Études de cas

Comment Thales a mis en place une sécurité orientée vers les développeurs

Publié le 22 juillet 2023

Contexte

Le groupe Thales est une multinationale française qui conçoit, développe et fabrique des systèmes électriques, ainsi que des dispositifs et des équipements pour les secteurs de l'aérospatiale, de la défense, du transport et de la sécurité. Viswanath S. Chirravuri est directeur technique de la sécurité des logiciels chez Thales. Viswanath, ou Vis, a commencé sa carrière dans le domaine de la sécurité en tant que programmeur. Il est aujourd'hui l'un des principaux responsables de la sécurité chez Thales, avec plus de 18 ans d'expérience dans le secteur de la sécurité, et détient plus de 30 certifications, dont CISSP, PMP et GSE. Il a formé plus de 3 000 professionnels du logiciel dans plus de 18 pays. En outre, Vis a remporté plus de 10 SANS challenge coins dans le domaine de la cybersécurité internationale tournaments (comme Netwars) et est un membre actif du GIAC Advisory Board. Nous nous sommes entretenus avec Vis pour savoir comment il a aligné les personnes, les processus et la technologie pour développer un programme d'apprentissage de code sécurisé réussi chez Thales.

Situation

Lorsque Vis a commencé à travailler chez Thales, il a conseillé aux unités commerciales de rechercher la source des vulnérabilités découvertes par le biais de tests d'intrusion comme solution possible pour réduire l'arriéré de la dette technologique. L'équipe chargée de la sécurité des applications utilisait 7 fournisseurs différents avec lesquels elle travaillait pour renforcer sa position en matière de sécurité - des outils IAST/DAST aux outils de test d'intrusion. Vis souhaitait comprendre les tendances du marché et gérer les menaces de manière évolutive afin de développer des stratégies d'atténuation grâce à une forte intégration entre les processus et la technologie. Pour ce faire, il fallait passer d'une approche purement axée sur les outils à une stratégie comportant une forte composante d'apprentissage. Il a remarqué que de nombreux développeurs n'avaient pas d'expérience ou de compétences en matière de sécurité. Son approche initiale consistait à proposer aux développeurs des formations en classe sur des sujets tels que le Top 10 de l'OWASP, mais il s'est rapidement rendu compte que cela n'allait pas s'adapter à tous les déplacements nécessaires pour enseigner en personne et à la nécessité d'atteindre des milliers de développeurs à travers le monde. Vis a noté que :

"Il y aura toujours un déséquilibre dans le rapport entre la sécurité et le développement. Même si j'avais un ratio sécurité/développeurs de 1:1, je ne pourrais pas les mobiliser en permanence. Pour tenir nos développeurs au courant des nouveaux vecteurs d'attaque, des meilleures pratiques, des nouveaux langages et des vulnérabilités récemment découvertes, nous devions être en mesure de promouvoir l'auto-apprentissage par les développeurs et leur permettre d'avancer à leur propre rythme. S'ils ont besoin d'aide, je peux les aider, mais je me suis rendu compte que je ne pouvais pas être celui qui leur apprend à corriger toutes les vulnérabilités qu'ils trouvent".

Au départ, les responsables du développement se sont opposés à l'investissement en temps que les développeurs devraient consacrer à l'apprentissage du code sécurisé, étant donné qu'un grand nombre d'entre eux partaient de zéro. Vis devait gérer la perception selon laquelle un engagement en faveur de l'apprentissage du code sécurisé pourrait perturber les cycles de publication des logiciels ou ralentir les sprints essentiels à la mission. Il devait trouver un moyen de motiver correctement l'organisation pour qu'elle consacre du temps à l'apprentissage agile du code sécurisé. Vis a adopté une attitude axée sur les personnes pour traiter les vulnérabilités à la source, "Les gens disent souvent que la sécurité prend du temps au développement. Pour moi, si vous développez quelque chose et que ce n'est pas sécurisé, c'est une perte de temps au départ. Vous devriez toujours développer un logiciel pour qu'il soit sûr et vous épargner le temps de devoir corriger des vulnérabilités qui auraient pu être facilement évitées. Nous devrions tous avoir pour objectif commun de livrer un code fiable".

Action

Vis avait deux objectifs principaux : sécuriser leurs logiciels et sensibiliser les équipes de développeurs de Thales à la sécurité. Il était essentiel de mettre en œuvre un programme qui permette aux développeurs d'être indépendants et de se former à leur propre rythme. La stratégie de Vis consistait à créer une communauté de sécurité au fil du temps, en s'efforçant de lier le codage sécurisé aux politiques de l'entreprise et en développant un mandat pour l'apprentissage du code sécurisé au sein de l'organisation. En encourageant une culture de la communauté qui relie les développeurs, les testeurs, les architectes et les ingénieurs, il a constaté un effet multiplicateur de la motivation. Des champions de la sécurité sont apparus, passionnés par la sécurité dans le cadre de leur travail quotidien, et ont contribué à faire connaître les pratiques de codage sécurisé dans l'ensemble de l'organisation. Vis a évalué plus d'une douzaine de fournisseurs de formation à la sécurité et est devenu un client SCW en 2019. Pour Thales, c'était un énorme avantage d'avoir un fournisseur couvrant tous les langages de programmation et les cadres dans leur environnement au lieu d'une solution fragmentaire. Vis s'est appuyé sur l'énorme volume de contenu de Secure Code Warriorpour créer des formations et des apprentissages autonomes auxquels les développeurs du programme de sécurité peuvent accéder :

"Le top 10 de l'OWASP n'est pas simplement dix choses que vous devez savoir. La profondeur et la diversité des vulnérabilités couvertes par l'OWASP, combinées au nombre de langages de programmation, peuvent être accablantes - le large éventail de défis et la couverture que nous avons sur ces sujets ont été un facteur clé dans le choix de SCW. Ils ajoutent toujours de nouvelles choses. La profondeur, la diversité des sujets, le contenu actualisé et l'accent mis sur les principes de conception de code sécurisé distinguent vraiment SCW. Avec eux, il ne s'agit pas d'une formation à usage unique, au contraire, nous avons eu l'opportunité de construire un programme continu".

Vis et son équipe ont structuré quatre niveaux de déploiement du programme d'apprentissage du code sécurisé, avec des étapes différentes pour chaque rôle d'ingénieur :

Sensibilisation : Permet d'élever le niveau de base de la sensibilisation à la sécurité et d'établir une base de référence pour les connaissances des développeurs sur le sujet de la sécurité. Basique : enseigne les compétences de base en matière de sécurité, comme la manière de repérer le code vulnérable et de comprendre les vulnérabilités courantes. Autonome : Utilise des tactiques approuvées pour localiser les vulnérabilités et y remédier avec les conseils de Secure Code Warrior.  Expert : devient un champion de la sécurité et un expert dans tous les domaines importants pour l'entreprise.

Il est important de noter que le SCW est devenu la source de vérité pour les corrections de vulnérabilités. Au lieu de s'appuyer sur des recherches Google qui pourraient vous conduire à un dépannage, Vis a publié à la fois les directives de l'équipe AppSec et celles de la bibliothèque de contenu de SCW afin que les développeurs puissent se référer à une source fiable et authentique pour les corrections de vulnérabilités dans le code. Selon Vis :

"Les développeurs ne devraient pas être libres de décider comment corriger une vulnérabilité et potentiellement introduire une nouvelle vulnérabilité dans le processus. Nous avons intégré les vidéos de SCW dans notre LMS via l'intégration SCORM de SCW pour nous assurer que les développeurs apprennent à corriger la vulnérabilité de la bonne manière. Cela nous a également permis de nous assurer que les développeurs fournissant des logiciels sécurisés étaient reconnus. Nous leur demandons d'atteindre un certain niveau de codage sécurisé et nous pouvons le suivre grâce aux vulnérabilités qu'ils résolvent et qu'ils ne réintroduisent pas. De cette manière, le travail acharné qu'ils ont accompli est reconnu et valorisé au sein de l'entreprise".

Résultats

Vis et son équipe publient une lettre d'information mensuelle sur le code sécurisé dans laquelle ils reconnaissent les meilleurs apprenants de l'entreprise. Ils utilisent SCW pour examiner les scores assessment , la participation à tournament et les défis relevés afin d'amplifier cette réussite. Cela motive les autres développeurs à apprendre eux aussi. Les indicateurs clés de performance qu'il avait initialement fixés visaient à réduire le nombre total de vulnérabilités sur une période de deux ans. Après la mise en œuvre de SCW, il a constaté une tendance à la baisse. Ces vulnérabilités ne sont pas réintroduites au niveau du code source. Vis l'explique ainsi :

"Les indicateurs clés de performance que nous présentons à notre direction reflètent le choix que nous avons fait en connaissance de cause. Nous sommes fiers d'avoir une formation au code sécurisé qui donne confiance à nos clients. Nous sommes reconnus pour notre programme complet de formation au code sécurisé et nous sommes respectés par nos clients et nos pairs. L'existence d'un tel programme ajoute beaucoup de valeur à votre entreprise.

Principaux enseignements

Vis a reconnu que les personnes, les processus et la technologie ont tous un rôle à jouer dans toute initiative de sécurité. En se concentrant sur la sécurité du logiciel, les connaissances des développeurs et le respect de la conformité, il est possible de mettre en place un apprentissage agile pour un programme de code sécurisé qui réduit les vulnérabilités dans le code source au fil du temps. Vis propose ces recommandations aux professionnels de son domaine qui cherchent à renforcer les compétences en matière de sécurité au sein des équipes de développeurs.

Concentrez-vous sur votre personnel La valeur que vous accordez à l'apprentissage du code sécurisé est importante. Reconnaissez les connaissances acquises par les développeurs et offrez-leur les certifications de sécurité qu'ils obtiennent. Cela les motivera, ainsi que leurs pairs, à en apprendre davantage. Liez le codage sécurisé aux politiques et processus de sécurité de l'entreprise Donnez aux développeurs l'ordre de n'utiliser que des directives de sécurité approuvées. Assurez-vous que les développeurs savent qu'il existe une source authentifiée, au lieu de créer une ambiguïté dans le processus qui pourrait conduire à l'introduction de nouvelles vulnérabilités. Trouvez des synergies avec vos systèmes internes et vos outils de développement afin de réduire le temps nécessaire aux développeurs pour se perfectionner. Il est important de respecter les délais, mais il faut toujours mettre l'accent sur la sécurisation de vos logiciels afin d'éviter de devoir corriger les vulnérabilités plus tard.
Télécharger le PDF
Voir la ressource
Télécharger le PDF
Voir la ressource

Dans cette étude de cas, découvrez comment Thales a développé des approches en termes de personnel, de processus et de technologie pour un programme agile d'apprentissage du code sécurisé afin d'inciter les développeurs à devenir des champions actifs de la sécurité.

Vous souhaitez en savoir plus ?

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstration
Partager sur :
Auteur
Publié le 22 juillet 2023

Partager sur :

Contexte

Le groupe Thales est une multinationale française qui conçoit, développe et fabrique des systèmes électriques, ainsi que des dispositifs et des équipements pour les secteurs de l'aérospatiale, de la défense, du transport et de la sécurité. Viswanath S. Chirravuri est directeur technique de la sécurité des logiciels chez Thales. Viswanath, ou Vis, a commencé sa carrière dans le domaine de la sécurité en tant que programmeur. Il est aujourd'hui l'un des principaux responsables de la sécurité chez Thales, avec plus de 18 ans d'expérience dans le secteur de la sécurité, et détient plus de 30 certifications, dont CISSP, PMP et GSE. Il a formé plus de 3 000 professionnels du logiciel dans plus de 18 pays. En outre, Vis a remporté plus de 10 SANS challenge coins dans le domaine de la cybersécurité internationale tournaments (comme Netwars) et est un membre actif du GIAC Advisory Board. Nous nous sommes entretenus avec Vis pour savoir comment il a aligné les personnes, les processus et la technologie pour développer un programme d'apprentissage de code sécurisé réussi chez Thales.

Situation

Lorsque Vis a commencé à travailler chez Thales, il a conseillé aux unités commerciales de rechercher la source des vulnérabilités découvertes par le biais de tests d'intrusion comme solution possible pour réduire l'arriéré de la dette technologique. L'équipe chargée de la sécurité des applications utilisait 7 fournisseurs différents avec lesquels elle travaillait pour renforcer sa position en matière de sécurité - des outils IAST/DAST aux outils de test d'intrusion. Vis souhaitait comprendre les tendances du marché et gérer les menaces de manière évolutive afin de développer des stratégies d'atténuation grâce à une forte intégration entre les processus et la technologie. Pour ce faire, il fallait passer d'une approche purement axée sur les outils à une stratégie comportant une forte composante d'apprentissage. Il a remarqué que de nombreux développeurs n'avaient pas d'expérience ou de compétences en matière de sécurité. Son approche initiale consistait à proposer aux développeurs des formations en classe sur des sujets tels que le Top 10 de l'OWASP, mais il s'est rapidement rendu compte que cela n'allait pas s'adapter à tous les déplacements nécessaires pour enseigner en personne et à la nécessité d'atteindre des milliers de développeurs à travers le monde. Vis a noté que :

"Il y aura toujours un déséquilibre dans le rapport entre la sécurité et le développement. Même si j'avais un ratio sécurité/développeurs de 1:1, je ne pourrais pas les mobiliser en permanence. Pour tenir nos développeurs au courant des nouveaux vecteurs d'attaque, des meilleures pratiques, des nouveaux langages et des vulnérabilités récemment découvertes, nous devions être en mesure de promouvoir l'auto-apprentissage par les développeurs et leur permettre d'avancer à leur propre rythme. S'ils ont besoin d'aide, je peux les aider, mais je me suis rendu compte que je ne pouvais pas être celui qui leur apprend à corriger toutes les vulnérabilités qu'ils trouvent".

Au départ, les responsables du développement se sont opposés à l'investissement en temps que les développeurs devraient consacrer à l'apprentissage du code sécurisé, étant donné qu'un grand nombre d'entre eux partaient de zéro. Vis devait gérer la perception selon laquelle un engagement en faveur de l'apprentissage du code sécurisé pourrait perturber les cycles de publication des logiciels ou ralentir les sprints essentiels à la mission. Il devait trouver un moyen de motiver correctement l'organisation pour qu'elle consacre du temps à l'apprentissage agile du code sécurisé. Vis a adopté une attitude axée sur les personnes pour traiter les vulnérabilités à la source, "Les gens disent souvent que la sécurité prend du temps au développement. Pour moi, si vous développez quelque chose et que ce n'est pas sécurisé, c'est une perte de temps au départ. Vous devriez toujours développer un logiciel pour qu'il soit sûr et vous épargner le temps de devoir corriger des vulnérabilités qui auraient pu être facilement évitées. Nous devrions tous avoir pour objectif commun de livrer un code fiable".

Action

Vis avait deux objectifs principaux : sécuriser leurs logiciels et sensibiliser les équipes de développeurs de Thales à la sécurité. Il était essentiel de mettre en œuvre un programme qui permette aux développeurs d'être indépendants et de se former à leur propre rythme. La stratégie de Vis consistait à créer une communauté de sécurité au fil du temps, en s'efforçant de lier le codage sécurisé aux politiques de l'entreprise et en développant un mandat pour l'apprentissage du code sécurisé au sein de l'organisation. En encourageant une culture de la communauté qui relie les développeurs, les testeurs, les architectes et les ingénieurs, il a constaté un effet multiplicateur de la motivation. Des champions de la sécurité sont apparus, passionnés par la sécurité dans le cadre de leur travail quotidien, et ont contribué à faire connaître les pratiques de codage sécurisé dans l'ensemble de l'organisation. Vis a évalué plus d'une douzaine de fournisseurs de formation à la sécurité et est devenu un client SCW en 2019. Pour Thales, c'était un énorme avantage d'avoir un fournisseur couvrant tous les langages de programmation et les cadres dans leur environnement au lieu d'une solution fragmentaire. Vis s'est appuyé sur l'énorme volume de contenu de Secure Code Warriorpour créer des formations et des apprentissages autonomes auxquels les développeurs du programme de sécurité peuvent accéder :

"Le top 10 de l'OWASP n'est pas simplement dix choses que vous devez savoir. La profondeur et la diversité des vulnérabilités couvertes par l'OWASP, combinées au nombre de langages de programmation, peuvent être accablantes - le large éventail de défis et la couverture que nous avons sur ces sujets ont été un facteur clé dans le choix de SCW. Ils ajoutent toujours de nouvelles choses. La profondeur, la diversité des sujets, le contenu actualisé et l'accent mis sur les principes de conception de code sécurisé distinguent vraiment SCW. Avec eux, il ne s'agit pas d'une formation à usage unique, au contraire, nous avons eu l'opportunité de construire un programme continu".

Vis et son équipe ont structuré quatre niveaux de déploiement du programme d'apprentissage du code sécurisé, avec des étapes différentes pour chaque rôle d'ingénieur :

Sensibilisation : Permet d'élever le niveau de base de la sensibilisation à la sécurité et d'établir une base de référence pour les connaissances des développeurs sur le sujet de la sécurité. Basique : enseigne les compétences de base en matière de sécurité, comme la manière de repérer le code vulnérable et de comprendre les vulnérabilités courantes. Autonome : Utilise des tactiques approuvées pour localiser les vulnérabilités et y remédier avec les conseils de Secure Code Warrior.  Expert : devient un champion de la sécurité et un expert dans tous les domaines importants pour l'entreprise.

Il est important de noter que le SCW est devenu la source de vérité pour les corrections de vulnérabilités. Au lieu de s'appuyer sur des recherches Google qui pourraient vous conduire à un dépannage, Vis a publié à la fois les directives de l'équipe AppSec et celles de la bibliothèque de contenu de SCW afin que les développeurs puissent se référer à une source fiable et authentique pour les corrections de vulnérabilités dans le code. Selon Vis :

"Les développeurs ne devraient pas être libres de décider comment corriger une vulnérabilité et potentiellement introduire une nouvelle vulnérabilité dans le processus. Nous avons intégré les vidéos de SCW dans notre LMS via l'intégration SCORM de SCW pour nous assurer que les développeurs apprennent à corriger la vulnérabilité de la bonne manière. Cela nous a également permis de nous assurer que les développeurs fournissant des logiciels sécurisés étaient reconnus. Nous leur demandons d'atteindre un certain niveau de codage sécurisé et nous pouvons le suivre grâce aux vulnérabilités qu'ils résolvent et qu'ils ne réintroduisent pas. De cette manière, le travail acharné qu'ils ont accompli est reconnu et valorisé au sein de l'entreprise".

Résultats

Vis et son équipe publient une lettre d'information mensuelle sur le code sécurisé dans laquelle ils reconnaissent les meilleurs apprenants de l'entreprise. Ils utilisent SCW pour examiner les scores assessment , la participation à tournament et les défis relevés afin d'amplifier cette réussite. Cela motive les autres développeurs à apprendre eux aussi. Les indicateurs clés de performance qu'il avait initialement fixés visaient à réduire le nombre total de vulnérabilités sur une période de deux ans. Après la mise en œuvre de SCW, il a constaté une tendance à la baisse. Ces vulnérabilités ne sont pas réintroduites au niveau du code source. Vis l'explique ainsi :

"Les indicateurs clés de performance que nous présentons à notre direction reflètent le choix que nous avons fait en connaissance de cause. Nous sommes fiers d'avoir une formation au code sécurisé qui donne confiance à nos clients. Nous sommes reconnus pour notre programme complet de formation au code sécurisé et nous sommes respectés par nos clients et nos pairs. L'existence d'un tel programme ajoute beaucoup de valeur à votre entreprise.

Principaux enseignements

Vis a reconnu que les personnes, les processus et la technologie ont tous un rôle à jouer dans toute initiative de sécurité. En se concentrant sur la sécurité du logiciel, les connaissances des développeurs et le respect de la conformité, il est possible de mettre en place un apprentissage agile pour un programme de code sécurisé qui réduit les vulnérabilités dans le code source au fil du temps. Vis propose ces recommandations aux professionnels de son domaine qui cherchent à renforcer les compétences en matière de sécurité au sein des équipes de développeurs.

Concentrez-vous sur votre personnel La valeur que vous accordez à l'apprentissage du code sécurisé est importante. Reconnaissez les connaissances acquises par les développeurs et offrez-leur les certifications de sécurité qu'ils obtiennent. Cela les motivera, ainsi que leurs pairs, à en apprendre davantage. Liez le codage sécurisé aux politiques et processus de sécurité de l'entreprise Donnez aux développeurs l'ordre de n'utiliser que des directives de sécurité approuvées. Assurez-vous que les développeurs savent qu'il existe une source authentifiée, au lieu de créer une ambiguïté dans le processus qui pourrait conduire à l'introduction de nouvelles vulnérabilités. Trouvez des synergies avec vos systèmes internes et vos outils de développement afin de réduire le temps nécessaire aux développeurs pour se perfectionner. Il est important de respecter les délais, mais il faut toujours mettre l'accent sur la sécurisation de vos logiciels afin d'éviter de devoir corriger les vulnérabilités plus tard.
Télécharger le PDF
Voir la ressource
Télécharger le PDF
Voir la ressource

Remplissez le formulaire ci-dessous pour télécharger le rapport

Nous aimerions que vous nous autorisiez à vous envoyer des informations sur nos produits et/ou sur des sujets liés au codage sécurisé. Nous traiterons toujours vos données personnelles avec le plus grand soin et ne les vendrons jamais à d'autres entreprises à des fins de marketing.

Soumettre
Pour soumettre le formulaire, veuillez activer les cookies "Analytics". N'hésitez pas à les désactiver à nouveau une fois que vous aurez terminé.

Contexte

Le groupe Thales est une multinationale française qui conçoit, développe et fabrique des systèmes électriques, ainsi que des dispositifs et des équipements pour les secteurs de l'aérospatiale, de la défense, du transport et de la sécurité. Viswanath S. Chirravuri est directeur technique de la sécurité des logiciels chez Thales. Viswanath, ou Vis, a commencé sa carrière dans le domaine de la sécurité en tant que programmeur. Il est aujourd'hui l'un des principaux responsables de la sécurité chez Thales, avec plus de 18 ans d'expérience dans le secteur de la sécurité, et détient plus de 30 certifications, dont CISSP, PMP et GSE. Il a formé plus de 3 000 professionnels du logiciel dans plus de 18 pays. En outre, Vis a remporté plus de 10 SANS challenge coins dans le domaine de la cybersécurité internationale tournaments (comme Netwars) et est un membre actif du GIAC Advisory Board. Nous nous sommes entretenus avec Vis pour savoir comment il a aligné les personnes, les processus et la technologie pour développer un programme d'apprentissage de code sécurisé réussi chez Thales.

Situation

Lorsque Vis a commencé à travailler chez Thales, il a conseillé aux unités commerciales de rechercher la source des vulnérabilités découvertes par le biais de tests d'intrusion comme solution possible pour réduire l'arriéré de la dette technologique. L'équipe chargée de la sécurité des applications utilisait 7 fournisseurs différents avec lesquels elle travaillait pour renforcer sa position en matière de sécurité - des outils IAST/DAST aux outils de test d'intrusion. Vis souhaitait comprendre les tendances du marché et gérer les menaces de manière évolutive afin de développer des stratégies d'atténuation grâce à une forte intégration entre les processus et la technologie. Pour ce faire, il fallait passer d'une approche purement axée sur les outils à une stratégie comportant une forte composante d'apprentissage. Il a remarqué que de nombreux développeurs n'avaient pas d'expérience ou de compétences en matière de sécurité. Son approche initiale consistait à proposer aux développeurs des formations en classe sur des sujets tels que le Top 10 de l'OWASP, mais il s'est rapidement rendu compte que cela n'allait pas s'adapter à tous les déplacements nécessaires pour enseigner en personne et à la nécessité d'atteindre des milliers de développeurs à travers le monde. Vis a noté que :

"Il y aura toujours un déséquilibre dans le rapport entre la sécurité et le développement. Même si j'avais un ratio sécurité/développeurs de 1:1, je ne pourrais pas les mobiliser en permanence. Pour tenir nos développeurs au courant des nouveaux vecteurs d'attaque, des meilleures pratiques, des nouveaux langages et des vulnérabilités récemment découvertes, nous devions être en mesure de promouvoir l'auto-apprentissage par les développeurs et leur permettre d'avancer à leur propre rythme. S'ils ont besoin d'aide, je peux les aider, mais je me suis rendu compte que je ne pouvais pas être celui qui leur apprend à corriger toutes les vulnérabilités qu'ils trouvent".

Au départ, les responsables du développement se sont opposés à l'investissement en temps que les développeurs devraient consacrer à l'apprentissage du code sécurisé, étant donné qu'un grand nombre d'entre eux partaient de zéro. Vis devait gérer la perception selon laquelle un engagement en faveur de l'apprentissage du code sécurisé pourrait perturber les cycles de publication des logiciels ou ralentir les sprints essentiels à la mission. Il devait trouver un moyen de motiver correctement l'organisation pour qu'elle consacre du temps à l'apprentissage agile du code sécurisé. Vis a adopté une attitude axée sur les personnes pour traiter les vulnérabilités à la source, "Les gens disent souvent que la sécurité prend du temps au développement. Pour moi, si vous développez quelque chose et que ce n'est pas sécurisé, c'est une perte de temps au départ. Vous devriez toujours développer un logiciel pour qu'il soit sûr et vous épargner le temps de devoir corriger des vulnérabilités qui auraient pu être facilement évitées. Nous devrions tous avoir pour objectif commun de livrer un code fiable".

Action

Vis avait deux objectifs principaux : sécuriser leurs logiciels et sensibiliser les équipes de développeurs de Thales à la sécurité. Il était essentiel de mettre en œuvre un programme qui permette aux développeurs d'être indépendants et de se former à leur propre rythme. La stratégie de Vis consistait à créer une communauté de sécurité au fil du temps, en s'efforçant de lier le codage sécurisé aux politiques de l'entreprise et en développant un mandat pour l'apprentissage du code sécurisé au sein de l'organisation. En encourageant une culture de la communauté qui relie les développeurs, les testeurs, les architectes et les ingénieurs, il a constaté un effet multiplicateur de la motivation. Des champions de la sécurité sont apparus, passionnés par la sécurité dans le cadre de leur travail quotidien, et ont contribué à faire connaître les pratiques de codage sécurisé dans l'ensemble de l'organisation. Vis a évalué plus d'une douzaine de fournisseurs de formation à la sécurité et est devenu un client SCW en 2019. Pour Thales, c'était un énorme avantage d'avoir un fournisseur couvrant tous les langages de programmation et les cadres dans leur environnement au lieu d'une solution fragmentaire. Vis s'est appuyé sur l'énorme volume de contenu de Secure Code Warriorpour créer des formations et des apprentissages autonomes auxquels les développeurs du programme de sécurité peuvent accéder :

"Le top 10 de l'OWASP n'est pas simplement dix choses que vous devez savoir. La profondeur et la diversité des vulnérabilités couvertes par l'OWASP, combinées au nombre de langages de programmation, peuvent être accablantes - le large éventail de défis et la couverture que nous avons sur ces sujets ont été un facteur clé dans le choix de SCW. Ils ajoutent toujours de nouvelles choses. La profondeur, la diversité des sujets, le contenu actualisé et l'accent mis sur les principes de conception de code sécurisé distinguent vraiment SCW. Avec eux, il ne s'agit pas d'une formation à usage unique, au contraire, nous avons eu l'opportunité de construire un programme continu".

Vis et son équipe ont structuré quatre niveaux de déploiement du programme d'apprentissage du code sécurisé, avec des étapes différentes pour chaque rôle d'ingénieur :

Sensibilisation : Permet d'élever le niveau de base de la sensibilisation à la sécurité et d'établir une base de référence pour les connaissances des développeurs sur le sujet de la sécurité. Basique : enseigne les compétences de base en matière de sécurité, comme la manière de repérer le code vulnérable et de comprendre les vulnérabilités courantes. Autonome : Utilise des tactiques approuvées pour localiser les vulnérabilités et y remédier avec les conseils de Secure Code Warrior.  Expert : devient un champion de la sécurité et un expert dans tous les domaines importants pour l'entreprise.

Il est important de noter que le SCW est devenu la source de vérité pour les corrections de vulnérabilités. Au lieu de s'appuyer sur des recherches Google qui pourraient vous conduire à un dépannage, Vis a publié à la fois les directives de l'équipe AppSec et celles de la bibliothèque de contenu de SCW afin que les développeurs puissent se référer à une source fiable et authentique pour les corrections de vulnérabilités dans le code. Selon Vis :

"Les développeurs ne devraient pas être libres de décider comment corriger une vulnérabilité et potentiellement introduire une nouvelle vulnérabilité dans le processus. Nous avons intégré les vidéos de SCW dans notre LMS via l'intégration SCORM de SCW pour nous assurer que les développeurs apprennent à corriger la vulnérabilité de la bonne manière. Cela nous a également permis de nous assurer que les développeurs fournissant des logiciels sécurisés étaient reconnus. Nous leur demandons d'atteindre un certain niveau de codage sécurisé et nous pouvons le suivre grâce aux vulnérabilités qu'ils résolvent et qu'ils ne réintroduisent pas. De cette manière, le travail acharné qu'ils ont accompli est reconnu et valorisé au sein de l'entreprise".

Résultats

Vis et son équipe publient une lettre d'information mensuelle sur le code sécurisé dans laquelle ils reconnaissent les meilleurs apprenants de l'entreprise. Ils utilisent SCW pour examiner les scores assessment , la participation à tournament et les défis relevés afin d'amplifier cette réussite. Cela motive les autres développeurs à apprendre eux aussi. Les indicateurs clés de performance qu'il avait initialement fixés visaient à réduire le nombre total de vulnérabilités sur une période de deux ans. Après la mise en œuvre de SCW, il a constaté une tendance à la baisse. Ces vulnérabilités ne sont pas réintroduites au niveau du code source. Vis l'explique ainsi :

"Les indicateurs clés de performance que nous présentons à notre direction reflètent le choix que nous avons fait en connaissance de cause. Nous sommes fiers d'avoir une formation au code sécurisé qui donne confiance à nos clients. Nous sommes reconnus pour notre programme complet de formation au code sécurisé et nous sommes respectés par nos clients et nos pairs. L'existence d'un tel programme ajoute beaucoup de valeur à votre entreprise.

Principaux enseignements

Vis a reconnu que les personnes, les processus et la technologie ont tous un rôle à jouer dans toute initiative de sécurité. En se concentrant sur la sécurité du logiciel, les connaissances des développeurs et le respect de la conformité, il est possible de mettre en place un apprentissage agile pour un programme de code sécurisé qui réduit les vulnérabilités dans le code source au fil du temps. Vis propose ces recommandations aux professionnels de son domaine qui cherchent à renforcer les compétences en matière de sécurité au sein des équipes de développeurs.

Concentrez-vous sur votre personnel La valeur que vous accordez à l'apprentissage du code sécurisé est importante. Reconnaissez les connaissances acquises par les développeurs et offrez-leur les certifications de sécurité qu'ils obtiennent. Cela les motivera, ainsi que leurs pairs, à en apprendre davantage. Liez le codage sécurisé aux politiques et processus de sécurité de l'entreprise Donnez aux développeurs l'ordre de n'utiliser que des directives de sécurité approuvées. Assurez-vous que les développeurs savent qu'il existe une source authentifiée, au lieu de créer une ambiguïté dans le processus qui pourrait conduire à l'introduction de nouvelles vulnérabilités. Trouvez des synergies avec vos systèmes internes et vos outils de développement afin de réduire le temps nécessaire aux développeurs pour se perfectionner. Il est important de respecter les délais, mais il faut toujours mettre l'accent sur la sécurisation de vos logiciels afin d'éviter de devoir corriger les vulnérabilités plus tard.
Accès aux ressources

Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Voir le rapportRéservez une démonstration
Partager sur :
Vous souhaitez en savoir plus ?

Partager sur :
Auteur
Publié le 22 juillet 2023

Partager sur :

Contexte

Le groupe Thales est une multinationale française qui conçoit, développe et fabrique des systèmes électriques, ainsi que des dispositifs et des équipements pour les secteurs de l'aérospatiale, de la défense, du transport et de la sécurité. Viswanath S. Chirravuri est directeur technique de la sécurité des logiciels chez Thales. Viswanath, ou Vis, a commencé sa carrière dans le domaine de la sécurité en tant que programmeur. Il est aujourd'hui l'un des principaux responsables de la sécurité chez Thales, avec plus de 18 ans d'expérience dans le secteur de la sécurité, et détient plus de 30 certifications, dont CISSP, PMP et GSE. Il a formé plus de 3 000 professionnels du logiciel dans plus de 18 pays. En outre, Vis a remporté plus de 10 SANS challenge coins dans le domaine de la cybersécurité internationale tournaments (comme Netwars) et est un membre actif du GIAC Advisory Board. Nous nous sommes entretenus avec Vis pour savoir comment il a aligné les personnes, les processus et la technologie pour développer un programme d'apprentissage de code sécurisé réussi chez Thales.

Situation

Lorsque Vis a commencé à travailler chez Thales, il a conseillé aux unités commerciales de rechercher la source des vulnérabilités découvertes par le biais de tests d'intrusion comme solution possible pour réduire l'arriéré de la dette technologique. L'équipe chargée de la sécurité des applications utilisait 7 fournisseurs différents avec lesquels elle travaillait pour renforcer sa position en matière de sécurité - des outils IAST/DAST aux outils de test d'intrusion. Vis souhaitait comprendre les tendances du marché et gérer les menaces de manière évolutive afin de développer des stratégies d'atténuation grâce à une forte intégration entre les processus et la technologie. Pour ce faire, il fallait passer d'une approche purement axée sur les outils à une stratégie comportant une forte composante d'apprentissage. Il a remarqué que de nombreux développeurs n'avaient pas d'expérience ou de compétences en matière de sécurité. Son approche initiale consistait à proposer aux développeurs des formations en classe sur des sujets tels que le Top 10 de l'OWASP, mais il s'est rapidement rendu compte que cela n'allait pas s'adapter à tous les déplacements nécessaires pour enseigner en personne et à la nécessité d'atteindre des milliers de développeurs à travers le monde. Vis a noté que :

"Il y aura toujours un déséquilibre dans le rapport entre la sécurité et le développement. Même si j'avais un ratio sécurité/développeurs de 1:1, je ne pourrais pas les mobiliser en permanence. Pour tenir nos développeurs au courant des nouveaux vecteurs d'attaque, des meilleures pratiques, des nouveaux langages et des vulnérabilités récemment découvertes, nous devions être en mesure de promouvoir l'auto-apprentissage par les développeurs et leur permettre d'avancer à leur propre rythme. S'ils ont besoin d'aide, je peux les aider, mais je me suis rendu compte que je ne pouvais pas être celui qui leur apprend à corriger toutes les vulnérabilités qu'ils trouvent".

Au départ, les responsables du développement se sont opposés à l'investissement en temps que les développeurs devraient consacrer à l'apprentissage du code sécurisé, étant donné qu'un grand nombre d'entre eux partaient de zéro. Vis devait gérer la perception selon laquelle un engagement en faveur de l'apprentissage du code sécurisé pourrait perturber les cycles de publication des logiciels ou ralentir les sprints essentiels à la mission. Il devait trouver un moyen de motiver correctement l'organisation pour qu'elle consacre du temps à l'apprentissage agile du code sécurisé. Vis a adopté une attitude axée sur les personnes pour traiter les vulnérabilités à la source, "Les gens disent souvent que la sécurité prend du temps au développement. Pour moi, si vous développez quelque chose et que ce n'est pas sécurisé, c'est une perte de temps au départ. Vous devriez toujours développer un logiciel pour qu'il soit sûr et vous épargner le temps de devoir corriger des vulnérabilités qui auraient pu être facilement évitées. Nous devrions tous avoir pour objectif commun de livrer un code fiable".

Action

Vis avait deux objectifs principaux : sécuriser leurs logiciels et sensibiliser les équipes de développeurs de Thales à la sécurité. Il était essentiel de mettre en œuvre un programme qui permette aux développeurs d'être indépendants et de se former à leur propre rythme. La stratégie de Vis consistait à créer une communauté de sécurité au fil du temps, en s'efforçant de lier le codage sécurisé aux politiques de l'entreprise et en développant un mandat pour l'apprentissage du code sécurisé au sein de l'organisation. En encourageant une culture de la communauté qui relie les développeurs, les testeurs, les architectes et les ingénieurs, il a constaté un effet multiplicateur de la motivation. Des champions de la sécurité sont apparus, passionnés par la sécurité dans le cadre de leur travail quotidien, et ont contribué à faire connaître les pratiques de codage sécurisé dans l'ensemble de l'organisation. Vis a évalué plus d'une douzaine de fournisseurs de formation à la sécurité et est devenu un client SCW en 2019. Pour Thales, c'était un énorme avantage d'avoir un fournisseur couvrant tous les langages de programmation et les cadres dans leur environnement au lieu d'une solution fragmentaire. Vis s'est appuyé sur l'énorme volume de contenu de Secure Code Warriorpour créer des formations et des apprentissages autonomes auxquels les développeurs du programme de sécurité peuvent accéder :

"Le top 10 de l'OWASP n'est pas simplement dix choses que vous devez savoir. La profondeur et la diversité des vulnérabilités couvertes par l'OWASP, combinées au nombre de langages de programmation, peuvent être accablantes - le large éventail de défis et la couverture que nous avons sur ces sujets ont été un facteur clé dans le choix de SCW. Ils ajoutent toujours de nouvelles choses. La profondeur, la diversité des sujets, le contenu actualisé et l'accent mis sur les principes de conception de code sécurisé distinguent vraiment SCW. Avec eux, il ne s'agit pas d'une formation à usage unique, au contraire, nous avons eu l'opportunité de construire un programme continu".

Vis et son équipe ont structuré quatre niveaux de déploiement du programme d'apprentissage du code sécurisé, avec des étapes différentes pour chaque rôle d'ingénieur :

Sensibilisation : Permet d'élever le niveau de base de la sensibilisation à la sécurité et d'établir une base de référence pour les connaissances des développeurs sur le sujet de la sécurité. Basique : enseigne les compétences de base en matière de sécurité, comme la manière de repérer le code vulnérable et de comprendre les vulnérabilités courantes. Autonome : Utilise des tactiques approuvées pour localiser les vulnérabilités et y remédier avec les conseils de Secure Code Warrior.  Expert : devient un champion de la sécurité et un expert dans tous les domaines importants pour l'entreprise.

Il est important de noter que le SCW est devenu la source de vérité pour les corrections de vulnérabilités. Au lieu de s'appuyer sur des recherches Google qui pourraient vous conduire à un dépannage, Vis a publié à la fois les directives de l'équipe AppSec et celles de la bibliothèque de contenu de SCW afin que les développeurs puissent se référer à une source fiable et authentique pour les corrections de vulnérabilités dans le code. Selon Vis :

"Les développeurs ne devraient pas être libres de décider comment corriger une vulnérabilité et potentiellement introduire une nouvelle vulnérabilité dans le processus. Nous avons intégré les vidéos de SCW dans notre LMS via l'intégration SCORM de SCW pour nous assurer que les développeurs apprennent à corriger la vulnérabilité de la bonne manière. Cela nous a également permis de nous assurer que les développeurs fournissant des logiciels sécurisés étaient reconnus. Nous leur demandons d'atteindre un certain niveau de codage sécurisé et nous pouvons le suivre grâce aux vulnérabilités qu'ils résolvent et qu'ils ne réintroduisent pas. De cette manière, le travail acharné qu'ils ont accompli est reconnu et valorisé au sein de l'entreprise".

Résultats

Vis et son équipe publient une lettre d'information mensuelle sur le code sécurisé dans laquelle ils reconnaissent les meilleurs apprenants de l'entreprise. Ils utilisent SCW pour examiner les scores assessment , la participation à tournament et les défis relevés afin d'amplifier cette réussite. Cela motive les autres développeurs à apprendre eux aussi. Les indicateurs clés de performance qu'il avait initialement fixés visaient à réduire le nombre total de vulnérabilités sur une période de deux ans. Après la mise en œuvre de SCW, il a constaté une tendance à la baisse. Ces vulnérabilités ne sont pas réintroduites au niveau du code source. Vis l'explique ainsi :

"Les indicateurs clés de performance que nous présentons à notre direction reflètent le choix que nous avons fait en connaissance de cause. Nous sommes fiers d'avoir une formation au code sécurisé qui donne confiance à nos clients. Nous sommes reconnus pour notre programme complet de formation au code sécurisé et nous sommes respectés par nos clients et nos pairs. L'existence d'un tel programme ajoute beaucoup de valeur à votre entreprise.

Principaux enseignements

Vis a reconnu que les personnes, les processus et la technologie ont tous un rôle à jouer dans toute initiative de sécurité. En se concentrant sur la sécurité du logiciel, les connaissances des développeurs et le respect de la conformité, il est possible de mettre en place un apprentissage agile pour un programme de code sécurisé qui réduit les vulnérabilités dans le code source au fil du temps. Vis propose ces recommandations aux professionnels de son domaine qui cherchent à renforcer les compétences en matière de sécurité au sein des équipes de développeurs.

Concentrez-vous sur votre personnel La valeur que vous accordez à l'apprentissage du code sécurisé est importante. Reconnaissez les connaissances acquises par les développeurs et offrez-leur les certifications de sécurité qu'ils obtiennent. Cela les motivera, ainsi que leurs pairs, à en apprendre davantage. Liez le codage sécurisé aux politiques et processus de sécurité de l'entreprise Donnez aux développeurs l'ordre de n'utiliser que des directives de sécurité approuvées. Assurez-vous que les développeurs savent qu'il existe une source authentifiée, au lieu de créer une ambiguïté dans le processus qui pourrait conduire à l'introduction de nouvelles vulnérabilités. Trouvez des synergies avec vos systèmes internes et vos outils de développement afin de réduire le temps nécessaire aux développeurs pour se perfectionner. Il est important de respecter les délais, mais il faut toujours mettre l'accent sur la sécurisation de vos logiciels afin d'éviter de devoir corriger les vulnérabilités plus tard.

Table des matières

Télécharger le PDF
Voir la ressource
Vous souhaitez en savoir plus ?

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstrationTélécharger
Partager sur :
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles