Blog

Assurer le succès des initiatives de conception sécurisée de l'entreprise

Matias Madou, Ph.D.
Publié le 15 octobre 2024

Il est encourageant de constater que le mouvement " Secure-By-Design " (SBD) de la CISA prend de l'ampleur dans le monde entier, puisque les États-Unis, l'Australie, la Nouvelle-Zélande, le Canada, Singapour, le Japon, l'Allemagne et le Royaume-Uni s'engagent à intégrer des lignes directrices similaires dans leurs stratégies de cybersécurité, et que nombre de ces pays contribuent également aux recommandations initiales.

Depuis avril 2024, plus de 200 entreprises, parmi lesquelles Secure Code Warrioront signé l'engagement "Secure-by-Design", ce qui témoigne d'un engagement plus large de l'industrie en faveur de normes plus strictes en matière de qualité et de sécurité des logiciels. Nous considérons ces lignes directrices comme un moment crucial pour les responsables de la cybersécurité qui, pour la première fois, bénéficient du soutien d'un gouvernement mondial en faveur d'un changement culturel important dans le développement des logiciels. Bien que ces recommandations ne soient pas encore obligatoires en dehors des fournisseurs de logiciels qui vendent directement au gouvernement américain, je considère qu'il ne s'agit pas seulement de l'avenir, mais d'une occasion en or de commencer à lutter contre les acteurs de la menace. L'objectif principal des lignes directrices est de supprimer les catégories de vulnérabilités, et en se concentrant sur cet objectif à l'échelle de l'industrie, nous pourrions avoir l'impact positif le plus important sur la sécurité numérique depuis des dizaines d'années.

Nous pensons que ce mouvement est essentiel, et notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise (Évaluation comparative des compétences en matière de sécurité : rationalisation de la conception sécurisée au sein de l'entreprise) est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données. 

Mesurer le retour sur investissement des efforts de conception sécurisée des organisations

La refonte de pratiques de développement de logiciels établies de longue date n'est pas une mince affaire. Les RSSI sont souvent mis au défi lorsqu'ils tentent de prouver le retour sur investissement (ROI) et la valeur commerciale des activités du programme de sécurité, tant au niveau des personnes que de l'entreprise, nombre d'entre eux exprimant une frustration croissante face aux réductions budgétaires et au manque d'adhésion des cadres supérieurs aux nouvelles initiatives cybernétiques. Toutefois, une proposition étayée par des données fera toute la différence. 

Ces dernières années, l'absence d'un référentiel de compétences permettant aux organisations d'évaluer leur situation par rapport aux normes de l'industrie a constitué un défi majeur. Il est donc extrêmement difficile de concevoir et de mettre en œuvre des programmes de sécurité qui touchent les bons domaines et qui favorisent l'amélioration continue de la cohorte de développement, un élément crucial des pratiques de sécurité logicielle efficaces. 

Pour que les initiatives de conception sécurisée fonctionnent, il faut non seulement donner aux développeurs les compétences nécessaires pour garantir la sécurité du code, mais aussi assurer aux régulateurs que ces compétences sont en place. Nous avons donc décidé d'analyser l'état de préparation des équipes de développeurs, et les résultats pourraient surprendre.

Comment les entreprises qui tentent d'accélérer leurs initiatives en matière de SMD peuvent-elles tirer parti du score de confiance ?

Il est pratiquement impossible de s'améliorer efficacement sans avoir une idée précise de son point de départ et de son point d'arrivée. Cependant, des centaines d'entreprises clientes utilisent efficacement le SCW Trust Score - uneréférence mondiale qui quantifie les compétences des équipes de développement en matière de sécurité - pour fournir ces points de données utiles et granulaires. Ces informations permettent de mettre en place des programmes de sécurité très efficaces, axés sur les développeurs et propices à la réussite des initiatives Secure-by-Design.

L'analyse présentée dans notre livre blanc montre que les entreprises des principaux secteurs d'infrastructures critiques progressent dans la préparation de leurs développeurs à l'avancement de leurs initiatives SBD. Nous avons également constaté que les équipes de développeurs de ces secteurs ont un niveau de sécurité moyen.

Secure Code Warrior 'analyse de l'amélioration des compétences des développeurs dans les secteurs des infrastructures critiques est basée sur des informations provenant de plus de 20 millions de points de données, de 600 entreprises clientes et de plus de 250 000 développeurs actifs dans le monde entier. L'analyse a révélé que :

  • Le nombre total de développeurs actuellement impliqués dans des initiatives d'amélioration des compétences dans le cadre des SMD est inférieur à 4 % de l'ensemble des développeurs dans le monde ;
  • Le secteur des services financiers a obtenu la note de confiance la plus élevée (336) ;
  • La plupart des initiatives à grande échelle de renforcement des compétences dans le domaine de la sécurité sont couronnées de succès, tandis que les initiatives à plus petite échelle ont tendance à être dispersées. Toutefois, lorsqu'elles sont mandatées, il a été démontré qu'elles produisent plus rapidement un retour sur investissement mesurable ;
  • Lorsque des initiatives de perfectionnement sont fermement mises en place, les risques introduits par les développeurs dans les applications sont considérablement réduits. L'analyse a montré que les développeurs participant à de vastes initiatives d'amélioration des compétences (plus de 7 000 développeurs dans une seule entreprise) peuvent réduire les vulnérabilités de 47 à 53 %.

La solution | Conclusion

Le score de confiance SCW est un outil puissant dans l'arsenal de tout responsable de la sécurité, permettant une analyse détaillée de domaines spécifiques au sein d'une organisation. Les rapports peuvent être filtrés en fonction des langues, des équipes ou des catégories, produisant ainsi des rapports personnalisés qui permettent aux entreprises de répondre aux besoins spécifiques des développeurs ou des équipes et d'identifier les domaines dans lesquels une formation ou un accompagnement supplémentaire est nécessaire. Après tout, la sécurité est une entreprise sans fin ; une analyse comparative efficace des performances permettra d'identifier les possibilités d'amélioration continue.

L'accélération du développement et du déploiement des logiciels, associée à un paysage de cybermenaces de plus en plus menaçant et à des organismes de réglementation de plus en plus vigilants, a placé la cybersécurité au premier plan. Les organisations, si ce n'est déjà fait, doivent donner la priorité au développement d'une culture de la sécurité à l'échelle de l'entreprise.

Voir la ressource
Voir la ressource

Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.

Vous souhaitez en savoir plus ?

Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstration
Partager sur :
Auteur
Matias Madou, Ph.D.
Publié le 15 octobre 2024

Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.

Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.

Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.

Partager sur :

Il est encourageant de constater que le mouvement " Secure-By-Design " (SBD) de la CISA prend de l'ampleur dans le monde entier, puisque les États-Unis, l'Australie, la Nouvelle-Zélande, le Canada, Singapour, le Japon, l'Allemagne et le Royaume-Uni s'engagent à intégrer des lignes directrices similaires dans leurs stratégies de cybersécurité, et que nombre de ces pays contribuent également aux recommandations initiales.

Depuis avril 2024, plus de 200 entreprises, parmi lesquelles Secure Code Warrioront signé l'engagement "Secure-by-Design", ce qui témoigne d'un engagement plus large de l'industrie en faveur de normes plus strictes en matière de qualité et de sécurité des logiciels. Nous considérons ces lignes directrices comme un moment crucial pour les responsables de la cybersécurité qui, pour la première fois, bénéficient du soutien d'un gouvernement mondial en faveur d'un changement culturel important dans le développement des logiciels. Bien que ces recommandations ne soient pas encore obligatoires en dehors des fournisseurs de logiciels qui vendent directement au gouvernement américain, je considère qu'il ne s'agit pas seulement de l'avenir, mais d'une occasion en or de commencer à lutter contre les acteurs de la menace. L'objectif principal des lignes directrices est de supprimer les catégories de vulnérabilités, et en se concentrant sur cet objectif à l'échelle de l'industrie, nous pourrions avoir l'impact positif le plus important sur la sécurité numérique depuis des dizaines d'années.

Nous pensons que ce mouvement est essentiel, et notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise (Évaluation comparative des compétences en matière de sécurité : rationalisation de la conception sécurisée au sein de l'entreprise) est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données. 

Mesurer le retour sur investissement des efforts de conception sécurisée des organisations

La refonte de pratiques de développement de logiciels établies de longue date n'est pas une mince affaire. Les RSSI sont souvent mis au défi lorsqu'ils tentent de prouver le retour sur investissement (ROI) et la valeur commerciale des activités du programme de sécurité, tant au niveau des personnes que de l'entreprise, nombre d'entre eux exprimant une frustration croissante face aux réductions budgétaires et au manque d'adhésion des cadres supérieurs aux nouvelles initiatives cybernétiques. Toutefois, une proposition étayée par des données fera toute la différence. 

Ces dernières années, l'absence d'un référentiel de compétences permettant aux organisations d'évaluer leur situation par rapport aux normes de l'industrie a constitué un défi majeur. Il est donc extrêmement difficile de concevoir et de mettre en œuvre des programmes de sécurité qui touchent les bons domaines et qui favorisent l'amélioration continue de la cohorte de développement, un élément crucial des pratiques de sécurité logicielle efficaces. 

Pour que les initiatives de conception sécurisée fonctionnent, il faut non seulement donner aux développeurs les compétences nécessaires pour garantir la sécurité du code, mais aussi assurer aux régulateurs que ces compétences sont en place. Nous avons donc décidé d'analyser l'état de préparation des équipes de développeurs, et les résultats pourraient surprendre.

Comment les entreprises qui tentent d'accélérer leurs initiatives en matière de SMD peuvent-elles tirer parti du score de confiance ?

Il est pratiquement impossible de s'améliorer efficacement sans avoir une idée précise de son point de départ et de son point d'arrivée. Cependant, des centaines d'entreprises clientes utilisent efficacement le SCW Trust Score - uneréférence mondiale qui quantifie les compétences des équipes de développement en matière de sécurité - pour fournir ces points de données utiles et granulaires. Ces informations permettent de mettre en place des programmes de sécurité très efficaces, axés sur les développeurs et propices à la réussite des initiatives Secure-by-Design.

L'analyse présentée dans notre livre blanc montre que les entreprises des principaux secteurs d'infrastructures critiques progressent dans la préparation de leurs développeurs à l'avancement de leurs initiatives SBD. Nous avons également constaté que les équipes de développeurs de ces secteurs ont un niveau de sécurité moyen.

Secure Code Warrior 'analyse de l'amélioration des compétences des développeurs dans les secteurs des infrastructures critiques est basée sur des informations provenant de plus de 20 millions de points de données, de 600 entreprises clientes et de plus de 250 000 développeurs actifs dans le monde entier. L'analyse a révélé que :

  • Le nombre total de développeurs actuellement impliqués dans des initiatives d'amélioration des compétences dans le cadre des SMD est inférieur à 4 % de l'ensemble des développeurs dans le monde ;
  • Le secteur des services financiers a obtenu la note de confiance la plus élevée (336) ;
  • La plupart des initiatives à grande échelle de renforcement des compétences dans le domaine de la sécurité sont couronnées de succès, tandis que les initiatives à plus petite échelle ont tendance à être dispersées. Toutefois, lorsqu'elles sont mandatées, il a été démontré qu'elles produisent plus rapidement un retour sur investissement mesurable ;
  • Lorsque des initiatives de perfectionnement sont fermement mises en place, les risques introduits par les développeurs dans les applications sont considérablement réduits. L'analyse a montré que les développeurs participant à de vastes initiatives d'amélioration des compétences (plus de 7 000 développeurs dans une seule entreprise) peuvent réduire les vulnérabilités de 47 à 53 %.

La solution | Conclusion

Le score de confiance SCW est un outil puissant dans l'arsenal de tout responsable de la sécurité, permettant une analyse détaillée de domaines spécifiques au sein d'une organisation. Les rapports peuvent être filtrés en fonction des langues, des équipes ou des catégories, produisant ainsi des rapports personnalisés qui permettent aux entreprises de répondre aux besoins spécifiques des développeurs ou des équipes et d'identifier les domaines dans lesquels une formation ou un accompagnement supplémentaire est nécessaire. Après tout, la sécurité est une entreprise sans fin ; une analyse comparative efficace des performances permettra d'identifier les possibilités d'amélioration continue.

L'accélération du développement et du déploiement des logiciels, associée à un paysage de cybermenaces de plus en plus menaçant et à des organismes de réglementation de plus en plus vigilants, a placé la cybersécurité au premier plan. Les organisations, si ce n'est déjà fait, doivent donner la priorité au développement d'une culture de la sécurité à l'échelle de l'entreprise.

Voir la ressource
Voir la ressource

Remplissez le formulaire ci-dessous pour télécharger le rapport

Nous aimerions que vous nous autorisiez à vous envoyer des informations sur nos produits et/ou sur des sujets liés au codage sécurisé. Nous traiterons toujours vos données personnelles avec le plus grand soin et ne les vendrons jamais à d'autres entreprises à des fins de marketing.

Soumettre
Pour soumettre le formulaire, veuillez activer les cookies "Analytics". N'hésitez pas à les désactiver à nouveau une fois que vous aurez terminé.

Il est encourageant de constater que le mouvement " Secure-By-Design " (SBD) de la CISA prend de l'ampleur dans le monde entier, puisque les États-Unis, l'Australie, la Nouvelle-Zélande, le Canada, Singapour, le Japon, l'Allemagne et le Royaume-Uni s'engagent à intégrer des lignes directrices similaires dans leurs stratégies de cybersécurité, et que nombre de ces pays contribuent également aux recommandations initiales.

Depuis avril 2024, plus de 200 entreprises, parmi lesquelles Secure Code Warrioront signé l'engagement "Secure-by-Design", ce qui témoigne d'un engagement plus large de l'industrie en faveur de normes plus strictes en matière de qualité et de sécurité des logiciels. Nous considérons ces lignes directrices comme un moment crucial pour les responsables de la cybersécurité qui, pour la première fois, bénéficient du soutien d'un gouvernement mondial en faveur d'un changement culturel important dans le développement des logiciels. Bien que ces recommandations ne soient pas encore obligatoires en dehors des fournisseurs de logiciels qui vendent directement au gouvernement américain, je considère qu'il ne s'agit pas seulement de l'avenir, mais d'une occasion en or de commencer à lutter contre les acteurs de la menace. L'objectif principal des lignes directrices est de supprimer les catégories de vulnérabilités, et en se concentrant sur cet objectif à l'échelle de l'industrie, nous pourrions avoir l'impact positif le plus important sur la sécurité numérique depuis des dizaines d'années.

Nous pensons que ce mouvement est essentiel, et notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise (Évaluation comparative des compétences en matière de sécurité : rationalisation de la conception sécurisée au sein de l'entreprise) est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données. 

Mesurer le retour sur investissement des efforts de conception sécurisée des organisations

La refonte de pratiques de développement de logiciels établies de longue date n'est pas une mince affaire. Les RSSI sont souvent mis au défi lorsqu'ils tentent de prouver le retour sur investissement (ROI) et la valeur commerciale des activités du programme de sécurité, tant au niveau des personnes que de l'entreprise, nombre d'entre eux exprimant une frustration croissante face aux réductions budgétaires et au manque d'adhésion des cadres supérieurs aux nouvelles initiatives cybernétiques. Toutefois, une proposition étayée par des données fera toute la différence. 

Ces dernières années, l'absence d'un référentiel de compétences permettant aux organisations d'évaluer leur situation par rapport aux normes de l'industrie a constitué un défi majeur. Il est donc extrêmement difficile de concevoir et de mettre en œuvre des programmes de sécurité qui touchent les bons domaines et qui favorisent l'amélioration continue de la cohorte de développement, un élément crucial des pratiques de sécurité logicielle efficaces. 

Pour que les initiatives de conception sécurisée fonctionnent, il faut non seulement donner aux développeurs les compétences nécessaires pour garantir la sécurité du code, mais aussi assurer aux régulateurs que ces compétences sont en place. Nous avons donc décidé d'analyser l'état de préparation des équipes de développeurs, et les résultats pourraient surprendre.

Comment les entreprises qui tentent d'accélérer leurs initiatives en matière de SMD peuvent-elles tirer parti du score de confiance ?

Il est pratiquement impossible de s'améliorer efficacement sans avoir une idée précise de son point de départ et de son point d'arrivée. Cependant, des centaines d'entreprises clientes utilisent efficacement le SCW Trust Score - uneréférence mondiale qui quantifie les compétences des équipes de développement en matière de sécurité - pour fournir ces points de données utiles et granulaires. Ces informations permettent de mettre en place des programmes de sécurité très efficaces, axés sur les développeurs et propices à la réussite des initiatives Secure-by-Design.

L'analyse présentée dans notre livre blanc montre que les entreprises des principaux secteurs d'infrastructures critiques progressent dans la préparation de leurs développeurs à l'avancement de leurs initiatives SBD. Nous avons également constaté que les équipes de développeurs de ces secteurs ont un niveau de sécurité moyen.

Secure Code Warrior 'analyse de l'amélioration des compétences des développeurs dans les secteurs des infrastructures critiques est basée sur des informations provenant de plus de 20 millions de points de données, de 600 entreprises clientes et de plus de 250 000 développeurs actifs dans le monde entier. L'analyse a révélé que :

  • Le nombre total de développeurs actuellement impliqués dans des initiatives d'amélioration des compétences dans le cadre des SMD est inférieur à 4 % de l'ensemble des développeurs dans le monde ;
  • Le secteur des services financiers a obtenu la note de confiance la plus élevée (336) ;
  • La plupart des initiatives à grande échelle de renforcement des compétences dans le domaine de la sécurité sont couronnées de succès, tandis que les initiatives à plus petite échelle ont tendance à être dispersées. Toutefois, lorsqu'elles sont mandatées, il a été démontré qu'elles produisent plus rapidement un retour sur investissement mesurable ;
  • Lorsque des initiatives de perfectionnement sont fermement mises en place, les risques introduits par les développeurs dans les applications sont considérablement réduits. L'analyse a montré que les développeurs participant à de vastes initiatives d'amélioration des compétences (plus de 7 000 développeurs dans une seule entreprise) peuvent réduire les vulnérabilités de 47 à 53 %.

La solution | Conclusion

Le score de confiance SCW est un outil puissant dans l'arsenal de tout responsable de la sécurité, permettant une analyse détaillée de domaines spécifiques au sein d'une organisation. Les rapports peuvent être filtrés en fonction des langues, des équipes ou des catégories, produisant ainsi des rapports personnalisés qui permettent aux entreprises de répondre aux besoins spécifiques des développeurs ou des équipes et d'identifier les domaines dans lesquels une formation ou un accompagnement supplémentaire est nécessaire. Après tout, la sécurité est une entreprise sans fin ; une analyse comparative efficace des performances permettra d'identifier les possibilités d'amélioration continue.

L'accélération du développement et du déploiement des logiciels, associée à un paysage de cybermenaces de plus en plus menaçant et à des organismes de réglementation de plus en plus vigilants, a placé la cybersécurité au premier plan. Les organisations, si ce n'est déjà fait, doivent donner la priorité au développement d'une culture de la sécurité à l'échelle de l'entreprise.

Accès aux ressources

Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Voir le rapportRéservez une démonstration
Partager sur :
Vous souhaitez en savoir plus ?

Partager sur :
Auteur
Matias Madou, Ph.D.
Publié le 15 octobre 2024

Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.

Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.

Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.

Partager sur :

Il est encourageant de constater que le mouvement " Secure-By-Design " (SBD) de la CISA prend de l'ampleur dans le monde entier, puisque les États-Unis, l'Australie, la Nouvelle-Zélande, le Canada, Singapour, le Japon, l'Allemagne et le Royaume-Uni s'engagent à intégrer des lignes directrices similaires dans leurs stratégies de cybersécurité, et que nombre de ces pays contribuent également aux recommandations initiales.

Depuis avril 2024, plus de 200 entreprises, parmi lesquelles Secure Code Warrioront signé l'engagement "Secure-by-Design", ce qui témoigne d'un engagement plus large de l'industrie en faveur de normes plus strictes en matière de qualité et de sécurité des logiciels. Nous considérons ces lignes directrices comme un moment crucial pour les responsables de la cybersécurité qui, pour la première fois, bénéficient du soutien d'un gouvernement mondial en faveur d'un changement culturel important dans le développement des logiciels. Bien que ces recommandations ne soient pas encore obligatoires en dehors des fournisseurs de logiciels qui vendent directement au gouvernement américain, je considère qu'il ne s'agit pas seulement de l'avenir, mais d'une occasion en or de commencer à lutter contre les acteurs de la menace. L'objectif principal des lignes directrices est de supprimer les catégories de vulnérabilités, et en se concentrant sur cet objectif à l'échelle de l'industrie, nous pourrions avoir l'impact positif le plus important sur la sécurité numérique depuis des dizaines d'années.

Nous pensons que ce mouvement est essentiel, et notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise (Évaluation comparative des compétences en matière de sécurité : rationalisation de la conception sécurisée au sein de l'entreprise) est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données. 

Mesurer le retour sur investissement des efforts de conception sécurisée des organisations

La refonte de pratiques de développement de logiciels établies de longue date n'est pas une mince affaire. Les RSSI sont souvent mis au défi lorsqu'ils tentent de prouver le retour sur investissement (ROI) et la valeur commerciale des activités du programme de sécurité, tant au niveau des personnes que de l'entreprise, nombre d'entre eux exprimant une frustration croissante face aux réductions budgétaires et au manque d'adhésion des cadres supérieurs aux nouvelles initiatives cybernétiques. Toutefois, une proposition étayée par des données fera toute la différence. 

Ces dernières années, l'absence d'un référentiel de compétences permettant aux organisations d'évaluer leur situation par rapport aux normes de l'industrie a constitué un défi majeur. Il est donc extrêmement difficile de concevoir et de mettre en œuvre des programmes de sécurité qui touchent les bons domaines et qui favorisent l'amélioration continue de la cohorte de développement, un élément crucial des pratiques de sécurité logicielle efficaces. 

Pour que les initiatives de conception sécurisée fonctionnent, il faut non seulement donner aux développeurs les compétences nécessaires pour garantir la sécurité du code, mais aussi assurer aux régulateurs que ces compétences sont en place. Nous avons donc décidé d'analyser l'état de préparation des équipes de développeurs, et les résultats pourraient surprendre.

Comment les entreprises qui tentent d'accélérer leurs initiatives en matière de SMD peuvent-elles tirer parti du score de confiance ?

Il est pratiquement impossible de s'améliorer efficacement sans avoir une idée précise de son point de départ et de son point d'arrivée. Cependant, des centaines d'entreprises clientes utilisent efficacement le SCW Trust Score - uneréférence mondiale qui quantifie les compétences des équipes de développement en matière de sécurité - pour fournir ces points de données utiles et granulaires. Ces informations permettent de mettre en place des programmes de sécurité très efficaces, axés sur les développeurs et propices à la réussite des initiatives Secure-by-Design.

L'analyse présentée dans notre livre blanc montre que les entreprises des principaux secteurs d'infrastructures critiques progressent dans la préparation de leurs développeurs à l'avancement de leurs initiatives SBD. Nous avons également constaté que les équipes de développeurs de ces secteurs ont un niveau de sécurité moyen.

Secure Code Warrior 'analyse de l'amélioration des compétences des développeurs dans les secteurs des infrastructures critiques est basée sur des informations provenant de plus de 20 millions de points de données, de 600 entreprises clientes et de plus de 250 000 développeurs actifs dans le monde entier. L'analyse a révélé que :

  • Le nombre total de développeurs actuellement impliqués dans des initiatives d'amélioration des compétences dans le cadre des SMD est inférieur à 4 % de l'ensemble des développeurs dans le monde ;
  • Le secteur des services financiers a obtenu la note de confiance la plus élevée (336) ;
  • La plupart des initiatives à grande échelle de renforcement des compétences dans le domaine de la sécurité sont couronnées de succès, tandis que les initiatives à plus petite échelle ont tendance à être dispersées. Toutefois, lorsqu'elles sont mandatées, il a été démontré qu'elles produisent plus rapidement un retour sur investissement mesurable ;
  • Lorsque des initiatives de perfectionnement sont fermement mises en place, les risques introduits par les développeurs dans les applications sont considérablement réduits. L'analyse a montré que les développeurs participant à de vastes initiatives d'amélioration des compétences (plus de 7 000 développeurs dans une seule entreprise) peuvent réduire les vulnérabilités de 47 à 53 %.

La solution | Conclusion

Le score de confiance SCW est un outil puissant dans l'arsenal de tout responsable de la sécurité, permettant une analyse détaillée de domaines spécifiques au sein d'une organisation. Les rapports peuvent être filtrés en fonction des langues, des équipes ou des catégories, produisant ainsi des rapports personnalisés qui permettent aux entreprises de répondre aux besoins spécifiques des développeurs ou des équipes et d'identifier les domaines dans lesquels une formation ou un accompagnement supplémentaire est nécessaire. Après tout, la sécurité est une entreprise sans fin ; une analyse comparative efficace des performances permettra d'identifier les possibilités d'amélioration continue.

L'accélération du développement et du déploiement des logiciels, associée à un paysage de cybermenaces de plus en plus menaçant et à des organismes de réglementation de plus en plus vigilants, a placé la cybersécurité au premier plan. Les organisations, si ce n'est déjà fait, doivent donner la priorité au développement d'une culture de la sécurité à l'échelle de l'entreprise.

Table des matières

Voir la ressource
Vous souhaitez en savoir plus ?

Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstrationTélécharger
Partager sur :
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles