Blog

Mise en place d'une approche cohérente de la sécurité menée par les développeurs

Secure Code Warrior
Publié le 24 novembre 2022

En réponse à des failles de sécurité majeures telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, les efforts de sécurité menés par les développeurs se font de plus en plus pressants. Les organisations de toutes tailles commencent à remettre en question leur "chaîne d'approvisionnement en logiciels" et à exiger que les développeurs de leurs logiciels aient des compétences et des connaissances vérifiées en matière de sécurité.

Même le gouvernement des États-Unis appelle à de meilleures pratiques de sécurité dirigées par les développeurs et à un renforcement de la chaîne d'approvisionnement en logiciels. Ces concepts sont un élément clé du décret sur l'amélioration de la cybersécurité de la nation publié par le président Biden.

Dans l'ensemble, la communauté des développeurs s'est montrée réceptive à l'idée d'intégrer la sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC) grâce à des programmes et des mouvements tels que DevSecOps.

Les vulnérabilités des logiciels continuent d'être exploitées, et même les développeurs admettent qu'ils laissent parfois des failles dans leur code.

Pourquoi ?

L'enquête a confirmé que l'écriture d'un code de qualité était une priorité absolue pour la communauté des développeurs. Cependant, l'enquête a également identifié plusieurs raisons pour lesquelles la formation dispensée aux développeurs, bien qu'elle soit considérée comme utile, ne permet pas d'atteindre l'objectif de sécurisation de la chaîne d'approvisionnement en logiciels. 33 % ont déclaré qu'ils laissaient encore des vulnérabilités dans leur code parce que, même après la formation dispensée, ils ne savaient toujours pas comment identifier ou corriger les vulnérabilités connues. Par ailleurs, 92 % des personnes interrogées ont déclaré qu'elles avaient besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 50 % d'entre elles ont déclaré qu'elles avaient besoin de beaucoup plus de formation.

Il est clair que la communauté des développeurs apprécie la formation qui leur est dispensée. Toutefois, lorsqu'on les interroge sur les obstacles à l'adoption de pratiques de codage sécurisées, le manque de temps est cité comme la première raison, suivi par un cinquième des répondants qui citent l'absence d'une approche cohérente comme coupable. La formation est davantage considérée comme un événement ponctuel que comme un élément d'un effort stratégique continu visant à intégrer la sécurité dans les flux de travail des développeurs et à l'utiliser au quotidien.

Ainsi, les développeurs ne sont pas en mesure d'acquérir et de conserver des compétences en matière de codage sécurisé dans le cadre d'un programme cohérent et continu au sein de leur organisation. Nous pouvons également conclure que la formation actuellement reçue n'est pas particulièrement efficace ou complète, étant donné que de nombreux développeurs affirment qu'ils ne peuvent toujours pas identifier et corriger les vulnérabilités courantes.

92 % des développeurs ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 92 % ont déclaré qu'une formation beaucoup plus poussée était nécessaire.

Que peuvent faire les organisations pour remédier à la situation ?

Il est intéressant de noter que les développeurs ont massivement déclaré qu'ils avaient besoin d'une formation plus poussée en matière de sécurité. Bien qu'ils apprécient la formation qu'ils ont reçue, il s'agit peut-être d'une situation où ils se contentent de ce qu'ils peuvent obtenir.

Lorsqu'on leur a demandé de commenter les moyens d'améliorer leur formation, leurs véritables idées sur la question ont commencé à faire surface. En général, la plupart des formations reçues par les développeurs étaient limitées, non interactives, ne ciblaient que partiellement leurs responsabilités professionnelles et ne faisaient pas partie d'un plan global ou continu visant à améliorer les compétences et la sensibilisation de leur organisation en matière de sécurité.Selon les développeurs interrogés, si les organisations souhaitent améliorer l'efficacité des formations proposées, celles-ci devraient être présentées comme faisant partie d'une approche globale visant à promouvoir une plus grande importance de la sécurité tout au long du cycle de vie du logiciel. En outre, les développeurs ont formulé des demandes spécifiques pour rendre leur formation plus utile. L'une des suggestions les plus populaires était d'inclure davantage de cas d'utilisation et d'exemples pratiques de situations qu'ils sont susceptibles de rencontrer du point de vue de la sécurité. Une autre réponse populaire pour améliorer l'efficacité était que la formation couvre éventuellement des scénarios de plus en plus complexes ou difficiles - ce qui nécessiterait probablement une approche plus cohérente et un plan à long terme pour l'apprentissage continu et le développement des compétences.Les développeurs ont également souligné le besoin de plus d'interactivité et peut-être même d'ajouter un élément de compétition. En général, les formations où les utilisateurs se contentent de regarder une vidéo ou d'écouter un cours magistral sans possibilité d'apprentissage pratique et contextuel ne sont pas considérées comme efficaces ou particulièrement utiles lorsqu'il s'agit d'enseigner une compétence complexe et (perçue comme) difficile telle que le codage sécurisé.

Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même de l'ajout d'un élément compétitif.

Quels sont les autres éléments importants dans l'adoption d'une approche cohésive de la sécurité ?

La formation est évidemment essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Il est indispensable de veiller à ce que l'apprentissage soit continu, interactif, pertinent et contextuel. Mais une approche véritablement cohérente de la sensibilisation à la sécurité va encore plus loin.

Une approche véritablement cohérente doit prendre en compte ce qui est nécessaire pour favoriser une véritable culture de la sécurité dirigée par les développeurs. Cela peut nécessiter un changement d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs. Par exemple, les développeurs ont toujours été évalués en fonction de leur rapidité à coder. Mais une approche cohésive de la sécurité pourrait impliquer de modifier ces mesures et valeurs de longue date. Au lieu de récompenser la vitesse brute, les évaluations pourraient mettre l'accent sur les développeurs capables de créer un code de qualité qui soit également sûr, c'est-à-dire dépourvu de vulnérabilités.

La communauté des développeurs pourrait également participer à cet effort. Au lieu de simplement imposer la sécurité aux développeurs, envisagez de créer ou de nommer des champions de la sécurité au sein de la communauté. Il s'agirait de développeurs talentueux et sensibilisés à la sécurité qui se distinguent soit dans le cadre de la formation, soit dans le cadre des évaluations de mesures nouvellement ciblées. Ils devraient également être disposés à aider d'autres développeurs à améliorer leurs compétences, améliorant ainsi la communauté de développement de l'intérieur.

Une approche véritablement cohérente doit prendre en compte ce qui est nécessaire pour favoriser une véritable culture de la sécurité dirigée par les développeurs. Cela peut nécessiter un changement d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.

Pour en savoir plus

Livre blanc : Les défis (et les opportunités) pour améliorer la sécurité des logiciels
Livre blanc : L'approche préventive de la sécurité des logiciels axée sur les développeurs
Livre blanc : Le DevSecOps Superbowl : Comment les champions de la sécurité peuvent aider votre équipe à remporter la victoire contre les vulnérabilités tardives.
Rapport : L'état de la sécurité pilotée par les développeurs 2022
Ordinateurs portables sur une table avec des personnes travaillant, vu d'en haut
Ordinateurs portables sur une table avec des personnes travaillant, vu d'en haut
Voir la ressource
Voir la ressource

En réponse à des failles de sécurité majeures telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, les efforts de sécurité menés par les développeurs se font de plus en plus pressants. Les organisations de toutes tailles commencent à remettre en question leur "chaîne d'approvisionnement en logiciels" et à exiger que les développeurs de leurs logiciels aient des compétences et des connaissances vérifiées en matière de sécurité.

Vous souhaitez en savoir plus ?

Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstration
Partager sur :
Auteur
Secure Code Warrior
Publié le 24 novembre 2022

Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.

Secure Code Warrior crée une culture de développeurs axés sur la sécurité en leur donnant les compétences nécessaires pour coder de manière sécurisée. Notre programme phare Agile Learning Platform propose des parcours pertinents basés sur les compétences, des exercices pratiques missions et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé.

Partager sur :
Ordinateurs portables sur une table avec des personnes travaillant, vu d'en haut
Ordinateurs portables sur une table avec des personnes travaillant, vu d'en haut

En réponse à des failles de sécurité majeures telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, les efforts de sécurité menés par les développeurs se font de plus en plus pressants. Les organisations de toutes tailles commencent à remettre en question leur "chaîne d'approvisionnement en logiciels" et à exiger que les développeurs de leurs logiciels aient des compétences et des connaissances vérifiées en matière de sécurité.

Même le gouvernement des États-Unis appelle à de meilleures pratiques de sécurité dirigées par les développeurs et à un renforcement de la chaîne d'approvisionnement en logiciels. Ces concepts sont un élément clé du décret sur l'amélioration de la cybersécurité de la nation publié par le président Biden.

Dans l'ensemble, la communauté des développeurs s'est montrée réceptive à l'idée d'intégrer la sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC) grâce à des programmes et des mouvements tels que DevSecOps.

Les vulnérabilités des logiciels continuent d'être exploitées, et même les développeurs admettent qu'ils laissent parfois des failles dans leur code.

Pourquoi ?

L'enquête a confirmé que l'écriture d'un code de qualité était une priorité absolue pour la communauté des développeurs. Cependant, l'enquête a également identifié plusieurs raisons pour lesquelles la formation dispensée aux développeurs, bien qu'elle soit considérée comme utile, ne permet pas d'atteindre l'objectif de sécurisation de la chaîne d'approvisionnement en logiciels. 33 % ont déclaré qu'ils laissaient encore des vulnérabilités dans leur code parce que, même après la formation dispensée, ils ne savaient toujours pas comment identifier ou corriger les vulnérabilités connues. Par ailleurs, 92 % des personnes interrogées ont déclaré qu'elles avaient besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 50 % d'entre elles ont déclaré qu'elles avaient besoin de beaucoup plus de formation.

Il est clair que la communauté des développeurs apprécie la formation qui leur est dispensée. Toutefois, lorsqu'on les interroge sur les obstacles à l'adoption de pratiques de codage sécurisées, le manque de temps est cité comme la première raison, suivi par un cinquième des répondants qui citent l'absence d'une approche cohérente comme coupable. La formation est davantage considérée comme un événement ponctuel que comme un élément d'un effort stratégique continu visant à intégrer la sécurité dans les flux de travail des développeurs et à l'utiliser au quotidien.

Ainsi, les développeurs ne sont pas en mesure d'acquérir et de conserver des compétences en matière de codage sécurisé dans le cadre d'un programme cohérent et continu au sein de leur organisation. Nous pouvons également conclure que la formation actuellement reçue n'est pas particulièrement efficace ou complète, étant donné que de nombreux développeurs affirment qu'ils ne peuvent toujours pas identifier et corriger les vulnérabilités courantes.

92 % des développeurs ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 92 % ont déclaré qu'une formation beaucoup plus poussée était nécessaire.

Que peuvent faire les organisations pour remédier à la situation ?

Il est intéressant de noter que les développeurs ont massivement déclaré qu'ils avaient besoin d'une formation plus poussée en matière de sécurité. Bien qu'ils apprécient la formation qu'ils ont reçue, il s'agit peut-être d'une situation où ils se contentent de ce qu'ils peuvent obtenir.

Lorsqu'on leur a demandé de commenter les moyens d'améliorer leur formation, leurs véritables idées sur la question ont commencé à faire surface. En général, la plupart des formations reçues par les développeurs étaient limitées, non interactives, ne ciblaient que partiellement leurs responsabilités professionnelles et ne faisaient pas partie d'un plan global ou continu visant à améliorer les compétences et la sensibilisation de leur organisation en matière de sécurité.Selon les développeurs interrogés, si les organisations souhaitent améliorer l'efficacité des formations proposées, celles-ci devraient être présentées comme faisant partie d'une approche globale visant à promouvoir une plus grande importance de la sécurité tout au long du cycle de vie du logiciel. En outre, les développeurs ont formulé des demandes spécifiques pour rendre leur formation plus utile. L'une des suggestions les plus populaires était d'inclure davantage de cas d'utilisation et d'exemples pratiques de situations qu'ils sont susceptibles de rencontrer du point de vue de la sécurité. Une autre réponse populaire pour améliorer l'efficacité était que la formation couvre éventuellement des scénarios de plus en plus complexes ou difficiles - ce qui nécessiterait probablement une approche plus cohérente et un plan à long terme pour l'apprentissage continu et le développement des compétences.Les développeurs ont également souligné le besoin de plus d'interactivité et peut-être même d'ajouter un élément de compétition. En général, les formations où les utilisateurs se contentent de regarder une vidéo ou d'écouter un cours magistral sans possibilité d'apprentissage pratique et contextuel ne sont pas considérées comme efficaces ou particulièrement utiles lorsqu'il s'agit d'enseigner une compétence complexe et (perçue comme) difficile telle que le codage sécurisé.

Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même de l'ajout d'un élément compétitif.

Quels sont les autres éléments importants dans l'adoption d'une approche cohésive de la sécurité ?

La formation est évidemment essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Il est indispensable de veiller à ce que l'apprentissage soit continu, interactif, pertinent et contextuel. Mais une approche véritablement cohérente de la sensibilisation à la sécurité va encore plus loin.

Une approche véritablement cohérente doit prendre en compte ce qui est nécessaire pour favoriser une véritable culture de la sécurité dirigée par les développeurs. Cela peut nécessiter un changement d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs. Par exemple, les développeurs ont toujours été évalués en fonction de leur rapidité à coder. Mais une approche cohésive de la sécurité pourrait impliquer de modifier ces mesures et valeurs de longue date. Au lieu de récompenser la vitesse brute, les évaluations pourraient mettre l'accent sur les développeurs capables de créer un code de qualité qui soit également sûr, c'est-à-dire dépourvu de vulnérabilités.

La communauté des développeurs pourrait également participer à cet effort. Au lieu de simplement imposer la sécurité aux développeurs, envisagez de créer ou de nommer des champions de la sécurité au sein de la communauté. Il s'agirait de développeurs talentueux et sensibilisés à la sécurité qui se distinguent soit dans le cadre de la formation, soit dans le cadre des évaluations de mesures nouvellement ciblées. Ils devraient également être disposés à aider d'autres développeurs à améliorer leurs compétences, améliorant ainsi la communauté de développement de l'intérieur.

Une approche véritablement cohérente doit prendre en compte ce qui est nécessaire pour favoriser une véritable culture de la sécurité dirigée par les développeurs. Cela peut nécessiter un changement d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.

Pour en savoir plus

Livre blanc : Les défis (et les opportunités) pour améliorer la sécurité des logiciels
Livre blanc : L'approche préventive de la sécurité des logiciels axée sur les développeurs
Livre blanc : Le DevSecOps Superbowl : Comment les champions de la sécurité peuvent aider votre équipe à remporter la victoire contre les vulnérabilités tardives.
Rapport : L'état de la sécurité pilotée par les développeurs 2022
Voir la ressource
Voir la ressource

Remplissez le formulaire ci-dessous pour télécharger le rapport

Nous aimerions que vous nous autorisiez à vous envoyer des informations sur nos produits et/ou sur des sujets liés au codage sécurisé. Nous traiterons toujours vos données personnelles avec le plus grand soin et ne les vendrons jamais à d'autres entreprises à des fins de marketing.

Soumettre
Pour soumettre le formulaire, veuillez activer les cookies "Analytics". N'hésitez pas à les désactiver à nouveau une fois que vous aurez terminé.
Ordinateurs portables sur une table avec des personnes travaillant, vu d'en haut

En réponse à des failles de sécurité majeures telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, les efforts de sécurité menés par les développeurs se font de plus en plus pressants. Les organisations de toutes tailles commencent à remettre en question leur "chaîne d'approvisionnement en logiciels" et à exiger que les développeurs de leurs logiciels aient des compétences et des connaissances vérifiées en matière de sécurité.

Même le gouvernement des États-Unis appelle à de meilleures pratiques de sécurité dirigées par les développeurs et à un renforcement de la chaîne d'approvisionnement en logiciels. Ces concepts sont un élément clé du décret sur l'amélioration de la cybersécurité de la nation publié par le président Biden.

Dans l'ensemble, la communauté des développeurs s'est montrée réceptive à l'idée d'intégrer la sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC) grâce à des programmes et des mouvements tels que DevSecOps.

Les vulnérabilités des logiciels continuent d'être exploitées, et même les développeurs admettent qu'ils laissent parfois des failles dans leur code.

Pourquoi ?

L'enquête a confirmé que l'écriture d'un code de qualité était une priorité absolue pour la communauté des développeurs. Cependant, l'enquête a également identifié plusieurs raisons pour lesquelles la formation dispensée aux développeurs, bien qu'elle soit considérée comme utile, ne permet pas d'atteindre l'objectif de sécurisation de la chaîne d'approvisionnement en logiciels. 33 % ont déclaré qu'ils laissaient encore des vulnérabilités dans leur code parce que, même après la formation dispensée, ils ne savaient toujours pas comment identifier ou corriger les vulnérabilités connues. Par ailleurs, 92 % des personnes interrogées ont déclaré qu'elles avaient besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 50 % d'entre elles ont déclaré qu'elles avaient besoin de beaucoup plus de formation.

Il est clair que la communauté des développeurs apprécie la formation qui leur est dispensée. Toutefois, lorsqu'on les interroge sur les obstacles à l'adoption de pratiques de codage sécurisées, le manque de temps est cité comme la première raison, suivi par un cinquième des répondants qui citent l'absence d'une approche cohérente comme coupable. La formation est davantage considérée comme un événement ponctuel que comme un élément d'un effort stratégique continu visant à intégrer la sécurité dans les flux de travail des développeurs et à l'utiliser au quotidien.

Ainsi, les développeurs ne sont pas en mesure d'acquérir et de conserver des compétences en matière de codage sécurisé dans le cadre d'un programme cohérent et continu au sein de leur organisation. Nous pouvons également conclure que la formation actuellement reçue n'est pas particulièrement efficace ou complète, étant donné que de nombreux développeurs affirment qu'ils ne peuvent toujours pas identifier et corriger les vulnérabilités courantes.

92 % des développeurs ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 92 % ont déclaré qu'une formation beaucoup plus poussée était nécessaire.

Que peuvent faire les organisations pour remédier à la situation ?

Il est intéressant de noter que les développeurs ont massivement déclaré qu'ils avaient besoin d'une formation plus poussée en matière de sécurité. Bien qu'ils apprécient la formation qu'ils ont reçue, il s'agit peut-être d'une situation où ils se contentent de ce qu'ils peuvent obtenir.

Lorsqu'on leur a demandé de commenter les moyens d'améliorer leur formation, leurs véritables idées sur la question ont commencé à faire surface. En général, la plupart des formations reçues par les développeurs étaient limitées, non interactives, ne ciblaient que partiellement leurs responsabilités professionnelles et ne faisaient pas partie d'un plan global ou continu visant à améliorer les compétences et la sensibilisation de leur organisation en matière de sécurité.Selon les développeurs interrogés, si les organisations souhaitent améliorer l'efficacité des formations proposées, celles-ci devraient être présentées comme faisant partie d'une approche globale visant à promouvoir une plus grande importance de la sécurité tout au long du cycle de vie du logiciel. En outre, les développeurs ont formulé des demandes spécifiques pour rendre leur formation plus utile. L'une des suggestions les plus populaires était d'inclure davantage de cas d'utilisation et d'exemples pratiques de situations qu'ils sont susceptibles de rencontrer du point de vue de la sécurité. Une autre réponse populaire pour améliorer l'efficacité était que la formation couvre éventuellement des scénarios de plus en plus complexes ou difficiles - ce qui nécessiterait probablement une approche plus cohérente et un plan à long terme pour l'apprentissage continu et le développement des compétences.Les développeurs ont également souligné le besoin de plus d'interactivité et peut-être même d'ajouter un élément de compétition. En général, les formations où les utilisateurs se contentent de regarder une vidéo ou d'écouter un cours magistral sans possibilité d'apprentissage pratique et contextuel ne sont pas considérées comme efficaces ou particulièrement utiles lorsqu'il s'agit d'enseigner une compétence complexe et (perçue comme) difficile telle que le codage sécurisé.

Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même de l'ajout d'un élément compétitif.

Quels sont les autres éléments importants dans l'adoption d'une approche cohésive de la sécurité ?

La formation est évidemment essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Il est indispensable de veiller à ce que l'apprentissage soit continu, interactif, pertinent et contextuel. Mais une approche véritablement cohérente de la sensibilisation à la sécurité va encore plus loin.

Une approche véritablement cohérente doit prendre en compte ce qui est nécessaire pour favoriser une véritable culture de la sécurité dirigée par les développeurs. Cela peut nécessiter un changement d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs. Par exemple, les développeurs ont toujours été évalués en fonction de leur rapidité à coder. Mais une approche cohésive de la sécurité pourrait impliquer de modifier ces mesures et valeurs de longue date. Au lieu de récompenser la vitesse brute, les évaluations pourraient mettre l'accent sur les développeurs capables de créer un code de qualité qui soit également sûr, c'est-à-dire dépourvu de vulnérabilités.

La communauté des développeurs pourrait également participer à cet effort. Au lieu de simplement imposer la sécurité aux développeurs, envisagez de créer ou de nommer des champions de la sécurité au sein de la communauté. Il s'agirait de développeurs talentueux et sensibilisés à la sécurité qui se distinguent soit dans le cadre de la formation, soit dans le cadre des évaluations de mesures nouvellement ciblées. Ils devraient également être disposés à aider d'autres développeurs à améliorer leurs compétences, améliorant ainsi la communauté de développement de l'intérieur.

Une approche véritablement cohérente doit prendre en compte ce qui est nécessaire pour favoriser une véritable culture de la sécurité dirigée par les développeurs. Cela peut nécessiter un changement d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.

Pour en savoir plus

Livre blanc : Les défis (et les opportunités) pour améliorer la sécurité des logiciels
Livre blanc : L'approche préventive de la sécurité des logiciels axée sur les développeurs
Livre blanc : Le DevSecOps Superbowl : Comment les champions de la sécurité peuvent aider votre équipe à remporter la victoire contre les vulnérabilités tardives.
Rapport : L'état de la sécurité pilotée par les développeurs 2022
Accès aux ressources

Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Voir le rapportRéservez une démonstration
Partager sur :
Vous souhaitez en savoir plus ?

Partager sur :
Auteur
Secure Code Warrior
Publié le 24 novembre 2022

Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.

Secure Code Warrior crée une culture de développeurs axés sur la sécurité en leur donnant les compétences nécessaires pour coder de manière sécurisée. Notre programme phare Agile Learning Platform propose des parcours pertinents basés sur les compétences, des exercices pratiques missions et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé.

Partager sur :

En réponse à des failles de sécurité majeures telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, les efforts de sécurité menés par les développeurs se font de plus en plus pressants. Les organisations de toutes tailles commencent à remettre en question leur "chaîne d'approvisionnement en logiciels" et à exiger que les développeurs de leurs logiciels aient des compétences et des connaissances vérifiées en matière de sécurité.

Même le gouvernement des États-Unis appelle à de meilleures pratiques de sécurité dirigées par les développeurs et à un renforcement de la chaîne d'approvisionnement en logiciels. Ces concepts sont un élément clé du décret sur l'amélioration de la cybersécurité de la nation publié par le président Biden.

Dans l'ensemble, la communauté des développeurs s'est montrée réceptive à l'idée d'intégrer la sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC) grâce à des programmes et des mouvements tels que DevSecOps.

Les vulnérabilités des logiciels continuent d'être exploitées, et même les développeurs admettent qu'ils laissent parfois des failles dans leur code.

Pourquoi ?

L'enquête a confirmé que l'écriture d'un code de qualité était une priorité absolue pour la communauté des développeurs. Cependant, l'enquête a également identifié plusieurs raisons pour lesquelles la formation dispensée aux développeurs, bien qu'elle soit considérée comme utile, ne permet pas d'atteindre l'objectif de sécurisation de la chaîne d'approvisionnement en logiciels. 33 % ont déclaré qu'ils laissaient encore des vulnérabilités dans leur code parce que, même après la formation dispensée, ils ne savaient toujours pas comment identifier ou corriger les vulnérabilités connues. Par ailleurs, 92 % des personnes interrogées ont déclaré qu'elles avaient besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 50 % d'entre elles ont déclaré qu'elles avaient besoin de beaucoup plus de formation.

Il est clair que la communauté des développeurs apprécie la formation qui leur est dispensée. Toutefois, lorsqu'on les interroge sur les obstacles à l'adoption de pratiques de codage sécurisées, le manque de temps est cité comme la première raison, suivi par un cinquième des répondants qui citent l'absence d'une approche cohérente comme coupable. La formation est davantage considérée comme un événement ponctuel que comme un élément d'un effort stratégique continu visant à intégrer la sécurité dans les flux de travail des développeurs et à l'utiliser au quotidien.

Ainsi, les développeurs ne sont pas en mesure d'acquérir et de conserver des compétences en matière de codage sécurisé dans le cadre d'un programme cohérent et continu au sein de leur organisation. Nous pouvons également conclure que la formation actuellement reçue n'est pas particulièrement efficace ou complète, étant donné que de nombreux développeurs affirment qu'ils ne peuvent toujours pas identifier et corriger les vulnérabilités courantes.

92 % des développeurs ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 92 % ont déclaré qu'une formation beaucoup plus poussée était nécessaire.

Que peuvent faire les organisations pour remédier à la situation ?

Il est intéressant de noter que les développeurs ont massivement déclaré qu'ils avaient besoin d'une formation plus poussée en matière de sécurité. Bien qu'ils apprécient la formation qu'ils ont reçue, il s'agit peut-être d'une situation où ils se contentent de ce qu'ils peuvent obtenir.

Lorsqu'on leur a demandé de commenter les moyens d'améliorer leur formation, leurs véritables idées sur la question ont commencé à faire surface. En général, la plupart des formations reçues par les développeurs étaient limitées, non interactives, ne ciblaient que partiellement leurs responsabilités professionnelles et ne faisaient pas partie d'un plan global ou continu visant à améliorer les compétences et la sensibilisation de leur organisation en matière de sécurité.Selon les développeurs interrogés, si les organisations souhaitent améliorer l'efficacité des formations proposées, celles-ci devraient être présentées comme faisant partie d'une approche globale visant à promouvoir une plus grande importance de la sécurité tout au long du cycle de vie du logiciel. En outre, les développeurs ont formulé des demandes spécifiques pour rendre leur formation plus utile. L'une des suggestions les plus populaires était d'inclure davantage de cas d'utilisation et d'exemples pratiques de situations qu'ils sont susceptibles de rencontrer du point de vue de la sécurité. Une autre réponse populaire pour améliorer l'efficacité était que la formation couvre éventuellement des scénarios de plus en plus complexes ou difficiles - ce qui nécessiterait probablement une approche plus cohérente et un plan à long terme pour l'apprentissage continu et le développement des compétences.Les développeurs ont également souligné le besoin de plus d'interactivité et peut-être même d'ajouter un élément de compétition. En général, les formations où les utilisateurs se contentent de regarder une vidéo ou d'écouter un cours magistral sans possibilité d'apprentissage pratique et contextuel ne sont pas considérées comme efficaces ou particulièrement utiles lorsqu'il s'agit d'enseigner une compétence complexe et (perçue comme) difficile telle que le codage sécurisé.

Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même de l'ajout d'un élément compétitif.

Quels sont les autres éléments importants dans l'adoption d'une approche cohésive de la sécurité ?

La formation est évidemment essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Il est indispensable de veiller à ce que l'apprentissage soit continu, interactif, pertinent et contextuel. Mais une approche véritablement cohérente de la sensibilisation à la sécurité va encore plus loin.

Une approche véritablement cohérente doit prendre en compte ce qui est nécessaire pour favoriser une véritable culture de la sécurité dirigée par les développeurs. Cela peut nécessiter un changement d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs. Par exemple, les développeurs ont toujours été évalués en fonction de leur rapidité à coder. Mais une approche cohésive de la sécurité pourrait impliquer de modifier ces mesures et valeurs de longue date. Au lieu de récompenser la vitesse brute, les évaluations pourraient mettre l'accent sur les développeurs capables de créer un code de qualité qui soit également sûr, c'est-à-dire dépourvu de vulnérabilités.

La communauté des développeurs pourrait également participer à cet effort. Au lieu de simplement imposer la sécurité aux développeurs, envisagez de créer ou de nommer des champions de la sécurité au sein de la communauté. Il s'agirait de développeurs talentueux et sensibilisés à la sécurité qui se distinguent soit dans le cadre de la formation, soit dans le cadre des évaluations de mesures nouvellement ciblées. Ils devraient également être disposés à aider d'autres développeurs à améliorer leurs compétences, améliorant ainsi la communauté de développement de l'intérieur.

Une approche véritablement cohérente doit prendre en compte ce qui est nécessaire pour favoriser une véritable culture de la sécurité dirigée par les développeurs. Cela peut nécessiter un changement d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.

Pour en savoir plus

Livre blanc : Les défis (et les opportunités) pour améliorer la sécurité des logiciels
Livre blanc : L'approche préventive de la sécurité des logiciels axée sur les développeurs
Livre blanc : Le DevSecOps Superbowl : Comment les champions de la sécurité peuvent aider votre équipe à remporter la victoire contre les vulnérabilités tardives.
Rapport : L'état de la sécurité pilotée par les développeurs 2022

Table des matières

Voir la ressource
Vous souhaitez en savoir plus ?

Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstrationTélécharger
Partager sur :
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles