Le développement sécurisé devrait être le système immunitaire d'AppSec
En tant que professionnel de la sécurité des applications, il vous incombe de garantir la cybersécurité des applications de votre organisation. Cependant, vous n'êtes pas responsable de l'écriture du code sur lequel l'application fonctionne. Ce sont les ingénieurs de l'équipe de développement qui s'en chargent. Comment pouvez-vous donc vous assurer qu'ils développent ces systèmes en gardant la sécurité à l'esprit ?
Il est très probable que vous fassiez certaines des choses suivantes, voire toutes :
- Examiner l'ensemble du code pour détecter les failles de sécurité et les signaler à l'équipe de développement pour qu'elle les corrige.
- Appliquer un processus strict d'évaluation par les pairs tout au long du cycle de développement sécurisé.
- Faire réaliser régulièrement des tests d'application assessment/de pénétration par des équipes de sécurité internes ou externes.
- Mettre en place des outils d'analyse pour détecter les vulnérabilités.
Il s'agit là d'excellentes pratiques, mais elles sont également coûteuses et reviennent à prendre une série d'antibiotiques chaque fois que vous tombez malade. Non seulement le coût est élevé, mais les médicaments perdent de leur efficacité et peuvent affaiblir votre système immunitaire au fil du temps.
Comment s'assurer que le code livré par les développeurs est écrit de manière sécurisée ?
Au-delà du codage sécurisé, réfléchissez d'abord à la manière dont les gens apprennent. La plupart d'entre nous sont des apprenants visuels et nous apprenons par la pratique. Or, la formation au codage sécurisé est souvent proposée comme une activité "à cocher" et n'est pas pertinente pour le travail quotidien d'un développeur. Elle est conçue pour prouver que les développeurs ont suivi une formation à la sécurité, souvent pour se conformer aux normes de l'industrie, et non pour que les développeurs retiennent réellement ces connaissances, et encore moins pour qu'ils apprécient le processus d'apprentissage.
Les humains ont également tendance à apprendre en commettant des erreurs, comme le fait notre système immunitaire. Les cellules T se souviennent des agents pathogènes qu'elles ont rencontrés et éradiqués avec succès dans le passé, de sorte qu'elles peuvent se protéger contre eux à l'avenir. C'est exactement le rôle que les développeurs devraient jouer dans votre SDLC sécurisé .
Il n'est pas réaliste d'attendre d'eux qu'ils ne fassent pas d'erreurs, mais vous pouvez les préparer de manière à ce qu'ils soient capables de reconnaître les schémas de codage qui se traduiront par des vulnérabilités en matière de sécurité à l'avenir.
C'est également ainsi qu'un processus robuste d'évaluation par les pairs devient si puissant. Ce n'est pas parce qu'un développeur ne remarque pas une faille de sécurité qu'un autre ne le fera pas. Et plus l'équipe de développement est bien formée, plus les vulnérabilités sont susceptibles d'être détectées et de ne jamais atteindre la production.
Les vulnérabilités des logiciels sont comme des agents pathogènes
Les vulnérabilités des logiciels sont comme des agents pathogènes, en ce sens qu'il faut s'en souvenir pour les combattre. Dans le cas des agents pathogènes, notre système immunitaire doit souvent être exposé plusieurs fois avant de se souvenir de la manière de les combattre et d'éviter une maladie grave, voire pire.
Une cyberattaque réussie à partir d'un logiciel vulnérable peut gravement paralyser ou tuer une organisation. Mais si les développeurs sont d'abord confrontés aux vulnérabilités des logiciels dans un environnement contrôlé, ils peuvent s'efforcer de s'immuniser contre les menaces en renforçant et en pratiquant régulièrement leurs connaissances et leurs compétences en matière de codage sécurisé.
Exposer les développeurs aux failles de sécurité dans un environnement contrôlé
Nous ne pouvons jamais nous protéger totalement contre les maladies, mais il y a des choses que nous pouvons faire pour renforcer notre système immunitaire et rester en aussi bonne santé que possible. L'exercice physique régulier, une alimentation saine et un sommeil suffisant font partie des choix de vie généralement associés à un système immunitaire fort. Mais toutes ces choses demandent un peu d'effort et doivent être continues. Faire du jogging tous les jours pendant une semaine ou arrêter de boire pendant un mois ne changera pas grand-chose à votre état de santé général. Il n'est pas non plus conseillé de courir un 10 km le premier jour où l'on se met à la course à pied. Nous devons d'abord exposer notre cœur et nos muscles à l'exercice. Nous savons également qu'il faut expérimenter un peu avant de trouver un bon équilibre pour notre corps, des aliments sains et des exercices que nous aimons.
Il en va de même pour le développement de logiciels sécurisés. L'apprentissage se fait avec le temps et la pratique, et les développeurs ont besoin de la même formation continue pour renforcer régulièrement leurs compétences en matière de codage sécurisé. De plus, le développement de logiciels évolue et s'adapte en permanence, ce qui signifie que les vulnérabilités évoluent également. C'est pourquoi un simple cours de formation ne suffit pas. Les développeurs ont besoin d'une formation continue régulière afin d'être suffisamment familiarisés avec les menaces potentielles pour être correctement équipés pour s'en défendre.
Viser l'immunité collective au sein de l'équipe de développement
Une seule personne ne peut pas prévenir tous les problèmes de sécurité. C'est une bonne chose d'avoir des champions de la sécurité dans l'équipe, mais pour obtenir la meilleure protection, plus il y a de personnes qui ont appris à connaître les vulnérabilités en matière de sécurité et à les prévenir, plus votre organisation a de chances de les prévenir. Encore une fois, ce n'est pas très différent de la façon dont le système immunitaire a différents types de cellules T pour différents objectifs. Chaque développeur fait partie d'une équipe qui assure la sécurité. S'ils sont habilités à prendre des responsabilités, à bien faire leur travail et même à aimer le faire, vous pouvez alors créer une immunité collective contre les cybermenaces au sein de l'équipe de développement.
Gardez la sécurité à l'esprit grâce à une exposition répétée
Notre cerveau apprend de la même manière que notre système immunitaire. Le psychologue allemand Hermann Ebbinghaus a été un pionnier dans le domaine de la mémoire et de l'apprentissage. Il en a déduit que l'apprentissage doit se faire dans la durée et au cours de multiples sessions d'apprentissage. À l'école, on ne s'attend jamais à ce que nous conservions de nouvelles connaissances après la première introduction. L'information nous est d'abord présentée, puis nous la pratiquons avec des conseils, puis nous la pratiquons seuls. Et même lorsque nous les avons suffisamment bien assimilées pour réussir un examen, les informations ont tendance à être oubliées peu de temps après si nous n'utilisons pas régulièrement les connaissances que nous avons consacré du temps et des efforts à apprendre. Combien d'entre nous peuvent affirmer qu'ils se souviennent du français qu'ils ont appris au lycée ?
Dès lors, comment croire qu'une seule journée passée à regarder des diapositives et à écouter quelqu'un parler de sécurité permettra aux développeurs présents de coder de manière plus sûre ?
Les schémas de vulnérabilités récurrentes nous montrent que cela ne fonctionne tout simplement pas.
Comment parvenir à une immunité de développement sécurisée ?
La réponse se trouve dans notre nature. Notre corps et notre esprit fonctionnent de la même manière et apportent de belles solutions aux problèmes, à condition de travailler avec eux et non contre eux.
Pour garantir la sécurité de vos applications, vous devez commencer par former les développeurs à l'écriture de codes sécurisés. Sinon, l'AppSec continuera à passer tout son temps à examiner l'ensemble du code à la recherche de failles de sécurité et à rapporter les mêmes vulnérabilités récurrentes au développement pour qu'elles soient rapidement corrigées sans que rien n'ait été appris. Et l'on recommence pour la prochaine version.
Répétons-le donc.
Si vous collaborez avec vos responsables du développement pour y parvenir, vous ne vous contenterez pas de mettre en œuvre un SDLC sécurisé et de cocher la case de l'exigence de formation à la sécurité pour la conformité, vous aurez un impact réel sur le processus de développement. Pour couronner le tout, l'AppSec ne rencontrera plus de vulnérabilités répétées et ne les signalera plus aux équipes de développement, et les développeurs passeront moins de temps à les corriger. Cela signifie qu'ils pourront consacrer plus de temps à la création et à l'amélioration des logiciels extraordinaires qui rendent notre monde meilleur.
Prêt à renforcer les compétences de votre équipe de développement ? Réservez une démonstration avec nous.
En tant que professionnel de la sécurité des applications, il vous incombe de garantir la cybersécurité des applications de votre organisation. Cependant, vous n'êtes pas responsable de l'écriture du code sur lequel l'application fonctionne. Ce sont les ingénieurs de l'équipe de développement qui s'en chargent. Comment pouvez-vous donc vous assurer qu'ils développent ces systèmes en gardant la sécurité à l'esprit ?
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationSecure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior crée une culture de développeurs axés sur la sécurité en leur donnant les compétences nécessaires pour coder de manière sécurisée. Notre programme phare Agile Learning Platform propose des parcours pertinents basés sur les compétences, des exercices pratiques missions et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé.
En tant que professionnel de la sécurité des applications, il vous incombe de garantir la cybersécurité des applications de votre organisation. Cependant, vous n'êtes pas responsable de l'écriture du code sur lequel l'application fonctionne. Ce sont les ingénieurs de l'équipe de développement qui s'en chargent. Comment pouvez-vous donc vous assurer qu'ils développent ces systèmes en gardant la sécurité à l'esprit ?
Il est très probable que vous fassiez certaines des choses suivantes, voire toutes :
- Examiner l'ensemble du code pour détecter les failles de sécurité et les signaler à l'équipe de développement pour qu'elle les corrige.
- Appliquer un processus strict d'évaluation par les pairs tout au long du cycle de développement sécurisé.
- Faire réaliser régulièrement des tests d'application assessment/de pénétration par des équipes de sécurité internes ou externes.
- Mettre en place des outils d'analyse pour détecter les vulnérabilités.
Il s'agit là d'excellentes pratiques, mais elles sont également coûteuses et reviennent à prendre une série d'antibiotiques chaque fois que vous tombez malade. Non seulement le coût est élevé, mais les médicaments perdent de leur efficacité et peuvent affaiblir votre système immunitaire au fil du temps.
Comment s'assurer que le code livré par les développeurs est écrit de manière sécurisée ?
Au-delà du codage sécurisé, réfléchissez d'abord à la manière dont les gens apprennent. La plupart d'entre nous sont des apprenants visuels et nous apprenons par la pratique. Or, la formation au codage sécurisé est souvent proposée comme une activité "à cocher" et n'est pas pertinente pour le travail quotidien d'un développeur. Elle est conçue pour prouver que les développeurs ont suivi une formation à la sécurité, souvent pour se conformer aux normes de l'industrie, et non pour que les développeurs retiennent réellement ces connaissances, et encore moins pour qu'ils apprécient le processus d'apprentissage.
Les humains ont également tendance à apprendre en commettant des erreurs, comme le fait notre système immunitaire. Les cellules T se souviennent des agents pathogènes qu'elles ont rencontrés et éradiqués avec succès dans le passé, de sorte qu'elles peuvent se protéger contre eux à l'avenir. C'est exactement le rôle que les développeurs devraient jouer dans votre SDLC sécurisé .
Il n'est pas réaliste d'attendre d'eux qu'ils ne fassent pas d'erreurs, mais vous pouvez les préparer de manière à ce qu'ils soient capables de reconnaître les schémas de codage qui se traduiront par des vulnérabilités en matière de sécurité à l'avenir.
C'est également ainsi qu'un processus robuste d'évaluation par les pairs devient si puissant. Ce n'est pas parce qu'un développeur ne remarque pas une faille de sécurité qu'un autre ne le fera pas. Et plus l'équipe de développement est bien formée, plus les vulnérabilités sont susceptibles d'être détectées et de ne jamais atteindre la production.
Les vulnérabilités des logiciels sont comme des agents pathogènes
Les vulnérabilités des logiciels sont comme des agents pathogènes, en ce sens qu'il faut s'en souvenir pour les combattre. Dans le cas des agents pathogènes, notre système immunitaire doit souvent être exposé plusieurs fois avant de se souvenir de la manière de les combattre et d'éviter une maladie grave, voire pire.
Une cyberattaque réussie à partir d'un logiciel vulnérable peut gravement paralyser ou tuer une organisation. Mais si les développeurs sont d'abord confrontés aux vulnérabilités des logiciels dans un environnement contrôlé, ils peuvent s'efforcer de s'immuniser contre les menaces en renforçant et en pratiquant régulièrement leurs connaissances et leurs compétences en matière de codage sécurisé.
Exposer les développeurs aux failles de sécurité dans un environnement contrôlé
Nous ne pouvons jamais nous protéger totalement contre les maladies, mais il y a des choses que nous pouvons faire pour renforcer notre système immunitaire et rester en aussi bonne santé que possible. L'exercice physique régulier, une alimentation saine et un sommeil suffisant font partie des choix de vie généralement associés à un système immunitaire fort. Mais toutes ces choses demandent un peu d'effort et doivent être continues. Faire du jogging tous les jours pendant une semaine ou arrêter de boire pendant un mois ne changera pas grand-chose à votre état de santé général. Il n'est pas non plus conseillé de courir un 10 km le premier jour où l'on se met à la course à pied. Nous devons d'abord exposer notre cœur et nos muscles à l'exercice. Nous savons également qu'il faut expérimenter un peu avant de trouver un bon équilibre pour notre corps, des aliments sains et des exercices que nous aimons.
Il en va de même pour le développement de logiciels sécurisés. L'apprentissage se fait avec le temps et la pratique, et les développeurs ont besoin de la même formation continue pour renforcer régulièrement leurs compétences en matière de codage sécurisé. De plus, le développement de logiciels évolue et s'adapte en permanence, ce qui signifie que les vulnérabilités évoluent également. C'est pourquoi un simple cours de formation ne suffit pas. Les développeurs ont besoin d'une formation continue régulière afin d'être suffisamment familiarisés avec les menaces potentielles pour être correctement équipés pour s'en défendre.
Viser l'immunité collective au sein de l'équipe de développement
Une seule personne ne peut pas prévenir tous les problèmes de sécurité. C'est une bonne chose d'avoir des champions de la sécurité dans l'équipe, mais pour obtenir la meilleure protection, plus il y a de personnes qui ont appris à connaître les vulnérabilités en matière de sécurité et à les prévenir, plus votre organisation a de chances de les prévenir. Encore une fois, ce n'est pas très différent de la façon dont le système immunitaire a différents types de cellules T pour différents objectifs. Chaque développeur fait partie d'une équipe qui assure la sécurité. S'ils sont habilités à prendre des responsabilités, à bien faire leur travail et même à aimer le faire, vous pouvez alors créer une immunité collective contre les cybermenaces au sein de l'équipe de développement.
Gardez la sécurité à l'esprit grâce à une exposition répétée
Notre cerveau apprend de la même manière que notre système immunitaire. Le psychologue allemand Hermann Ebbinghaus a été un pionnier dans le domaine de la mémoire et de l'apprentissage. Il en a déduit que l'apprentissage doit se faire dans la durée et au cours de multiples sessions d'apprentissage. À l'école, on ne s'attend jamais à ce que nous conservions de nouvelles connaissances après la première introduction. L'information nous est d'abord présentée, puis nous la pratiquons avec des conseils, puis nous la pratiquons seuls. Et même lorsque nous les avons suffisamment bien assimilées pour réussir un examen, les informations ont tendance à être oubliées peu de temps après si nous n'utilisons pas régulièrement les connaissances que nous avons consacré du temps et des efforts à apprendre. Combien d'entre nous peuvent affirmer qu'ils se souviennent du français qu'ils ont appris au lycée ?
Dès lors, comment croire qu'une seule journée passée à regarder des diapositives et à écouter quelqu'un parler de sécurité permettra aux développeurs présents de coder de manière plus sûre ?
Les schémas de vulnérabilités récurrentes nous montrent que cela ne fonctionne tout simplement pas.
Comment parvenir à une immunité de développement sécurisée ?
La réponse se trouve dans notre nature. Notre corps et notre esprit fonctionnent de la même manière et apportent de belles solutions aux problèmes, à condition de travailler avec eux et non contre eux.
Pour garantir la sécurité de vos applications, vous devez commencer par former les développeurs à l'écriture de codes sécurisés. Sinon, l'AppSec continuera à passer tout son temps à examiner l'ensemble du code à la recherche de failles de sécurité et à rapporter les mêmes vulnérabilités récurrentes au développement pour qu'elles soient rapidement corrigées sans que rien n'ait été appris. Et l'on recommence pour la prochaine version.
Répétons-le donc.
Si vous collaborez avec vos responsables du développement pour y parvenir, vous ne vous contenterez pas de mettre en œuvre un SDLC sécurisé et de cocher la case de l'exigence de formation à la sécurité pour la conformité, vous aurez un impact réel sur le processus de développement. Pour couronner le tout, l'AppSec ne rencontrera plus de vulnérabilités répétées et ne les signalera plus aux équipes de développement, et les développeurs passeront moins de temps à les corriger. Cela signifie qu'ils pourront consacrer plus de temps à la création et à l'amélioration des logiciels extraordinaires qui rendent notre monde meilleur.
Prêt à renforcer les compétences de votre équipe de développement ? Réservez une démonstration avec nous.
En tant que professionnel de la sécurité des applications, il vous incombe de garantir la cybersécurité des applications de votre organisation. Cependant, vous n'êtes pas responsable de l'écriture du code sur lequel l'application fonctionne. Ce sont les ingénieurs de l'équipe de développement qui s'en chargent. Comment pouvez-vous donc vous assurer qu'ils développent ces systèmes en gardant la sécurité à l'esprit ?
Il est très probable que vous fassiez certaines des choses suivantes, voire toutes :
- Examiner l'ensemble du code pour détecter les failles de sécurité et les signaler à l'équipe de développement pour qu'elle les corrige.
- Appliquer un processus strict d'évaluation par les pairs tout au long du cycle de développement sécurisé.
- Faire réaliser régulièrement des tests d'application assessment/de pénétration par des équipes de sécurité internes ou externes.
- Mettre en place des outils d'analyse pour détecter les vulnérabilités.
Il s'agit là d'excellentes pratiques, mais elles sont également coûteuses et reviennent à prendre une série d'antibiotiques chaque fois que vous tombez malade. Non seulement le coût est élevé, mais les médicaments perdent de leur efficacité et peuvent affaiblir votre système immunitaire au fil du temps.
Comment s'assurer que le code livré par les développeurs est écrit de manière sécurisée ?
Au-delà du codage sécurisé, réfléchissez d'abord à la manière dont les gens apprennent. La plupart d'entre nous sont des apprenants visuels et nous apprenons par la pratique. Or, la formation au codage sécurisé est souvent proposée comme une activité "à cocher" et n'est pas pertinente pour le travail quotidien d'un développeur. Elle est conçue pour prouver que les développeurs ont suivi une formation à la sécurité, souvent pour se conformer aux normes de l'industrie, et non pour que les développeurs retiennent réellement ces connaissances, et encore moins pour qu'ils apprécient le processus d'apprentissage.
Les humains ont également tendance à apprendre en commettant des erreurs, comme le fait notre système immunitaire. Les cellules T se souviennent des agents pathogènes qu'elles ont rencontrés et éradiqués avec succès dans le passé, de sorte qu'elles peuvent se protéger contre eux à l'avenir. C'est exactement le rôle que les développeurs devraient jouer dans votre SDLC sécurisé .
Il n'est pas réaliste d'attendre d'eux qu'ils ne fassent pas d'erreurs, mais vous pouvez les préparer de manière à ce qu'ils soient capables de reconnaître les schémas de codage qui se traduiront par des vulnérabilités en matière de sécurité à l'avenir.
C'est également ainsi qu'un processus robuste d'évaluation par les pairs devient si puissant. Ce n'est pas parce qu'un développeur ne remarque pas une faille de sécurité qu'un autre ne le fera pas. Et plus l'équipe de développement est bien formée, plus les vulnérabilités sont susceptibles d'être détectées et de ne jamais atteindre la production.
Les vulnérabilités des logiciels sont comme des agents pathogènes
Les vulnérabilités des logiciels sont comme des agents pathogènes, en ce sens qu'il faut s'en souvenir pour les combattre. Dans le cas des agents pathogènes, notre système immunitaire doit souvent être exposé plusieurs fois avant de se souvenir de la manière de les combattre et d'éviter une maladie grave, voire pire.
Une cyberattaque réussie à partir d'un logiciel vulnérable peut gravement paralyser ou tuer une organisation. Mais si les développeurs sont d'abord confrontés aux vulnérabilités des logiciels dans un environnement contrôlé, ils peuvent s'efforcer de s'immuniser contre les menaces en renforçant et en pratiquant régulièrement leurs connaissances et leurs compétences en matière de codage sécurisé.
Exposer les développeurs aux failles de sécurité dans un environnement contrôlé
Nous ne pouvons jamais nous protéger totalement contre les maladies, mais il y a des choses que nous pouvons faire pour renforcer notre système immunitaire et rester en aussi bonne santé que possible. L'exercice physique régulier, une alimentation saine et un sommeil suffisant font partie des choix de vie généralement associés à un système immunitaire fort. Mais toutes ces choses demandent un peu d'effort et doivent être continues. Faire du jogging tous les jours pendant une semaine ou arrêter de boire pendant un mois ne changera pas grand-chose à votre état de santé général. Il n'est pas non plus conseillé de courir un 10 km le premier jour où l'on se met à la course à pied. Nous devons d'abord exposer notre cœur et nos muscles à l'exercice. Nous savons également qu'il faut expérimenter un peu avant de trouver un bon équilibre pour notre corps, des aliments sains et des exercices que nous aimons.
Il en va de même pour le développement de logiciels sécurisés. L'apprentissage se fait avec le temps et la pratique, et les développeurs ont besoin de la même formation continue pour renforcer régulièrement leurs compétences en matière de codage sécurisé. De plus, le développement de logiciels évolue et s'adapte en permanence, ce qui signifie que les vulnérabilités évoluent également. C'est pourquoi un simple cours de formation ne suffit pas. Les développeurs ont besoin d'une formation continue régulière afin d'être suffisamment familiarisés avec les menaces potentielles pour être correctement équipés pour s'en défendre.
Viser l'immunité collective au sein de l'équipe de développement
Une seule personne ne peut pas prévenir tous les problèmes de sécurité. C'est une bonne chose d'avoir des champions de la sécurité dans l'équipe, mais pour obtenir la meilleure protection, plus il y a de personnes qui ont appris à connaître les vulnérabilités en matière de sécurité et à les prévenir, plus votre organisation a de chances de les prévenir. Encore une fois, ce n'est pas très différent de la façon dont le système immunitaire a différents types de cellules T pour différents objectifs. Chaque développeur fait partie d'une équipe qui assure la sécurité. S'ils sont habilités à prendre des responsabilités, à bien faire leur travail et même à aimer le faire, vous pouvez alors créer une immunité collective contre les cybermenaces au sein de l'équipe de développement.
Gardez la sécurité à l'esprit grâce à une exposition répétée
Notre cerveau apprend de la même manière que notre système immunitaire. Le psychologue allemand Hermann Ebbinghaus a été un pionnier dans le domaine de la mémoire et de l'apprentissage. Il en a déduit que l'apprentissage doit se faire dans la durée et au cours de multiples sessions d'apprentissage. À l'école, on ne s'attend jamais à ce que nous conservions de nouvelles connaissances après la première introduction. L'information nous est d'abord présentée, puis nous la pratiquons avec des conseils, puis nous la pratiquons seuls. Et même lorsque nous les avons suffisamment bien assimilées pour réussir un examen, les informations ont tendance à être oubliées peu de temps après si nous n'utilisons pas régulièrement les connaissances que nous avons consacré du temps et des efforts à apprendre. Combien d'entre nous peuvent affirmer qu'ils se souviennent du français qu'ils ont appris au lycée ?
Dès lors, comment croire qu'une seule journée passée à regarder des diapositives et à écouter quelqu'un parler de sécurité permettra aux développeurs présents de coder de manière plus sûre ?
Les schémas de vulnérabilités récurrentes nous montrent que cela ne fonctionne tout simplement pas.
Comment parvenir à une immunité de développement sécurisée ?
La réponse se trouve dans notre nature. Notre corps et notre esprit fonctionnent de la même manière et apportent de belles solutions aux problèmes, à condition de travailler avec eux et non contre eux.
Pour garantir la sécurité de vos applications, vous devez commencer par former les développeurs à l'écriture de codes sécurisés. Sinon, l'AppSec continuera à passer tout son temps à examiner l'ensemble du code à la recherche de failles de sécurité et à rapporter les mêmes vulnérabilités récurrentes au développement pour qu'elles soient rapidement corrigées sans que rien n'ait été appris. Et l'on recommence pour la prochaine version.
Répétons-le donc.
Si vous collaborez avec vos responsables du développement pour y parvenir, vous ne vous contenterez pas de mettre en œuvre un SDLC sécurisé et de cocher la case de l'exigence de formation à la sécurité pour la conformité, vous aurez un impact réel sur le processus de développement. Pour couronner le tout, l'AppSec ne rencontrera plus de vulnérabilités répétées et ne les signalera plus aux équipes de développement, et les développeurs passeront moins de temps à les corriger. Cela signifie qu'ils pourront consacrer plus de temps à la création et à l'amélioration des logiciels extraordinaires qui rendent notre monde meilleur.
Prêt à renforcer les compétences de votre équipe de développement ? Réservez une démonstration avec nous.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationSecure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior crée une culture de développeurs axés sur la sécurité en leur donnant les compétences nécessaires pour coder de manière sécurisée. Notre programme phare Agile Learning Platform propose des parcours pertinents basés sur les compétences, des exercices pratiques missions et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé.
En tant que professionnel de la sécurité des applications, il vous incombe de garantir la cybersécurité des applications de votre organisation. Cependant, vous n'êtes pas responsable de l'écriture du code sur lequel l'application fonctionne. Ce sont les ingénieurs de l'équipe de développement qui s'en chargent. Comment pouvez-vous donc vous assurer qu'ils développent ces systèmes en gardant la sécurité à l'esprit ?
Il est très probable que vous fassiez certaines des choses suivantes, voire toutes :
- Examiner l'ensemble du code pour détecter les failles de sécurité et les signaler à l'équipe de développement pour qu'elle les corrige.
- Appliquer un processus strict d'évaluation par les pairs tout au long du cycle de développement sécurisé.
- Faire réaliser régulièrement des tests d'application assessment/de pénétration par des équipes de sécurité internes ou externes.
- Mettre en place des outils d'analyse pour détecter les vulnérabilités.
Il s'agit là d'excellentes pratiques, mais elles sont également coûteuses et reviennent à prendre une série d'antibiotiques chaque fois que vous tombez malade. Non seulement le coût est élevé, mais les médicaments perdent de leur efficacité et peuvent affaiblir votre système immunitaire au fil du temps.
Comment s'assurer que le code livré par les développeurs est écrit de manière sécurisée ?
Au-delà du codage sécurisé, réfléchissez d'abord à la manière dont les gens apprennent. La plupart d'entre nous sont des apprenants visuels et nous apprenons par la pratique. Or, la formation au codage sécurisé est souvent proposée comme une activité "à cocher" et n'est pas pertinente pour le travail quotidien d'un développeur. Elle est conçue pour prouver que les développeurs ont suivi une formation à la sécurité, souvent pour se conformer aux normes de l'industrie, et non pour que les développeurs retiennent réellement ces connaissances, et encore moins pour qu'ils apprécient le processus d'apprentissage.
Les humains ont également tendance à apprendre en commettant des erreurs, comme le fait notre système immunitaire. Les cellules T se souviennent des agents pathogènes qu'elles ont rencontrés et éradiqués avec succès dans le passé, de sorte qu'elles peuvent se protéger contre eux à l'avenir. C'est exactement le rôle que les développeurs devraient jouer dans votre SDLC sécurisé .
Il n'est pas réaliste d'attendre d'eux qu'ils ne fassent pas d'erreurs, mais vous pouvez les préparer de manière à ce qu'ils soient capables de reconnaître les schémas de codage qui se traduiront par des vulnérabilités en matière de sécurité à l'avenir.
C'est également ainsi qu'un processus robuste d'évaluation par les pairs devient si puissant. Ce n'est pas parce qu'un développeur ne remarque pas une faille de sécurité qu'un autre ne le fera pas. Et plus l'équipe de développement est bien formée, plus les vulnérabilités sont susceptibles d'être détectées et de ne jamais atteindre la production.
Les vulnérabilités des logiciels sont comme des agents pathogènes
Les vulnérabilités des logiciels sont comme des agents pathogènes, en ce sens qu'il faut s'en souvenir pour les combattre. Dans le cas des agents pathogènes, notre système immunitaire doit souvent être exposé plusieurs fois avant de se souvenir de la manière de les combattre et d'éviter une maladie grave, voire pire.
Une cyberattaque réussie à partir d'un logiciel vulnérable peut gravement paralyser ou tuer une organisation. Mais si les développeurs sont d'abord confrontés aux vulnérabilités des logiciels dans un environnement contrôlé, ils peuvent s'efforcer de s'immuniser contre les menaces en renforçant et en pratiquant régulièrement leurs connaissances et leurs compétences en matière de codage sécurisé.
Exposer les développeurs aux failles de sécurité dans un environnement contrôlé
Nous ne pouvons jamais nous protéger totalement contre les maladies, mais il y a des choses que nous pouvons faire pour renforcer notre système immunitaire et rester en aussi bonne santé que possible. L'exercice physique régulier, une alimentation saine et un sommeil suffisant font partie des choix de vie généralement associés à un système immunitaire fort. Mais toutes ces choses demandent un peu d'effort et doivent être continues. Faire du jogging tous les jours pendant une semaine ou arrêter de boire pendant un mois ne changera pas grand-chose à votre état de santé général. Il n'est pas non plus conseillé de courir un 10 km le premier jour où l'on se met à la course à pied. Nous devons d'abord exposer notre cœur et nos muscles à l'exercice. Nous savons également qu'il faut expérimenter un peu avant de trouver un bon équilibre pour notre corps, des aliments sains et des exercices que nous aimons.
Il en va de même pour le développement de logiciels sécurisés. L'apprentissage se fait avec le temps et la pratique, et les développeurs ont besoin de la même formation continue pour renforcer régulièrement leurs compétences en matière de codage sécurisé. De plus, le développement de logiciels évolue et s'adapte en permanence, ce qui signifie que les vulnérabilités évoluent également. C'est pourquoi un simple cours de formation ne suffit pas. Les développeurs ont besoin d'une formation continue régulière afin d'être suffisamment familiarisés avec les menaces potentielles pour être correctement équipés pour s'en défendre.
Viser l'immunité collective au sein de l'équipe de développement
Une seule personne ne peut pas prévenir tous les problèmes de sécurité. C'est une bonne chose d'avoir des champions de la sécurité dans l'équipe, mais pour obtenir la meilleure protection, plus il y a de personnes qui ont appris à connaître les vulnérabilités en matière de sécurité et à les prévenir, plus votre organisation a de chances de les prévenir. Encore une fois, ce n'est pas très différent de la façon dont le système immunitaire a différents types de cellules T pour différents objectifs. Chaque développeur fait partie d'une équipe qui assure la sécurité. S'ils sont habilités à prendre des responsabilités, à bien faire leur travail et même à aimer le faire, vous pouvez alors créer une immunité collective contre les cybermenaces au sein de l'équipe de développement.
Gardez la sécurité à l'esprit grâce à une exposition répétée
Notre cerveau apprend de la même manière que notre système immunitaire. Le psychologue allemand Hermann Ebbinghaus a été un pionnier dans le domaine de la mémoire et de l'apprentissage. Il en a déduit que l'apprentissage doit se faire dans la durée et au cours de multiples sessions d'apprentissage. À l'école, on ne s'attend jamais à ce que nous conservions de nouvelles connaissances après la première introduction. L'information nous est d'abord présentée, puis nous la pratiquons avec des conseils, puis nous la pratiquons seuls. Et même lorsque nous les avons suffisamment bien assimilées pour réussir un examen, les informations ont tendance à être oubliées peu de temps après si nous n'utilisons pas régulièrement les connaissances que nous avons consacré du temps et des efforts à apprendre. Combien d'entre nous peuvent affirmer qu'ils se souviennent du français qu'ils ont appris au lycée ?
Dès lors, comment croire qu'une seule journée passée à regarder des diapositives et à écouter quelqu'un parler de sécurité permettra aux développeurs présents de coder de manière plus sûre ?
Les schémas de vulnérabilités récurrentes nous montrent que cela ne fonctionne tout simplement pas.
Comment parvenir à une immunité de développement sécurisée ?
La réponse se trouve dans notre nature. Notre corps et notre esprit fonctionnent de la même manière et apportent de belles solutions aux problèmes, à condition de travailler avec eux et non contre eux.
Pour garantir la sécurité de vos applications, vous devez commencer par former les développeurs à l'écriture de codes sécurisés. Sinon, l'AppSec continuera à passer tout son temps à examiner l'ensemble du code à la recherche de failles de sécurité et à rapporter les mêmes vulnérabilités récurrentes au développement pour qu'elles soient rapidement corrigées sans que rien n'ait été appris. Et l'on recommence pour la prochaine version.
Répétons-le donc.
Si vous collaborez avec vos responsables du développement pour y parvenir, vous ne vous contenterez pas de mettre en œuvre un SDLC sécurisé et de cocher la case de l'exigence de formation à la sécurité pour la conformité, vous aurez un impact réel sur le processus de développement. Pour couronner le tout, l'AppSec ne rencontrera plus de vulnérabilités répétées et ne les signalera plus aux équipes de développement, et les développeurs passeront moins de temps à les corriger. Cela signifie qu'ils pourront consacrer plus de temps à la création et à l'amélioration des logiciels extraordinaires qui rendent notre monde meilleur.
Prêt à renforcer les compétences de votre équipe de développement ? Réservez une démonstration avec nous.
Table des matières
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.
Plongée en profondeur : Naviguer dans la vulnérabilité critique de CUPS dans les systèmes GNU-Linux
Découvrez les derniers défis de sécurité auxquels sont confrontés les utilisateurs de Linux en explorant les récentes vulnérabilités de haute sévérité dans le système d'impression commun d'UNIX (CUPS). Apprenez comment ces problèmes peuvent conduire à une potentielle exécution de code à distance (RCE) et ce que vous pouvez faire pour protéger vos systèmes.