Une culture de la sécurité : comment Sage a mis en place son programme de champions de la sécurité grâce à l'apprentissage agile du code sécurisé
TL;DR
Sage est une multinationale britannique de logiciels d'entreprise qui fournit aux entreprises des logiciels et des services simples et faciles à utiliser pour la paie, les ressources humaines et les finances. En 2017, elle est la deuxième société technologique du Royaume-Uni, le troisième fournisseur mondial de logiciels de planification des ressources d'entreprise et le premier fournisseur des petites entreprises, avec plus de 6 millions de clients dans le monde.
Situation
Avant de travailler avec Secure Code Warrior, Sage a commencé à définir son réseau de champions de la sécurité pendant environ 10 ans. Malgré le solide réseau de développeurs axés sur la sécurité, la formation était sporadique et n'était pas structurée de manière à se concentrer sur la réduction des risques.
Sage a reconnu qu'il était important de consacrer du temps à l'établissement de relations et à l'intégration de la sécurité sur une période de temps avec une approche flexible. Le programme de Sage a lié ses objectifs à la réduction des risques et à l'impact matériel de ce programme. Lors du pilotage du programme avec certaines unités commerciales, l'accent a été mis sur la manière de mesurer la réduction des risques et de la répercuter sur l'entreprise afin d'obtenir l'adhésion des développeurs et de la direction générale.
Action
Mads Howard, responsable de la sécurité centrée sur les personnes chez Sage, a travaillé avec des développeurs pour comprendre les profils des champions de la sécurité. Elle a rencontré des développeurs dans chaque unité opérationnelle et a mené des entretiens avec eux pour comprendre ce qui les motive, comment ils aiment apprendre et quelles sont les limites qu'ils voient dans leur travail. Avec son équipe, elle s'est efforcée d'établir des relations avec les développeurs et leurs chefs d'équipe, et a insisté sur l'importance de faire preuve de souplesse dans leur approche.
Mads met l'accent sur l'établissement de relations,
"Nous avons passé beaucoup de temps à établir des relations avec les chefs d'équipe de développement, les chefs d'équipe d'ingénierie et les chefs de produit - les personnes qui contrôlent le temps consacré à l'éducation pendant les cycles de sprint.
Selon Mads, il s'agissait également d'étendre leur réseau de champions de la sécurité,
"Le réseau des champions de la sécurité a été considéré comme un élément clé de ce programme. Pour que les produits puissent passer par ce programme, nous avons dû prendre au sérieux le rôle d'un champion de la sécurité et lui fournir une solide formation en la matière.
L'objectif des équipes de sécurité globale de Sage était de mettre en œuvre un programme de contrôle de la sécurité qui prenne en compte les besoins d'apprentissage des développeurs dans un environnement technologique complexe et de choisir un partenaire qui travaille en parallèle avec leurs outils de sécurité existants pour aider à la gestion des vulnérabilités.
Il était important que l'éducation soit considérée comme un aspect important d'un programme de contrôle de sécurité mature. Ils se sont concentrés sur la mesure de la réduction des risques :
- Amélioration de la note de risque
- Âge de la vulnérabilité Réduction de l'arriéré de vulnérabilités
- Temps de résolution
- Pas de vulnérabilités fermées vs. vulnérabilités ouvertes
- Nombre de problèmes par ligne de code écrit par Sage (pas de tiers)
Pour Mads,
"La prochaine étape pour Sage en tant qu'entreprise est de démontrer que l'amélioration des compétences par le biais d'un programme de codage sécurisé intégré dans les flux de travail des développeurs permet de réduire les risques de manière mesurable".
Résultats
Mads a souligné l'importance du partenariat et des conseils que Secure Code Warrior lui a fournis, à elle et à son équipe,
"Je dirais honnêtement que nous n'aurions pas été en mesure d'aller aussi loin et de construire une sorte de programme qui a ce niveau de maturité en termes de différentes couches ou d'équipe de développement à travers différentes technologies sans le soutien de Secure Code Warrior."
Une fois que Mads et son équipe ont terminé leurs entretiens et obtenu l'adhésion des développeurs, elle a commencé à mettre en œuvre Secure Code Warrior dans le cadre d'un programme plus large de culture de la sécurité.
Les résultats, selon Mads, sont les suivants,
"Sage compte aujourd'hui plus de 200 champions de la sécurité inscrits au programme, et si un champion de la sécurité consacre 3,5 heures par semaine (ou 10 % de son temps) à l'acquisition de compétences, il peut plaider en faveur d'un programme de codage sécurisé, d'une formation continue et de la valeur qu'il leur apporte."
Avec l'adhésion des dirigeants et des objectifs mesurables en matière de réduction des risques, Mads a pu commencer à mesurer le succès non seulement en fonction du nombre de personnes sur une plateforme et des heures de jeu, mais aussi en fonction du temps nécessaire pour corriger les vulnérabilités, de l'âge des vulnérabilités, puis en comparant avec les nouvelles fonctionnalités qui ont été développées pour les clients afin d'obtenir un point de vue holistique sur la réduction des vulnérabilités. Pour une équipe, l'impact ressenti a été énorme, avec une réduction de 82 % du temps moyen pour corriger une vulnérabilité..
Toutefois, Howard a ajouté que ce qui importait le plus était ce qui n'était pas quantifiable, à savoir l'engagement et la volonté des équipes de s'impliquer dans le programme.
Principaux enseignements
L'expérience de Sage souligne la pertinence d'une formation à la sécurité bien planifiée et exécutée, l'importance d'une approche flexible et intégrée - une leçon à retenir pour toute organisation visant à mettre en place un programme de codage robuste et sécurisé. Selon Mads, il est important de se rappeler que c'est en travaillant avec les développeurs, et non contre eux, que l'on peut mettre en œuvre un programme de contrôle de la sécurité efficace et intégrer la sécurité dans la culture de l'entreprise.
- La création d'une culture de la sécurité ne se fait pas du jour au lendemain. Il est important de consacrer du temps à l'établissement de relations et à l'intégration de la sécurité sur une certaine période, et d'y consacrer des ressources.
- Reliez tout à la réduction des risques et concentrez-vous sur l'impact matériel d'un programme de codage sécurisé.
- Concentrez-vous sur la manière dont vous pouvez mesurer cette réduction des risques pour la répercuter sur l'entreprise, afin que le programme soit perçu comme ayant un impact et une réussite tant par les développeurs que par les dirigeants.
Pour les développeurs qui souhaitent devenir des champions de la sécurité, elle et son équipe ont également donné ce conseil :
- Créez autour de vous un réseau de personnes intéressées par la sécurité et participez à des conférences et à des exposés. Passez du temps à vous informer sur les sujets qui vous intéressent.
- Gardez à l'esprit que la culture d'une organisation ne changera pas du jour au lendemain et qu'il faudra du temps pour qu'elle se développe et mûrisse.
Découvrez comment Sage a renforcé la sécurité grâce à une approche flexible et axée sur les relations, en créant plus de 200 champions de la sécurité et en réalisant une réduction mesurable des risques.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTL;DR
Sage est une multinationale britannique de logiciels d'entreprise qui fournit aux entreprises des logiciels et des services simples et faciles à utiliser pour la paie, les ressources humaines et les finances. En 2017, elle est la deuxième société technologique du Royaume-Uni, le troisième fournisseur mondial de logiciels de planification des ressources d'entreprise et le premier fournisseur des petites entreprises, avec plus de 6 millions de clients dans le monde.
Situation
Avant de travailler avec Secure Code Warrior, Sage a commencé à définir son réseau de champions de la sécurité pendant environ 10 ans. Malgré le solide réseau de développeurs axés sur la sécurité, la formation était sporadique et n'était pas structurée de manière à se concentrer sur la réduction des risques.
Sage a reconnu qu'il était important de consacrer du temps à l'établissement de relations et à l'intégration de la sécurité sur une période de temps avec une approche flexible. Le programme de Sage a lié ses objectifs à la réduction des risques et à l'impact matériel de ce programme. Lors du pilotage du programme avec certaines unités commerciales, l'accent a été mis sur la manière de mesurer la réduction des risques et de la répercuter sur l'entreprise afin d'obtenir l'adhésion des développeurs et de la direction générale.
Action
Mads Howard, responsable de la sécurité centrée sur les personnes chez Sage, a travaillé avec des développeurs pour comprendre les profils des champions de la sécurité. Elle a rencontré des développeurs dans chaque unité opérationnelle et a mené des entretiens avec eux pour comprendre ce qui les motive, comment ils aiment apprendre et quelles sont les limites qu'ils voient dans leur travail. Avec son équipe, elle s'est efforcée d'établir des relations avec les développeurs et leurs chefs d'équipe, et a insisté sur l'importance de faire preuve de souplesse dans leur approche.
Mads met l'accent sur l'établissement de relations,
"Nous avons passé beaucoup de temps à établir des relations avec les chefs d'équipe de développement, les chefs d'équipe d'ingénierie et les chefs de produit - les personnes qui contrôlent le temps consacré à l'éducation pendant les cycles de sprint.
Selon Mads, il s'agissait également d'étendre leur réseau de champions de la sécurité,
"Le réseau des champions de la sécurité a été considéré comme un élément clé de ce programme. Pour que les produits puissent passer par ce programme, nous avons dû prendre au sérieux le rôle d'un champion de la sécurité et lui fournir une solide formation en la matière.
L'objectif des équipes de sécurité globale de Sage était de mettre en œuvre un programme de contrôle de la sécurité qui prenne en compte les besoins d'apprentissage des développeurs dans un environnement technologique complexe et de choisir un partenaire qui travaille en parallèle avec leurs outils de sécurité existants pour aider à la gestion des vulnérabilités.
Il était important que l'éducation soit considérée comme un aspect important d'un programme de contrôle de sécurité mature. Ils se sont concentrés sur la mesure de la réduction des risques :
- Amélioration de la note de risque
- Âge de la vulnérabilité Réduction de l'arriéré de vulnérabilités
- Temps de résolution
- Pas de vulnérabilités fermées vs. vulnérabilités ouvertes
- Nombre de problèmes par ligne de code écrit par Sage (pas de tiers)
Pour Mads,
"La prochaine étape pour Sage en tant qu'entreprise est de démontrer que l'amélioration des compétences par le biais d'un programme de codage sécurisé intégré dans les flux de travail des développeurs permet de réduire les risques de manière mesurable".
Résultats
Mads a souligné l'importance du partenariat et des conseils que Secure Code Warrior lui a fournis, à elle et à son équipe,
"Je dirais honnêtement que nous n'aurions pas été en mesure d'aller aussi loin et de construire une sorte de programme qui a ce niveau de maturité en termes de différentes couches ou d'équipe de développement à travers différentes technologies sans le soutien de Secure Code Warrior."
Une fois que Mads et son équipe ont terminé leurs entretiens et obtenu l'adhésion des développeurs, elle a commencé à mettre en œuvre Secure Code Warrior dans le cadre d'un programme plus large de culture de la sécurité.
Les résultats, selon Mads, sont les suivants,
"Sage compte aujourd'hui plus de 200 champions de la sécurité inscrits au programme, et si un champion de la sécurité consacre 3,5 heures par semaine (ou 10 % de son temps) à l'acquisition de compétences, il peut plaider en faveur d'un programme de codage sécurisé, d'une formation continue et de la valeur qu'il leur apporte."
Avec l'adhésion des dirigeants et des objectifs mesurables en matière de réduction des risques, Mads a pu commencer à mesurer le succès non seulement en fonction du nombre de personnes sur une plateforme et des heures de jeu, mais aussi en fonction du temps nécessaire pour corriger les vulnérabilités, de l'âge des vulnérabilités, puis en comparant avec les nouvelles fonctionnalités qui ont été développées pour les clients afin d'obtenir un point de vue holistique sur la réduction des vulnérabilités. Pour une équipe, l'impact ressenti a été énorme, avec une réduction de 82 % du temps moyen pour corriger une vulnérabilité..
Toutefois, Howard a ajouté que ce qui importait le plus était ce qui n'était pas quantifiable, à savoir l'engagement et la volonté des équipes de s'impliquer dans le programme.
Principaux enseignements
L'expérience de Sage souligne la pertinence d'une formation à la sécurité bien planifiée et exécutée, l'importance d'une approche flexible et intégrée - une leçon à retenir pour toute organisation visant à mettre en place un programme de codage robuste et sécurisé. Selon Mads, il est important de se rappeler que c'est en travaillant avec les développeurs, et non contre eux, que l'on peut mettre en œuvre un programme de contrôle de la sécurité efficace et intégrer la sécurité dans la culture de l'entreprise.
- La création d'une culture de la sécurité ne se fait pas du jour au lendemain. Il est important de consacrer du temps à l'établissement de relations et à l'intégration de la sécurité sur une certaine période, et d'y consacrer des ressources.
- Reliez tout à la réduction des risques et concentrez-vous sur l'impact matériel d'un programme de codage sécurisé.
- Concentrez-vous sur la manière dont vous pouvez mesurer cette réduction des risques pour la répercuter sur l'entreprise, afin que le programme soit perçu comme ayant un impact et une réussite tant par les développeurs que par les dirigeants.
Pour les développeurs qui souhaitent devenir des champions de la sécurité, elle et son équipe ont également donné ce conseil :
- Créez autour de vous un réseau de personnes intéressées par la sécurité et participez à des conférences et à des exposés. Passez du temps à vous informer sur les sujets qui vous intéressent.
- Gardez à l'esprit que la culture d'une organisation ne changera pas du jour au lendemain et qu'il faudra du temps pour qu'elle se développe et mûrisse.
TL;DR
Sage est une multinationale britannique de logiciels d'entreprise qui fournit aux entreprises des logiciels et des services simples et faciles à utiliser pour la paie, les ressources humaines et les finances. En 2017, elle est la deuxième société technologique du Royaume-Uni, le troisième fournisseur mondial de logiciels de planification des ressources d'entreprise et le premier fournisseur des petites entreprises, avec plus de 6 millions de clients dans le monde.
Situation
Avant de travailler avec Secure Code Warrior, Sage a commencé à définir son réseau de champions de la sécurité pendant environ 10 ans. Malgré le solide réseau de développeurs axés sur la sécurité, la formation était sporadique et n'était pas structurée de manière à se concentrer sur la réduction des risques.
Sage a reconnu qu'il était important de consacrer du temps à l'établissement de relations et à l'intégration de la sécurité sur une période de temps avec une approche flexible. Le programme de Sage a lié ses objectifs à la réduction des risques et à l'impact matériel de ce programme. Lors du pilotage du programme avec certaines unités commerciales, l'accent a été mis sur la manière de mesurer la réduction des risques et de la répercuter sur l'entreprise afin d'obtenir l'adhésion des développeurs et de la direction générale.
Action
Mads Howard, responsable de la sécurité centrée sur les personnes chez Sage, a travaillé avec des développeurs pour comprendre les profils des champions de la sécurité. Elle a rencontré des développeurs dans chaque unité opérationnelle et a mené des entretiens avec eux pour comprendre ce qui les motive, comment ils aiment apprendre et quelles sont les limites qu'ils voient dans leur travail. Avec son équipe, elle s'est efforcée d'établir des relations avec les développeurs et leurs chefs d'équipe, et a insisté sur l'importance de faire preuve de souplesse dans leur approche.
Mads met l'accent sur l'établissement de relations,
"Nous avons passé beaucoup de temps à établir des relations avec les chefs d'équipe de développement, les chefs d'équipe d'ingénierie et les chefs de produit - les personnes qui contrôlent le temps consacré à l'éducation pendant les cycles de sprint.
Selon Mads, il s'agissait également d'étendre leur réseau de champions de la sécurité,
"Le réseau des champions de la sécurité a été considéré comme un élément clé de ce programme. Pour que les produits puissent passer par ce programme, nous avons dû prendre au sérieux le rôle d'un champion de la sécurité et lui fournir une solide formation en la matière.
L'objectif des équipes de sécurité globale de Sage était de mettre en œuvre un programme de contrôle de la sécurité qui prenne en compte les besoins d'apprentissage des développeurs dans un environnement technologique complexe et de choisir un partenaire qui travaille en parallèle avec leurs outils de sécurité existants pour aider à la gestion des vulnérabilités.
Il était important que l'éducation soit considérée comme un aspect important d'un programme de contrôle de sécurité mature. Ils se sont concentrés sur la mesure de la réduction des risques :
- Amélioration de la note de risque
- Âge de la vulnérabilité Réduction de l'arriéré de vulnérabilités
- Temps de résolution
- Pas de vulnérabilités fermées vs. vulnérabilités ouvertes
- Nombre de problèmes par ligne de code écrit par Sage (pas de tiers)
Pour Mads,
"La prochaine étape pour Sage en tant qu'entreprise est de démontrer que l'amélioration des compétences par le biais d'un programme de codage sécurisé intégré dans les flux de travail des développeurs permet de réduire les risques de manière mesurable".
Résultats
Mads a souligné l'importance du partenariat et des conseils que Secure Code Warrior lui a fournis, à elle et à son équipe,
"Je dirais honnêtement que nous n'aurions pas été en mesure d'aller aussi loin et de construire une sorte de programme qui a ce niveau de maturité en termes de différentes couches ou d'équipe de développement à travers différentes technologies sans le soutien de Secure Code Warrior."
Une fois que Mads et son équipe ont terminé leurs entretiens et obtenu l'adhésion des développeurs, elle a commencé à mettre en œuvre Secure Code Warrior dans le cadre d'un programme plus large de culture de la sécurité.
Les résultats, selon Mads, sont les suivants,
"Sage compte aujourd'hui plus de 200 champions de la sécurité inscrits au programme, et si un champion de la sécurité consacre 3,5 heures par semaine (ou 10 % de son temps) à l'acquisition de compétences, il peut plaider en faveur d'un programme de codage sécurisé, d'une formation continue et de la valeur qu'il leur apporte."
Avec l'adhésion des dirigeants et des objectifs mesurables en matière de réduction des risques, Mads a pu commencer à mesurer le succès non seulement en fonction du nombre de personnes sur une plateforme et des heures de jeu, mais aussi en fonction du temps nécessaire pour corriger les vulnérabilités, de l'âge des vulnérabilités, puis en comparant avec les nouvelles fonctionnalités qui ont été développées pour les clients afin d'obtenir un point de vue holistique sur la réduction des vulnérabilités. Pour une équipe, l'impact ressenti a été énorme, avec une réduction de 82 % du temps moyen pour corriger une vulnérabilité..
Toutefois, Howard a ajouté que ce qui importait le plus était ce qui n'était pas quantifiable, à savoir l'engagement et la volonté des équipes de s'impliquer dans le programme.
Principaux enseignements
L'expérience de Sage souligne la pertinence d'une formation à la sécurité bien planifiée et exécutée, l'importance d'une approche flexible et intégrée - une leçon à retenir pour toute organisation visant à mettre en place un programme de codage robuste et sécurisé. Selon Mads, il est important de se rappeler que c'est en travaillant avec les développeurs, et non contre eux, que l'on peut mettre en œuvre un programme de contrôle de la sécurité efficace et intégrer la sécurité dans la culture de l'entreprise.
- La création d'une culture de la sécurité ne se fait pas du jour au lendemain. Il est important de consacrer du temps à l'établissement de relations et à l'intégration de la sécurité sur une certaine période, et d'y consacrer des ressources.
- Reliez tout à la réduction des risques et concentrez-vous sur l'impact matériel d'un programme de codage sécurisé.
- Concentrez-vous sur la manière dont vous pouvez mesurer cette réduction des risques pour la répercuter sur l'entreprise, afin que le programme soit perçu comme ayant un impact et une réussite tant par les développeurs que par les dirigeants.
Pour les développeurs qui souhaitent devenir des champions de la sécurité, elle et son équipe ont également donné ce conseil :
- Créez autour de vous un réseau de personnes intéressées par la sécurité et participez à des conférences et à des exposés. Passez du temps à vous informer sur les sujets qui vous intéressent.
- Gardez à l'esprit que la culture d'une organisation ne changera pas du jour au lendemain et qu'il faudra du temps pour qu'elle se développe et mûrisse.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationTL;DR
Sage est une multinationale britannique de logiciels d'entreprise qui fournit aux entreprises des logiciels et des services simples et faciles à utiliser pour la paie, les ressources humaines et les finances. En 2017, elle est la deuxième société technologique du Royaume-Uni, le troisième fournisseur mondial de logiciels de planification des ressources d'entreprise et le premier fournisseur des petites entreprises, avec plus de 6 millions de clients dans le monde.
Situation
Avant de travailler avec Secure Code Warrior, Sage a commencé à définir son réseau de champions de la sécurité pendant environ 10 ans. Malgré le solide réseau de développeurs axés sur la sécurité, la formation était sporadique et n'était pas structurée de manière à se concentrer sur la réduction des risques.
Sage a reconnu qu'il était important de consacrer du temps à l'établissement de relations et à l'intégration de la sécurité sur une période de temps avec une approche flexible. Le programme de Sage a lié ses objectifs à la réduction des risques et à l'impact matériel de ce programme. Lors du pilotage du programme avec certaines unités commerciales, l'accent a été mis sur la manière de mesurer la réduction des risques et de la répercuter sur l'entreprise afin d'obtenir l'adhésion des développeurs et de la direction générale.
Action
Mads Howard, responsable de la sécurité centrée sur les personnes chez Sage, a travaillé avec des développeurs pour comprendre les profils des champions de la sécurité. Elle a rencontré des développeurs dans chaque unité opérationnelle et a mené des entretiens avec eux pour comprendre ce qui les motive, comment ils aiment apprendre et quelles sont les limites qu'ils voient dans leur travail. Avec son équipe, elle s'est efforcée d'établir des relations avec les développeurs et leurs chefs d'équipe, et a insisté sur l'importance de faire preuve de souplesse dans leur approche.
Mads met l'accent sur l'établissement de relations,
"Nous avons passé beaucoup de temps à établir des relations avec les chefs d'équipe de développement, les chefs d'équipe d'ingénierie et les chefs de produit - les personnes qui contrôlent le temps consacré à l'éducation pendant les cycles de sprint.
Selon Mads, il s'agissait également d'étendre leur réseau de champions de la sécurité,
"Le réseau des champions de la sécurité a été considéré comme un élément clé de ce programme. Pour que les produits puissent passer par ce programme, nous avons dû prendre au sérieux le rôle d'un champion de la sécurité et lui fournir une solide formation en la matière.
L'objectif des équipes de sécurité globale de Sage était de mettre en œuvre un programme de contrôle de la sécurité qui prenne en compte les besoins d'apprentissage des développeurs dans un environnement technologique complexe et de choisir un partenaire qui travaille en parallèle avec leurs outils de sécurité existants pour aider à la gestion des vulnérabilités.
Il était important que l'éducation soit considérée comme un aspect important d'un programme de contrôle de sécurité mature. Ils se sont concentrés sur la mesure de la réduction des risques :
- Amélioration de la note de risque
- Âge de la vulnérabilité Réduction de l'arriéré de vulnérabilités
- Temps de résolution
- Pas de vulnérabilités fermées vs. vulnérabilités ouvertes
- Nombre de problèmes par ligne de code écrit par Sage (pas de tiers)
Pour Mads,
"La prochaine étape pour Sage en tant qu'entreprise est de démontrer que l'amélioration des compétences par le biais d'un programme de codage sécurisé intégré dans les flux de travail des développeurs permet de réduire les risques de manière mesurable".
Résultats
Mads a souligné l'importance du partenariat et des conseils que Secure Code Warrior lui a fournis, à elle et à son équipe,
"Je dirais honnêtement que nous n'aurions pas été en mesure d'aller aussi loin et de construire une sorte de programme qui a ce niveau de maturité en termes de différentes couches ou d'équipe de développement à travers différentes technologies sans le soutien de Secure Code Warrior."
Une fois que Mads et son équipe ont terminé leurs entretiens et obtenu l'adhésion des développeurs, elle a commencé à mettre en œuvre Secure Code Warrior dans le cadre d'un programme plus large de culture de la sécurité.
Les résultats, selon Mads, sont les suivants,
"Sage compte aujourd'hui plus de 200 champions de la sécurité inscrits au programme, et si un champion de la sécurité consacre 3,5 heures par semaine (ou 10 % de son temps) à l'acquisition de compétences, il peut plaider en faveur d'un programme de codage sécurisé, d'une formation continue et de la valeur qu'il leur apporte."
Avec l'adhésion des dirigeants et des objectifs mesurables en matière de réduction des risques, Mads a pu commencer à mesurer le succès non seulement en fonction du nombre de personnes sur une plateforme et des heures de jeu, mais aussi en fonction du temps nécessaire pour corriger les vulnérabilités, de l'âge des vulnérabilités, puis en comparant avec les nouvelles fonctionnalités qui ont été développées pour les clients afin d'obtenir un point de vue holistique sur la réduction des vulnérabilités. Pour une équipe, l'impact ressenti a été énorme, avec une réduction de 82 % du temps moyen pour corriger une vulnérabilité..
Toutefois, Howard a ajouté que ce qui importait le plus était ce qui n'était pas quantifiable, à savoir l'engagement et la volonté des équipes de s'impliquer dans le programme.
Principaux enseignements
L'expérience de Sage souligne la pertinence d'une formation à la sécurité bien planifiée et exécutée, l'importance d'une approche flexible et intégrée - une leçon à retenir pour toute organisation visant à mettre en place un programme de codage robuste et sécurisé. Selon Mads, il est important de se rappeler que c'est en travaillant avec les développeurs, et non contre eux, que l'on peut mettre en œuvre un programme de contrôle de la sécurité efficace et intégrer la sécurité dans la culture de l'entreprise.
- La création d'une culture de la sécurité ne se fait pas du jour au lendemain. Il est important de consacrer du temps à l'établissement de relations et à l'intégration de la sécurité sur une certaine période, et d'y consacrer des ressources.
- Reliez tout à la réduction des risques et concentrez-vous sur l'impact matériel d'un programme de codage sécurisé.
- Concentrez-vous sur la manière dont vous pouvez mesurer cette réduction des risques pour la répercuter sur l'entreprise, afin que le programme soit perçu comme ayant un impact et une réussite tant par les développeurs que par les dirigeants.
Pour les développeurs qui souhaitent devenir des champions de la sécurité, elle et son équipe ont également donné ce conseil :
- Créez autour de vous un réseau de personnes intéressées par la sécurité et participez à des conférences et à des exposés. Passez du temps à vous informer sur les sujets qui vous intéressent.
- Gardez à l'esprit que la culture d'une organisation ne changera pas du jour au lendemain et qu'il faudra du temps pour qu'elle se développe et mûrisse.
Table des matières
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
La puissance d'OpenText Fortify + Secure Code Warrior
OpenText Fortify et Secure Code Warrior unissent leurs forces pour aider les entreprises à réduire les risques, à transformer les développeurs en champions de la sécurité et à renforcer la confiance des clients. Pour en savoir plus, cliquez ici.
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
Ressources pour vous aider à démarrer
10 prédictions clés : Secure Code Warrior sur l'influence de l'IA et de la conception sécurisée en 2025
Les organisations sont confrontées à des décisions difficiles sur l'utilisation de l'IA pour soutenir la productivité à long terme, la durabilité et le retour sur investissement de la sécurité. Au cours des dernières années, il nous est apparu clairement que l'IA ne remplacera jamais complètement le rôle du développeur. Des partenariats IA + développeurs aux pressions croissantes (et à la confusion) autour des attentes en matière de conception sécurisée, examinons de plus près ce à quoi nous pouvons nous attendre au cours de l'année prochaine.
OWASP Top 10 pour les applications LLM : Ce qui est nouveau, ce qui a changé et comment rester en sécurité
Gardez une longueur d'avance dans la sécurisation des applications LLM avec les dernières mises à jour du Top 10 de l'OWASP. Découvrez ce qui est nouveau, ce qui a changé et comment Secure Code Warrior vous fournit des ressources d'apprentissage actualisées pour atténuer les risques dans l'IA générative.
La note de confiance révèle la valeur des initiatives d'amélioration de la sécurité par la conception
Nos recherches ont montré que la formation au code sécurisé fonctionne. Le Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité à réduire les vulnérabilités et la manière de rendre l'initiative encore plus efficace.
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.