Réaligner votre organisation sur le codage sécurisé - obstacles, préoccupations et solutions actives
Dans notre monde hyperconnecté, presque toutes les organisations ont un talon d'Achille commun. Une seule vulnérabilité, une seule faille exploitable dans leur code, peut déclencher le vol de données clients, une atteinte à la réputation et des pertes financières considérables. L'alignement organisationnel autour du codage sécurisé n'a jamais été aussi impératif - mais y parvenir est plus facile à dire qu'à faire. C'est pourquoi, en 2020, Secure Code Warrior s'est engagé avec Evans Data Corp. à mener une étude primaire* sur les attitudes des développeurs et des responsables à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité.
Dans cet environnement où la cybersécurité est primordiale, les indicateurs clés de performance traditionnels pour la réussite des projets sont en train d'être redéfinis, mais pas assez rapidement.
Lorsque nous avons interrogé des développeurs et des responsables sur les priorités les plus importantes dans le processus de développement de logiciels :
- 76% de performances d'application nominées
- 62% ont choisi les caractéristiques et les fonctionnalités
- Et un peu plus de 50 % ont choisi le code sécurisé
Aujourd'hui, comme on peut le constater, la sécurité n'est pas une priorité essentielle.
Mais si l'on se tourne vers l'avenir, la situation change radicalement. Interrogés sur les priorités futures les plus importantes pour mesurer la réussite d'un projet, 79 % des développeurs s'accordent à dire que le codage sécurisé deviendra de plus en plus critique. En fait, les développeurs considèrent la sécurité comme l'ICP dont l'importance augmentera le plus.
Mais même si le codage sécurisé est de plus en plus connu, son adoption suscite des inquiétudes. Pour les développeurs comme pour les gestionnaires, la gestion des vulnérabilités et l'obligation de rendre compte du code suffisent à les empêcher de dormir. Notre étude* a montré que ces deux groupes partagent les mêmes préoccupations de base, qui soulignent la nécessité d'une meilleure formation aux pratiques de codage sécurisé.
Préoccupations et obstacles liés aux pratiques de codage sécurisé
La préoccupation numéro un des développeurs est "l'inclusion d'un code qui reproduit des vulnérabilités antérieures". Comme les développeurs sont jugés sur la qualité de leur code, cela n'a rien d'étonnant. Aucun développeur ne veut être à l'origine d'un code non sécurisé - ou d'un code qui nécessite des retouches et ralentit son équipe.
La deuxième préoccupation la plus importante des développeurs est la gestion des erreurs commises par leurs collègues. Le respect des délais et la responsabilité du code figurent également en bonne place sur la liste, tout comme le fait que l'apprentissage du code sécurisé est difficile, ce qui fait écho à l'insatisfaction des développeurs à l'égard des méthodes de formation actuelles.
Les gestionnaires, quant à eux, ont une vision plus descendante. Leur principale préoccupation est d'être responsable d'un mauvais code ou d'un code qui reproduit des vulnérabilités antérieures. Après tout, si leur équipe produit un code médiocre, c'est le manager qui est responsable.
Le fait que le processus d'apprentissage soit difficile arrive en troisième position - ce n'est pas le seul obstacle aux pratiques de codage sécurisées.
45 % ont indiqué que le manque de communication entre les parties prenantes et la direction constituait un obstacle important. 42 % déplorent le manque de compétences en matière de codage sécurisé chez les nouveaux employés. Dans le même temps, 40 % citent l'insuffisance du temps et des ressources consacrés à la formation.
Les méthodes actuelles de formation au code sécurisé ne donnent pas les résultats escomptés - et les responsables se rendent compte qu'une nouvelle approche est nécessaire.
Qui est responsable des pratiques de codage sécurisé ?
De par sa nature même, la pratique du codage sécurisé implique de prendre en compte la sécurité bien plus tôt dans le cycle de développement durable. Il s'agit d'intégrer activement la sécurité dans le logiciel dès son écriture, dès le début, au lieu de la remettre à plus tard. En d'autres termes, il s'agit de "passer à gauche". Ce "glissement vers la gauche" est l'essence même de la pratique du codage sécurisé. Et cela signifie qu'en fin de compte, chaque membre d'une organisation devrait être responsable de la sécurité du code. Mais à l'heure actuelle, seuls 15 % des développeurs sont d'accord.
Cependant, alors que la plupart des développeurs considèrent encore la sécurité comme le problème de quelqu'un d'autre, une cohorte restreinte mais croissante non seulement adopte activement le codage sécurisé, mais le défend au sein de son organisation. 29 % des développeurs interrogés reconnaissent que de telles personnes existent sur leur lieu de travail. Le problème est que ces champions du codage sécurisé sont encore trop peu nombreux.
Créer plus de champions de la sécurité
Les responsables du développement sont conscients de la nécessité d'identifier et de créer de nouveaux champions de la sécurité et d'améliorer les compétences des développeurs en général en matière de codage sécurisé.
De nombreux responsables accordent également une grande importance aux compétences en matière de codage sécurisé lorsqu'ils recrutent de nouveaux développeurs et valorisent l'expérience en matière de codage sécurisé des développeurs qui font déjà partie de leurs équipes.
83 % des responsables interrogés déclarent demander aux développeurs d'apprendre ou d'adopter des pratiques de codage sécurisées. Environ trois quarts des responsables interrogés déclarent offrir des incitations aux développeurs pour qu'ils s'engagent dans une formation au codage sécurisé. Ces incitations vont de la reconnaissance formelle à des responsabilités accrues, en passant par une augmentation de salaire.
Il est clair que les responsables du développement ont une influence déterminante sur l'adoption de pratiques de codage sécurisées au niveau de l'organisation, et qu'ils jouent un rôle essentiel dans l'identification des champions de la sécurité.
Mais lorsqu'il s'agit de créer davantage de champions, qu'est-ce qui motive les développeurs à s'initier au codage sécurisé ? Notre étude montre qu'ils y voient un moyen d'accroître leur productivité et leur efficacité.
Pourquoi les développeurs n'insistent-ils pas sur la nécessité d'une formation au code plus sûre ? Qu'est-ce qui les empêche de s'aligner sur un besoin organisationnel croissant ?
Des solutions pour commencer à s'attaquer au problème de la réorientation
Les développeurs ne veulent pas rester assis à écouter des conférenciers - ils veulent mettre la main à la pâte et essayer par eux-mêmes. Ils veulent que l'accent soit mis sur les applications pratiques, ce qui fait cruellement défaut aux programmes de formation actuels. Lorsqu'on leur a demandé d'indiquer comment la formation dispensée par l'entreprise pourrait être améliorée, 30 % des personnes interrogées ont répondu qu'elles aimeraient que la formation soit axée sur les applications pratiques, en particulier sur des scénarios de travail authentiques.
Les pratiques de formation actuelles ne permettent pas d'atteindre cet objectif. Une nouvelle approche est nécessaire - et en tant que champions du changement, Secure Code Warrior adopte une approche humaine pour aider les organisations à se réaligner sur le codage sécurisé. Nos formations en cybersécurité Courses offrent des parcours d'apprentissage guidés qui comprennent des défis de codage pratiques et "gamifiés" qui imitent ceux auxquels les développeurs sont confrontés dans le monde réel.
Cette formation est spécifique à la langue et au cadre, contrairement à la formation générique, qui entre souvent dans une oreille et sort de l'autre.
Lorsqu'il s'agit de réaligner la culture, Tournaments peut être utilisé pour mesurer les compétences des codeurs en matière de sécurité, établir une base de référence pour le développement futur des compétences et repérer les champions potentiels de la sécurité au sein de votre équipe de développement.
Si vous souhaitez en savoir plus sur la formation au codage sécurisé qui aligne les besoins des managers, des développeurs et de l'organisation vers un avenir de codage sécurisé, réservez une démonstration maintenant.
*Passer de la réaction à la prévention : Le nouveau visage de la sécurité des applications. Secure Code Warrior et Evans Data Corp. 2020
.avif)
Dans notre monde hyperconnecté, presque toutes les organisations ont un talon d'Achille commun. Une seule vulnérabilité, une seule faille exploitable dans leur code, peut déclencher le vol de données clients, une atteinte à la réputation et des pertes financières considérables. L'alignement organisationnel autour du codage sécurisé n'a jamais été aussi impératif - mais y parvenir est plus facile à dire qu'à faire.
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstration
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Cet article a été écrit par Secure Code Warrior L'équipe d'experts du secteur de s'engage à fournir aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie des pratiques de codage sécurisé, des tendances du secteur et des connaissances du monde réel.
Dans notre monde hyperconnecté, presque toutes les organisations ont un talon d'Achille commun. Une seule vulnérabilité, une seule faille exploitable dans leur code, peut déclencher le vol de données clients, une atteinte à la réputation et des pertes financières considérables. L'alignement organisationnel autour du codage sécurisé n'a jamais été aussi impératif - mais y parvenir est plus facile à dire qu'à faire. C'est pourquoi, en 2020, Secure Code Warrior s'est engagé avec Evans Data Corp. à mener une étude primaire* sur les attitudes des développeurs et des responsables à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité.
Dans cet environnement où la cybersécurité est primordiale, les indicateurs clés de performance traditionnels pour la réussite des projets sont en train d'être redéfinis, mais pas assez rapidement.
Lorsque nous avons interrogé des développeurs et des responsables sur les priorités les plus importantes dans le processus de développement de logiciels :
- 76% de performances d'application nominées
- 62% ont choisi les caractéristiques et les fonctionnalités
- Et un peu plus de 50 % ont choisi le code sécurisé
Aujourd'hui, comme on peut le constater, la sécurité n'est pas une priorité essentielle.
Mais si l'on se tourne vers l'avenir, la situation change radicalement. Interrogés sur les priorités futures les plus importantes pour mesurer la réussite d'un projet, 79 % des développeurs s'accordent à dire que le codage sécurisé deviendra de plus en plus critique. En fait, les développeurs considèrent la sécurité comme l'ICP dont l'importance augmentera le plus.
Mais même si le codage sécurisé est de plus en plus connu, son adoption suscite des inquiétudes. Pour les développeurs comme pour les gestionnaires, la gestion des vulnérabilités et l'obligation de rendre compte du code suffisent à les empêcher de dormir. Notre étude* a montré que ces deux groupes partagent les mêmes préoccupations de base, qui soulignent la nécessité d'une meilleure formation aux pratiques de codage sécurisé.
Préoccupations et obstacles liés aux pratiques de codage sécurisé
La préoccupation numéro un des développeurs est "l'inclusion d'un code qui reproduit des vulnérabilités antérieures". Comme les développeurs sont jugés sur la qualité de leur code, cela n'a rien d'étonnant. Aucun développeur ne veut être à l'origine d'un code non sécurisé - ou d'un code qui nécessite des retouches et ralentit son équipe.
La deuxième préoccupation la plus importante des développeurs est la gestion des erreurs commises par leurs collègues. Le respect des délais et la responsabilité du code figurent également en bonne place sur la liste, tout comme le fait que l'apprentissage du code sécurisé est difficile, ce qui fait écho à l'insatisfaction des développeurs à l'égard des méthodes de formation actuelles.
Les gestionnaires, quant à eux, ont une vision plus descendante. Leur principale préoccupation est d'être responsable d'un mauvais code ou d'un code qui reproduit des vulnérabilités antérieures. Après tout, si leur équipe produit un code médiocre, c'est le manager qui est responsable.
Le fait que le processus d'apprentissage soit difficile arrive en troisième position - ce n'est pas le seul obstacle aux pratiques de codage sécurisées.
45 % ont indiqué que le manque de communication entre les parties prenantes et la direction constituait un obstacle important. 42 % déplorent le manque de compétences en matière de codage sécurisé chez les nouveaux employés. Dans le même temps, 40 % citent l'insuffisance du temps et des ressources consacrés à la formation.
Les méthodes actuelles de formation au code sécurisé ne donnent pas les résultats escomptés - et les responsables se rendent compte qu'une nouvelle approche est nécessaire.
Qui est responsable des pratiques de codage sécurisé ?
De par sa nature même, la pratique du codage sécurisé implique de prendre en compte la sécurité bien plus tôt dans le cycle de développement durable. Il s'agit d'intégrer activement la sécurité dans le logiciel dès son écriture, dès le début, au lieu de la remettre à plus tard. En d'autres termes, il s'agit de "passer à gauche". Ce "glissement vers la gauche" est l'essence même de la pratique du codage sécurisé. Et cela signifie qu'en fin de compte, chaque membre d'une organisation devrait être responsable de la sécurité du code. Mais à l'heure actuelle, seuls 15 % des développeurs sont d'accord.
Cependant, alors que la plupart des développeurs considèrent encore la sécurité comme le problème de quelqu'un d'autre, une cohorte restreinte mais croissante non seulement adopte activement le codage sécurisé, mais le défend au sein de son organisation. 29 % des développeurs interrogés reconnaissent que de telles personnes existent sur leur lieu de travail. Le problème est que ces champions du codage sécurisé sont encore trop peu nombreux.
Créer plus de champions de la sécurité
Les responsables du développement sont conscients de la nécessité d'identifier et de créer de nouveaux champions de la sécurité et d'améliorer les compétences des développeurs en général en matière de codage sécurisé.
De nombreux responsables accordent également une grande importance aux compétences en matière de codage sécurisé lorsqu'ils recrutent de nouveaux développeurs et valorisent l'expérience en matière de codage sécurisé des développeurs qui font déjà partie de leurs équipes.
83 % des responsables interrogés déclarent demander aux développeurs d'apprendre ou d'adopter des pratiques de codage sécurisées. Environ trois quarts des responsables interrogés déclarent offrir des incitations aux développeurs pour qu'ils s'engagent dans une formation au codage sécurisé. Ces incitations vont de la reconnaissance formelle à des responsabilités accrues, en passant par une augmentation de salaire.
Il est clair que les responsables du développement ont une influence déterminante sur l'adoption de pratiques de codage sécurisées au niveau de l'organisation, et qu'ils jouent un rôle essentiel dans l'identification des champions de la sécurité.
Mais lorsqu'il s'agit de créer davantage de champions, qu'est-ce qui motive les développeurs à s'initier au codage sécurisé ? Notre étude montre qu'ils y voient un moyen d'accroître leur productivité et leur efficacité.
Pourquoi les développeurs n'insistent-ils pas sur la nécessité d'une formation au code plus sûre ? Qu'est-ce qui les empêche de s'aligner sur un besoin organisationnel croissant ?
Des solutions pour commencer à s'attaquer au problème de la réorientation
Les développeurs ne veulent pas rester assis à écouter des conférenciers - ils veulent mettre la main à la pâte et essayer par eux-mêmes. Ils veulent que l'accent soit mis sur les applications pratiques, ce qui fait cruellement défaut aux programmes de formation actuels. Lorsqu'on leur a demandé d'indiquer comment la formation dispensée par l'entreprise pourrait être améliorée, 30 % des personnes interrogées ont répondu qu'elles aimeraient que la formation soit axée sur les applications pratiques, en particulier sur des scénarios de travail authentiques.
Les pratiques de formation actuelles ne permettent pas d'atteindre cet objectif. Une nouvelle approche est nécessaire - et en tant que champions du changement, Secure Code Warrior adopte une approche humaine pour aider les organisations à se réaligner sur le codage sécurisé. Nos formations en cybersécurité Courses offrent des parcours d'apprentissage guidés qui comprennent des défis de codage pratiques et "gamifiés" qui imitent ceux auxquels les développeurs sont confrontés dans le monde réel.
Cette formation est spécifique à la langue et au cadre, contrairement à la formation générique, qui entre souvent dans une oreille et sort de l'autre.
Lorsqu'il s'agit de réaligner la culture, Tournaments peut être utilisé pour mesurer les compétences des codeurs en matière de sécurité, établir une base de référence pour le développement futur des compétences et repérer les champions potentiels de la sécurité au sein de votre équipe de développement.
Si vous souhaitez en savoir plus sur la formation au codage sécurisé qui aligne les besoins des managers, des développeurs et de l'organisation vers un avenir de codage sécurisé, réservez une démonstration maintenant.
*Passer de la réaction à la prévention : Le nouveau visage de la sécurité des applications. Secure Code Warrior et Evans Data Corp. 2020
Dans notre monde hyperconnecté, presque toutes les organisations ont un talon d'Achille commun. Une seule vulnérabilité, une seule faille exploitable dans leur code, peut déclencher le vol de données clients, une atteinte à la réputation et des pertes financières considérables. L'alignement organisationnel autour du codage sécurisé n'a jamais été aussi impératif - mais y parvenir est plus facile à dire qu'à faire. C'est pourquoi, en 2020, Secure Code Warrior s'est engagé avec Evans Data Corp. à mener une étude primaire* sur les attitudes des développeurs et des responsables à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité.
Dans cet environnement où la cybersécurité est primordiale, les indicateurs clés de performance traditionnels pour la réussite des projets sont en train d'être redéfinis, mais pas assez rapidement.
Lorsque nous avons interrogé des développeurs et des responsables sur les priorités les plus importantes dans le processus de développement de logiciels :
- 76% de performances d'application nominées
- 62% ont choisi les caractéristiques et les fonctionnalités
- Et un peu plus de 50 % ont choisi le code sécurisé
Aujourd'hui, comme on peut le constater, la sécurité n'est pas une priorité essentielle.
Mais si l'on se tourne vers l'avenir, la situation change radicalement. Interrogés sur les priorités futures les plus importantes pour mesurer la réussite d'un projet, 79 % des développeurs s'accordent à dire que le codage sécurisé deviendra de plus en plus critique. En fait, les développeurs considèrent la sécurité comme l'ICP dont l'importance augmentera le plus.
Mais même si le codage sécurisé est de plus en plus connu, son adoption suscite des inquiétudes. Pour les développeurs comme pour les gestionnaires, la gestion des vulnérabilités et l'obligation de rendre compte du code suffisent à les empêcher de dormir. Notre étude* a montré que ces deux groupes partagent les mêmes préoccupations de base, qui soulignent la nécessité d'une meilleure formation aux pratiques de codage sécurisé.
Préoccupations et obstacles liés aux pratiques de codage sécurisé
La préoccupation numéro un des développeurs est "l'inclusion d'un code qui reproduit des vulnérabilités antérieures". Comme les développeurs sont jugés sur la qualité de leur code, cela n'a rien d'étonnant. Aucun développeur ne veut être à l'origine d'un code non sécurisé - ou d'un code qui nécessite des retouches et ralentit son équipe.
La deuxième préoccupation la plus importante des développeurs est la gestion des erreurs commises par leurs collègues. Le respect des délais et la responsabilité du code figurent également en bonne place sur la liste, tout comme le fait que l'apprentissage du code sécurisé est difficile, ce qui fait écho à l'insatisfaction des développeurs à l'égard des méthodes de formation actuelles.
Les gestionnaires, quant à eux, ont une vision plus descendante. Leur principale préoccupation est d'être responsable d'un mauvais code ou d'un code qui reproduit des vulnérabilités antérieures. Après tout, si leur équipe produit un code médiocre, c'est le manager qui est responsable.
Le fait que le processus d'apprentissage soit difficile arrive en troisième position - ce n'est pas le seul obstacle aux pratiques de codage sécurisées.
45 % ont indiqué que le manque de communication entre les parties prenantes et la direction constituait un obstacle important. 42 % déplorent le manque de compétences en matière de codage sécurisé chez les nouveaux employés. Dans le même temps, 40 % citent l'insuffisance du temps et des ressources consacrés à la formation.
Les méthodes actuelles de formation au code sécurisé ne donnent pas les résultats escomptés - et les responsables se rendent compte qu'une nouvelle approche est nécessaire.
Qui est responsable des pratiques de codage sécurisé ?
De par sa nature même, la pratique du codage sécurisé implique de prendre en compte la sécurité bien plus tôt dans le cycle de développement durable. Il s'agit d'intégrer activement la sécurité dans le logiciel dès son écriture, dès le début, au lieu de la remettre à plus tard. En d'autres termes, il s'agit de "passer à gauche". Ce "glissement vers la gauche" est l'essence même de la pratique du codage sécurisé. Et cela signifie qu'en fin de compte, chaque membre d'une organisation devrait être responsable de la sécurité du code. Mais à l'heure actuelle, seuls 15 % des développeurs sont d'accord.
Cependant, alors que la plupart des développeurs considèrent encore la sécurité comme le problème de quelqu'un d'autre, une cohorte restreinte mais croissante non seulement adopte activement le codage sécurisé, mais le défend au sein de son organisation. 29 % des développeurs interrogés reconnaissent que de telles personnes existent sur leur lieu de travail. Le problème est que ces champions du codage sécurisé sont encore trop peu nombreux.
Créer plus de champions de la sécurité
Les responsables du développement sont conscients de la nécessité d'identifier et de créer de nouveaux champions de la sécurité et d'améliorer les compétences des développeurs en général en matière de codage sécurisé.
De nombreux responsables accordent également une grande importance aux compétences en matière de codage sécurisé lorsqu'ils recrutent de nouveaux développeurs et valorisent l'expérience en matière de codage sécurisé des développeurs qui font déjà partie de leurs équipes.
83 % des responsables interrogés déclarent demander aux développeurs d'apprendre ou d'adopter des pratiques de codage sécurisées. Environ trois quarts des responsables interrogés déclarent offrir des incitations aux développeurs pour qu'ils s'engagent dans une formation au codage sécurisé. Ces incitations vont de la reconnaissance formelle à des responsabilités accrues, en passant par une augmentation de salaire.
Il est clair que les responsables du développement ont une influence déterminante sur l'adoption de pratiques de codage sécurisées au niveau de l'organisation, et qu'ils jouent un rôle essentiel dans l'identification des champions de la sécurité.
Mais lorsqu'il s'agit de créer davantage de champions, qu'est-ce qui motive les développeurs à s'initier au codage sécurisé ? Notre étude montre qu'ils y voient un moyen d'accroître leur productivité et leur efficacité.
Pourquoi les développeurs n'insistent-ils pas sur la nécessité d'une formation au code plus sûre ? Qu'est-ce qui les empêche de s'aligner sur un besoin organisationnel croissant ?
Des solutions pour commencer à s'attaquer au problème de la réorientation
Les développeurs ne veulent pas rester assis à écouter des conférenciers - ils veulent mettre la main à la pâte et essayer par eux-mêmes. Ils veulent que l'accent soit mis sur les applications pratiques, ce qui fait cruellement défaut aux programmes de formation actuels. Lorsqu'on leur a demandé d'indiquer comment la formation dispensée par l'entreprise pourrait être améliorée, 30 % des personnes interrogées ont répondu qu'elles aimeraient que la formation soit axée sur les applications pratiques, en particulier sur des scénarios de travail authentiques.
Les pratiques de formation actuelles ne permettent pas d'atteindre cet objectif. Une nouvelle approche est nécessaire - et en tant que champions du changement, Secure Code Warrior adopte une approche humaine pour aider les organisations à se réaligner sur le codage sécurisé. Nos formations en cybersécurité Courses offrent des parcours d'apprentissage guidés qui comprennent des défis de codage pratiques et "gamifiés" qui imitent ceux auxquels les développeurs sont confrontés dans le monde réel.
Cette formation est spécifique à la langue et au cadre, contrairement à la formation générique, qui entre souvent dans une oreille et sort de l'autre.
Lorsqu'il s'agit de réaligner la culture, Tournaments peut être utilisé pour mesurer les compétences des codeurs en matière de sécurité, établir une base de référence pour le développement futur des compétences et repérer les champions potentiels de la sécurité au sein de votre équipe de développement.
Si vous souhaitez en savoir plus sur la formation au codage sécurisé qui aligne les besoins des managers, des développeurs et de l'organisation vers un avenir de codage sécurisé, réservez une démonstration maintenant.
*Passer de la réaction à la prévention : Le nouveau visage de la sécurité des applications. Secure Code Warrior et Evans Data Corp. 2020
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstration
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Cet article a été écrit par Secure Code Warrior L'équipe d'experts du secteur de s'engage à fournir aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie des pratiques de codage sécurisé, des tendances du secteur et des connaissances du monde réel.
Dans notre monde hyperconnecté, presque toutes les organisations ont un talon d'Achille commun. Une seule vulnérabilité, une seule faille exploitable dans leur code, peut déclencher le vol de données clients, une atteinte à la réputation et des pertes financières considérables. L'alignement organisationnel autour du codage sécurisé n'a jamais été aussi impératif - mais y parvenir est plus facile à dire qu'à faire. C'est pourquoi, en 2020, Secure Code Warrior s'est engagé avec Evans Data Corp. à mener une étude primaire* sur les attitudes des développeurs et des responsables à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité.
Dans cet environnement où la cybersécurité est primordiale, les indicateurs clés de performance traditionnels pour la réussite des projets sont en train d'être redéfinis, mais pas assez rapidement.
Lorsque nous avons interrogé des développeurs et des responsables sur les priorités les plus importantes dans le processus de développement de logiciels :
- 76% de performances d'application nominées
- 62% ont choisi les caractéristiques et les fonctionnalités
- Et un peu plus de 50 % ont choisi le code sécurisé
Aujourd'hui, comme on peut le constater, la sécurité n'est pas une priorité essentielle.
Mais si l'on se tourne vers l'avenir, la situation change radicalement. Interrogés sur les priorités futures les plus importantes pour mesurer la réussite d'un projet, 79 % des développeurs s'accordent à dire que le codage sécurisé deviendra de plus en plus critique. En fait, les développeurs considèrent la sécurité comme l'ICP dont l'importance augmentera le plus.
Mais même si le codage sécurisé est de plus en plus connu, son adoption suscite des inquiétudes. Pour les développeurs comme pour les gestionnaires, la gestion des vulnérabilités et l'obligation de rendre compte du code suffisent à les empêcher de dormir. Notre étude* a montré que ces deux groupes partagent les mêmes préoccupations de base, qui soulignent la nécessité d'une meilleure formation aux pratiques de codage sécurisé.
Préoccupations et obstacles liés aux pratiques de codage sécurisé
La préoccupation numéro un des développeurs est "l'inclusion d'un code qui reproduit des vulnérabilités antérieures". Comme les développeurs sont jugés sur la qualité de leur code, cela n'a rien d'étonnant. Aucun développeur ne veut être à l'origine d'un code non sécurisé - ou d'un code qui nécessite des retouches et ralentit son équipe.
La deuxième préoccupation la plus importante des développeurs est la gestion des erreurs commises par leurs collègues. Le respect des délais et la responsabilité du code figurent également en bonne place sur la liste, tout comme le fait que l'apprentissage du code sécurisé est difficile, ce qui fait écho à l'insatisfaction des développeurs à l'égard des méthodes de formation actuelles.
Les gestionnaires, quant à eux, ont une vision plus descendante. Leur principale préoccupation est d'être responsable d'un mauvais code ou d'un code qui reproduit des vulnérabilités antérieures. Après tout, si leur équipe produit un code médiocre, c'est le manager qui est responsable.
Le fait que le processus d'apprentissage soit difficile arrive en troisième position - ce n'est pas le seul obstacle aux pratiques de codage sécurisées.
45 % ont indiqué que le manque de communication entre les parties prenantes et la direction constituait un obstacle important. 42 % déplorent le manque de compétences en matière de codage sécurisé chez les nouveaux employés. Dans le même temps, 40 % citent l'insuffisance du temps et des ressources consacrés à la formation.
Les méthodes actuelles de formation au code sécurisé ne donnent pas les résultats escomptés - et les responsables se rendent compte qu'une nouvelle approche est nécessaire.
Qui est responsable des pratiques de codage sécurisé ?
De par sa nature même, la pratique du codage sécurisé implique de prendre en compte la sécurité bien plus tôt dans le cycle de développement durable. Il s'agit d'intégrer activement la sécurité dans le logiciel dès son écriture, dès le début, au lieu de la remettre à plus tard. En d'autres termes, il s'agit de "passer à gauche". Ce "glissement vers la gauche" est l'essence même de la pratique du codage sécurisé. Et cela signifie qu'en fin de compte, chaque membre d'une organisation devrait être responsable de la sécurité du code. Mais à l'heure actuelle, seuls 15 % des développeurs sont d'accord.
Cependant, alors que la plupart des développeurs considèrent encore la sécurité comme le problème de quelqu'un d'autre, une cohorte restreinte mais croissante non seulement adopte activement le codage sécurisé, mais le défend au sein de son organisation. 29 % des développeurs interrogés reconnaissent que de telles personnes existent sur leur lieu de travail. Le problème est que ces champions du codage sécurisé sont encore trop peu nombreux.
Créer plus de champions de la sécurité
Les responsables du développement sont conscients de la nécessité d'identifier et de créer de nouveaux champions de la sécurité et d'améliorer les compétences des développeurs en général en matière de codage sécurisé.
De nombreux responsables accordent également une grande importance aux compétences en matière de codage sécurisé lorsqu'ils recrutent de nouveaux développeurs et valorisent l'expérience en matière de codage sécurisé des développeurs qui font déjà partie de leurs équipes.
83 % des responsables interrogés déclarent demander aux développeurs d'apprendre ou d'adopter des pratiques de codage sécurisées. Environ trois quarts des responsables interrogés déclarent offrir des incitations aux développeurs pour qu'ils s'engagent dans une formation au codage sécurisé. Ces incitations vont de la reconnaissance formelle à des responsabilités accrues, en passant par une augmentation de salaire.
Il est clair que les responsables du développement ont une influence déterminante sur l'adoption de pratiques de codage sécurisées au niveau de l'organisation, et qu'ils jouent un rôle essentiel dans l'identification des champions de la sécurité.
Mais lorsqu'il s'agit de créer davantage de champions, qu'est-ce qui motive les développeurs à s'initier au codage sécurisé ? Notre étude montre qu'ils y voient un moyen d'accroître leur productivité et leur efficacité.
Pourquoi les développeurs n'insistent-ils pas sur la nécessité d'une formation au code plus sûre ? Qu'est-ce qui les empêche de s'aligner sur un besoin organisationnel croissant ?
Des solutions pour commencer à s'attaquer au problème de la réorientation
Les développeurs ne veulent pas rester assis à écouter des conférenciers - ils veulent mettre la main à la pâte et essayer par eux-mêmes. Ils veulent que l'accent soit mis sur les applications pratiques, ce qui fait cruellement défaut aux programmes de formation actuels. Lorsqu'on leur a demandé d'indiquer comment la formation dispensée par l'entreprise pourrait être améliorée, 30 % des personnes interrogées ont répondu qu'elles aimeraient que la formation soit axée sur les applications pratiques, en particulier sur des scénarios de travail authentiques.
Les pratiques de formation actuelles ne permettent pas d'atteindre cet objectif. Une nouvelle approche est nécessaire - et en tant que champions du changement, Secure Code Warrior adopte une approche humaine pour aider les organisations à se réaligner sur le codage sécurisé. Nos formations en cybersécurité Courses offrent des parcours d'apprentissage guidés qui comprennent des défis de codage pratiques et "gamifiés" qui imitent ceux auxquels les développeurs sont confrontés dans le monde réel.
Cette formation est spécifique à la langue et au cadre, contrairement à la formation générique, qui entre souvent dans une oreille et sort de l'autre.
Lorsqu'il s'agit de réaligner la culture, Tournaments peut être utilisé pour mesurer les compétences des codeurs en matière de sécurité, établir une base de référence pour le développement futur des compétences et repérer les champions potentiels de la sécurité au sein de votre équipe de développement.
Si vous souhaitez en savoir plus sur la formation au codage sécurisé qui aligne les besoins des managers, des développeurs et de l'organisation vers un avenir de codage sécurisé, réservez une démonstration maintenant.
*Passer de la réaction à la prévention : Le nouveau visage de la sécurité des applications. Secure Code Warrior et Evans Data Corp. 2020
Table des matières
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
La puissance de la sécurité des applications OpenText + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
Thèmes et contenu de la formation sur le code sécurisé
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
Ressources pour vous aider à démarrer
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
Cybermon est de retour : Missions IA « Battez le boss » sont Missions disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Déployez des défis de sécurité avancés en matière d'IA/LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
L'IA peut écrire et réviser du code, mais les humains assument toujours le risque
Le lancement de Claude Code Security par Anthropic marque un point de convergence décisif entre le développement de logiciels assisté par l'IA et l'évolution rapide de notre approche de la cybersécurité moderne.