Mise en place d'une approche cohérente de la sécurité menée par les développeurs
En réponse à des failles de sécurité majeures telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, les efforts de sécurité menés par les développeurs se font de plus en plus pressants. Les organisations de toutes tailles commencent à remettre en question leur "chaîne d'approvisionnement en logiciels" et à exiger que les développeurs de leurs logiciels aient des compétences et des connaissances vérifiées en matière de sécurité.
Même le gouvernement des États-Unis appelle à de meilleures pratiques de sécurité dirigées par les développeurs et à un renforcement de la chaîne d'approvisionnement en logiciels. Ces concepts sont un élément clé du décret sur l'amélioration de la cybersécurité de la nation publié par le président Biden.
Dans l'ensemble, la communauté des développeurs s'est montrée réceptive à l'idée d'intégrer la sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC) grâce à des programmes et des mouvements tels que DevSecOps.
Les vulnérabilités des logiciels continuent d'être exploitées, et même les développeurs admettent qu'ils laissent parfois des failles dans leur code.
Pourquoi ?
L'enquête a confirmé que l'écriture d'un code de qualité était une priorité absolue pour la communauté des développeurs. Cependant, l'enquête a également identifié plusieurs raisons pour lesquelles la formation dispensée aux développeurs, bien qu'elle soit considérée comme utile, ne permet pas d'atteindre l'objectif de sécurisation de la chaîne d'approvisionnement en logiciels. 33 % ont déclaré qu'ils laissaient encore des vulnérabilités dans leur code parce que, même après la formation dispensée, ils ne savaient toujours pas comment identifier ou corriger les vulnérabilités connues. Par ailleurs, 92 % des personnes interrogées ont déclaré qu'elles avaient besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 50 % d'entre elles ont déclaré qu'elles avaient besoin de beaucoup plus de formation.
Il est clair que la communauté des développeurs apprécie la formation qui leur est dispensée. Toutefois, lorsqu'on les interroge sur les obstacles à l'adoption de pratiques de codage sécurisées, le manque de temps est cité comme la première raison, suivi par un cinquième des répondants qui citent l'absence d'une approche cohérente comme coupable. La formation est davantage considérée comme un événement ponctuel que comme un élément d'un effort stratégique continu visant à intégrer la sécurité dans les flux de travail des développeurs et à l'utiliser au quotidien.
Ainsi, les développeurs ne sont pas en mesure d'acquérir et de conserver des compétences en matière de codage sécurisé dans le cadre d'un programme cohérent et continu au sein de leur organisation. Nous pouvons également conclure que la formation actuellement reçue n'est pas particulièrement efficace ou complète, étant donné que de nombreux développeurs affirment qu'ils ne peuvent toujours pas identifier et corriger les vulnérabilités courantes.
92 % des développeurs ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 92 % ont déclaré qu'une formation beaucoup plus poussée était nécessaire.
Que peuvent faire les organisations pour remédier à la situation ?
Il est intéressant de noter que les développeurs ont massivement déclaré qu'ils avaient besoin d'une formation plus poussée en matière de sécurité. Bien qu'ils apprécient la formation qu'ils ont reçue, il s'agit peut-être d'une situation où ils se contentent de ce qu'ils peuvent obtenir.
Lorsqu'on leur a demandé de commenter les moyens d'améliorer leur formation, leurs véritables idées sur la question ont commencé à faire surface. En général, la plupart des formations reçues par les développeurs étaient limitées, non interactives, ne ciblaient que partiellement leurs responsabilités professionnelles et ne faisaient pas partie d'un plan global ou continu visant à améliorer les compétences et la sensibilisation de leur organisation en matière de sécurité.Selon les développeurs interrogés, si les organisations souhaitent améliorer l'efficacité des formations proposées, celles-ci devraient être présentées comme faisant partie d'une approche globale visant à promouvoir une plus grande importance de la sécurité tout au long du cycle de vie du logiciel. En outre, les développeurs ont formulé des demandes spécifiques pour rendre leur formation plus utile. L'une des suggestions les plus populaires était d'inclure davantage de cas d'utilisation et d'exemples pratiques de situations qu'ils sont susceptibles de rencontrer du point de vue de la sécurité. Une autre réponse populaire pour améliorer l'efficacité était que la formation couvre éventuellement des scénarios de plus en plus complexes ou difficiles - ce qui nécessiterait probablement une approche plus cohérente et un plan à long terme pour l'apprentissage continu et le développement des compétences.Les développeurs ont également souligné le besoin de plus d'interactivité et peut-être même d'ajouter un élément de compétition. En général, les formations où les utilisateurs se contentent de regarder une vidéo ou d'écouter un cours magistral sans possibilité d'apprentissage pratique et contextuel ne sont pas considérées comme efficaces ou particulièrement utiles lorsqu'il s'agit d'enseigner une compétence complexe et (perçue comme) difficile telle que le codage sécurisé.
Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même de l'ajout d'un élément compétitif.
Quels sont les autres éléments importants dans l'adoption d'une approche cohésive de la sécurité ?
La formation est évidemment essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Il est indispensable de veiller à ce que l'apprentissage soit continu, interactif, pertinent et contextuel. Mais une approche véritablement cohérente de la sensibilisation à la sécurité va encore plus loin.
Une approche véritablement cohérente doit prendre en compte ce qui est nécessaire pour favoriser une véritable culture de la sécurité dirigée par les développeurs. Cela peut nécessiter un changement d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs. Par exemple, les développeurs ont toujours été évalués en fonction de leur rapidité à coder. Mais une approche cohésive de la sécurité pourrait impliquer de modifier ces mesures et valeurs de longue date. Au lieu de récompenser la vitesse brute, les évaluations pourraient mettre l'accent sur les développeurs capables de créer un code de qualité qui soit également sûr, c'est-à-dire dépourvu de vulnérabilités.
La communauté des développeurs pourrait également participer à cet effort. Au lieu de simplement imposer la sécurité aux développeurs, envisagez de créer ou de nommer des champions de la sécurité au sein de la communauté. Il s'agirait de développeurs talentueux et sensibilisés à la sécurité qui se distinguent soit dans le cadre de la formation, soit dans le cadre des évaluations de mesures nouvellement ciblées. Ils devraient également être disposés à aider d'autres développeurs à améliorer leurs compétences, améliorant ainsi la communauté de développement de l'intérieur.
Une approche véritablement cohérente doit prendre en compte ce qui est nécessaire pour favoriser une véritable culture de la sécurité dirigée par les développeurs. Cela peut nécessiter un changement d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Pour en savoir plus
Livre blanc : Les défis (et les opportunités) pour améliorer la sécurité des logiciels
Livre blanc : L'approche préventive de la sécurité des logiciels axée sur les développeurs
Livre blanc : Le DevSecOps Superbowl : Comment les champions de la sécurité peuvent aider votre équipe à remporter la victoire contre les vulnérabilités tardives.
Rapport : L'état de la sécurité pilotée par les développeurs 2022
En réponse à des failles de sécurité majeures telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, les efforts de sécurité menés par les développeurs se font de plus en plus pressants. Les organisations de toutes tailles commencent à remettre en question leur "chaîne d'approvisionnement en logiciels" et à exiger que les développeurs de leurs logiciels aient des compétences et des connaissances vérifiées en matière de sécurité.
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstration
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior crée une culture de développeurs axés sur la sécurité en leur donnant les compétences nécessaires pour coder de manière sécurisée. Notre programme phare Agile Plateforme D'apprentissage propose des parcours pertinents basés sur les compétences, des exercices pratiques missions et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé.
En réponse à des failles de sécurité majeures telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, les efforts de sécurité menés par les développeurs se font de plus en plus pressants. Les organisations de toutes tailles commencent à remettre en question leur "chaîne d'approvisionnement en logiciels" et à exiger que les développeurs de leurs logiciels aient des compétences et des connaissances vérifiées en matière de sécurité.
Même le gouvernement des États-Unis appelle à de meilleures pratiques de sécurité dirigées par les développeurs et à un renforcement de la chaîne d'approvisionnement en logiciels. Ces concepts sont un élément clé du décret sur l'amélioration de la cybersécurité de la nation publié par le président Biden.
Dans l'ensemble, la communauté des développeurs s'est montrée réceptive à l'idée d'intégrer la sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC) grâce à des programmes et des mouvements tels que DevSecOps.
Les vulnérabilités des logiciels continuent d'être exploitées, et même les développeurs admettent qu'ils laissent parfois des failles dans leur code.
Pourquoi ?
L'enquête a confirmé que l'écriture d'un code de qualité était une priorité absolue pour la communauté des développeurs. Cependant, l'enquête a également identifié plusieurs raisons pour lesquelles la formation dispensée aux développeurs, bien qu'elle soit considérée comme utile, ne permet pas d'atteindre l'objectif de sécurisation de la chaîne d'approvisionnement en logiciels. 33 % ont déclaré qu'ils laissaient encore des vulnérabilités dans leur code parce que, même après la formation dispensée, ils ne savaient toujours pas comment identifier ou corriger les vulnérabilités connues. Par ailleurs, 92 % des personnes interrogées ont déclaré qu'elles avaient besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 50 % d'entre elles ont déclaré qu'elles avaient besoin de beaucoup plus de formation.
Il est clair que la communauté des développeurs apprécie la formation qui leur est dispensée. Toutefois, lorsqu'on les interroge sur les obstacles à l'adoption de pratiques de codage sécurisées, le manque de temps est cité comme la première raison, suivi par un cinquième des répondants qui citent l'absence d'une approche cohérente comme coupable. La formation est davantage considérée comme un événement ponctuel que comme un élément d'un effort stratégique continu visant à intégrer la sécurité dans les flux de travail des développeurs et à l'utiliser au quotidien.
Ainsi, les développeurs ne sont pas en mesure d'acquérir et de conserver des compétences en matière de codage sécurisé dans le cadre d'un programme cohérent et continu au sein de leur organisation. Nous pouvons également conclure que la formation actuellement reçue n'est pas particulièrement efficace ou complète, étant donné que de nombreux développeurs affirment qu'ils ne peuvent toujours pas identifier et corriger les vulnérabilités courantes.
92 % des développeurs ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 92 % ont déclaré qu'une formation beaucoup plus poussée était nécessaire.
Que peuvent faire les organisations pour remédier à la situation ?
Il est intéressant de noter que les développeurs ont massivement déclaré qu'ils avaient besoin d'une formation plus poussée en matière de sécurité. Bien qu'ils apprécient la formation qu'ils ont reçue, il s'agit peut-être d'une situation où ils se contentent de ce qu'ils peuvent obtenir.
Lorsqu'on leur a demandé de commenter les moyens d'améliorer leur formation, leurs véritables idées sur la question ont commencé à faire surface. En général, la plupart des formations reçues par les développeurs étaient limitées, non interactives, ne ciblaient que partiellement leurs responsabilités professionnelles et ne faisaient pas partie d'un plan global ou continu visant à améliorer les compétences et la sensibilisation de leur organisation en matière de sécurité.Selon les développeurs interrogés, si les organisations souhaitent améliorer l'efficacité des formations proposées, celles-ci devraient être présentées comme faisant partie d'une approche globale visant à promouvoir une plus grande importance de la sécurité tout au long du cycle de vie du logiciel. En outre, les développeurs ont formulé des demandes spécifiques pour rendre leur formation plus utile. L'une des suggestions les plus populaires était d'inclure davantage de cas d'utilisation et d'exemples pratiques de situations qu'ils sont susceptibles de rencontrer du point de vue de la sécurité. Une autre réponse populaire pour améliorer l'efficacité était que la formation couvre éventuellement des scénarios de plus en plus complexes ou difficiles - ce qui nécessiterait probablement une approche plus cohérente et un plan à long terme pour l'apprentissage continu et le développement des compétences.Les développeurs ont également souligné le besoin de plus d'interactivité et peut-être même d'ajouter un élément de compétition. En général, les formations où les utilisateurs se contentent de regarder une vidéo ou d'écouter un cours magistral sans possibilité d'apprentissage pratique et contextuel ne sont pas considérées comme efficaces ou particulièrement utiles lorsqu'il s'agit d'enseigner une compétence complexe et (perçue comme) difficile telle que le codage sécurisé.
Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même de l'ajout d'un élément compétitif.
Quels sont les autres éléments importants dans l'adoption d'une approche cohésive de la sécurité ?
La formation est évidemment essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Il est indispensable de veiller à ce que l'apprentissage soit continu, interactif, pertinent et contextuel. Mais une approche véritablement cohérente de la sensibilisation à la sécurité va encore plus loin.
Une approche véritablement cohérente doit prendre en compte ce qui est nécessaire pour favoriser une véritable culture de la sécurité dirigée par les développeurs. Cela peut nécessiter un changement d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs. Par exemple, les développeurs ont toujours été évalués en fonction de leur rapidité à coder. Mais une approche cohésive de la sécurité pourrait impliquer de modifier ces mesures et valeurs de longue date. Au lieu de récompenser la vitesse brute, les évaluations pourraient mettre l'accent sur les développeurs capables de créer un code de qualité qui soit également sûr, c'est-à-dire dépourvu de vulnérabilités.
La communauté des développeurs pourrait également participer à cet effort. Au lieu de simplement imposer la sécurité aux développeurs, envisagez de créer ou de nommer des champions de la sécurité au sein de la communauté. Il s'agirait de développeurs talentueux et sensibilisés à la sécurité qui se distinguent soit dans le cadre de la formation, soit dans le cadre des évaluations de mesures nouvellement ciblées. Ils devraient également être disposés à aider d'autres développeurs à améliorer leurs compétences, améliorant ainsi la communauté de développement de l'intérieur.
Une approche véritablement cohérente doit prendre en compte ce qui est nécessaire pour favoriser une véritable culture de la sécurité dirigée par les développeurs. Cela peut nécessiter un changement d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Pour en savoir plus
Livre blanc : Les défis (et les opportunités) pour améliorer la sécurité des logiciels
Livre blanc : L'approche préventive de la sécurité des logiciels axée sur les développeurs
Livre blanc : Le DevSecOps Superbowl : Comment les champions de la sécurité peuvent aider votre équipe à remporter la victoire contre les vulnérabilités tardives.
Rapport : L'état de la sécurité pilotée par les développeurs 2022
En réponse à des failles de sécurité majeures telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, les efforts de sécurité menés par les développeurs se font de plus en plus pressants. Les organisations de toutes tailles commencent à remettre en question leur "chaîne d'approvisionnement en logiciels" et à exiger que les développeurs de leurs logiciels aient des compétences et des connaissances vérifiées en matière de sécurité.
Même le gouvernement des États-Unis appelle à de meilleures pratiques de sécurité dirigées par les développeurs et à un renforcement de la chaîne d'approvisionnement en logiciels. Ces concepts sont un élément clé du décret sur l'amélioration de la cybersécurité de la nation publié par le président Biden.
Dans l'ensemble, la communauté des développeurs s'est montrée réceptive à l'idée d'intégrer la sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC) grâce à des programmes et des mouvements tels que DevSecOps.
Les vulnérabilités des logiciels continuent d'être exploitées, et même les développeurs admettent qu'ils laissent parfois des failles dans leur code.
Pourquoi ?
L'enquête a confirmé que l'écriture d'un code de qualité était une priorité absolue pour la communauté des développeurs. Cependant, l'enquête a également identifié plusieurs raisons pour lesquelles la formation dispensée aux développeurs, bien qu'elle soit considérée comme utile, ne permet pas d'atteindre l'objectif de sécurisation de la chaîne d'approvisionnement en logiciels. 33 % ont déclaré qu'ils laissaient encore des vulnérabilités dans leur code parce que, même après la formation dispensée, ils ne savaient toujours pas comment identifier ou corriger les vulnérabilités connues. Par ailleurs, 92 % des personnes interrogées ont déclaré qu'elles avaient besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 50 % d'entre elles ont déclaré qu'elles avaient besoin de beaucoup plus de formation.
Il est clair que la communauté des développeurs apprécie la formation qui leur est dispensée. Toutefois, lorsqu'on les interroge sur les obstacles à l'adoption de pratiques de codage sécurisées, le manque de temps est cité comme la première raison, suivi par un cinquième des répondants qui citent l'absence d'une approche cohérente comme coupable. La formation est davantage considérée comme un événement ponctuel que comme un élément d'un effort stratégique continu visant à intégrer la sécurité dans les flux de travail des développeurs et à l'utiliser au quotidien.
Ainsi, les développeurs ne sont pas en mesure d'acquérir et de conserver des compétences en matière de codage sécurisé dans le cadre d'un programme cohérent et continu au sein de leur organisation. Nous pouvons également conclure que la formation actuellement reçue n'est pas particulièrement efficace ou complète, étant donné que de nombreux développeurs affirment qu'ils ne peuvent toujours pas identifier et corriger les vulnérabilités courantes.
92 % des développeurs ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 92 % ont déclaré qu'une formation beaucoup plus poussée était nécessaire.
Que peuvent faire les organisations pour remédier à la situation ?
Il est intéressant de noter que les développeurs ont massivement déclaré qu'ils avaient besoin d'une formation plus poussée en matière de sécurité. Bien qu'ils apprécient la formation qu'ils ont reçue, il s'agit peut-être d'une situation où ils se contentent de ce qu'ils peuvent obtenir.
Lorsqu'on leur a demandé de commenter les moyens d'améliorer leur formation, leurs véritables idées sur la question ont commencé à faire surface. En général, la plupart des formations reçues par les développeurs étaient limitées, non interactives, ne ciblaient que partiellement leurs responsabilités professionnelles et ne faisaient pas partie d'un plan global ou continu visant à améliorer les compétences et la sensibilisation de leur organisation en matière de sécurité.Selon les développeurs interrogés, si les organisations souhaitent améliorer l'efficacité des formations proposées, celles-ci devraient être présentées comme faisant partie d'une approche globale visant à promouvoir une plus grande importance de la sécurité tout au long du cycle de vie du logiciel. En outre, les développeurs ont formulé des demandes spécifiques pour rendre leur formation plus utile. L'une des suggestions les plus populaires était d'inclure davantage de cas d'utilisation et d'exemples pratiques de situations qu'ils sont susceptibles de rencontrer du point de vue de la sécurité. Une autre réponse populaire pour améliorer l'efficacité était que la formation couvre éventuellement des scénarios de plus en plus complexes ou difficiles - ce qui nécessiterait probablement une approche plus cohérente et un plan à long terme pour l'apprentissage continu et le développement des compétences.Les développeurs ont également souligné le besoin de plus d'interactivité et peut-être même d'ajouter un élément de compétition. En général, les formations où les utilisateurs se contentent de regarder une vidéo ou d'écouter un cours magistral sans possibilité d'apprentissage pratique et contextuel ne sont pas considérées comme efficaces ou particulièrement utiles lorsqu'il s'agit d'enseigner une compétence complexe et (perçue comme) difficile telle que le codage sécurisé.
Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même de l'ajout d'un élément compétitif.
Quels sont les autres éléments importants dans l'adoption d'une approche cohésive de la sécurité ?
La formation est évidemment essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Il est indispensable de veiller à ce que l'apprentissage soit continu, interactif, pertinent et contextuel. Mais une approche véritablement cohérente de la sensibilisation à la sécurité va encore plus loin.
Une approche véritablement cohérente doit prendre en compte ce qui est nécessaire pour favoriser une véritable culture de la sécurité dirigée par les développeurs. Cela peut nécessiter un changement d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs. Par exemple, les développeurs ont toujours été évalués en fonction de leur rapidité à coder. Mais une approche cohésive de la sécurité pourrait impliquer de modifier ces mesures et valeurs de longue date. Au lieu de récompenser la vitesse brute, les évaluations pourraient mettre l'accent sur les développeurs capables de créer un code de qualité qui soit également sûr, c'est-à-dire dépourvu de vulnérabilités.
La communauté des développeurs pourrait également participer à cet effort. Au lieu de simplement imposer la sécurité aux développeurs, envisagez de créer ou de nommer des champions de la sécurité au sein de la communauté. Il s'agirait de développeurs talentueux et sensibilisés à la sécurité qui se distinguent soit dans le cadre de la formation, soit dans le cadre des évaluations de mesures nouvellement ciblées. Ils devraient également être disposés à aider d'autres développeurs à améliorer leurs compétences, améliorant ainsi la communauté de développement de l'intérieur.
Une approche véritablement cohérente doit prendre en compte ce qui est nécessaire pour favoriser une véritable culture de la sécurité dirigée par les développeurs. Cela peut nécessiter un changement d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Pour en savoir plus
Livre blanc : Les défis (et les opportunités) pour améliorer la sécurité des logiciels
Livre blanc : L'approche préventive de la sécurité des logiciels axée sur les développeurs
Livre blanc : Le DevSecOps Superbowl : Comment les champions de la sécurité peuvent aider votre équipe à remporter la victoire contre les vulnérabilités tardives.
Rapport : L'état de la sécurité pilotée par les développeurs 2022
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstration
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior crée une culture de développeurs axés sur la sécurité en leur donnant les compétences nécessaires pour coder de manière sécurisée. Notre programme phare Agile Plateforme D'apprentissage propose des parcours pertinents basés sur les compétences, des exercices pratiques missions et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé.
En réponse à des failles de sécurité majeures telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, les efforts de sécurité menés par les développeurs se font de plus en plus pressants. Les organisations de toutes tailles commencent à remettre en question leur "chaîne d'approvisionnement en logiciels" et à exiger que les développeurs de leurs logiciels aient des compétences et des connaissances vérifiées en matière de sécurité.
Même le gouvernement des États-Unis appelle à de meilleures pratiques de sécurité dirigées par les développeurs et à un renforcement de la chaîne d'approvisionnement en logiciels. Ces concepts sont un élément clé du décret sur l'amélioration de la cybersécurité de la nation publié par le président Biden.
Dans l'ensemble, la communauté des développeurs s'est montrée réceptive à l'idée d'intégrer la sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC) grâce à des programmes et des mouvements tels que DevSecOps.
Les vulnérabilités des logiciels continuent d'être exploitées, et même les développeurs admettent qu'ils laissent parfois des failles dans leur code.
Pourquoi ?
L'enquête a confirmé que l'écriture d'un code de qualité était une priorité absolue pour la communauté des développeurs. Cependant, l'enquête a également identifié plusieurs raisons pour lesquelles la formation dispensée aux développeurs, bien qu'elle soit considérée comme utile, ne permet pas d'atteindre l'objectif de sécurisation de la chaîne d'approvisionnement en logiciels. 33 % ont déclaré qu'ils laissaient encore des vulnérabilités dans leur code parce que, même après la formation dispensée, ils ne savaient toujours pas comment identifier ou corriger les vulnérabilités connues. Par ailleurs, 92 % des personnes interrogées ont déclaré qu'elles avaient besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 50 % d'entre elles ont déclaré qu'elles avaient besoin de beaucoup plus de formation.
Il est clair que la communauté des développeurs apprécie la formation qui leur est dispensée. Toutefois, lorsqu'on les interroge sur les obstacles à l'adoption de pratiques de codage sécurisées, le manque de temps est cité comme la première raison, suivi par un cinquième des répondants qui citent l'absence d'une approche cohérente comme coupable. La formation est davantage considérée comme un événement ponctuel que comme un élément d'un effort stratégique continu visant à intégrer la sécurité dans les flux de travail des développeurs et à l'utiliser au quotidien.
Ainsi, les développeurs ne sont pas en mesure d'acquérir et de conserver des compétences en matière de codage sécurisé dans le cadre d'un programme cohérent et continu au sein de leur organisation. Nous pouvons également conclure que la formation actuellement reçue n'est pas particulièrement efficace ou complète, étant donné que de nombreux développeurs affirment qu'ils ne peuvent toujours pas identifier et corriger les vulnérabilités courantes.
92 % des développeurs ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 92 % ont déclaré qu'une formation beaucoup plus poussée était nécessaire.
Que peuvent faire les organisations pour remédier à la situation ?
Il est intéressant de noter que les développeurs ont massivement déclaré qu'ils avaient besoin d'une formation plus poussée en matière de sécurité. Bien qu'ils apprécient la formation qu'ils ont reçue, il s'agit peut-être d'une situation où ils se contentent de ce qu'ils peuvent obtenir.
Lorsqu'on leur a demandé de commenter les moyens d'améliorer leur formation, leurs véritables idées sur la question ont commencé à faire surface. En général, la plupart des formations reçues par les développeurs étaient limitées, non interactives, ne ciblaient que partiellement leurs responsabilités professionnelles et ne faisaient pas partie d'un plan global ou continu visant à améliorer les compétences et la sensibilisation de leur organisation en matière de sécurité.Selon les développeurs interrogés, si les organisations souhaitent améliorer l'efficacité des formations proposées, celles-ci devraient être présentées comme faisant partie d'une approche globale visant à promouvoir une plus grande importance de la sécurité tout au long du cycle de vie du logiciel. En outre, les développeurs ont formulé des demandes spécifiques pour rendre leur formation plus utile. L'une des suggestions les plus populaires était d'inclure davantage de cas d'utilisation et d'exemples pratiques de situations qu'ils sont susceptibles de rencontrer du point de vue de la sécurité. Une autre réponse populaire pour améliorer l'efficacité était que la formation couvre éventuellement des scénarios de plus en plus complexes ou difficiles - ce qui nécessiterait probablement une approche plus cohérente et un plan à long terme pour l'apprentissage continu et le développement des compétences.Les développeurs ont également souligné le besoin de plus d'interactivité et peut-être même d'ajouter un élément de compétition. En général, les formations où les utilisateurs se contentent de regarder une vidéo ou d'écouter un cours magistral sans possibilité d'apprentissage pratique et contextuel ne sont pas considérées comme efficaces ou particulièrement utiles lorsqu'il s'agit d'enseigner une compétence complexe et (perçue comme) difficile telle que le codage sécurisé.
Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même de l'ajout d'un élément compétitif.
Quels sont les autres éléments importants dans l'adoption d'une approche cohésive de la sécurité ?
La formation est évidemment essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Il est indispensable de veiller à ce que l'apprentissage soit continu, interactif, pertinent et contextuel. Mais une approche véritablement cohérente de la sensibilisation à la sécurité va encore plus loin.
Une approche véritablement cohérente doit prendre en compte ce qui est nécessaire pour favoriser une véritable culture de la sécurité dirigée par les développeurs. Cela peut nécessiter un changement d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs. Par exemple, les développeurs ont toujours été évalués en fonction de leur rapidité à coder. Mais une approche cohésive de la sécurité pourrait impliquer de modifier ces mesures et valeurs de longue date. Au lieu de récompenser la vitesse brute, les évaluations pourraient mettre l'accent sur les développeurs capables de créer un code de qualité qui soit également sûr, c'est-à-dire dépourvu de vulnérabilités.
La communauté des développeurs pourrait également participer à cet effort. Au lieu de simplement imposer la sécurité aux développeurs, envisagez de créer ou de nommer des champions de la sécurité au sein de la communauté. Il s'agirait de développeurs talentueux et sensibilisés à la sécurité qui se distinguent soit dans le cadre de la formation, soit dans le cadre des évaluations de mesures nouvellement ciblées. Ils devraient également être disposés à aider d'autres développeurs à améliorer leurs compétences, améliorant ainsi la communauté de développement de l'intérieur.
Une approche véritablement cohérente doit prendre en compte ce qui est nécessaire pour favoriser une véritable culture de la sécurité dirigée par les développeurs. Cela peut nécessiter un changement d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Pour en savoir plus
Livre blanc : Les défis (et les opportunités) pour améliorer la sécurité des logiciels
Livre blanc : L'approche préventive de la sécurité des logiciels axée sur les développeurs
Livre blanc : Le DevSecOps Superbowl : Comment les champions de la sécurité peuvent aider votre équipe à remporter la victoire contre les vulnérabilités tardives.
Rapport : L'état de la sécurité pilotée par les développeurs 2022
Table des matières
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
La puissance d'OpenText Fortify + Secure Code Warrior
OpenText Fortify et Secure Code Warrior unissent leurs forces pour aider les entreprises à réduire les risques, à transformer les développeurs en champions de la sécurité et à renforcer la confiance des clients. Pour en savoir plus, cliquez ici.
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
Ressources pour vous aider à démarrer
10 prédictions clés : Secure Code Warrior sur l'influence de l'IA et de la conception sécurisée en 2025
Les organisations sont confrontées à des décisions difficiles sur l'utilisation de l'IA pour soutenir la productivité à long terme, la durabilité et le retour sur investissement de la sécurité. Au cours des dernières années, il nous est apparu clairement que l'IA ne remplacera jamais complètement le rôle du développeur. Des partenariats IA + développeurs aux pressions croissantes (et à la confusion) autour des attentes en matière de conception sécurisée, examinons de plus près ce à quoi nous pouvons nous attendre au cours de l'année prochaine.
OWASP Top 10 pour les applications LLM : Ce qui est nouveau, ce qui a changé et comment rester en sécurité
Gardez une longueur d'avance dans la sécurisation des applications LLM avec les dernières mises à jour du Top 10 de l'OWASP. Découvrez ce qui est nouveau, ce qui a changé et comment Secure Code Warrior vous fournit des ressources d'apprentissage actualisées pour atténuer les risques dans l'IA générative.
La note de confiance révèle la valeur des initiatives d'amélioration de la sécurité par la conception
Nos recherches ont montré que la formation au code sécurisé fonctionne. Le Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité à réduire les vulnérabilités et la manière de rendre l'initiative encore plus efficace.
.png)
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Codage axé sur le développeur.
En toute sécurité.
Contactez-nous dès aujourd'hui et faites de la sécurité des logiciels une partie intrinsèque de votre processus de développement.
