interrogés dans le cadre de l'enquête ont déclaré avoir laissé des vulnérabilités connues dans leur code parce que les délais serrés ne leur laissaient pas le temps de les corriger ou de coder correctement dès le départ. Dans un premier temps, cela peut signifier qu'il faut augmenter les délais pour donner aux développeurs plus de temps pour coder correctement, mais cette perte de temps au début du processus de codage sera probablement compensée plus tard parce qu'il sera moins nécessaire de réviser les programmes, d'appliquer des correctifs et d'effectuer des travaux post-déploiement. En outre, l'élimination de la possibilité d'une violation dès son déploiement peut permettre d'économiser des centaines d'heures et éventuellement des millions en pertes de revenus, en amendes et en coûts de nettoyage.
Les développeurs auront également besoin d'une formation pratique pertinente, en particulier en ce qui concerne les vulnérabilités spécifiques qu'ils sont susceptibles de rencontrer, et d'une aide pour apprendre à identifier et à corriger les vulnérabilités du code. Cela est d'autant plus vrai que 36 % des personnes interrogées dans le cadre de l'enquête ont déclaré vouloir supprimer les vulnérabilités de leur code, mais ne pas avoir les compétences ou les connaissances nécessaires pour le faire.
37 % des développeurs interrogés ont déclaré avoir laissé des vulnérabilités connues dans leur code parce que les délais serrés ne leur laissaient pas le temps de les corriger ou de coder correctement dès le départ.
Vous souhaitez en savoir plus sur ce sujet ?
Livre blanc : Les défis (et les opportunités) pour améliorer la sécurité des logiciels.
Rapport : Enquête sur l'état de la sécurité pilotée par les développeurs, 2022.
Table des matières
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
La puissance d'OpenText Fortify + Secure Code Warrior
OpenText Fortify et Secure Code Warrior unissent leurs forces pour aider les entreprises à réduire les risques, à transformer les développeurs en champions de la sécurité et à renforcer la confiance des clients. Pour en savoir plus, cliquez ici.
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
Ressources pour vous aider à démarrer
La décennie des défenseurs : Secure Code Warrior Dixième anniversaire
Secure Code WarriorL'équipe fondatrice de SCW est restée soudée, dirigeant le navire à travers chaque leçon, chaque triomphe et chaque revers pendant une décennie entière. Nous nous développons et sommes prêts à affronter notre prochain chapitre, SCW 2.0, en tant que leaders de la gestion des risques pour les développeurs.
10 prédictions clés : Secure Code Warrior sur l'influence de l'IA et de la conception sécurisée en 2025
Les organisations sont confrontées à des décisions difficiles sur l'utilisation de l'IA pour soutenir la productivité à long terme, la durabilité et le retour sur investissement de la sécurité. Au cours des dernières années, il nous est apparu clairement que l'IA ne remplacera jamais complètement le rôle du développeur. Des partenariats IA + développeurs aux pressions croissantes (et à la confusion) autour des attentes en matière de conception sécurisée, examinons de plus près ce à quoi nous pouvons nous attendre au cours de l'année prochaine.
OWASP Top 10 pour les applications LLM : Ce qui est nouveau, ce qui a changé et comment rester en sécurité
Gardez une longueur d'avance dans la sécurisation des applications LLM avec les dernières mises à jour du Top 10 de l'OWASP. Découvrez ce qui est nouveau, ce qui a changé et comment Secure Code Warrior vous fournit des ressources d'apprentissage actualisées pour atténuer les risques dans l'IA générative.
La note de confiance révèle la valeur des initiatives d'amélioration de la sécurité par la conception
Nos recherches ont montré que la formation au code sécurisé fonctionne. Le Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité à réduire les vulnérabilités et la manière de rendre l'initiative encore plus efficace.
Codage axé sur le développeur.
En toute sécurité.
Contactez-nous dès aujourd'hui et faites de la sécurité des logiciels une partie intrinsèque de votre processus de développement.
