Comment Thales a mis en place une sécurité orientée vers les développeurs
Contexte
Le groupe Thales est une multinationale française qui conçoit, développe et fabrique des systèmes électriques, ainsi que des dispositifs et des équipements pour les secteurs de l'aérospatiale, de la défense, du transport et de la sécurité. Viswanath S. Chirravuri est directeur technique de la sécurité des logiciels chez Thales. Viswanath, ou Vis, a commencé sa carrière dans le domaine de la sécurité en tant que programmeur. Il est aujourd'hui l'un des principaux responsables de la sécurité chez Thales, avec plus de 18 ans d'expérience dans le secteur de la sécurité, et détient plus de 30 certifications, dont CISSP, PMP et GSE. Il a formé plus de 3 000 professionnels du logiciel dans plus de 18 pays. En outre, Vis a remporté plus de 10 SANS challenge coins dans le domaine de la cybersécurité internationale tournaments (comme Netwars) et est un membre actif du GIAC Advisory Board. Nous nous sommes entretenus avec Vis pour savoir comment il a aligné les personnes, les processus et la technologie pour développer un programme d'apprentissage de code sécurisé réussi chez Thales.
Situation
Lorsque Vis a commencé à travailler chez Thales, il a conseillé aux unités commerciales de rechercher la source des vulnérabilités découvertes par le biais de tests d'intrusion comme solution possible pour réduire l'arriéré de la dette technologique. L'équipe chargée de la sécurité des applications utilisait 7 fournisseurs différents avec lesquels elle travaillait pour renforcer sa position en matière de sécurité - des outils IAST/DAST aux outils de test d'intrusion. Vis souhaitait comprendre les tendances du marché et gérer les menaces de manière évolutive afin de développer des stratégies d'atténuation grâce à une forte intégration entre les processus et la technologie. Pour ce faire, il fallait passer d'une approche purement axée sur les outils à une stratégie comportant une forte composante d'apprentissage. Il a remarqué que de nombreux développeurs n'avaient pas d'expérience ou de compétences en matière de sécurité. Son approche initiale consistait à proposer aux développeurs des formations en classe sur des sujets tels que le Top 10 de l'OWASP, mais il s'est rapidement rendu compte que cela n'allait pas s'adapter à tous les déplacements nécessaires pour enseigner en personne et à la nécessité d'atteindre des milliers de développeurs à travers le monde. Vis a noté que :
"Il y aura toujours un déséquilibre dans le rapport entre la sécurité et le développement. Même si j'avais un ratio sécurité/développeurs de 1:1, je ne pourrais pas les mobiliser en permanence. Pour tenir nos développeurs au courant des nouveaux vecteurs d'attaque, des meilleures pratiques, des nouveaux langages et des vulnérabilités récemment découvertes, nous devions être en mesure de promouvoir l'auto-apprentissage par les développeurs et leur permettre d'avancer à leur propre rythme. S'ils ont besoin d'aide, je peux les aider, mais je me suis rendu compte que je ne pouvais pas être celui qui leur apprend à corriger toutes les vulnérabilités qu'ils trouvent".
Au départ, les responsables du développement se sont opposés à l'investissement en temps que les développeurs devraient consacrer à l'apprentissage du code sécurisé, étant donné qu'un grand nombre d'entre eux partaient de zéro. Vis devait gérer la perception selon laquelle un engagement en faveur de l'apprentissage du code sécurisé pourrait perturber les cycles de publication des logiciels ou ralentir les sprints essentiels à la mission. Il devait trouver un moyen de motiver correctement l'organisation pour qu'elle consacre du temps à l'apprentissage agile du code sécurisé. Vis a adopté une attitude axée sur les personnes pour traiter les vulnérabilités à la source, "Les gens disent souvent que la sécurité prend du temps au développement. Pour moi, si vous développez quelque chose et que ce n'est pas sécurisé, c'est une perte de temps au départ. Vous devriez toujours développer un logiciel pour qu'il soit sûr et vous épargner le temps de devoir corriger des vulnérabilités qui auraient pu être facilement évitées. Nous devrions tous avoir pour objectif commun de livrer un code fiable".
Action
Vis avait deux objectifs principaux : sécuriser leurs logiciels et sensibiliser les équipes de développeurs de Thales à la sécurité. Il était essentiel de mettre en œuvre un programme qui permette aux développeurs d'être indépendants et de se former à leur propre rythme. La stratégie de Vis consistait à créer une communauté de sécurité au fil du temps, en s'efforçant de lier le codage sécurisé aux politiques de l'entreprise et en développant un mandat pour l'apprentissage du code sécurisé au sein de l'organisation. En encourageant une culture de la communauté qui relie les développeurs, les testeurs, les architectes et les ingénieurs, il a constaté un effet multiplicateur de la motivation. Des champions de la sécurité sont apparus, passionnés par la sécurité dans le cadre de leur travail quotidien, et ont contribué à faire connaître les pratiques de codage sécurisé dans l'ensemble de l'organisation. Vis a évalué plus d'une douzaine de fournisseurs de formation à la sécurité et est devenu un client SCW en 2019. Pour Thales, c'était un énorme avantage d'avoir un fournisseur couvrant tous les langages de programmation et les cadres dans leur environnement au lieu d'une solution fragmentaire. Vis s'est appuyé sur l'énorme volume de contenu de Secure Code Warriorpour créer des formations et des apprentissages autonomes auxquels les développeurs du programme de sécurité peuvent accéder :
"Le top 10 de l'OWASP n'est pas simplement dix choses que vous devez savoir. La profondeur et la diversité des vulnérabilités couvertes par l'OWASP, combinées au nombre de langages de programmation, peuvent être accablantes - le large éventail de défis et la couverture que nous avons sur ces sujets ont été un facteur clé dans le choix de SCW. Ils ajoutent toujours de nouvelles choses. La profondeur, la diversité des sujets, le contenu actualisé et l'accent mis sur les principes de conception de code sécurisé distinguent vraiment SCW. Avec eux, il ne s'agit pas d'une formation à usage unique, au contraire, nous avons eu l'opportunité de construire un programme continu".
Vis et son équipe ont structuré quatre niveaux de déploiement du programme d'apprentissage du code sécurisé, avec des étapes différentes pour chaque rôle d'ingénieur :
Il est important de noter que le SCW est devenu la source de vérité pour les corrections de vulnérabilités. Au lieu de s'appuyer sur des recherches Google qui pourraient vous conduire à un dépannage, Vis a publié à la fois les directives de l'équipe AppSec et celles de la bibliothèque de contenu de SCW afin que les développeurs puissent se référer à une source fiable et authentique pour les corrections de vulnérabilités dans le code. Selon Vis :
"Les développeurs ne devraient pas être libres de décider comment corriger une vulnérabilité et potentiellement introduire une nouvelle vulnérabilité dans le processus. Nous avons intégré les vidéos de SCW dans notre LMS via l'intégration SCORM de SCW pour nous assurer que les développeurs apprennent à corriger la vulnérabilité de la bonne manière. Cela nous a également permis de nous assurer que les développeurs fournissant des logiciels sécurisés étaient reconnus. Nous leur demandons d'atteindre un certain niveau de codage sécurisé et nous pouvons le suivre grâce aux vulnérabilités qu'ils résolvent et qu'ils ne réintroduisent pas. De cette manière, le travail acharné qu'ils ont accompli est reconnu et valorisé au sein de l'entreprise".
Résultats
Vis et son équipe publient une lettre d'information mensuelle sur le code sécurisé dans laquelle ils reconnaissent les meilleurs apprenants de l'entreprise. Ils utilisent SCW pour examiner les scores assessment , la participation à tournament et les défis relevés afin d'amplifier cette réussite. Cela motive les autres développeurs à apprendre eux aussi. Les indicateurs clés de performance qu'il avait initialement fixés visaient à réduire le nombre total de vulnérabilités sur une période de deux ans. Après la mise en œuvre de SCW, il a constaté une tendance à la baisse. Ces vulnérabilités ne sont pas réintroduites au niveau du code source. Vis l'explique ainsi :
"Les indicateurs clés de performance que nous présentons à notre direction reflètent le choix que nous avons fait en connaissance de cause. Nous sommes fiers d'avoir une formation au code sécurisé qui donne confiance à nos clients. Nous sommes reconnus pour notre programme complet de formation au code sécurisé et nous sommes respectés par nos clients et nos pairs. L'existence d'un tel programme ajoute beaucoup de valeur à votre entreprise.
Principaux enseignements
Vis a reconnu que les personnes, les processus et la technologie ont tous un rôle à jouer dans toute initiative de sécurité. En se concentrant sur la sécurité du logiciel, les connaissances des développeurs et le respect de la conformité, il est possible de mettre en place un apprentissage agile pour un programme de code sécurisé qui réduit les vulnérabilités dans le code source au fil du temps. Vis propose ces recommandations aux professionnels de son domaine qui cherchent à renforcer les compétences en matière de sécurité au sein des équipes de développeurs.
Dans cette étude de cas, découvrez comment Thales a développé des approches en termes de personnel, de processus et de technologie pour un programme agile d'apprentissage du code sécurisé afin d'inciter les développeurs à devenir des champions actifs de la sécurité.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationContexte
Le groupe Thales est une multinationale française qui conçoit, développe et fabrique des systèmes électriques, ainsi que des dispositifs et des équipements pour les secteurs de l'aérospatiale, de la défense, du transport et de la sécurité. Viswanath S. Chirravuri est directeur technique de la sécurité des logiciels chez Thales. Viswanath, ou Vis, a commencé sa carrière dans le domaine de la sécurité en tant que programmeur. Il est aujourd'hui l'un des principaux responsables de la sécurité chez Thales, avec plus de 18 ans d'expérience dans le secteur de la sécurité, et détient plus de 30 certifications, dont CISSP, PMP et GSE. Il a formé plus de 3 000 professionnels du logiciel dans plus de 18 pays. En outre, Vis a remporté plus de 10 SANS challenge coins dans le domaine de la cybersécurité internationale tournaments (comme Netwars) et est un membre actif du GIAC Advisory Board. Nous nous sommes entretenus avec Vis pour savoir comment il a aligné les personnes, les processus et la technologie pour développer un programme d'apprentissage de code sécurisé réussi chez Thales.
Situation
Lorsque Vis a commencé à travailler chez Thales, il a conseillé aux unités commerciales de rechercher la source des vulnérabilités découvertes par le biais de tests d'intrusion comme solution possible pour réduire l'arriéré de la dette technologique. L'équipe chargée de la sécurité des applications utilisait 7 fournisseurs différents avec lesquels elle travaillait pour renforcer sa position en matière de sécurité - des outils IAST/DAST aux outils de test d'intrusion. Vis souhaitait comprendre les tendances du marché et gérer les menaces de manière évolutive afin de développer des stratégies d'atténuation grâce à une forte intégration entre les processus et la technologie. Pour ce faire, il fallait passer d'une approche purement axée sur les outils à une stratégie comportant une forte composante d'apprentissage. Il a remarqué que de nombreux développeurs n'avaient pas d'expérience ou de compétences en matière de sécurité. Son approche initiale consistait à proposer aux développeurs des formations en classe sur des sujets tels que le Top 10 de l'OWASP, mais il s'est rapidement rendu compte que cela n'allait pas s'adapter à tous les déplacements nécessaires pour enseigner en personne et à la nécessité d'atteindre des milliers de développeurs à travers le monde. Vis a noté que :
"Il y aura toujours un déséquilibre dans le rapport entre la sécurité et le développement. Même si j'avais un ratio sécurité/développeurs de 1:1, je ne pourrais pas les mobiliser en permanence. Pour tenir nos développeurs au courant des nouveaux vecteurs d'attaque, des meilleures pratiques, des nouveaux langages et des vulnérabilités récemment découvertes, nous devions être en mesure de promouvoir l'auto-apprentissage par les développeurs et leur permettre d'avancer à leur propre rythme. S'ils ont besoin d'aide, je peux les aider, mais je me suis rendu compte que je ne pouvais pas être celui qui leur apprend à corriger toutes les vulnérabilités qu'ils trouvent".
Au départ, les responsables du développement se sont opposés à l'investissement en temps que les développeurs devraient consacrer à l'apprentissage du code sécurisé, étant donné qu'un grand nombre d'entre eux partaient de zéro. Vis devait gérer la perception selon laquelle un engagement en faveur de l'apprentissage du code sécurisé pourrait perturber les cycles de publication des logiciels ou ralentir les sprints essentiels à la mission. Il devait trouver un moyen de motiver correctement l'organisation pour qu'elle consacre du temps à l'apprentissage agile du code sécurisé. Vis a adopté une attitude axée sur les personnes pour traiter les vulnérabilités à la source, "Les gens disent souvent que la sécurité prend du temps au développement. Pour moi, si vous développez quelque chose et que ce n'est pas sécurisé, c'est une perte de temps au départ. Vous devriez toujours développer un logiciel pour qu'il soit sûr et vous épargner le temps de devoir corriger des vulnérabilités qui auraient pu être facilement évitées. Nous devrions tous avoir pour objectif commun de livrer un code fiable".
Action
Vis avait deux objectifs principaux : sécuriser leurs logiciels et sensibiliser les équipes de développeurs de Thales à la sécurité. Il était essentiel de mettre en œuvre un programme qui permette aux développeurs d'être indépendants et de se former à leur propre rythme. La stratégie de Vis consistait à créer une communauté de sécurité au fil du temps, en s'efforçant de lier le codage sécurisé aux politiques de l'entreprise et en développant un mandat pour l'apprentissage du code sécurisé au sein de l'organisation. En encourageant une culture de la communauté qui relie les développeurs, les testeurs, les architectes et les ingénieurs, il a constaté un effet multiplicateur de la motivation. Des champions de la sécurité sont apparus, passionnés par la sécurité dans le cadre de leur travail quotidien, et ont contribué à faire connaître les pratiques de codage sécurisé dans l'ensemble de l'organisation. Vis a évalué plus d'une douzaine de fournisseurs de formation à la sécurité et est devenu un client SCW en 2019. Pour Thales, c'était un énorme avantage d'avoir un fournisseur couvrant tous les langages de programmation et les cadres dans leur environnement au lieu d'une solution fragmentaire. Vis s'est appuyé sur l'énorme volume de contenu de Secure Code Warriorpour créer des formations et des apprentissages autonomes auxquels les développeurs du programme de sécurité peuvent accéder :
"Le top 10 de l'OWASP n'est pas simplement dix choses que vous devez savoir. La profondeur et la diversité des vulnérabilités couvertes par l'OWASP, combinées au nombre de langages de programmation, peuvent être accablantes - le large éventail de défis et la couverture que nous avons sur ces sujets ont été un facteur clé dans le choix de SCW. Ils ajoutent toujours de nouvelles choses. La profondeur, la diversité des sujets, le contenu actualisé et l'accent mis sur les principes de conception de code sécurisé distinguent vraiment SCW. Avec eux, il ne s'agit pas d'une formation à usage unique, au contraire, nous avons eu l'opportunité de construire un programme continu".
Vis et son équipe ont structuré quatre niveaux de déploiement du programme d'apprentissage du code sécurisé, avec des étapes différentes pour chaque rôle d'ingénieur :
Il est important de noter que le SCW est devenu la source de vérité pour les corrections de vulnérabilités. Au lieu de s'appuyer sur des recherches Google qui pourraient vous conduire à un dépannage, Vis a publié à la fois les directives de l'équipe AppSec et celles de la bibliothèque de contenu de SCW afin que les développeurs puissent se référer à une source fiable et authentique pour les corrections de vulnérabilités dans le code. Selon Vis :
"Les développeurs ne devraient pas être libres de décider comment corriger une vulnérabilité et potentiellement introduire une nouvelle vulnérabilité dans le processus. Nous avons intégré les vidéos de SCW dans notre LMS via l'intégration SCORM de SCW pour nous assurer que les développeurs apprennent à corriger la vulnérabilité de la bonne manière. Cela nous a également permis de nous assurer que les développeurs fournissant des logiciels sécurisés étaient reconnus. Nous leur demandons d'atteindre un certain niveau de codage sécurisé et nous pouvons le suivre grâce aux vulnérabilités qu'ils résolvent et qu'ils ne réintroduisent pas. De cette manière, le travail acharné qu'ils ont accompli est reconnu et valorisé au sein de l'entreprise".
Résultats
Vis et son équipe publient une lettre d'information mensuelle sur le code sécurisé dans laquelle ils reconnaissent les meilleurs apprenants de l'entreprise. Ils utilisent SCW pour examiner les scores assessment , la participation à tournament et les défis relevés afin d'amplifier cette réussite. Cela motive les autres développeurs à apprendre eux aussi. Les indicateurs clés de performance qu'il avait initialement fixés visaient à réduire le nombre total de vulnérabilités sur une période de deux ans. Après la mise en œuvre de SCW, il a constaté une tendance à la baisse. Ces vulnérabilités ne sont pas réintroduites au niveau du code source. Vis l'explique ainsi :
"Les indicateurs clés de performance que nous présentons à notre direction reflètent le choix que nous avons fait en connaissance de cause. Nous sommes fiers d'avoir une formation au code sécurisé qui donne confiance à nos clients. Nous sommes reconnus pour notre programme complet de formation au code sécurisé et nous sommes respectés par nos clients et nos pairs. L'existence d'un tel programme ajoute beaucoup de valeur à votre entreprise.
Principaux enseignements
Vis a reconnu que les personnes, les processus et la technologie ont tous un rôle à jouer dans toute initiative de sécurité. En se concentrant sur la sécurité du logiciel, les connaissances des développeurs et le respect de la conformité, il est possible de mettre en place un apprentissage agile pour un programme de code sécurisé qui réduit les vulnérabilités dans le code source au fil du temps. Vis propose ces recommandations aux professionnels de son domaine qui cherchent à renforcer les compétences en matière de sécurité au sein des équipes de développeurs.
Contexte
Le groupe Thales est une multinationale française qui conçoit, développe et fabrique des systèmes électriques, ainsi que des dispositifs et des équipements pour les secteurs de l'aérospatiale, de la défense, du transport et de la sécurité. Viswanath S. Chirravuri est directeur technique de la sécurité des logiciels chez Thales. Viswanath, ou Vis, a commencé sa carrière dans le domaine de la sécurité en tant que programmeur. Il est aujourd'hui l'un des principaux responsables de la sécurité chez Thales, avec plus de 18 ans d'expérience dans le secteur de la sécurité, et détient plus de 30 certifications, dont CISSP, PMP et GSE. Il a formé plus de 3 000 professionnels du logiciel dans plus de 18 pays. En outre, Vis a remporté plus de 10 SANS challenge coins dans le domaine de la cybersécurité internationale tournaments (comme Netwars) et est un membre actif du GIAC Advisory Board. Nous nous sommes entretenus avec Vis pour savoir comment il a aligné les personnes, les processus et la technologie pour développer un programme d'apprentissage de code sécurisé réussi chez Thales.
Situation
Lorsque Vis a commencé à travailler chez Thales, il a conseillé aux unités commerciales de rechercher la source des vulnérabilités découvertes par le biais de tests d'intrusion comme solution possible pour réduire l'arriéré de la dette technologique. L'équipe chargée de la sécurité des applications utilisait 7 fournisseurs différents avec lesquels elle travaillait pour renforcer sa position en matière de sécurité - des outils IAST/DAST aux outils de test d'intrusion. Vis souhaitait comprendre les tendances du marché et gérer les menaces de manière évolutive afin de développer des stratégies d'atténuation grâce à une forte intégration entre les processus et la technologie. Pour ce faire, il fallait passer d'une approche purement axée sur les outils à une stratégie comportant une forte composante d'apprentissage. Il a remarqué que de nombreux développeurs n'avaient pas d'expérience ou de compétences en matière de sécurité. Son approche initiale consistait à proposer aux développeurs des formations en classe sur des sujets tels que le Top 10 de l'OWASP, mais il s'est rapidement rendu compte que cela n'allait pas s'adapter à tous les déplacements nécessaires pour enseigner en personne et à la nécessité d'atteindre des milliers de développeurs à travers le monde. Vis a noté que :
"Il y aura toujours un déséquilibre dans le rapport entre la sécurité et le développement. Même si j'avais un ratio sécurité/développeurs de 1:1, je ne pourrais pas les mobiliser en permanence. Pour tenir nos développeurs au courant des nouveaux vecteurs d'attaque, des meilleures pratiques, des nouveaux langages et des vulnérabilités récemment découvertes, nous devions être en mesure de promouvoir l'auto-apprentissage par les développeurs et leur permettre d'avancer à leur propre rythme. S'ils ont besoin d'aide, je peux les aider, mais je me suis rendu compte que je ne pouvais pas être celui qui leur apprend à corriger toutes les vulnérabilités qu'ils trouvent".
Au départ, les responsables du développement se sont opposés à l'investissement en temps que les développeurs devraient consacrer à l'apprentissage du code sécurisé, étant donné qu'un grand nombre d'entre eux partaient de zéro. Vis devait gérer la perception selon laquelle un engagement en faveur de l'apprentissage du code sécurisé pourrait perturber les cycles de publication des logiciels ou ralentir les sprints essentiels à la mission. Il devait trouver un moyen de motiver correctement l'organisation pour qu'elle consacre du temps à l'apprentissage agile du code sécurisé. Vis a adopté une attitude axée sur les personnes pour traiter les vulnérabilités à la source, "Les gens disent souvent que la sécurité prend du temps au développement. Pour moi, si vous développez quelque chose et que ce n'est pas sécurisé, c'est une perte de temps au départ. Vous devriez toujours développer un logiciel pour qu'il soit sûr et vous épargner le temps de devoir corriger des vulnérabilités qui auraient pu être facilement évitées. Nous devrions tous avoir pour objectif commun de livrer un code fiable".
Action
Vis avait deux objectifs principaux : sécuriser leurs logiciels et sensibiliser les équipes de développeurs de Thales à la sécurité. Il était essentiel de mettre en œuvre un programme qui permette aux développeurs d'être indépendants et de se former à leur propre rythme. La stratégie de Vis consistait à créer une communauté de sécurité au fil du temps, en s'efforçant de lier le codage sécurisé aux politiques de l'entreprise et en développant un mandat pour l'apprentissage du code sécurisé au sein de l'organisation. En encourageant une culture de la communauté qui relie les développeurs, les testeurs, les architectes et les ingénieurs, il a constaté un effet multiplicateur de la motivation. Des champions de la sécurité sont apparus, passionnés par la sécurité dans le cadre de leur travail quotidien, et ont contribué à faire connaître les pratiques de codage sécurisé dans l'ensemble de l'organisation. Vis a évalué plus d'une douzaine de fournisseurs de formation à la sécurité et est devenu un client SCW en 2019. Pour Thales, c'était un énorme avantage d'avoir un fournisseur couvrant tous les langages de programmation et les cadres dans leur environnement au lieu d'une solution fragmentaire. Vis s'est appuyé sur l'énorme volume de contenu de Secure Code Warriorpour créer des formations et des apprentissages autonomes auxquels les développeurs du programme de sécurité peuvent accéder :
"Le top 10 de l'OWASP n'est pas simplement dix choses que vous devez savoir. La profondeur et la diversité des vulnérabilités couvertes par l'OWASP, combinées au nombre de langages de programmation, peuvent être accablantes - le large éventail de défis et la couverture que nous avons sur ces sujets ont été un facteur clé dans le choix de SCW. Ils ajoutent toujours de nouvelles choses. La profondeur, la diversité des sujets, le contenu actualisé et l'accent mis sur les principes de conception de code sécurisé distinguent vraiment SCW. Avec eux, il ne s'agit pas d'une formation à usage unique, au contraire, nous avons eu l'opportunité de construire un programme continu".
Vis et son équipe ont structuré quatre niveaux de déploiement du programme d'apprentissage du code sécurisé, avec des étapes différentes pour chaque rôle d'ingénieur :
Il est important de noter que le SCW est devenu la source de vérité pour les corrections de vulnérabilités. Au lieu de s'appuyer sur des recherches Google qui pourraient vous conduire à un dépannage, Vis a publié à la fois les directives de l'équipe AppSec et celles de la bibliothèque de contenu de SCW afin que les développeurs puissent se référer à une source fiable et authentique pour les corrections de vulnérabilités dans le code. Selon Vis :
"Les développeurs ne devraient pas être libres de décider comment corriger une vulnérabilité et potentiellement introduire une nouvelle vulnérabilité dans le processus. Nous avons intégré les vidéos de SCW dans notre LMS via l'intégration SCORM de SCW pour nous assurer que les développeurs apprennent à corriger la vulnérabilité de la bonne manière. Cela nous a également permis de nous assurer que les développeurs fournissant des logiciels sécurisés étaient reconnus. Nous leur demandons d'atteindre un certain niveau de codage sécurisé et nous pouvons le suivre grâce aux vulnérabilités qu'ils résolvent et qu'ils ne réintroduisent pas. De cette manière, le travail acharné qu'ils ont accompli est reconnu et valorisé au sein de l'entreprise".
Résultats
Vis et son équipe publient une lettre d'information mensuelle sur le code sécurisé dans laquelle ils reconnaissent les meilleurs apprenants de l'entreprise. Ils utilisent SCW pour examiner les scores assessment , la participation à tournament et les défis relevés afin d'amplifier cette réussite. Cela motive les autres développeurs à apprendre eux aussi. Les indicateurs clés de performance qu'il avait initialement fixés visaient à réduire le nombre total de vulnérabilités sur une période de deux ans. Après la mise en œuvre de SCW, il a constaté une tendance à la baisse. Ces vulnérabilités ne sont pas réintroduites au niveau du code source. Vis l'explique ainsi :
"Les indicateurs clés de performance que nous présentons à notre direction reflètent le choix que nous avons fait en connaissance de cause. Nous sommes fiers d'avoir une formation au code sécurisé qui donne confiance à nos clients. Nous sommes reconnus pour notre programme complet de formation au code sécurisé et nous sommes respectés par nos clients et nos pairs. L'existence d'un tel programme ajoute beaucoup de valeur à votre entreprise.
Principaux enseignements
Vis a reconnu que les personnes, les processus et la technologie ont tous un rôle à jouer dans toute initiative de sécurité. En se concentrant sur la sécurité du logiciel, les connaissances des développeurs et le respect de la conformité, il est possible de mettre en place un apprentissage agile pour un programme de code sécurisé qui réduit les vulnérabilités dans le code source au fil du temps. Vis propose ces recommandations aux professionnels de son domaine qui cherchent à renforcer les compétences en matière de sécurité au sein des équipes de développeurs.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationContexte
Le groupe Thales est une multinationale française qui conçoit, développe et fabrique des systèmes électriques, ainsi que des dispositifs et des équipements pour les secteurs de l'aérospatiale, de la défense, du transport et de la sécurité. Viswanath S. Chirravuri est directeur technique de la sécurité des logiciels chez Thales. Viswanath, ou Vis, a commencé sa carrière dans le domaine de la sécurité en tant que programmeur. Il est aujourd'hui l'un des principaux responsables de la sécurité chez Thales, avec plus de 18 ans d'expérience dans le secteur de la sécurité, et détient plus de 30 certifications, dont CISSP, PMP et GSE. Il a formé plus de 3 000 professionnels du logiciel dans plus de 18 pays. En outre, Vis a remporté plus de 10 SANS challenge coins dans le domaine de la cybersécurité internationale tournaments (comme Netwars) et est un membre actif du GIAC Advisory Board. Nous nous sommes entretenus avec Vis pour savoir comment il a aligné les personnes, les processus et la technologie pour développer un programme d'apprentissage de code sécurisé réussi chez Thales.
Situation
Lorsque Vis a commencé à travailler chez Thales, il a conseillé aux unités commerciales de rechercher la source des vulnérabilités découvertes par le biais de tests d'intrusion comme solution possible pour réduire l'arriéré de la dette technologique. L'équipe chargée de la sécurité des applications utilisait 7 fournisseurs différents avec lesquels elle travaillait pour renforcer sa position en matière de sécurité - des outils IAST/DAST aux outils de test d'intrusion. Vis souhaitait comprendre les tendances du marché et gérer les menaces de manière évolutive afin de développer des stratégies d'atténuation grâce à une forte intégration entre les processus et la technologie. Pour ce faire, il fallait passer d'une approche purement axée sur les outils à une stratégie comportant une forte composante d'apprentissage. Il a remarqué que de nombreux développeurs n'avaient pas d'expérience ou de compétences en matière de sécurité. Son approche initiale consistait à proposer aux développeurs des formations en classe sur des sujets tels que le Top 10 de l'OWASP, mais il s'est rapidement rendu compte que cela n'allait pas s'adapter à tous les déplacements nécessaires pour enseigner en personne et à la nécessité d'atteindre des milliers de développeurs à travers le monde. Vis a noté que :
"Il y aura toujours un déséquilibre dans le rapport entre la sécurité et le développement. Même si j'avais un ratio sécurité/développeurs de 1:1, je ne pourrais pas les mobiliser en permanence. Pour tenir nos développeurs au courant des nouveaux vecteurs d'attaque, des meilleures pratiques, des nouveaux langages et des vulnérabilités récemment découvertes, nous devions être en mesure de promouvoir l'auto-apprentissage par les développeurs et leur permettre d'avancer à leur propre rythme. S'ils ont besoin d'aide, je peux les aider, mais je me suis rendu compte que je ne pouvais pas être celui qui leur apprend à corriger toutes les vulnérabilités qu'ils trouvent".
Au départ, les responsables du développement se sont opposés à l'investissement en temps que les développeurs devraient consacrer à l'apprentissage du code sécurisé, étant donné qu'un grand nombre d'entre eux partaient de zéro. Vis devait gérer la perception selon laquelle un engagement en faveur de l'apprentissage du code sécurisé pourrait perturber les cycles de publication des logiciels ou ralentir les sprints essentiels à la mission. Il devait trouver un moyen de motiver correctement l'organisation pour qu'elle consacre du temps à l'apprentissage agile du code sécurisé. Vis a adopté une attitude axée sur les personnes pour traiter les vulnérabilités à la source, "Les gens disent souvent que la sécurité prend du temps au développement. Pour moi, si vous développez quelque chose et que ce n'est pas sécurisé, c'est une perte de temps au départ. Vous devriez toujours développer un logiciel pour qu'il soit sûr et vous épargner le temps de devoir corriger des vulnérabilités qui auraient pu être facilement évitées. Nous devrions tous avoir pour objectif commun de livrer un code fiable".
Action
Vis avait deux objectifs principaux : sécuriser leurs logiciels et sensibiliser les équipes de développeurs de Thales à la sécurité. Il était essentiel de mettre en œuvre un programme qui permette aux développeurs d'être indépendants et de se former à leur propre rythme. La stratégie de Vis consistait à créer une communauté de sécurité au fil du temps, en s'efforçant de lier le codage sécurisé aux politiques de l'entreprise et en développant un mandat pour l'apprentissage du code sécurisé au sein de l'organisation. En encourageant une culture de la communauté qui relie les développeurs, les testeurs, les architectes et les ingénieurs, il a constaté un effet multiplicateur de la motivation. Des champions de la sécurité sont apparus, passionnés par la sécurité dans le cadre de leur travail quotidien, et ont contribué à faire connaître les pratiques de codage sécurisé dans l'ensemble de l'organisation. Vis a évalué plus d'une douzaine de fournisseurs de formation à la sécurité et est devenu un client SCW en 2019. Pour Thales, c'était un énorme avantage d'avoir un fournisseur couvrant tous les langages de programmation et les cadres dans leur environnement au lieu d'une solution fragmentaire. Vis s'est appuyé sur l'énorme volume de contenu de Secure Code Warriorpour créer des formations et des apprentissages autonomes auxquels les développeurs du programme de sécurité peuvent accéder :
"Le top 10 de l'OWASP n'est pas simplement dix choses que vous devez savoir. La profondeur et la diversité des vulnérabilités couvertes par l'OWASP, combinées au nombre de langages de programmation, peuvent être accablantes - le large éventail de défis et la couverture que nous avons sur ces sujets ont été un facteur clé dans le choix de SCW. Ils ajoutent toujours de nouvelles choses. La profondeur, la diversité des sujets, le contenu actualisé et l'accent mis sur les principes de conception de code sécurisé distinguent vraiment SCW. Avec eux, il ne s'agit pas d'une formation à usage unique, au contraire, nous avons eu l'opportunité de construire un programme continu".
Vis et son équipe ont structuré quatre niveaux de déploiement du programme d'apprentissage du code sécurisé, avec des étapes différentes pour chaque rôle d'ingénieur :
Il est important de noter que le SCW est devenu la source de vérité pour les corrections de vulnérabilités. Au lieu de s'appuyer sur des recherches Google qui pourraient vous conduire à un dépannage, Vis a publié à la fois les directives de l'équipe AppSec et celles de la bibliothèque de contenu de SCW afin que les développeurs puissent se référer à une source fiable et authentique pour les corrections de vulnérabilités dans le code. Selon Vis :
"Les développeurs ne devraient pas être libres de décider comment corriger une vulnérabilité et potentiellement introduire une nouvelle vulnérabilité dans le processus. Nous avons intégré les vidéos de SCW dans notre LMS via l'intégration SCORM de SCW pour nous assurer que les développeurs apprennent à corriger la vulnérabilité de la bonne manière. Cela nous a également permis de nous assurer que les développeurs fournissant des logiciels sécurisés étaient reconnus. Nous leur demandons d'atteindre un certain niveau de codage sécurisé et nous pouvons le suivre grâce aux vulnérabilités qu'ils résolvent et qu'ils ne réintroduisent pas. De cette manière, le travail acharné qu'ils ont accompli est reconnu et valorisé au sein de l'entreprise".
Résultats
Vis et son équipe publient une lettre d'information mensuelle sur le code sécurisé dans laquelle ils reconnaissent les meilleurs apprenants de l'entreprise. Ils utilisent SCW pour examiner les scores assessment , la participation à tournament et les défis relevés afin d'amplifier cette réussite. Cela motive les autres développeurs à apprendre eux aussi. Les indicateurs clés de performance qu'il avait initialement fixés visaient à réduire le nombre total de vulnérabilités sur une période de deux ans. Après la mise en œuvre de SCW, il a constaté une tendance à la baisse. Ces vulnérabilités ne sont pas réintroduites au niveau du code source. Vis l'explique ainsi :
"Les indicateurs clés de performance que nous présentons à notre direction reflètent le choix que nous avons fait en connaissance de cause. Nous sommes fiers d'avoir une formation au code sécurisé qui donne confiance à nos clients. Nous sommes reconnus pour notre programme complet de formation au code sécurisé et nous sommes respectés par nos clients et nos pairs. L'existence d'un tel programme ajoute beaucoup de valeur à votre entreprise.
Principaux enseignements
Vis a reconnu que les personnes, les processus et la technologie ont tous un rôle à jouer dans toute initiative de sécurité. En se concentrant sur la sécurité du logiciel, les connaissances des développeurs et le respect de la conformité, il est possible de mettre en place un apprentissage agile pour un programme de code sécurisé qui réduit les vulnérabilités dans le code source au fil du temps. Vis propose ces recommandations aux professionnels de son domaine qui cherchent à renforcer les compétences en matière de sécurité au sein des équipes de développeurs.
Table des matières
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.
Plongée en profondeur : Naviguer dans la vulnérabilité critique de CUPS dans les systèmes GNU-Linux
Découvrez les derniers défis de sécurité auxquels sont confrontés les utilisateurs de Linux en explorant les récentes vulnérabilités de haute sévérité dans le système d'impression commun d'UNIX (CUPS). Apprenez comment ces problèmes peuvent conduire à une potentielle exécution de code à distance (RCE) et ce que vous pouvez faire pour protéger vos systèmes.