Blog

Définir un code sécurisé

Secure Code Warrior
Publié le 20 octobre 2022

Les développeurs qui créent les logiciels, les applications et les programmes qui alimentent les activités numériques sont devenus l'élément vital de nombreuses organisations. La plupart des entreprises modernes ne pourraient pas fonctionner (de manière rentable) sans applications et programmes compétitifs, ou sans accès 24 heures sur 24 à leurs sites web et autres infrastructures.

Pourtant, ces mêmes points de contact sont souvent la porte d'entrée que les pirates et autres utilisateurs malveillants utilisent pour voler des informations, lancer des attaques et passer à d'autres activités criminelles telles que la fraude et les ransomwares. Le dernier rapport Verizon Data Breach Investigations Report souligne que les menaces qui pèsent sur les entreprises et les organisations sont plus dangereuses et plus coûteuses aujourd'hui qu'à n'importe quel autre moment de l'histoire.

Les attaques réussies restent fréquentes, même si les dépenses de cybersécurité dans la plupart des organisations sont en nette augmentation, et même si des mouvements comme DevSecOps déplacent la sécurité vers les développeurs qui sont l'élément vital de l'entreprise aujourd'hui.

Les développeurs comprennent l'importance de la sécurité et souhaitent majoritairement déployer un code sûr et de qualité, mais les vulnérabilités des logiciels continuent d'être exploitées.

Pourquoi ?

Pour la deuxième année, Secure Code Warrior a mené l'enquête The state of developer-driven security survey, 2022 en partenariat avec Evans Data Corp en décembre 2021. Nous avons interrogé 1 200 développeurs dans le monde entier pour comprendre les compétences, les perceptions et les comportements en matière de pratiques de codage sécurisées, ainsi que leur impact et leur pertinence perçue dans le cycle de vie du développement logiciel (SDLC).

L'enquête a mis en évidence l'absence d'une définition claire ou d'une compréhension de ce qu'est un code sécurisé. Il s'avère qu'il existe un écart important entre ce que les développeurs pensent être un code sécurisé et ce qu'est réellement un code sécurisé.

Il n'est pas surprenant que l'écriture d'un code de qualité soit une priorité absolue pour la communauté des développeurs, mais lorsqu'on les interroge spécifiquement sur le code sécurisé, seuls 29 % d'entre eux déclarent que la pratique active de l'écriture d'un code exempt de vulnérabilités est une priorité. Au contraire, les développeurs associent des pratiques moins sûres et beaucoup moins fiables à la création d'un code sécurisé. Par exemple, l'examen minutieux du code existant (37 %) et le recours à des bibliothèques externes pour obtenir un code sûr (37 %) sont les principales pratiques que les développeurs associent au codage sécurisé. La réutilisation d'un code déjà jugé sûr (32 %) est un autre choix populaire. La pratique active consistant à écrire un code exempt de vulnérabilités arrive en 6e position, 29 % des répondants déclarant qu'il s'agit d'une pratique essentielle à la création d'un code sûr. Interrogés plus avant, les participants ont déclaré que le manque de temps et l'absence d'une approche cohérente de la part de la direction constituaient les principaux obstacles à la création d'un code sécurisé.

La dépendance à l'égard du code existant est l'un des facteurs qui augmentent le risque que les logiciels soient livrés avec des vulnérabilités exploitables. Pour que les développeurs puissent créer un code de qualité qui soit également sûr, il est nécessaire de se pencher sur la question de savoir ce qui constitue un code sûr.

Il s'avère qu'il existe un écart important entre ce que les développeurs pensent être un code sécurisé et ce qu'est réellement un code sécurisé.

Que peuvent faire les organisations pour remédier à la situation ?

L'un des principaux messages de l'enquête est que la communauté des développeurs dans son ensemble est composée de professionnels qui se soucient de ce qu'ils font. L'écriture d'un code de qualité supérieure est pour eux, en tant que groupe, d'une importance capitale. Le problème est que, dans de nombreux cas, les organisations pour lesquelles ils travaillent n'ont pas identifié les meilleures pratiques nécessaires pour produire un code sécurisé et n'ont pas consacré suffisamment de ressources à la formation de leurs développeurs ou ne leur ont pas donné les moyens d'atteindre ces objectifs.

En fait, la plupart des développeurs ont déclaré que leur organisation ne disposait même pas d'une définition claire de ce qui constitue un code sécurisé. L'un des exemples les plus inquiétants est que 28 % des répondants à l'enquête ont déclaré que leur organisation considérait que le code était sécurisé si aucune violation n'était signalée une fois que l'application ou le programme était déployé dans un environnement de production ou mis à la disposition du public.

Cela va probablement sans dire, mais dans le paysage complexe des menaces d'aujourd'hui, se contenter d'espérer de bons résultats sans y travailler réellement produira probablement des résultats prévisibles : encore plus d'atteintes à la sécurité.

Heureusement, il s'agit d'une situation où il est relativement facile d'au moins commencer à résoudre le problème, puis de commencer à travailler pour atteindre l'objectif d'un code sécurisé. La première étape, sans doute la plus importante, consiste pour les organisations à définir ce qu'elles considèrent comme du code sécurisé. Tout ce qui ne correspond pas à cette définition doit être considéré comme non sécurisé.

Le codage sécurisé devrait être défini comme la pratique de développeurs compétents qui écrivent un code exempt de vulnérabilités, dès le début du cycle de développement durable. Ce n'est qu'une fois cette pratique définie que la communauté des développeurs peut travailler à la réalisation de cet objectif.

Faire de l'objectif d'un code sécurisé une réalité

Une fois la définition du code sécurisé établie, les organisations doivent être prêtes à soutenir ces efforts et leurs développeurs qui réaliseront l'objectif de mise en œuvre de pratiques de code totalement sécurisé. Ce soutien est essentiel. Sans lui, la définition du code sécurisé au sein de votre organisation, bien qu'importante, ne sera guère plus qu'un tigre de papier. Les pratiques de codage sécurisé doivent être approuvées par la direction et bénéficier de l'attention, de l'autorité et du budget nécessaires pour réussir.

Cela peut nécessiter de nouveaux objectifs de référence pour les développeurs, qui ont traditionnellement été évalués en fonction de la vitesse de leur codage. En fait, 37 % des développeurs interrogés dans le cadre de l'enquête ont déclaré avoir laissé des vulnérabilités connues dans leur code parce que les délais serrés ne leur laissaient pas le temps de les corriger ou de coder correctement dès le départ. Dans un premier temps, cela peut signifier qu'il faut augmenter les délais pour donner aux développeurs plus de temps pour coder correctement, mais cette perte de temps au début du processus de codage sera probablement compensée plus tard parce qu'il sera moins nécessaire de réviser les programmes, d'appliquer des correctifs et d'effectuer des travaux post-déploiement. En outre, l'élimination de la possibilité d'une violation dès son déploiement peut permettre d'économiser des centaines d'heures et éventuellement des millions en pertes de revenus, en amendes et en coûts de nettoyage.

Les développeurs auront également besoin d'une formation pratique pertinente, en particulier en ce qui concerne les vulnérabilités spécifiques qu'ils sont susceptibles de rencontrer, et d'une aide pour apprendre à identifier et à corriger les vulnérabilités du code. Cela est d'autant plus vrai que 36 % des personnes interrogées dans le cadre de l'enquête ont déclaré vouloir supprimer les vulnérabilités de leur code, mais ne pas avoir les compétences ou les connaissances nécessaires pour le faire.

37 % des développeurs interrogés ont déclaré avoir laissé des vulnérabilités connues dans leur code parce que les délais serrés ne leur laissaient pas le temps de les corriger ou de coder correctement dès le départ.

Vous souhaitez en savoir plus sur ce sujet ?

Livre blanc : Les défis (et les opportunités) pour améliorer la sécurité des logiciels.
Rapport :
Enquête sur l'état de la sécurité pilotée par les développeurs, 2022.

Voir la ressource
Voir la ressource

Les développeurs qui créent les logiciels, les applications et les programmes qui alimentent les activités numériques sont devenus l'élément vital de nombreuses organisations. La plupart des entreprises modernes ne pourraient pas fonctionner (de manière rentable) sans applications et programmes compétitifs, ou sans accès 24 heures sur 24 à leurs sites web et autres infrastructures.

Vous souhaitez en savoir plus ?

Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstration
Partager sur :
Auteur
Secure Code Warrior
Publié le 20 octobre 2022

Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.

Secure Code Warrior crée une culture de développeurs axés sur la sécurité en leur donnant les compétences nécessaires pour coder de manière sécurisée. Notre programme phare Agile Learning Platform propose des parcours pertinents basés sur les compétences, des exercices pratiques missions et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé.

Partager sur :

Les développeurs qui créent les logiciels, les applications et les programmes qui alimentent les activités numériques sont devenus l'élément vital de nombreuses organisations. La plupart des entreprises modernes ne pourraient pas fonctionner (de manière rentable) sans applications et programmes compétitifs, ou sans accès 24 heures sur 24 à leurs sites web et autres infrastructures.

Pourtant, ces mêmes points de contact sont souvent la porte d'entrée que les pirates et autres utilisateurs malveillants utilisent pour voler des informations, lancer des attaques et passer à d'autres activités criminelles telles que la fraude et les ransomwares. Le dernier rapport Verizon Data Breach Investigations Report souligne que les menaces qui pèsent sur les entreprises et les organisations sont plus dangereuses et plus coûteuses aujourd'hui qu'à n'importe quel autre moment de l'histoire.

Les attaques réussies restent fréquentes, même si les dépenses de cybersécurité dans la plupart des organisations sont en nette augmentation, et même si des mouvements comme DevSecOps déplacent la sécurité vers les développeurs qui sont l'élément vital de l'entreprise aujourd'hui.

Les développeurs comprennent l'importance de la sécurité et souhaitent majoritairement déployer un code sûr et de qualité, mais les vulnérabilités des logiciels continuent d'être exploitées.

Pourquoi ?

Pour la deuxième année, Secure Code Warrior a mené l'enquête The state of developer-driven security survey, 2022 en partenariat avec Evans Data Corp en décembre 2021. Nous avons interrogé 1 200 développeurs dans le monde entier pour comprendre les compétences, les perceptions et les comportements en matière de pratiques de codage sécurisées, ainsi que leur impact et leur pertinence perçue dans le cycle de vie du développement logiciel (SDLC).

L'enquête a mis en évidence l'absence d'une définition claire ou d'une compréhension de ce qu'est un code sécurisé. Il s'avère qu'il existe un écart important entre ce que les développeurs pensent être un code sécurisé et ce qu'est réellement un code sécurisé.

Il n'est pas surprenant que l'écriture d'un code de qualité soit une priorité absolue pour la communauté des développeurs, mais lorsqu'on les interroge spécifiquement sur le code sécurisé, seuls 29 % d'entre eux déclarent que la pratique active de l'écriture d'un code exempt de vulnérabilités est une priorité. Au contraire, les développeurs associent des pratiques moins sûres et beaucoup moins fiables à la création d'un code sécurisé. Par exemple, l'examen minutieux du code existant (37 %) et le recours à des bibliothèques externes pour obtenir un code sûr (37 %) sont les principales pratiques que les développeurs associent au codage sécurisé. La réutilisation d'un code déjà jugé sûr (32 %) est un autre choix populaire. La pratique active consistant à écrire un code exempt de vulnérabilités arrive en 6e position, 29 % des répondants déclarant qu'il s'agit d'une pratique essentielle à la création d'un code sûr. Interrogés plus avant, les participants ont déclaré que le manque de temps et l'absence d'une approche cohérente de la part de la direction constituaient les principaux obstacles à la création d'un code sécurisé.

La dépendance à l'égard du code existant est l'un des facteurs qui augmentent le risque que les logiciels soient livrés avec des vulnérabilités exploitables. Pour que les développeurs puissent créer un code de qualité qui soit également sûr, il est nécessaire de se pencher sur la question de savoir ce qui constitue un code sûr.

Il s'avère qu'il existe un écart important entre ce que les développeurs pensent être un code sécurisé et ce qu'est réellement un code sécurisé.

Que peuvent faire les organisations pour remédier à la situation ?

L'un des principaux messages de l'enquête est que la communauté des développeurs dans son ensemble est composée de professionnels qui se soucient de ce qu'ils font. L'écriture d'un code de qualité supérieure est pour eux, en tant que groupe, d'une importance capitale. Le problème est que, dans de nombreux cas, les organisations pour lesquelles ils travaillent n'ont pas identifié les meilleures pratiques nécessaires pour produire un code sécurisé et n'ont pas consacré suffisamment de ressources à la formation de leurs développeurs ou ne leur ont pas donné les moyens d'atteindre ces objectifs.

En fait, la plupart des développeurs ont déclaré que leur organisation ne disposait même pas d'une définition claire de ce qui constitue un code sécurisé. L'un des exemples les plus inquiétants est que 28 % des répondants à l'enquête ont déclaré que leur organisation considérait que le code était sécurisé si aucune violation n'était signalée une fois que l'application ou le programme était déployé dans un environnement de production ou mis à la disposition du public.

Cela va probablement sans dire, mais dans le paysage complexe des menaces d'aujourd'hui, se contenter d'espérer de bons résultats sans y travailler réellement produira probablement des résultats prévisibles : encore plus d'atteintes à la sécurité.

Heureusement, il s'agit d'une situation où il est relativement facile d'au moins commencer à résoudre le problème, puis de commencer à travailler pour atteindre l'objectif d'un code sécurisé. La première étape, sans doute la plus importante, consiste pour les organisations à définir ce qu'elles considèrent comme du code sécurisé. Tout ce qui ne correspond pas à cette définition doit être considéré comme non sécurisé.

Le codage sécurisé devrait être défini comme la pratique de développeurs compétents qui écrivent un code exempt de vulnérabilités, dès le début du cycle de développement durable. Ce n'est qu'une fois cette pratique définie que la communauté des développeurs peut travailler à la réalisation de cet objectif.

Faire de l'objectif d'un code sécurisé une réalité

Une fois la définition du code sécurisé établie, les organisations doivent être prêtes à soutenir ces efforts et leurs développeurs qui réaliseront l'objectif de mise en œuvre de pratiques de code totalement sécurisé. Ce soutien est essentiel. Sans lui, la définition du code sécurisé au sein de votre organisation, bien qu'importante, ne sera guère plus qu'un tigre de papier. Les pratiques de codage sécurisé doivent être approuvées par la direction et bénéficier de l'attention, de l'autorité et du budget nécessaires pour réussir.

Cela peut nécessiter de nouveaux objectifs de référence pour les développeurs, qui ont traditionnellement été évalués en fonction de la vitesse de leur codage. En fait, 37 % des développeurs interrogés dans le cadre de l'enquête ont déclaré avoir laissé des vulnérabilités connues dans leur code parce que les délais serrés ne leur laissaient pas le temps de les corriger ou de coder correctement dès le départ. Dans un premier temps, cela peut signifier qu'il faut augmenter les délais pour donner aux développeurs plus de temps pour coder correctement, mais cette perte de temps au début du processus de codage sera probablement compensée plus tard parce qu'il sera moins nécessaire de réviser les programmes, d'appliquer des correctifs et d'effectuer des travaux post-déploiement. En outre, l'élimination de la possibilité d'une violation dès son déploiement peut permettre d'économiser des centaines d'heures et éventuellement des millions en pertes de revenus, en amendes et en coûts de nettoyage.

Les développeurs auront également besoin d'une formation pratique pertinente, en particulier en ce qui concerne les vulnérabilités spécifiques qu'ils sont susceptibles de rencontrer, et d'une aide pour apprendre à identifier et à corriger les vulnérabilités du code. Cela est d'autant plus vrai que 36 % des personnes interrogées dans le cadre de l'enquête ont déclaré vouloir supprimer les vulnérabilités de leur code, mais ne pas avoir les compétences ou les connaissances nécessaires pour le faire.

37 % des développeurs interrogés ont déclaré avoir laissé des vulnérabilités connues dans leur code parce que les délais serrés ne leur laissaient pas le temps de les corriger ou de coder correctement dès le départ.

Vous souhaitez en savoir plus sur ce sujet ?

Livre blanc : Les défis (et les opportunités) pour améliorer la sécurité des logiciels.
Rapport :
Enquête sur l'état de la sécurité pilotée par les développeurs, 2022.

Voir la ressource
Voir la ressource

Remplissez le formulaire ci-dessous pour télécharger le rapport

Nous aimerions que vous nous autorisiez à vous envoyer des informations sur nos produits et/ou sur des sujets liés au codage sécurisé. Nous traiterons toujours vos données personnelles avec le plus grand soin et ne les vendrons jamais à d'autres entreprises à des fins de marketing.

Soumettre
Pour soumettre le formulaire, veuillez activer les cookies "Analytics". N'hésitez pas à les désactiver à nouveau une fois que vous aurez terminé.

Les développeurs qui créent les logiciels, les applications et les programmes qui alimentent les activités numériques sont devenus l'élément vital de nombreuses organisations. La plupart des entreprises modernes ne pourraient pas fonctionner (de manière rentable) sans applications et programmes compétitifs, ou sans accès 24 heures sur 24 à leurs sites web et autres infrastructures.

Pourtant, ces mêmes points de contact sont souvent la porte d'entrée que les pirates et autres utilisateurs malveillants utilisent pour voler des informations, lancer des attaques et passer à d'autres activités criminelles telles que la fraude et les ransomwares. Le dernier rapport Verizon Data Breach Investigations Report souligne que les menaces qui pèsent sur les entreprises et les organisations sont plus dangereuses et plus coûteuses aujourd'hui qu'à n'importe quel autre moment de l'histoire.

Les attaques réussies restent fréquentes, même si les dépenses de cybersécurité dans la plupart des organisations sont en nette augmentation, et même si des mouvements comme DevSecOps déplacent la sécurité vers les développeurs qui sont l'élément vital de l'entreprise aujourd'hui.

Les développeurs comprennent l'importance de la sécurité et souhaitent majoritairement déployer un code sûr et de qualité, mais les vulnérabilités des logiciels continuent d'être exploitées.

Pourquoi ?

Pour la deuxième année, Secure Code Warrior a mené l'enquête The state of developer-driven security survey, 2022 en partenariat avec Evans Data Corp en décembre 2021. Nous avons interrogé 1 200 développeurs dans le monde entier pour comprendre les compétences, les perceptions et les comportements en matière de pratiques de codage sécurisées, ainsi que leur impact et leur pertinence perçue dans le cycle de vie du développement logiciel (SDLC).

L'enquête a mis en évidence l'absence d'une définition claire ou d'une compréhension de ce qu'est un code sécurisé. Il s'avère qu'il existe un écart important entre ce que les développeurs pensent être un code sécurisé et ce qu'est réellement un code sécurisé.

Il n'est pas surprenant que l'écriture d'un code de qualité soit une priorité absolue pour la communauté des développeurs, mais lorsqu'on les interroge spécifiquement sur le code sécurisé, seuls 29 % d'entre eux déclarent que la pratique active de l'écriture d'un code exempt de vulnérabilités est une priorité. Au contraire, les développeurs associent des pratiques moins sûres et beaucoup moins fiables à la création d'un code sécurisé. Par exemple, l'examen minutieux du code existant (37 %) et le recours à des bibliothèques externes pour obtenir un code sûr (37 %) sont les principales pratiques que les développeurs associent au codage sécurisé. La réutilisation d'un code déjà jugé sûr (32 %) est un autre choix populaire. La pratique active consistant à écrire un code exempt de vulnérabilités arrive en 6e position, 29 % des répondants déclarant qu'il s'agit d'une pratique essentielle à la création d'un code sûr. Interrogés plus avant, les participants ont déclaré que le manque de temps et l'absence d'une approche cohérente de la part de la direction constituaient les principaux obstacles à la création d'un code sécurisé.

La dépendance à l'égard du code existant est l'un des facteurs qui augmentent le risque que les logiciels soient livrés avec des vulnérabilités exploitables. Pour que les développeurs puissent créer un code de qualité qui soit également sûr, il est nécessaire de se pencher sur la question de savoir ce qui constitue un code sûr.

Il s'avère qu'il existe un écart important entre ce que les développeurs pensent être un code sécurisé et ce qu'est réellement un code sécurisé.

Que peuvent faire les organisations pour remédier à la situation ?

L'un des principaux messages de l'enquête est que la communauté des développeurs dans son ensemble est composée de professionnels qui se soucient de ce qu'ils font. L'écriture d'un code de qualité supérieure est pour eux, en tant que groupe, d'une importance capitale. Le problème est que, dans de nombreux cas, les organisations pour lesquelles ils travaillent n'ont pas identifié les meilleures pratiques nécessaires pour produire un code sécurisé et n'ont pas consacré suffisamment de ressources à la formation de leurs développeurs ou ne leur ont pas donné les moyens d'atteindre ces objectifs.

En fait, la plupart des développeurs ont déclaré que leur organisation ne disposait même pas d'une définition claire de ce qui constitue un code sécurisé. L'un des exemples les plus inquiétants est que 28 % des répondants à l'enquête ont déclaré que leur organisation considérait que le code était sécurisé si aucune violation n'était signalée une fois que l'application ou le programme était déployé dans un environnement de production ou mis à la disposition du public.

Cela va probablement sans dire, mais dans le paysage complexe des menaces d'aujourd'hui, se contenter d'espérer de bons résultats sans y travailler réellement produira probablement des résultats prévisibles : encore plus d'atteintes à la sécurité.

Heureusement, il s'agit d'une situation où il est relativement facile d'au moins commencer à résoudre le problème, puis de commencer à travailler pour atteindre l'objectif d'un code sécurisé. La première étape, sans doute la plus importante, consiste pour les organisations à définir ce qu'elles considèrent comme du code sécurisé. Tout ce qui ne correspond pas à cette définition doit être considéré comme non sécurisé.

Le codage sécurisé devrait être défini comme la pratique de développeurs compétents qui écrivent un code exempt de vulnérabilités, dès le début du cycle de développement durable. Ce n'est qu'une fois cette pratique définie que la communauté des développeurs peut travailler à la réalisation de cet objectif.

Faire de l'objectif d'un code sécurisé une réalité

Une fois la définition du code sécurisé établie, les organisations doivent être prêtes à soutenir ces efforts et leurs développeurs qui réaliseront l'objectif de mise en œuvre de pratiques de code totalement sécurisé. Ce soutien est essentiel. Sans lui, la définition du code sécurisé au sein de votre organisation, bien qu'importante, ne sera guère plus qu'un tigre de papier. Les pratiques de codage sécurisé doivent être approuvées par la direction et bénéficier de l'attention, de l'autorité et du budget nécessaires pour réussir.

Cela peut nécessiter de nouveaux objectifs de référence pour les développeurs, qui ont traditionnellement été évalués en fonction de la vitesse de leur codage. En fait, 37 % des développeurs interrogés dans le cadre de l'enquête ont déclaré avoir laissé des vulnérabilités connues dans leur code parce que les délais serrés ne leur laissaient pas le temps de les corriger ou de coder correctement dès le départ. Dans un premier temps, cela peut signifier qu'il faut augmenter les délais pour donner aux développeurs plus de temps pour coder correctement, mais cette perte de temps au début du processus de codage sera probablement compensée plus tard parce qu'il sera moins nécessaire de réviser les programmes, d'appliquer des correctifs et d'effectuer des travaux post-déploiement. En outre, l'élimination de la possibilité d'une violation dès son déploiement peut permettre d'économiser des centaines d'heures et éventuellement des millions en pertes de revenus, en amendes et en coûts de nettoyage.

Les développeurs auront également besoin d'une formation pratique pertinente, en particulier en ce qui concerne les vulnérabilités spécifiques qu'ils sont susceptibles de rencontrer, et d'une aide pour apprendre à identifier et à corriger les vulnérabilités du code. Cela est d'autant plus vrai que 36 % des personnes interrogées dans le cadre de l'enquête ont déclaré vouloir supprimer les vulnérabilités de leur code, mais ne pas avoir les compétences ou les connaissances nécessaires pour le faire.

37 % des développeurs interrogés ont déclaré avoir laissé des vulnérabilités connues dans leur code parce que les délais serrés ne leur laissaient pas le temps de les corriger ou de coder correctement dès le départ.

Vous souhaitez en savoir plus sur ce sujet ?

Livre blanc : Les défis (et les opportunités) pour améliorer la sécurité des logiciels.
Rapport :
Enquête sur l'état de la sécurité pilotée par les développeurs, 2022.

Accès aux ressources

Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Voir le rapportRéservez une démonstration
Partager sur :
Vous souhaitez en savoir plus ?

Partager sur :
Auteur
Secure Code Warrior
Publié le 20 octobre 2022

Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.

Secure Code Warrior crée une culture de développeurs axés sur la sécurité en leur donnant les compétences nécessaires pour coder de manière sécurisée. Notre programme phare Agile Learning Platform propose des parcours pertinents basés sur les compétences, des exercices pratiques missions et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé.

Partager sur :

Les développeurs qui créent les logiciels, les applications et les programmes qui alimentent les activités numériques sont devenus l'élément vital de nombreuses organisations. La plupart des entreprises modernes ne pourraient pas fonctionner (de manière rentable) sans applications et programmes compétitifs, ou sans accès 24 heures sur 24 à leurs sites web et autres infrastructures.

Pourtant, ces mêmes points de contact sont souvent la porte d'entrée que les pirates et autres utilisateurs malveillants utilisent pour voler des informations, lancer des attaques et passer à d'autres activités criminelles telles que la fraude et les ransomwares. Le dernier rapport Verizon Data Breach Investigations Report souligne que les menaces qui pèsent sur les entreprises et les organisations sont plus dangereuses et plus coûteuses aujourd'hui qu'à n'importe quel autre moment de l'histoire.

Les attaques réussies restent fréquentes, même si les dépenses de cybersécurité dans la plupart des organisations sont en nette augmentation, et même si des mouvements comme DevSecOps déplacent la sécurité vers les développeurs qui sont l'élément vital de l'entreprise aujourd'hui.

Les développeurs comprennent l'importance de la sécurité et souhaitent majoritairement déployer un code sûr et de qualité, mais les vulnérabilités des logiciels continuent d'être exploitées.

Pourquoi ?

Pour la deuxième année, Secure Code Warrior a mené l'enquête The state of developer-driven security survey, 2022 en partenariat avec Evans Data Corp en décembre 2021. Nous avons interrogé 1 200 développeurs dans le monde entier pour comprendre les compétences, les perceptions et les comportements en matière de pratiques de codage sécurisées, ainsi que leur impact et leur pertinence perçue dans le cycle de vie du développement logiciel (SDLC).

L'enquête a mis en évidence l'absence d'une définition claire ou d'une compréhension de ce qu'est un code sécurisé. Il s'avère qu'il existe un écart important entre ce que les développeurs pensent être un code sécurisé et ce qu'est réellement un code sécurisé.

Il n'est pas surprenant que l'écriture d'un code de qualité soit une priorité absolue pour la communauté des développeurs, mais lorsqu'on les interroge spécifiquement sur le code sécurisé, seuls 29 % d'entre eux déclarent que la pratique active de l'écriture d'un code exempt de vulnérabilités est une priorité. Au contraire, les développeurs associent des pratiques moins sûres et beaucoup moins fiables à la création d'un code sécurisé. Par exemple, l'examen minutieux du code existant (37 %) et le recours à des bibliothèques externes pour obtenir un code sûr (37 %) sont les principales pratiques que les développeurs associent au codage sécurisé. La réutilisation d'un code déjà jugé sûr (32 %) est un autre choix populaire. La pratique active consistant à écrire un code exempt de vulnérabilités arrive en 6e position, 29 % des répondants déclarant qu'il s'agit d'une pratique essentielle à la création d'un code sûr. Interrogés plus avant, les participants ont déclaré que le manque de temps et l'absence d'une approche cohérente de la part de la direction constituaient les principaux obstacles à la création d'un code sécurisé.

La dépendance à l'égard du code existant est l'un des facteurs qui augmentent le risque que les logiciels soient livrés avec des vulnérabilités exploitables. Pour que les développeurs puissent créer un code de qualité qui soit également sûr, il est nécessaire de se pencher sur la question de savoir ce qui constitue un code sûr.

Il s'avère qu'il existe un écart important entre ce que les développeurs pensent être un code sécurisé et ce qu'est réellement un code sécurisé.

Que peuvent faire les organisations pour remédier à la situation ?

L'un des principaux messages de l'enquête est que la communauté des développeurs dans son ensemble est composée de professionnels qui se soucient de ce qu'ils font. L'écriture d'un code de qualité supérieure est pour eux, en tant que groupe, d'une importance capitale. Le problème est que, dans de nombreux cas, les organisations pour lesquelles ils travaillent n'ont pas identifié les meilleures pratiques nécessaires pour produire un code sécurisé et n'ont pas consacré suffisamment de ressources à la formation de leurs développeurs ou ne leur ont pas donné les moyens d'atteindre ces objectifs.

En fait, la plupart des développeurs ont déclaré que leur organisation ne disposait même pas d'une définition claire de ce qui constitue un code sécurisé. L'un des exemples les plus inquiétants est que 28 % des répondants à l'enquête ont déclaré que leur organisation considérait que le code était sécurisé si aucune violation n'était signalée une fois que l'application ou le programme était déployé dans un environnement de production ou mis à la disposition du public.

Cela va probablement sans dire, mais dans le paysage complexe des menaces d'aujourd'hui, se contenter d'espérer de bons résultats sans y travailler réellement produira probablement des résultats prévisibles : encore plus d'atteintes à la sécurité.

Heureusement, il s'agit d'une situation où il est relativement facile d'au moins commencer à résoudre le problème, puis de commencer à travailler pour atteindre l'objectif d'un code sécurisé. La première étape, sans doute la plus importante, consiste pour les organisations à définir ce qu'elles considèrent comme du code sécurisé. Tout ce qui ne correspond pas à cette définition doit être considéré comme non sécurisé.

Le codage sécurisé devrait être défini comme la pratique de développeurs compétents qui écrivent un code exempt de vulnérabilités, dès le début du cycle de développement durable. Ce n'est qu'une fois cette pratique définie que la communauté des développeurs peut travailler à la réalisation de cet objectif.

Faire de l'objectif d'un code sécurisé une réalité

Une fois la définition du code sécurisé établie, les organisations doivent être prêtes à soutenir ces efforts et leurs développeurs qui réaliseront l'objectif de mise en œuvre de pratiques de code totalement sécurisé. Ce soutien est essentiel. Sans lui, la définition du code sécurisé au sein de votre organisation, bien qu'importante, ne sera guère plus qu'un tigre de papier. Les pratiques de codage sécurisé doivent être approuvées par la direction et bénéficier de l'attention, de l'autorité et du budget nécessaires pour réussir.

Cela peut nécessiter de nouveaux objectifs de référence pour les développeurs, qui ont traditionnellement été évalués en fonction de la vitesse de leur codage. En fait, 37 % des développeurs interrogés dans le cadre de l'enquête ont déclaré avoir laissé des vulnérabilités connues dans leur code parce que les délais serrés ne leur laissaient pas le temps de les corriger ou de coder correctement dès le départ. Dans un premier temps, cela peut signifier qu'il faut augmenter les délais pour donner aux développeurs plus de temps pour coder correctement, mais cette perte de temps au début du processus de codage sera probablement compensée plus tard parce qu'il sera moins nécessaire de réviser les programmes, d'appliquer des correctifs et d'effectuer des travaux post-déploiement. En outre, l'élimination de la possibilité d'une violation dès son déploiement peut permettre d'économiser des centaines d'heures et éventuellement des millions en pertes de revenus, en amendes et en coûts de nettoyage.

Les développeurs auront également besoin d'une formation pratique pertinente, en particulier en ce qui concerne les vulnérabilités spécifiques qu'ils sont susceptibles de rencontrer, et d'une aide pour apprendre à identifier et à corriger les vulnérabilités du code. Cela est d'autant plus vrai que 36 % des personnes interrogées dans le cadre de l'enquête ont déclaré vouloir supprimer les vulnérabilités de leur code, mais ne pas avoir les compétences ou les connaissances nécessaires pour le faire.

37 % des développeurs interrogés ont déclaré avoir laissé des vulnérabilités connues dans leur code parce que les délais serrés ne leur laissaient pas le temps de les corriger ou de coder correctement dès le départ.

Vous souhaitez en savoir plus sur ce sujet ?

Livre blanc : Les défis (et les opportunités) pour améliorer la sécurité des logiciels.
Rapport :
Enquête sur l'état de la sécurité pilotée par les développeurs, 2022.

Table des matières

Voir la ressource
Vous souhaitez en savoir plus ?

Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstrationTélécharger
Partager sur :
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles