Réaligner votre organisation sur le codage sécurisé - obstacles, préoccupations et solutions actives
Dans notre monde hyperconnecté, presque toutes les organisations ont un talon d'Achille commun. Une seule vulnérabilité, une seule faille exploitable dans leur code, peut déclencher le vol de données clients, une atteinte à la réputation et des pertes financières considérables. L'alignement organisationnel autour du codage sécurisé n'a jamais été aussi impératif - mais y parvenir est plus facile à dire qu'à faire. C'est pourquoi, en 2020, Secure Code Warrior s'est engagé avec Evans Data Corp. à mener une étude primaire* sur les attitudes des développeurs et des responsables à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité.
Dans cet environnement où la cybersécurité est primordiale, les indicateurs clés de performance traditionnels pour la réussite des projets sont en train d'être redéfinis, mais pas assez rapidement.
Lorsque nous avons interrogé des développeurs et des responsables sur les priorités les plus importantes dans le processus de développement de logiciels :
- 76% de performances d'application nominées
- 62% ont choisi les caractéristiques et les fonctionnalités
- Et un peu plus de 50 % ont choisi le code sécurisé
Aujourd'hui, comme on peut le constater, la sécurité n'est pas une priorité essentielle.
Mais si l'on se tourne vers l'avenir, la situation change radicalement. Interrogés sur les priorités futures les plus importantes pour mesurer la réussite d'un projet, 79 % des développeurs s'accordent à dire que le codage sécurisé deviendra de plus en plus critique. En fait, les développeurs considèrent la sécurité comme l'ICP dont l'importance augmentera le plus.
Mais même si le codage sécurisé est de plus en plus connu, son adoption suscite des inquiétudes. Pour les développeurs comme pour les gestionnaires, la gestion des vulnérabilités et l'obligation de rendre compte du code suffisent à les empêcher de dormir. Notre étude* a montré que ces deux groupes partagent les mêmes préoccupations de base, qui soulignent la nécessité d'une meilleure formation aux pratiques de codage sécurisé.
Préoccupations et obstacles liés aux pratiques de codage sécurisé
La préoccupation numéro un des développeurs est "l'inclusion d'un code qui reproduit des vulnérabilités antérieures". Comme les développeurs sont jugés sur la qualité de leur code, cela n'a rien d'étonnant. Aucun développeur ne veut être à l'origine d'un code non sécurisé - ou d'un code qui nécessite des retouches et ralentit son équipe.
La deuxième préoccupation la plus importante des développeurs est la gestion des erreurs commises par leurs collègues. Le respect des délais et la responsabilité du code figurent également en bonne place sur la liste, tout comme le fait que l'apprentissage du code sécurisé est difficile, ce qui fait écho à l'insatisfaction des développeurs à l'égard des méthodes de formation actuelles.
Les gestionnaires, quant à eux, ont une vision plus descendante. Leur principale préoccupation est d'être responsable d'un mauvais code ou d'un code qui reproduit des vulnérabilités antérieures. Après tout, si leur équipe produit un code médiocre, c'est le manager qui est responsable.
Le fait que le processus d'apprentissage soit difficile arrive en troisième position - ce n'est pas le seul obstacle aux pratiques de codage sécurisées.
45 % ont indiqué que le manque de communication entre les parties prenantes et la direction constituait un obstacle important. 42 % déplorent le manque de compétences en matière de codage sécurisé chez les nouveaux employés. Dans le même temps, 40 % citent l'insuffisance du temps et des ressources consacrés à la formation.
Les méthodes actuelles de formation au code sécurisé ne donnent pas les résultats escomptés - et les responsables se rendent compte qu'une nouvelle approche est nécessaire.
Qui est responsable des pratiques de codage sécurisé ?
De par sa nature même, la pratique du codage sécurisé implique de prendre en compte la sécurité bien plus tôt dans le cycle de développement durable. Il s'agit d'intégrer activement la sécurité dans le logiciel dès son écriture, dès le début, au lieu de la remettre à plus tard. En d'autres termes, il s'agit de "passer à gauche". Ce "glissement vers la gauche" est l'essence même de la pratique du codage sécurisé. Et cela signifie qu'en fin de compte, chaque membre d'une organisation devrait être responsable de la sécurité du code. Mais à l'heure actuelle, seuls 15 % des développeurs sont d'accord.
Cependant, alors que la plupart des développeurs considèrent encore la sécurité comme le problème de quelqu'un d'autre, une cohorte restreinte mais croissante non seulement adopte activement le codage sécurisé, mais le défend au sein de son organisation. 29 % des développeurs interrogés reconnaissent que de telles personnes existent sur leur lieu de travail. Le problème est que ces champions du codage sécurisé sont encore trop peu nombreux.
Créer plus de champions de la sécurité
Les responsables du développement sont conscients de la nécessité d'identifier et de créer de nouveaux champions de la sécurité et d'améliorer les compétences des développeurs en général en matière de codage sécurisé.
De nombreux responsables accordent également une grande importance aux compétences en matière de codage sécurisé lorsqu'ils recrutent de nouveaux développeurs et valorisent l'expérience en matière de codage sécurisé des développeurs qui font déjà partie de leurs équipes.
83 % des responsables interrogés déclarent demander aux développeurs d'apprendre ou d'adopter des pratiques de codage sécurisées. Environ trois quarts des responsables interrogés déclarent offrir des incitations aux développeurs pour qu'ils s'engagent dans une formation au codage sécurisé. Ces incitations vont de la reconnaissance formelle à des responsabilités accrues, en passant par une augmentation de salaire.
Il est clair que les responsables du développement ont une influence déterminante sur l'adoption de pratiques de codage sécurisées au niveau de l'organisation, et qu'ils jouent un rôle essentiel dans l'identification des champions de la sécurité.
Mais lorsqu'il s'agit de créer davantage de champions, qu'est-ce qui motive les développeurs à s'initier au codage sécurisé ? Notre étude montre qu'ils y voient un moyen d'accroître leur productivité et leur efficacité.
Pourquoi les développeurs n'insistent-ils pas sur la nécessité d'une formation au code plus sûre ? Qu'est-ce qui les empêche de s'aligner sur un besoin organisationnel croissant ?
Des solutions pour commencer à s'attaquer au problème de la réorientation
Les développeurs ne veulent pas rester assis à écouter des conférenciers - ils veulent mettre la main à la pâte et essayer par eux-mêmes. Ils veulent que l'accent soit mis sur les applications pratiques, ce qui fait cruellement défaut aux programmes de formation actuels. Lorsqu'on leur a demandé d'indiquer comment la formation dispensée par l'entreprise pourrait être améliorée, 30 % des personnes interrogées ont répondu qu'elles aimeraient que la formation soit axée sur les applications pratiques, en particulier sur des scénarios de travail authentiques.
Les pratiques de formation actuelles ne permettent pas d'atteindre cet objectif. Une nouvelle approche est nécessaire - et en tant que champions du changement, Secure Code Warrior adopte une approche humaine pour aider les organisations à se réaligner sur le codage sécurisé. Nos formations en cybersécurité Courses offrent des parcours d'apprentissage guidés qui comprennent des défis de codage pratiques et "gamifiés" qui imitent ceux auxquels les développeurs sont confrontés dans le monde réel.
Cette formation est spécifique à la langue et au cadre, contrairement à la formation générique, qui entre souvent dans une oreille et sort de l'autre.
Lorsqu'il s'agit de réaligner la culture, Tournaments peut être utilisé pour mesurer les compétences des codeurs en matière de sécurité, établir une base de référence pour le développement futur des compétences et repérer les champions potentiels de la sécurité au sein de votre équipe de développement.
Si vous souhaitez en savoir plus sur la formation au codage sécurisé qui aligne les besoins des managers, des développeurs et de l'organisation vers un avenir de codage sécurisé, réservez une démonstration maintenant.
*Passer de la réaction à la prévention : Le nouveau visage de la sécurité des applications. Secure Code Warrior et Evans Data Corp. 2020
Dans notre monde hyperconnecté, presque toutes les organisations ont un talon d'Achille commun. Une seule vulnérabilité, une seule faille exploitable dans leur code, peut déclencher le vol de données clients, une atteinte à la réputation et des pertes financières considérables. L'alignement organisationnel autour du codage sécurisé n'a jamais été aussi impératif - mais y parvenir est plus facile à dire qu'à faire.
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationSecure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior crée une culture de développeurs axés sur la sécurité en leur donnant les compétences nécessaires pour coder de manière sécurisée. Notre programme phare Agile Learning Platform propose des parcours pertinents basés sur les compétences, des exercices pratiques missions et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé.
Dans notre monde hyperconnecté, presque toutes les organisations ont un talon d'Achille commun. Une seule vulnérabilité, une seule faille exploitable dans leur code, peut déclencher le vol de données clients, une atteinte à la réputation et des pertes financières considérables. L'alignement organisationnel autour du codage sécurisé n'a jamais été aussi impératif - mais y parvenir est plus facile à dire qu'à faire. C'est pourquoi, en 2020, Secure Code Warrior s'est engagé avec Evans Data Corp. à mener une étude primaire* sur les attitudes des développeurs et des responsables à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité.
Dans cet environnement où la cybersécurité est primordiale, les indicateurs clés de performance traditionnels pour la réussite des projets sont en train d'être redéfinis, mais pas assez rapidement.
Lorsque nous avons interrogé des développeurs et des responsables sur les priorités les plus importantes dans le processus de développement de logiciels :
- 76% de performances d'application nominées
- 62% ont choisi les caractéristiques et les fonctionnalités
- Et un peu plus de 50 % ont choisi le code sécurisé
Aujourd'hui, comme on peut le constater, la sécurité n'est pas une priorité essentielle.
Mais si l'on se tourne vers l'avenir, la situation change radicalement. Interrogés sur les priorités futures les plus importantes pour mesurer la réussite d'un projet, 79 % des développeurs s'accordent à dire que le codage sécurisé deviendra de plus en plus critique. En fait, les développeurs considèrent la sécurité comme l'ICP dont l'importance augmentera le plus.
Mais même si le codage sécurisé est de plus en plus connu, son adoption suscite des inquiétudes. Pour les développeurs comme pour les gestionnaires, la gestion des vulnérabilités et l'obligation de rendre compte du code suffisent à les empêcher de dormir. Notre étude* a montré que ces deux groupes partagent les mêmes préoccupations de base, qui soulignent la nécessité d'une meilleure formation aux pratiques de codage sécurisé.
Préoccupations et obstacles liés aux pratiques de codage sécurisé
La préoccupation numéro un des développeurs est "l'inclusion d'un code qui reproduit des vulnérabilités antérieures". Comme les développeurs sont jugés sur la qualité de leur code, cela n'a rien d'étonnant. Aucun développeur ne veut être à l'origine d'un code non sécurisé - ou d'un code qui nécessite des retouches et ralentit son équipe.
La deuxième préoccupation la plus importante des développeurs est la gestion des erreurs commises par leurs collègues. Le respect des délais et la responsabilité du code figurent également en bonne place sur la liste, tout comme le fait que l'apprentissage du code sécurisé est difficile, ce qui fait écho à l'insatisfaction des développeurs à l'égard des méthodes de formation actuelles.
Les gestionnaires, quant à eux, ont une vision plus descendante. Leur principale préoccupation est d'être responsable d'un mauvais code ou d'un code qui reproduit des vulnérabilités antérieures. Après tout, si leur équipe produit un code médiocre, c'est le manager qui est responsable.
Le fait que le processus d'apprentissage soit difficile arrive en troisième position - ce n'est pas le seul obstacle aux pratiques de codage sécurisées.
45 % ont indiqué que le manque de communication entre les parties prenantes et la direction constituait un obstacle important. 42 % déplorent le manque de compétences en matière de codage sécurisé chez les nouveaux employés. Dans le même temps, 40 % citent l'insuffisance du temps et des ressources consacrés à la formation.
Les méthodes actuelles de formation au code sécurisé ne donnent pas les résultats escomptés - et les responsables se rendent compte qu'une nouvelle approche est nécessaire.
Qui est responsable des pratiques de codage sécurisé ?
De par sa nature même, la pratique du codage sécurisé implique de prendre en compte la sécurité bien plus tôt dans le cycle de développement durable. Il s'agit d'intégrer activement la sécurité dans le logiciel dès son écriture, dès le début, au lieu de la remettre à plus tard. En d'autres termes, il s'agit de "passer à gauche". Ce "glissement vers la gauche" est l'essence même de la pratique du codage sécurisé. Et cela signifie qu'en fin de compte, chaque membre d'une organisation devrait être responsable de la sécurité du code. Mais à l'heure actuelle, seuls 15 % des développeurs sont d'accord.
Cependant, alors que la plupart des développeurs considèrent encore la sécurité comme le problème de quelqu'un d'autre, une cohorte restreinte mais croissante non seulement adopte activement le codage sécurisé, mais le défend au sein de son organisation. 29 % des développeurs interrogés reconnaissent que de telles personnes existent sur leur lieu de travail. Le problème est que ces champions du codage sécurisé sont encore trop peu nombreux.
Créer plus de champions de la sécurité
Les responsables du développement sont conscients de la nécessité d'identifier et de créer de nouveaux champions de la sécurité et d'améliorer les compétences des développeurs en général en matière de codage sécurisé.
De nombreux responsables accordent également une grande importance aux compétences en matière de codage sécurisé lorsqu'ils recrutent de nouveaux développeurs et valorisent l'expérience en matière de codage sécurisé des développeurs qui font déjà partie de leurs équipes.
83 % des responsables interrogés déclarent demander aux développeurs d'apprendre ou d'adopter des pratiques de codage sécurisées. Environ trois quarts des responsables interrogés déclarent offrir des incitations aux développeurs pour qu'ils s'engagent dans une formation au codage sécurisé. Ces incitations vont de la reconnaissance formelle à des responsabilités accrues, en passant par une augmentation de salaire.
Il est clair que les responsables du développement ont une influence déterminante sur l'adoption de pratiques de codage sécurisées au niveau de l'organisation, et qu'ils jouent un rôle essentiel dans l'identification des champions de la sécurité.
Mais lorsqu'il s'agit de créer davantage de champions, qu'est-ce qui motive les développeurs à s'initier au codage sécurisé ? Notre étude montre qu'ils y voient un moyen d'accroître leur productivité et leur efficacité.
Pourquoi les développeurs n'insistent-ils pas sur la nécessité d'une formation au code plus sûre ? Qu'est-ce qui les empêche de s'aligner sur un besoin organisationnel croissant ?
Des solutions pour commencer à s'attaquer au problème de la réorientation
Les développeurs ne veulent pas rester assis à écouter des conférenciers - ils veulent mettre la main à la pâte et essayer par eux-mêmes. Ils veulent que l'accent soit mis sur les applications pratiques, ce qui fait cruellement défaut aux programmes de formation actuels. Lorsqu'on leur a demandé d'indiquer comment la formation dispensée par l'entreprise pourrait être améliorée, 30 % des personnes interrogées ont répondu qu'elles aimeraient que la formation soit axée sur les applications pratiques, en particulier sur des scénarios de travail authentiques.
Les pratiques de formation actuelles ne permettent pas d'atteindre cet objectif. Une nouvelle approche est nécessaire - et en tant que champions du changement, Secure Code Warrior adopte une approche humaine pour aider les organisations à se réaligner sur le codage sécurisé. Nos formations en cybersécurité Courses offrent des parcours d'apprentissage guidés qui comprennent des défis de codage pratiques et "gamifiés" qui imitent ceux auxquels les développeurs sont confrontés dans le monde réel.
Cette formation est spécifique à la langue et au cadre, contrairement à la formation générique, qui entre souvent dans une oreille et sort de l'autre.
Lorsqu'il s'agit de réaligner la culture, Tournaments peut être utilisé pour mesurer les compétences des codeurs en matière de sécurité, établir une base de référence pour le développement futur des compétences et repérer les champions potentiels de la sécurité au sein de votre équipe de développement.
Si vous souhaitez en savoir plus sur la formation au codage sécurisé qui aligne les besoins des managers, des développeurs et de l'organisation vers un avenir de codage sécurisé, réservez une démonstration maintenant.
*Passer de la réaction à la prévention : Le nouveau visage de la sécurité des applications. Secure Code Warrior et Evans Data Corp. 2020
Dans notre monde hyperconnecté, presque toutes les organisations ont un talon d'Achille commun. Une seule vulnérabilité, une seule faille exploitable dans leur code, peut déclencher le vol de données clients, une atteinte à la réputation et des pertes financières considérables. L'alignement organisationnel autour du codage sécurisé n'a jamais été aussi impératif - mais y parvenir est plus facile à dire qu'à faire. C'est pourquoi, en 2020, Secure Code Warrior s'est engagé avec Evans Data Corp. à mener une étude primaire* sur les attitudes des développeurs et des responsables à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité.
Dans cet environnement où la cybersécurité est primordiale, les indicateurs clés de performance traditionnels pour la réussite des projets sont en train d'être redéfinis, mais pas assez rapidement.
Lorsque nous avons interrogé des développeurs et des responsables sur les priorités les plus importantes dans le processus de développement de logiciels :
- 76% de performances d'application nominées
- 62% ont choisi les caractéristiques et les fonctionnalités
- Et un peu plus de 50 % ont choisi le code sécurisé
Aujourd'hui, comme on peut le constater, la sécurité n'est pas une priorité essentielle.
Mais si l'on se tourne vers l'avenir, la situation change radicalement. Interrogés sur les priorités futures les plus importantes pour mesurer la réussite d'un projet, 79 % des développeurs s'accordent à dire que le codage sécurisé deviendra de plus en plus critique. En fait, les développeurs considèrent la sécurité comme l'ICP dont l'importance augmentera le plus.
Mais même si le codage sécurisé est de plus en plus connu, son adoption suscite des inquiétudes. Pour les développeurs comme pour les gestionnaires, la gestion des vulnérabilités et l'obligation de rendre compte du code suffisent à les empêcher de dormir. Notre étude* a montré que ces deux groupes partagent les mêmes préoccupations de base, qui soulignent la nécessité d'une meilleure formation aux pratiques de codage sécurisé.
Préoccupations et obstacles liés aux pratiques de codage sécurisé
La préoccupation numéro un des développeurs est "l'inclusion d'un code qui reproduit des vulnérabilités antérieures". Comme les développeurs sont jugés sur la qualité de leur code, cela n'a rien d'étonnant. Aucun développeur ne veut être à l'origine d'un code non sécurisé - ou d'un code qui nécessite des retouches et ralentit son équipe.
La deuxième préoccupation la plus importante des développeurs est la gestion des erreurs commises par leurs collègues. Le respect des délais et la responsabilité du code figurent également en bonne place sur la liste, tout comme le fait que l'apprentissage du code sécurisé est difficile, ce qui fait écho à l'insatisfaction des développeurs à l'égard des méthodes de formation actuelles.
Les gestionnaires, quant à eux, ont une vision plus descendante. Leur principale préoccupation est d'être responsable d'un mauvais code ou d'un code qui reproduit des vulnérabilités antérieures. Après tout, si leur équipe produit un code médiocre, c'est le manager qui est responsable.
Le fait que le processus d'apprentissage soit difficile arrive en troisième position - ce n'est pas le seul obstacle aux pratiques de codage sécurisées.
45 % ont indiqué que le manque de communication entre les parties prenantes et la direction constituait un obstacle important. 42 % déplorent le manque de compétences en matière de codage sécurisé chez les nouveaux employés. Dans le même temps, 40 % citent l'insuffisance du temps et des ressources consacrés à la formation.
Les méthodes actuelles de formation au code sécurisé ne donnent pas les résultats escomptés - et les responsables se rendent compte qu'une nouvelle approche est nécessaire.
Qui est responsable des pratiques de codage sécurisé ?
De par sa nature même, la pratique du codage sécurisé implique de prendre en compte la sécurité bien plus tôt dans le cycle de développement durable. Il s'agit d'intégrer activement la sécurité dans le logiciel dès son écriture, dès le début, au lieu de la remettre à plus tard. En d'autres termes, il s'agit de "passer à gauche". Ce "glissement vers la gauche" est l'essence même de la pratique du codage sécurisé. Et cela signifie qu'en fin de compte, chaque membre d'une organisation devrait être responsable de la sécurité du code. Mais à l'heure actuelle, seuls 15 % des développeurs sont d'accord.
Cependant, alors que la plupart des développeurs considèrent encore la sécurité comme le problème de quelqu'un d'autre, une cohorte restreinte mais croissante non seulement adopte activement le codage sécurisé, mais le défend au sein de son organisation. 29 % des développeurs interrogés reconnaissent que de telles personnes existent sur leur lieu de travail. Le problème est que ces champions du codage sécurisé sont encore trop peu nombreux.
Créer plus de champions de la sécurité
Les responsables du développement sont conscients de la nécessité d'identifier et de créer de nouveaux champions de la sécurité et d'améliorer les compétences des développeurs en général en matière de codage sécurisé.
De nombreux responsables accordent également une grande importance aux compétences en matière de codage sécurisé lorsqu'ils recrutent de nouveaux développeurs et valorisent l'expérience en matière de codage sécurisé des développeurs qui font déjà partie de leurs équipes.
83 % des responsables interrogés déclarent demander aux développeurs d'apprendre ou d'adopter des pratiques de codage sécurisées. Environ trois quarts des responsables interrogés déclarent offrir des incitations aux développeurs pour qu'ils s'engagent dans une formation au codage sécurisé. Ces incitations vont de la reconnaissance formelle à des responsabilités accrues, en passant par une augmentation de salaire.
Il est clair que les responsables du développement ont une influence déterminante sur l'adoption de pratiques de codage sécurisées au niveau de l'organisation, et qu'ils jouent un rôle essentiel dans l'identification des champions de la sécurité.
Mais lorsqu'il s'agit de créer davantage de champions, qu'est-ce qui motive les développeurs à s'initier au codage sécurisé ? Notre étude montre qu'ils y voient un moyen d'accroître leur productivité et leur efficacité.
Pourquoi les développeurs n'insistent-ils pas sur la nécessité d'une formation au code plus sûre ? Qu'est-ce qui les empêche de s'aligner sur un besoin organisationnel croissant ?
Des solutions pour commencer à s'attaquer au problème de la réorientation
Les développeurs ne veulent pas rester assis à écouter des conférenciers - ils veulent mettre la main à la pâte et essayer par eux-mêmes. Ils veulent que l'accent soit mis sur les applications pratiques, ce qui fait cruellement défaut aux programmes de formation actuels. Lorsqu'on leur a demandé d'indiquer comment la formation dispensée par l'entreprise pourrait être améliorée, 30 % des personnes interrogées ont répondu qu'elles aimeraient que la formation soit axée sur les applications pratiques, en particulier sur des scénarios de travail authentiques.
Les pratiques de formation actuelles ne permettent pas d'atteindre cet objectif. Une nouvelle approche est nécessaire - et en tant que champions du changement, Secure Code Warrior adopte une approche humaine pour aider les organisations à se réaligner sur le codage sécurisé. Nos formations en cybersécurité Courses offrent des parcours d'apprentissage guidés qui comprennent des défis de codage pratiques et "gamifiés" qui imitent ceux auxquels les développeurs sont confrontés dans le monde réel.
Cette formation est spécifique à la langue et au cadre, contrairement à la formation générique, qui entre souvent dans une oreille et sort de l'autre.
Lorsqu'il s'agit de réaligner la culture, Tournaments peut être utilisé pour mesurer les compétences des codeurs en matière de sécurité, établir une base de référence pour le développement futur des compétences et repérer les champions potentiels de la sécurité au sein de votre équipe de développement.
Si vous souhaitez en savoir plus sur la formation au codage sécurisé qui aligne les besoins des managers, des développeurs et de l'organisation vers un avenir de codage sécurisé, réservez une démonstration maintenant.
*Passer de la réaction à la prévention : Le nouveau visage de la sécurité des applications. Secure Code Warrior et Evans Data Corp. 2020
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationSecure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior crée une culture de développeurs axés sur la sécurité en leur donnant les compétences nécessaires pour coder de manière sécurisée. Notre programme phare Agile Learning Platform propose des parcours pertinents basés sur les compétences, des exercices pratiques missions et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé.
Dans notre monde hyperconnecté, presque toutes les organisations ont un talon d'Achille commun. Une seule vulnérabilité, une seule faille exploitable dans leur code, peut déclencher le vol de données clients, une atteinte à la réputation et des pertes financières considérables. L'alignement organisationnel autour du codage sécurisé n'a jamais été aussi impératif - mais y parvenir est plus facile à dire qu'à faire. C'est pourquoi, en 2020, Secure Code Warrior s'est engagé avec Evans Data Corp. à mener une étude primaire* sur les attitudes des développeurs et des responsables à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité.
Dans cet environnement où la cybersécurité est primordiale, les indicateurs clés de performance traditionnels pour la réussite des projets sont en train d'être redéfinis, mais pas assez rapidement.
Lorsque nous avons interrogé des développeurs et des responsables sur les priorités les plus importantes dans le processus de développement de logiciels :
- 76% de performances d'application nominées
- 62% ont choisi les caractéristiques et les fonctionnalités
- Et un peu plus de 50 % ont choisi le code sécurisé
Aujourd'hui, comme on peut le constater, la sécurité n'est pas une priorité essentielle.
Mais si l'on se tourne vers l'avenir, la situation change radicalement. Interrogés sur les priorités futures les plus importantes pour mesurer la réussite d'un projet, 79 % des développeurs s'accordent à dire que le codage sécurisé deviendra de plus en plus critique. En fait, les développeurs considèrent la sécurité comme l'ICP dont l'importance augmentera le plus.
Mais même si le codage sécurisé est de plus en plus connu, son adoption suscite des inquiétudes. Pour les développeurs comme pour les gestionnaires, la gestion des vulnérabilités et l'obligation de rendre compte du code suffisent à les empêcher de dormir. Notre étude* a montré que ces deux groupes partagent les mêmes préoccupations de base, qui soulignent la nécessité d'une meilleure formation aux pratiques de codage sécurisé.
Préoccupations et obstacles liés aux pratiques de codage sécurisé
La préoccupation numéro un des développeurs est "l'inclusion d'un code qui reproduit des vulnérabilités antérieures". Comme les développeurs sont jugés sur la qualité de leur code, cela n'a rien d'étonnant. Aucun développeur ne veut être à l'origine d'un code non sécurisé - ou d'un code qui nécessite des retouches et ralentit son équipe.
La deuxième préoccupation la plus importante des développeurs est la gestion des erreurs commises par leurs collègues. Le respect des délais et la responsabilité du code figurent également en bonne place sur la liste, tout comme le fait que l'apprentissage du code sécurisé est difficile, ce qui fait écho à l'insatisfaction des développeurs à l'égard des méthodes de formation actuelles.
Les gestionnaires, quant à eux, ont une vision plus descendante. Leur principale préoccupation est d'être responsable d'un mauvais code ou d'un code qui reproduit des vulnérabilités antérieures. Après tout, si leur équipe produit un code médiocre, c'est le manager qui est responsable.
Le fait que le processus d'apprentissage soit difficile arrive en troisième position - ce n'est pas le seul obstacle aux pratiques de codage sécurisées.
45 % ont indiqué que le manque de communication entre les parties prenantes et la direction constituait un obstacle important. 42 % déplorent le manque de compétences en matière de codage sécurisé chez les nouveaux employés. Dans le même temps, 40 % citent l'insuffisance du temps et des ressources consacrés à la formation.
Les méthodes actuelles de formation au code sécurisé ne donnent pas les résultats escomptés - et les responsables se rendent compte qu'une nouvelle approche est nécessaire.
Qui est responsable des pratiques de codage sécurisé ?
De par sa nature même, la pratique du codage sécurisé implique de prendre en compte la sécurité bien plus tôt dans le cycle de développement durable. Il s'agit d'intégrer activement la sécurité dans le logiciel dès son écriture, dès le début, au lieu de la remettre à plus tard. En d'autres termes, il s'agit de "passer à gauche". Ce "glissement vers la gauche" est l'essence même de la pratique du codage sécurisé. Et cela signifie qu'en fin de compte, chaque membre d'une organisation devrait être responsable de la sécurité du code. Mais à l'heure actuelle, seuls 15 % des développeurs sont d'accord.
Cependant, alors que la plupart des développeurs considèrent encore la sécurité comme le problème de quelqu'un d'autre, une cohorte restreinte mais croissante non seulement adopte activement le codage sécurisé, mais le défend au sein de son organisation. 29 % des développeurs interrogés reconnaissent que de telles personnes existent sur leur lieu de travail. Le problème est que ces champions du codage sécurisé sont encore trop peu nombreux.
Créer plus de champions de la sécurité
Les responsables du développement sont conscients de la nécessité d'identifier et de créer de nouveaux champions de la sécurité et d'améliorer les compétences des développeurs en général en matière de codage sécurisé.
De nombreux responsables accordent également une grande importance aux compétences en matière de codage sécurisé lorsqu'ils recrutent de nouveaux développeurs et valorisent l'expérience en matière de codage sécurisé des développeurs qui font déjà partie de leurs équipes.
83 % des responsables interrogés déclarent demander aux développeurs d'apprendre ou d'adopter des pratiques de codage sécurisées. Environ trois quarts des responsables interrogés déclarent offrir des incitations aux développeurs pour qu'ils s'engagent dans une formation au codage sécurisé. Ces incitations vont de la reconnaissance formelle à des responsabilités accrues, en passant par une augmentation de salaire.
Il est clair que les responsables du développement ont une influence déterminante sur l'adoption de pratiques de codage sécurisées au niveau de l'organisation, et qu'ils jouent un rôle essentiel dans l'identification des champions de la sécurité.
Mais lorsqu'il s'agit de créer davantage de champions, qu'est-ce qui motive les développeurs à s'initier au codage sécurisé ? Notre étude montre qu'ils y voient un moyen d'accroître leur productivité et leur efficacité.
Pourquoi les développeurs n'insistent-ils pas sur la nécessité d'une formation au code plus sûre ? Qu'est-ce qui les empêche de s'aligner sur un besoin organisationnel croissant ?
Des solutions pour commencer à s'attaquer au problème de la réorientation
Les développeurs ne veulent pas rester assis à écouter des conférenciers - ils veulent mettre la main à la pâte et essayer par eux-mêmes. Ils veulent que l'accent soit mis sur les applications pratiques, ce qui fait cruellement défaut aux programmes de formation actuels. Lorsqu'on leur a demandé d'indiquer comment la formation dispensée par l'entreprise pourrait être améliorée, 30 % des personnes interrogées ont répondu qu'elles aimeraient que la formation soit axée sur les applications pratiques, en particulier sur des scénarios de travail authentiques.
Les pratiques de formation actuelles ne permettent pas d'atteindre cet objectif. Une nouvelle approche est nécessaire - et en tant que champions du changement, Secure Code Warrior adopte une approche humaine pour aider les organisations à se réaligner sur le codage sécurisé. Nos formations en cybersécurité Courses offrent des parcours d'apprentissage guidés qui comprennent des défis de codage pratiques et "gamifiés" qui imitent ceux auxquels les développeurs sont confrontés dans le monde réel.
Cette formation est spécifique à la langue et au cadre, contrairement à la formation générique, qui entre souvent dans une oreille et sort de l'autre.
Lorsqu'il s'agit de réaligner la culture, Tournaments peut être utilisé pour mesurer les compétences des codeurs en matière de sécurité, établir une base de référence pour le développement futur des compétences et repérer les champions potentiels de la sécurité au sein de votre équipe de développement.
Si vous souhaitez en savoir plus sur la formation au codage sécurisé qui aligne les besoins des managers, des développeurs et de l'organisation vers un avenir de codage sécurisé, réservez une démonstration maintenant.
*Passer de la réaction à la prévention : Le nouveau visage de la sécurité des applications. Secure Code Warrior et Evans Data Corp. 2020
Table des matières
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.
Plongée en profondeur : Naviguer dans la vulnérabilité critique de CUPS dans les systèmes GNU-Linux
Découvrez les derniers défis de sécurité auxquels sont confrontés les utilisateurs de Linux en explorant les récentes vulnérabilités de haute sévérité dans le système d'impression commun d'UNIX (CUPS). Apprenez comment ces problèmes peuvent conduire à une potentielle exécution de code à distance (RCE) et ce que vous pouvez faire pour protéger vos systèmes.