Réaligner votre organisation sur le codage sécurisé - obstacles, préoccupations et solutions actives
Dans notre monde hyperconnecté, presque toutes les organisations ont un talon d'Achille commun. Une seule vulnérabilité, une seule faille exploitable dans leur code, peut déclencher le vol de données clients, une atteinte à la réputation et des pertes financières considérables. L'alignement organisationnel autour du codage sécurisé n'a jamais été aussi impératif - mais y parvenir est plus facile à dire qu'à faire. C'est pourquoi, en 2020, Secure Code Warrior s'est engagé avec Evans Data Corp. à mener une étude primaire* sur les attitudes des développeurs et des responsables à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité.
Dans cet environnement où la cybersécurité est primordiale, les indicateurs clés de performance traditionnels pour la réussite des projets sont en train d'être redéfinis, mais pas assez rapidement.
Lorsque nous avons interrogé des développeurs et des responsables sur les priorités les plus importantes dans le processus de développement de logiciels :
- 76% de performances d'application nominées
- 62% ont choisi les caractéristiques et les fonctionnalités
- Et un peu plus de 50 % ont choisi le code sécurisé
Aujourd'hui, comme on peut le constater, la sécurité n'est pas une priorité essentielle.
Mais si l'on se tourne vers l'avenir, la situation change radicalement. Interrogés sur les priorités futures les plus importantes pour mesurer la réussite d'un projet, 79 % des développeurs s'accordent à dire que le codage sécurisé deviendra de plus en plus critique. En fait, les développeurs considèrent la sécurité comme l'ICP dont l'importance augmentera le plus.
Mais même si le codage sécurisé est de plus en plus connu, son adoption suscite des inquiétudes. Pour les développeurs comme pour les gestionnaires, la gestion des vulnérabilités et l'obligation de rendre compte du code suffisent à les empêcher de dormir. Notre étude* a montré que ces deux groupes partagent les mêmes préoccupations de base, qui soulignent la nécessité d'une meilleure formation aux pratiques de codage sécurisé.
Préoccupations et obstacles liés aux pratiques de codage sécurisé
La préoccupation numéro un des développeurs est "l'inclusion d'un code qui reproduit des vulnérabilités antérieures". Comme les développeurs sont jugés sur la qualité de leur code, cela n'a rien d'étonnant. Aucun développeur ne veut être à l'origine d'un code non sécurisé - ou d'un code qui nécessite des retouches et ralentit son équipe.
La deuxième préoccupation la plus importante des développeurs est la gestion des erreurs commises par leurs collègues. Le respect des délais et la responsabilité du code figurent également en bonne place sur la liste, tout comme le fait que l'apprentissage du code sécurisé est difficile, ce qui fait écho à l'insatisfaction des développeurs à l'égard des méthodes de formation actuelles.
Les gestionnaires, quant à eux, ont une vision plus descendante. Leur principale préoccupation est d'être responsable d'un mauvais code ou d'un code qui reproduit des vulnérabilités antérieures. Après tout, si leur équipe produit un code médiocre, c'est le manager qui est responsable.
Le fait que le processus d'apprentissage soit difficile arrive en troisième position - ce n'est pas le seul obstacle aux pratiques de codage sécurisées.
45 % ont indiqué que le manque de communication entre les parties prenantes et la direction constituait un obstacle important. 42 % déplorent le manque de compétences en matière de codage sécurisé chez les nouveaux employés. Dans le même temps, 40 % citent l'insuffisance du temps et des ressources consacrés à la formation.
Les méthodes actuelles de formation au code sécurisé ne donnent pas les résultats escomptés - et les responsables se rendent compte qu'une nouvelle approche est nécessaire.
Qui est responsable des pratiques de codage sécurisé ?
De par sa nature même, la pratique du codage sécurisé implique de prendre en compte la sécurité bien plus tôt dans le cycle de développement durable. Il s'agit d'intégrer activement la sécurité dans le logiciel dès son écriture, dès le début, au lieu de la remettre à plus tard. En d'autres termes, il s'agit de "passer à gauche". Ce "glissement vers la gauche" est l'essence même de la pratique du codage sécurisé. Et cela signifie qu'en fin de compte, chaque membre d'une organisation devrait être responsable de la sécurité du code. Mais à l'heure actuelle, seuls 15 % des développeurs sont d'accord.
Cependant, alors que la plupart des développeurs considèrent encore la sécurité comme le problème de quelqu'un d'autre, une cohorte restreinte mais croissante non seulement adopte activement le codage sécurisé, mais le défend au sein de son organisation. 29 % des développeurs interrogés reconnaissent que de telles personnes existent sur leur lieu de travail. Le problème est que ces champions du codage sécurisé sont encore trop peu nombreux.
Créer plus de champions de la sécurité
Les responsables du développement sont conscients de la nécessité d'identifier et de créer de nouveaux champions de la sécurité et d'améliorer les compétences des développeurs en général en matière de codage sécurisé.
De nombreux responsables accordent également une grande importance aux compétences en matière de codage sécurisé lorsqu'ils recrutent de nouveaux développeurs et valorisent l'expérience en matière de codage sécurisé des développeurs qui font déjà partie de leurs équipes.
83 % des responsables interrogés déclarent demander aux développeurs d'apprendre ou d'adopter des pratiques de codage sécurisées. Environ trois quarts des responsables interrogés déclarent offrir des incitations aux développeurs pour qu'ils s'engagent dans une formation au codage sécurisé. Ces incitations vont de la reconnaissance formelle à des responsabilités accrues, en passant par une augmentation de salaire.
Il est clair que les responsables du développement ont une influence déterminante sur l'adoption de pratiques de codage sécurisées au niveau de l'organisation, et qu'ils jouent un rôle essentiel dans l'identification des champions de la sécurité.
Mais lorsqu'il s'agit de créer davantage de champions, qu'est-ce qui motive les développeurs à s'initier au codage sécurisé ? Notre étude montre qu'ils y voient un moyen d'accroître leur productivité et leur efficacité.
Pourquoi les développeurs n'insistent-ils pas sur la nécessité d'une formation au code plus sûre ? Qu'est-ce qui les empêche de s'aligner sur un besoin organisationnel croissant ?
Des solutions pour commencer à s'attaquer au problème de la réorientation
Les développeurs ne veulent pas rester assis à écouter des conférenciers - ils veulent mettre la main à la pâte et essayer par eux-mêmes. Ils veulent que l'accent soit mis sur les applications pratiques, ce qui fait cruellement défaut aux programmes de formation actuels. Lorsqu'on leur a demandé d'indiquer comment la formation dispensée par l'entreprise pourrait être améliorée, 30 % des personnes interrogées ont répondu qu'elles aimeraient que la formation soit axée sur les applications pratiques, en particulier sur des scénarios de travail authentiques.
Les pratiques de formation actuelles ne permettent pas d'atteindre cet objectif. Une nouvelle approche est nécessaire - et en tant que champions du changement, Secure Code Warrior adopte une approche humaine pour aider les organisations à se réaligner sur le codage sécurisé. Nos formations en cybersécurité Courses offrent des parcours d'apprentissage guidés qui comprennent des défis de codage pratiques et "gamifiés" qui imitent ceux auxquels les développeurs sont confrontés dans le monde réel.
Cette formation est spécifique à la langue et au cadre, contrairement à la formation générique, qui entre souvent dans une oreille et sort de l'autre.
Lorsqu'il s'agit de réaligner la culture, Tournaments peut être utilisé pour mesurer les compétences des codeurs en matière de sécurité, établir une base de référence pour le développement futur des compétences et repérer les champions potentiels de la sécurité au sein de votre équipe de développement.
Si vous souhaitez en savoir plus sur la formation au codage sécurisé qui aligne les besoins des managers, des développeurs et de l'organisation vers un avenir de codage sécurisé, réservez une démonstration maintenant.
*Passer de la réaction à la prévention : Le nouveau visage de la sécurité des applications. Secure Code Warrior et Evans Data Corp. 2020
.avif)
Dans notre monde hyperconnecté, presque toutes les organisations ont un talon d'Achille commun. Une seule vulnérabilité, une seule faille exploitable dans leur code, peut déclencher le vol de données clients, une atteinte à la réputation et des pertes financières considérables. L'alignement organisationnel autour du codage sécurisé n'a jamais été aussi impératif - mais y parvenir est plus facile à dire qu'à faire.
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstration
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Cet article a été écrit par Secure Code Warrior L'équipe d'experts du secteur de s'engage à fournir aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie des pratiques de codage sécurisé, des tendances du secteur et des connaissances du monde réel.
Dans notre monde hyperconnecté, presque toutes les organisations ont un talon d'Achille commun. Une seule vulnérabilité, une seule faille exploitable dans leur code, peut déclencher le vol de données clients, une atteinte à la réputation et des pertes financières considérables. L'alignement organisationnel autour du codage sécurisé n'a jamais été aussi impératif - mais y parvenir est plus facile à dire qu'à faire. C'est pourquoi, en 2020, Secure Code Warrior s'est engagé avec Evans Data Corp. à mener une étude primaire* sur les attitudes des développeurs et des responsables à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité.
Dans cet environnement où la cybersécurité est primordiale, les indicateurs clés de performance traditionnels pour la réussite des projets sont en train d'être redéfinis, mais pas assez rapidement.
Lorsque nous avons interrogé des développeurs et des responsables sur les priorités les plus importantes dans le processus de développement de logiciels :
- 76% de performances d'application nominées
- 62% ont choisi les caractéristiques et les fonctionnalités
- Et un peu plus de 50 % ont choisi le code sécurisé
Aujourd'hui, comme on peut le constater, la sécurité n'est pas une priorité essentielle.
Mais si l'on se tourne vers l'avenir, la situation change radicalement. Interrogés sur les priorités futures les plus importantes pour mesurer la réussite d'un projet, 79 % des développeurs s'accordent à dire que le codage sécurisé deviendra de plus en plus critique. En fait, les développeurs considèrent la sécurité comme l'ICP dont l'importance augmentera le plus.
Mais même si le codage sécurisé est de plus en plus connu, son adoption suscite des inquiétudes. Pour les développeurs comme pour les gestionnaires, la gestion des vulnérabilités et l'obligation de rendre compte du code suffisent à les empêcher de dormir. Notre étude* a montré que ces deux groupes partagent les mêmes préoccupations de base, qui soulignent la nécessité d'une meilleure formation aux pratiques de codage sécurisé.
Préoccupations et obstacles liés aux pratiques de codage sécurisé
La préoccupation numéro un des développeurs est "l'inclusion d'un code qui reproduit des vulnérabilités antérieures". Comme les développeurs sont jugés sur la qualité de leur code, cela n'a rien d'étonnant. Aucun développeur ne veut être à l'origine d'un code non sécurisé - ou d'un code qui nécessite des retouches et ralentit son équipe.
La deuxième préoccupation la plus importante des développeurs est la gestion des erreurs commises par leurs collègues. Le respect des délais et la responsabilité du code figurent également en bonne place sur la liste, tout comme le fait que l'apprentissage du code sécurisé est difficile, ce qui fait écho à l'insatisfaction des développeurs à l'égard des méthodes de formation actuelles.
Les gestionnaires, quant à eux, ont une vision plus descendante. Leur principale préoccupation est d'être responsable d'un mauvais code ou d'un code qui reproduit des vulnérabilités antérieures. Après tout, si leur équipe produit un code médiocre, c'est le manager qui est responsable.
Le fait que le processus d'apprentissage soit difficile arrive en troisième position - ce n'est pas le seul obstacle aux pratiques de codage sécurisées.
45 % ont indiqué que le manque de communication entre les parties prenantes et la direction constituait un obstacle important. 42 % déplorent le manque de compétences en matière de codage sécurisé chez les nouveaux employés. Dans le même temps, 40 % citent l'insuffisance du temps et des ressources consacrés à la formation.
Les méthodes actuelles de formation au code sécurisé ne donnent pas les résultats escomptés - et les responsables se rendent compte qu'une nouvelle approche est nécessaire.
Qui est responsable des pratiques de codage sécurisé ?
De par sa nature même, la pratique du codage sécurisé implique de prendre en compte la sécurité bien plus tôt dans le cycle de développement durable. Il s'agit d'intégrer activement la sécurité dans le logiciel dès son écriture, dès le début, au lieu de la remettre à plus tard. En d'autres termes, il s'agit de "passer à gauche". Ce "glissement vers la gauche" est l'essence même de la pratique du codage sécurisé. Et cela signifie qu'en fin de compte, chaque membre d'une organisation devrait être responsable de la sécurité du code. Mais à l'heure actuelle, seuls 15 % des développeurs sont d'accord.
Cependant, alors que la plupart des développeurs considèrent encore la sécurité comme le problème de quelqu'un d'autre, une cohorte restreinte mais croissante non seulement adopte activement le codage sécurisé, mais le défend au sein de son organisation. 29 % des développeurs interrogés reconnaissent que de telles personnes existent sur leur lieu de travail. Le problème est que ces champions du codage sécurisé sont encore trop peu nombreux.
Créer plus de champions de la sécurité
Les responsables du développement sont conscients de la nécessité d'identifier et de créer de nouveaux champions de la sécurité et d'améliorer les compétences des développeurs en général en matière de codage sécurisé.
De nombreux responsables accordent également une grande importance aux compétences en matière de codage sécurisé lorsqu'ils recrutent de nouveaux développeurs et valorisent l'expérience en matière de codage sécurisé des développeurs qui font déjà partie de leurs équipes.
83 % des responsables interrogés déclarent demander aux développeurs d'apprendre ou d'adopter des pratiques de codage sécurisées. Environ trois quarts des responsables interrogés déclarent offrir des incitations aux développeurs pour qu'ils s'engagent dans une formation au codage sécurisé. Ces incitations vont de la reconnaissance formelle à des responsabilités accrues, en passant par une augmentation de salaire.
Il est clair que les responsables du développement ont une influence déterminante sur l'adoption de pratiques de codage sécurisées au niveau de l'organisation, et qu'ils jouent un rôle essentiel dans l'identification des champions de la sécurité.
Mais lorsqu'il s'agit de créer davantage de champions, qu'est-ce qui motive les développeurs à s'initier au codage sécurisé ? Notre étude montre qu'ils y voient un moyen d'accroître leur productivité et leur efficacité.
Pourquoi les développeurs n'insistent-ils pas sur la nécessité d'une formation au code plus sûre ? Qu'est-ce qui les empêche de s'aligner sur un besoin organisationnel croissant ?
Des solutions pour commencer à s'attaquer au problème de la réorientation
Les développeurs ne veulent pas rester assis à écouter des conférenciers - ils veulent mettre la main à la pâte et essayer par eux-mêmes. Ils veulent que l'accent soit mis sur les applications pratiques, ce qui fait cruellement défaut aux programmes de formation actuels. Lorsqu'on leur a demandé d'indiquer comment la formation dispensée par l'entreprise pourrait être améliorée, 30 % des personnes interrogées ont répondu qu'elles aimeraient que la formation soit axée sur les applications pratiques, en particulier sur des scénarios de travail authentiques.
Les pratiques de formation actuelles ne permettent pas d'atteindre cet objectif. Une nouvelle approche est nécessaire - et en tant que champions du changement, Secure Code Warrior adopte une approche humaine pour aider les organisations à se réaligner sur le codage sécurisé. Nos formations en cybersécurité Courses offrent des parcours d'apprentissage guidés qui comprennent des défis de codage pratiques et "gamifiés" qui imitent ceux auxquels les développeurs sont confrontés dans le monde réel.
Cette formation est spécifique à la langue et au cadre, contrairement à la formation générique, qui entre souvent dans une oreille et sort de l'autre.
Lorsqu'il s'agit de réaligner la culture, Tournaments peut être utilisé pour mesurer les compétences des codeurs en matière de sécurité, établir une base de référence pour le développement futur des compétences et repérer les champions potentiels de la sécurité au sein de votre équipe de développement.
Si vous souhaitez en savoir plus sur la formation au codage sécurisé qui aligne les besoins des managers, des développeurs et de l'organisation vers un avenir de codage sécurisé, réservez une démonstration maintenant.
*Passer de la réaction à la prévention : Le nouveau visage de la sécurité des applications. Secure Code Warrior et Evans Data Corp. 2020
Dans notre monde hyperconnecté, presque toutes les organisations ont un talon d'Achille commun. Une seule vulnérabilité, une seule faille exploitable dans leur code, peut déclencher le vol de données clients, une atteinte à la réputation et des pertes financières considérables. L'alignement organisationnel autour du codage sécurisé n'a jamais été aussi impératif - mais y parvenir est plus facile à dire qu'à faire. C'est pourquoi, en 2020, Secure Code Warrior s'est engagé avec Evans Data Corp. à mener une étude primaire* sur les attitudes des développeurs et des responsables à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité.
Dans cet environnement où la cybersécurité est primordiale, les indicateurs clés de performance traditionnels pour la réussite des projets sont en train d'être redéfinis, mais pas assez rapidement.
Lorsque nous avons interrogé des développeurs et des responsables sur les priorités les plus importantes dans le processus de développement de logiciels :
- 76% de performances d'application nominées
- 62% ont choisi les caractéristiques et les fonctionnalités
- Et un peu plus de 50 % ont choisi le code sécurisé
Aujourd'hui, comme on peut le constater, la sécurité n'est pas une priorité essentielle.
Mais si l'on se tourne vers l'avenir, la situation change radicalement. Interrogés sur les priorités futures les plus importantes pour mesurer la réussite d'un projet, 79 % des développeurs s'accordent à dire que le codage sécurisé deviendra de plus en plus critique. En fait, les développeurs considèrent la sécurité comme l'ICP dont l'importance augmentera le plus.
Mais même si le codage sécurisé est de plus en plus connu, son adoption suscite des inquiétudes. Pour les développeurs comme pour les gestionnaires, la gestion des vulnérabilités et l'obligation de rendre compte du code suffisent à les empêcher de dormir. Notre étude* a montré que ces deux groupes partagent les mêmes préoccupations de base, qui soulignent la nécessité d'une meilleure formation aux pratiques de codage sécurisé.
Préoccupations et obstacles liés aux pratiques de codage sécurisé
La préoccupation numéro un des développeurs est "l'inclusion d'un code qui reproduit des vulnérabilités antérieures". Comme les développeurs sont jugés sur la qualité de leur code, cela n'a rien d'étonnant. Aucun développeur ne veut être à l'origine d'un code non sécurisé - ou d'un code qui nécessite des retouches et ralentit son équipe.
La deuxième préoccupation la plus importante des développeurs est la gestion des erreurs commises par leurs collègues. Le respect des délais et la responsabilité du code figurent également en bonne place sur la liste, tout comme le fait que l'apprentissage du code sécurisé est difficile, ce qui fait écho à l'insatisfaction des développeurs à l'égard des méthodes de formation actuelles.
Les gestionnaires, quant à eux, ont une vision plus descendante. Leur principale préoccupation est d'être responsable d'un mauvais code ou d'un code qui reproduit des vulnérabilités antérieures. Après tout, si leur équipe produit un code médiocre, c'est le manager qui est responsable.
Le fait que le processus d'apprentissage soit difficile arrive en troisième position - ce n'est pas le seul obstacle aux pratiques de codage sécurisées.
45 % ont indiqué que le manque de communication entre les parties prenantes et la direction constituait un obstacle important. 42 % déplorent le manque de compétences en matière de codage sécurisé chez les nouveaux employés. Dans le même temps, 40 % citent l'insuffisance du temps et des ressources consacrés à la formation.
Les méthodes actuelles de formation au code sécurisé ne donnent pas les résultats escomptés - et les responsables se rendent compte qu'une nouvelle approche est nécessaire.
Qui est responsable des pratiques de codage sécurisé ?
De par sa nature même, la pratique du codage sécurisé implique de prendre en compte la sécurité bien plus tôt dans le cycle de développement durable. Il s'agit d'intégrer activement la sécurité dans le logiciel dès son écriture, dès le début, au lieu de la remettre à plus tard. En d'autres termes, il s'agit de "passer à gauche". Ce "glissement vers la gauche" est l'essence même de la pratique du codage sécurisé. Et cela signifie qu'en fin de compte, chaque membre d'une organisation devrait être responsable de la sécurité du code. Mais à l'heure actuelle, seuls 15 % des développeurs sont d'accord.
Cependant, alors que la plupart des développeurs considèrent encore la sécurité comme le problème de quelqu'un d'autre, une cohorte restreinte mais croissante non seulement adopte activement le codage sécurisé, mais le défend au sein de son organisation. 29 % des développeurs interrogés reconnaissent que de telles personnes existent sur leur lieu de travail. Le problème est que ces champions du codage sécurisé sont encore trop peu nombreux.
Créer plus de champions de la sécurité
Les responsables du développement sont conscients de la nécessité d'identifier et de créer de nouveaux champions de la sécurité et d'améliorer les compétences des développeurs en général en matière de codage sécurisé.
De nombreux responsables accordent également une grande importance aux compétences en matière de codage sécurisé lorsqu'ils recrutent de nouveaux développeurs et valorisent l'expérience en matière de codage sécurisé des développeurs qui font déjà partie de leurs équipes.
83 % des responsables interrogés déclarent demander aux développeurs d'apprendre ou d'adopter des pratiques de codage sécurisées. Environ trois quarts des responsables interrogés déclarent offrir des incitations aux développeurs pour qu'ils s'engagent dans une formation au codage sécurisé. Ces incitations vont de la reconnaissance formelle à des responsabilités accrues, en passant par une augmentation de salaire.
Il est clair que les responsables du développement ont une influence déterminante sur l'adoption de pratiques de codage sécurisées au niveau de l'organisation, et qu'ils jouent un rôle essentiel dans l'identification des champions de la sécurité.
Mais lorsqu'il s'agit de créer davantage de champions, qu'est-ce qui motive les développeurs à s'initier au codage sécurisé ? Notre étude montre qu'ils y voient un moyen d'accroître leur productivité et leur efficacité.
Pourquoi les développeurs n'insistent-ils pas sur la nécessité d'une formation au code plus sûre ? Qu'est-ce qui les empêche de s'aligner sur un besoin organisationnel croissant ?
Des solutions pour commencer à s'attaquer au problème de la réorientation
Les développeurs ne veulent pas rester assis à écouter des conférenciers - ils veulent mettre la main à la pâte et essayer par eux-mêmes. Ils veulent que l'accent soit mis sur les applications pratiques, ce qui fait cruellement défaut aux programmes de formation actuels. Lorsqu'on leur a demandé d'indiquer comment la formation dispensée par l'entreprise pourrait être améliorée, 30 % des personnes interrogées ont répondu qu'elles aimeraient que la formation soit axée sur les applications pratiques, en particulier sur des scénarios de travail authentiques.
Les pratiques de formation actuelles ne permettent pas d'atteindre cet objectif. Une nouvelle approche est nécessaire - et en tant que champions du changement, Secure Code Warrior adopte une approche humaine pour aider les organisations à se réaligner sur le codage sécurisé. Nos formations en cybersécurité Courses offrent des parcours d'apprentissage guidés qui comprennent des défis de codage pratiques et "gamifiés" qui imitent ceux auxquels les développeurs sont confrontés dans le monde réel.
Cette formation est spécifique à la langue et au cadre, contrairement à la formation générique, qui entre souvent dans une oreille et sort de l'autre.
Lorsqu'il s'agit de réaligner la culture, Tournaments peut être utilisé pour mesurer les compétences des codeurs en matière de sécurité, établir une base de référence pour le développement futur des compétences et repérer les champions potentiels de la sécurité au sein de votre équipe de développement.
Si vous souhaitez en savoir plus sur la formation au codage sécurisé qui aligne les besoins des managers, des développeurs et de l'organisation vers un avenir de codage sécurisé, réservez une démonstration maintenant.
*Passer de la réaction à la prévention : Le nouveau visage de la sécurité des applications. Secure Code Warrior et Evans Data Corp. 2020
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstration
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Cet article a été écrit par Secure Code Warrior L'équipe d'experts du secteur de s'engage à fournir aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie des pratiques de codage sécurisé, des tendances du secteur et des connaissances du monde réel.
Dans notre monde hyperconnecté, presque toutes les organisations ont un talon d'Achille commun. Une seule vulnérabilité, une seule faille exploitable dans leur code, peut déclencher le vol de données clients, une atteinte à la réputation et des pertes financières considérables. L'alignement organisationnel autour du codage sécurisé n'a jamais été aussi impératif - mais y parvenir est plus facile à dire qu'à faire. C'est pourquoi, en 2020, Secure Code Warrior s'est engagé avec Evans Data Corp. à mener une étude primaire* sur les attitudes des développeurs et des responsables à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité.
Dans cet environnement où la cybersécurité est primordiale, les indicateurs clés de performance traditionnels pour la réussite des projets sont en train d'être redéfinis, mais pas assez rapidement.
Lorsque nous avons interrogé des développeurs et des responsables sur les priorités les plus importantes dans le processus de développement de logiciels :
- 76% de performances d'application nominées
- 62% ont choisi les caractéristiques et les fonctionnalités
- Et un peu plus de 50 % ont choisi le code sécurisé
Aujourd'hui, comme on peut le constater, la sécurité n'est pas une priorité essentielle.
Mais si l'on se tourne vers l'avenir, la situation change radicalement. Interrogés sur les priorités futures les plus importantes pour mesurer la réussite d'un projet, 79 % des développeurs s'accordent à dire que le codage sécurisé deviendra de plus en plus critique. En fait, les développeurs considèrent la sécurité comme l'ICP dont l'importance augmentera le plus.
Mais même si le codage sécurisé est de plus en plus connu, son adoption suscite des inquiétudes. Pour les développeurs comme pour les gestionnaires, la gestion des vulnérabilités et l'obligation de rendre compte du code suffisent à les empêcher de dormir. Notre étude* a montré que ces deux groupes partagent les mêmes préoccupations de base, qui soulignent la nécessité d'une meilleure formation aux pratiques de codage sécurisé.
Préoccupations et obstacles liés aux pratiques de codage sécurisé
La préoccupation numéro un des développeurs est "l'inclusion d'un code qui reproduit des vulnérabilités antérieures". Comme les développeurs sont jugés sur la qualité de leur code, cela n'a rien d'étonnant. Aucun développeur ne veut être à l'origine d'un code non sécurisé - ou d'un code qui nécessite des retouches et ralentit son équipe.
La deuxième préoccupation la plus importante des développeurs est la gestion des erreurs commises par leurs collègues. Le respect des délais et la responsabilité du code figurent également en bonne place sur la liste, tout comme le fait que l'apprentissage du code sécurisé est difficile, ce qui fait écho à l'insatisfaction des développeurs à l'égard des méthodes de formation actuelles.
Les gestionnaires, quant à eux, ont une vision plus descendante. Leur principale préoccupation est d'être responsable d'un mauvais code ou d'un code qui reproduit des vulnérabilités antérieures. Après tout, si leur équipe produit un code médiocre, c'est le manager qui est responsable.
Le fait que le processus d'apprentissage soit difficile arrive en troisième position - ce n'est pas le seul obstacle aux pratiques de codage sécurisées.
45 % ont indiqué que le manque de communication entre les parties prenantes et la direction constituait un obstacle important. 42 % déplorent le manque de compétences en matière de codage sécurisé chez les nouveaux employés. Dans le même temps, 40 % citent l'insuffisance du temps et des ressources consacrés à la formation.
Les méthodes actuelles de formation au code sécurisé ne donnent pas les résultats escomptés - et les responsables se rendent compte qu'une nouvelle approche est nécessaire.
Qui est responsable des pratiques de codage sécurisé ?
De par sa nature même, la pratique du codage sécurisé implique de prendre en compte la sécurité bien plus tôt dans le cycle de développement durable. Il s'agit d'intégrer activement la sécurité dans le logiciel dès son écriture, dès le début, au lieu de la remettre à plus tard. En d'autres termes, il s'agit de "passer à gauche". Ce "glissement vers la gauche" est l'essence même de la pratique du codage sécurisé. Et cela signifie qu'en fin de compte, chaque membre d'une organisation devrait être responsable de la sécurité du code. Mais à l'heure actuelle, seuls 15 % des développeurs sont d'accord.
Cependant, alors que la plupart des développeurs considèrent encore la sécurité comme le problème de quelqu'un d'autre, une cohorte restreinte mais croissante non seulement adopte activement le codage sécurisé, mais le défend au sein de son organisation. 29 % des développeurs interrogés reconnaissent que de telles personnes existent sur leur lieu de travail. Le problème est que ces champions du codage sécurisé sont encore trop peu nombreux.
Créer plus de champions de la sécurité
Les responsables du développement sont conscients de la nécessité d'identifier et de créer de nouveaux champions de la sécurité et d'améliorer les compétences des développeurs en général en matière de codage sécurisé.
De nombreux responsables accordent également une grande importance aux compétences en matière de codage sécurisé lorsqu'ils recrutent de nouveaux développeurs et valorisent l'expérience en matière de codage sécurisé des développeurs qui font déjà partie de leurs équipes.
83 % des responsables interrogés déclarent demander aux développeurs d'apprendre ou d'adopter des pratiques de codage sécurisées. Environ trois quarts des responsables interrogés déclarent offrir des incitations aux développeurs pour qu'ils s'engagent dans une formation au codage sécurisé. Ces incitations vont de la reconnaissance formelle à des responsabilités accrues, en passant par une augmentation de salaire.
Il est clair que les responsables du développement ont une influence déterminante sur l'adoption de pratiques de codage sécurisées au niveau de l'organisation, et qu'ils jouent un rôle essentiel dans l'identification des champions de la sécurité.
Mais lorsqu'il s'agit de créer davantage de champions, qu'est-ce qui motive les développeurs à s'initier au codage sécurisé ? Notre étude montre qu'ils y voient un moyen d'accroître leur productivité et leur efficacité.
Pourquoi les développeurs n'insistent-ils pas sur la nécessité d'une formation au code plus sûre ? Qu'est-ce qui les empêche de s'aligner sur un besoin organisationnel croissant ?
Des solutions pour commencer à s'attaquer au problème de la réorientation
Les développeurs ne veulent pas rester assis à écouter des conférenciers - ils veulent mettre la main à la pâte et essayer par eux-mêmes. Ils veulent que l'accent soit mis sur les applications pratiques, ce qui fait cruellement défaut aux programmes de formation actuels. Lorsqu'on leur a demandé d'indiquer comment la formation dispensée par l'entreprise pourrait être améliorée, 30 % des personnes interrogées ont répondu qu'elles aimeraient que la formation soit axée sur les applications pratiques, en particulier sur des scénarios de travail authentiques.
Les pratiques de formation actuelles ne permettent pas d'atteindre cet objectif. Une nouvelle approche est nécessaire - et en tant que champions du changement, Secure Code Warrior adopte une approche humaine pour aider les organisations à se réaligner sur le codage sécurisé. Nos formations en cybersécurité Courses offrent des parcours d'apprentissage guidés qui comprennent des défis de codage pratiques et "gamifiés" qui imitent ceux auxquels les développeurs sont confrontés dans le monde réel.
Cette formation est spécifique à la langue et au cadre, contrairement à la formation générique, qui entre souvent dans une oreille et sort de l'autre.
Lorsqu'il s'agit de réaligner la culture, Tournaments peut être utilisé pour mesurer les compétences des codeurs en matière de sécurité, établir une base de référence pour le développement futur des compétences et repérer les champions potentiels de la sécurité au sein de votre équipe de développement.
Si vous souhaitez en savoir plus sur la formation au codage sécurisé qui aligne les besoins des managers, des développeurs et de l'organisation vers un avenir de codage sécurisé, réservez une démonstration maintenant.
*Passer de la réaction à la prévention : Le nouveau visage de la sécurité des applications. Secure Code Warrior et Evans Data Corp. 2020
Table des matières
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
La puissance d'OpenText Fortify + Secure Code Warrior
OpenText Fortify et Secure Code Warrior unissent leurs forces pour aider les entreprises à réduire les risques, à transformer les développeurs en champions de la sécurité et à renforcer la confiance des clients. Pour en savoir plus, cliquez ici.
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
Ressources pour vous aider à démarrer
La décennie des défenseurs : Secure Code Warrior Dixième anniversaire
Secure Code WarriorL'équipe fondatrice de SCW est restée soudée, dirigeant le navire à travers chaque leçon, chaque triomphe et chaque revers pendant une décennie entière. Nous nous développons et sommes prêts à affronter notre prochain chapitre, SCW 2.0, en tant que leaders de la gestion des risques pour les développeurs.
10 prédictions clés : Secure Code Warrior sur l'influence de l'IA et de la conception sécurisée en 2025
Les organisations sont confrontées à des décisions difficiles sur l'utilisation de l'IA pour soutenir la productivité à long terme, la durabilité et le retour sur investissement de la sécurité. Au cours des dernières années, il nous est apparu clairement que l'IA ne remplacera jamais complètement le rôle du développeur. Des partenariats IA + développeurs aux pressions croissantes (et à la confusion) autour des attentes en matière de conception sécurisée, examinons de plus près ce à quoi nous pouvons nous attendre au cours de l'année prochaine.
OWASP Top 10 pour les applications LLM : Ce qui est nouveau, ce qui a changé et comment rester en sécurité
Gardez une longueur d'avance dans la sécurisation des applications LLM avec les dernières mises à jour du Top 10 de l'OWASP. Découvrez ce qui est nouveau, ce qui a changé et comment Secure Code Warrior vous fournit des ressources d'apprentissage actualisées pour atténuer les risques dans l'IA générative.
La note de confiance révèle la valeur des initiatives d'amélioration de la sécurité par la conception
Nos recherches ont montré que la formation au code sécurisé fonctionne. Le Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité à réduire les vulnérabilités et la manière de rendre l'initiative encore plus efficace.
Codage axé sur le développeur.
En toute sécurité.
Contactez-nous dès aujourd'hui et faites de la sécurité des logiciels une partie intrinsèque de votre processus de développement.
