Blog

Le développement sécurisé devrait être le système immunitaire d'AppSec

Secure Code Warrior
Publié le 24 août 2021

En tant que professionnel de la sécurité des applications, il vous incombe de garantir la cybersécurité des applications de votre organisation. Cependant, vous n'êtes pas responsable de l'écriture du code sur lequel l'application fonctionne. Ce sont les ingénieurs de l'équipe de développement qui s'en chargent. Comment pouvez-vous donc vous assurer qu'ils développent ces systèmes en gardant la sécurité à l'esprit ? 

Il est très probable que vous fassiez certaines des choses suivantes, voire toutes : 

  • Examiner l'ensemble du code pour détecter les failles de sécurité et les signaler à l'équipe de développement pour qu'elle les corrige. 
  • Appliquer un processus strict d'évaluation par les pairs tout au long du cycle de développement sécurisé. 
  • Faire réaliser régulièrement des tests d'application assessment/de pénétration par des équipes de sécurité internes ou externes.
  • Mettre en place des outils d'analyse pour détecter les vulnérabilités.

Il s'agit là d'excellentes pratiques, mais elles sont également coûteuses et reviennent à prendre une série d'antibiotiques chaque fois que vous tombez malade. Non seulement le coût est élevé, mais les médicaments perdent de leur efficacité et peuvent affaiblir votre système immunitaire au fil du temps. 

Comment s'assurer que le code livré par les développeurs est écrit de manière sécurisée ? 

Au-delà du codage sécurisé, réfléchissez d'abord à la manière dont les gens apprennent. La plupart d'entre nous sont des apprenants visuels et nous apprenons par la pratique. Or, la formation au codage sécurisé est souvent proposée comme une activité "à cocher" et n'est pas pertinente pour le travail quotidien d'un développeur. Elle est conçue pour prouver que les développeurs ont suivi une formation à la sécurité, souvent pour se conformer aux normes de l'industrie, et non pour que les développeurs retiennent réellement ces connaissances, et encore moins pour qu'ils apprécient le processus d'apprentissage. 

Les humains ont également tendance à apprendre en commettant des erreurs, comme le fait notre système immunitaire. Les cellules T se souviennent des agents pathogènes qu'elles ont rencontrés et éradiqués avec succès dans le passé, de sorte qu'elles peuvent se protéger contre eux à l'avenir. C'est exactement le rôle que les développeurs devraient jouer dans votre SDLC sécurisé .

Il n'est pas réaliste d'attendre d'eux qu'ils ne fassent pas d'erreurs, mais vous pouvez les préparer de manière à ce qu'ils soient capables de reconnaître les schémas de codage qui se traduiront par des vulnérabilités en matière de sécurité à l'avenir. 

C'est également ainsi qu'un processus robuste d'évaluation par les pairs devient si puissant. Ce n'est pas parce qu'un développeur ne remarque pas une faille de sécurité qu'un autre ne le fera pas. Et plus l'équipe de développement est bien formée, plus les vulnérabilités sont susceptibles d'être détectées et de ne jamais atteindre la production. 

Les vulnérabilités des logiciels sont comme des agents pathogènes

Les vulnérabilités des logiciels sont comme des agents pathogènes, en ce sens qu'il faut s'en souvenir pour les combattre. Dans le cas des agents pathogènes, notre système immunitaire doit souvent être exposé plusieurs fois avant de se souvenir de la manière de les combattre et d'éviter une maladie grave, voire pire. 

Une cyberattaque réussie à partir d'un logiciel vulnérable peut gravement paralyser ou tuer une organisation. Mais si les développeurs sont d'abord confrontés aux vulnérabilités des logiciels dans un environnement contrôlé, ils peuvent s'efforcer de s'immuniser contre les menaces en renforçant et en pratiquant régulièrement leurs connaissances et leurs compétences en matière de codage sécurisé. 

Exposer les développeurs aux failles de sécurité dans un environnement contrôlé

Nous ne pouvons jamais nous protéger totalement contre les maladies, mais il y a des choses que nous pouvons faire pour renforcer notre système immunitaire et rester en aussi bonne santé que possible. L'exercice physique régulier, une alimentation saine et un sommeil suffisant font partie des choix de vie généralement associés à un système immunitaire fort. Mais toutes ces choses demandent un peu d'effort et doivent être continues. Faire du jogging tous les jours pendant une semaine ou arrêter de boire pendant un mois ne changera pas grand-chose à votre état de santé général. Il n'est pas non plus conseillé de courir un 10 km le premier jour où l'on se met à la course à pied. Nous devons d'abord exposer notre cœur et nos muscles à l'exercice. Nous savons également qu'il faut expérimenter un peu avant de trouver un bon équilibre pour notre corps, des aliments sains et des exercices que nous aimons.

Il en va de même pour le développement de logiciels sécurisés. L'apprentissage se fait avec le temps et la pratique, et les développeurs ont besoin de la même formation continue pour renforcer régulièrement leurs compétences en matière de codage sécurisé. De plus, le développement de logiciels évolue et s'adapte en permanence, ce qui signifie que les vulnérabilités évoluent également. C'est pourquoi un simple cours de formation ne suffit pas. Les développeurs ont besoin d'une formation continue régulière afin d'être suffisamment familiarisés avec les menaces potentielles pour être correctement équipés pour s'en défendre. 

Viser l'immunité collective au sein de l'équipe de développement

Une seule personne ne peut pas prévenir tous les problèmes de sécurité. C'est une bonne chose d'avoir des champions de la sécurité dans l'équipe, mais pour obtenir la meilleure protection, plus il y a de personnes qui ont appris à connaître les vulnérabilités en matière de sécurité et à les prévenir, plus votre organisation a de chances de les prévenir. Encore une fois, ce n'est pas très différent de la façon dont le système immunitaire a différents types de cellules T pour différents objectifs. Chaque développeur fait partie d'une équipe qui assure la sécurité. S'ils sont habilités à prendre des responsabilités, à bien faire leur travail et même à aimer le faire, vous pouvez alors créer une immunité collective contre les cybermenaces au sein de l'équipe de développement.

Créer une immunité collective contre les cybermenaces au sein de l'équipe de développement

Gardez la sécurité à l'esprit grâce à une exposition répétée

Notre cerveau apprend de la même manière que notre système immunitaire. Le psychologue allemand Hermann Ebbinghaus a été un pionnier dans le domaine de la mémoire et de l'apprentissage. Il en a déduit que l'apprentissage doit se faire dans la durée et au cours de multiples sessions d'apprentissage. À l'école, on ne s'attend jamais à ce que nous conservions de nouvelles connaissances après la première introduction. L'information nous est d'abord présentée, puis nous la pratiquons avec des conseils, puis nous la pratiquons seuls. Et même lorsque nous les avons suffisamment bien assimilées pour réussir un examen, les informations ont tendance à être oubliées peu de temps après si nous n'utilisons pas régulièrement les connaissances que nous avons consacré du temps et des efforts à apprendre. Combien d'entre nous peuvent affirmer qu'ils se souviennent du français qu'ils ont appris au lycée ?

Dès lors, comment croire qu'une seule journée passée à regarder des diapositives et à écouter quelqu'un parler de sécurité permettra aux développeurs présents de coder de manière plus sûre ?

Les schémas de vulnérabilités récurrentes nous montrent que cela ne fonctionne tout simplement pas. 

Comment parvenir à une immunité de développement sécurisée ?

La réponse se trouve dans notre nature. Notre corps et notre esprit fonctionnent de la même manière et apportent de belles solutions aux problèmes, à condition de travailler avec eux et non contre eux. 

Pour garantir la sécurité de vos applications, vous devez commencer par former les développeurs à l'écriture de codes sécurisés. Sinon, l'AppSec continuera à passer tout son temps à examiner l'ensemble du code à la recherche de failles de sécurité et à rapporter les mêmes vulnérabilités récurrentes au développement pour qu'elles soient rapidement corrigées sans que rien n'ait été appris. Et l'on recommence pour la prochaine version.

Répétons-le donc.

Sécurité du système immunitaire

Si vous collaborez avec vos responsables du développement pour y parvenir, vous ne vous contenterez pas de mettre en œuvre un SDLC sécurisé et de cocher la case de l'exigence de formation à la sécurité pour la conformité, vous aurez un impact réel sur le processus de développement. Pour couronner le tout, l'AppSec ne rencontrera plus de vulnérabilités répétées et ne les signalera plus aux équipes de développement, et les développeurs passeront moins de temps à les corriger. Cela signifie qu'ils pourront consacrer plus de temps à la création et à l'amélioration des logiciels extraordinaires qui rendent notre monde meilleur. 

Prêt à renforcer les compétences de votre équipe de développement ? Réservez une démonstration avec nous.

Voir la ressource
Voir la ressource

En tant que professionnel de la sécurité des applications, il vous incombe de garantir la cybersécurité des applications de votre organisation. Cependant, vous n'êtes pas responsable de l'écriture du code sur lequel l'application fonctionne. Ce sont les ingénieurs de l'équipe de développement qui s'en chargent. Comment pouvez-vous donc vous assurer qu'ils développent ces systèmes en gardant la sécurité à l'esprit ?

Vous souhaitez en savoir plus ?

Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstration
Partager sur :
Auteur
Secure Code Warrior
Publié le 24 août 2021

Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.

Secure Code Warrior crée une culture de développeurs axés sur la sécurité en leur donnant les compétences nécessaires pour coder de manière sécurisée. Notre programme phare Agile Learning Platform propose des parcours pertinents basés sur les compétences, des exercices pratiques missions et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé.

Partager sur :

En tant que professionnel de la sécurité des applications, il vous incombe de garantir la cybersécurité des applications de votre organisation. Cependant, vous n'êtes pas responsable de l'écriture du code sur lequel l'application fonctionne. Ce sont les ingénieurs de l'équipe de développement qui s'en chargent. Comment pouvez-vous donc vous assurer qu'ils développent ces systèmes en gardant la sécurité à l'esprit ? 

Il est très probable que vous fassiez certaines des choses suivantes, voire toutes : 

  • Examiner l'ensemble du code pour détecter les failles de sécurité et les signaler à l'équipe de développement pour qu'elle les corrige. 
  • Appliquer un processus strict d'évaluation par les pairs tout au long du cycle de développement sécurisé. 
  • Faire réaliser régulièrement des tests d'application assessment/de pénétration par des équipes de sécurité internes ou externes.
  • Mettre en place des outils d'analyse pour détecter les vulnérabilités.

Il s'agit là d'excellentes pratiques, mais elles sont également coûteuses et reviennent à prendre une série d'antibiotiques chaque fois que vous tombez malade. Non seulement le coût est élevé, mais les médicaments perdent de leur efficacité et peuvent affaiblir votre système immunitaire au fil du temps. 

Comment s'assurer que le code livré par les développeurs est écrit de manière sécurisée ? 

Au-delà du codage sécurisé, réfléchissez d'abord à la manière dont les gens apprennent. La plupart d'entre nous sont des apprenants visuels et nous apprenons par la pratique. Or, la formation au codage sécurisé est souvent proposée comme une activité "à cocher" et n'est pas pertinente pour le travail quotidien d'un développeur. Elle est conçue pour prouver que les développeurs ont suivi une formation à la sécurité, souvent pour se conformer aux normes de l'industrie, et non pour que les développeurs retiennent réellement ces connaissances, et encore moins pour qu'ils apprécient le processus d'apprentissage. 

Les humains ont également tendance à apprendre en commettant des erreurs, comme le fait notre système immunitaire. Les cellules T se souviennent des agents pathogènes qu'elles ont rencontrés et éradiqués avec succès dans le passé, de sorte qu'elles peuvent se protéger contre eux à l'avenir. C'est exactement le rôle que les développeurs devraient jouer dans votre SDLC sécurisé .

Il n'est pas réaliste d'attendre d'eux qu'ils ne fassent pas d'erreurs, mais vous pouvez les préparer de manière à ce qu'ils soient capables de reconnaître les schémas de codage qui se traduiront par des vulnérabilités en matière de sécurité à l'avenir. 

C'est également ainsi qu'un processus robuste d'évaluation par les pairs devient si puissant. Ce n'est pas parce qu'un développeur ne remarque pas une faille de sécurité qu'un autre ne le fera pas. Et plus l'équipe de développement est bien formée, plus les vulnérabilités sont susceptibles d'être détectées et de ne jamais atteindre la production. 

Les vulnérabilités des logiciels sont comme des agents pathogènes

Les vulnérabilités des logiciels sont comme des agents pathogènes, en ce sens qu'il faut s'en souvenir pour les combattre. Dans le cas des agents pathogènes, notre système immunitaire doit souvent être exposé plusieurs fois avant de se souvenir de la manière de les combattre et d'éviter une maladie grave, voire pire. 

Une cyberattaque réussie à partir d'un logiciel vulnérable peut gravement paralyser ou tuer une organisation. Mais si les développeurs sont d'abord confrontés aux vulnérabilités des logiciels dans un environnement contrôlé, ils peuvent s'efforcer de s'immuniser contre les menaces en renforçant et en pratiquant régulièrement leurs connaissances et leurs compétences en matière de codage sécurisé. 

Exposer les développeurs aux failles de sécurité dans un environnement contrôlé

Nous ne pouvons jamais nous protéger totalement contre les maladies, mais il y a des choses que nous pouvons faire pour renforcer notre système immunitaire et rester en aussi bonne santé que possible. L'exercice physique régulier, une alimentation saine et un sommeil suffisant font partie des choix de vie généralement associés à un système immunitaire fort. Mais toutes ces choses demandent un peu d'effort et doivent être continues. Faire du jogging tous les jours pendant une semaine ou arrêter de boire pendant un mois ne changera pas grand-chose à votre état de santé général. Il n'est pas non plus conseillé de courir un 10 km le premier jour où l'on se met à la course à pied. Nous devons d'abord exposer notre cœur et nos muscles à l'exercice. Nous savons également qu'il faut expérimenter un peu avant de trouver un bon équilibre pour notre corps, des aliments sains et des exercices que nous aimons.

Il en va de même pour le développement de logiciels sécurisés. L'apprentissage se fait avec le temps et la pratique, et les développeurs ont besoin de la même formation continue pour renforcer régulièrement leurs compétences en matière de codage sécurisé. De plus, le développement de logiciels évolue et s'adapte en permanence, ce qui signifie que les vulnérabilités évoluent également. C'est pourquoi un simple cours de formation ne suffit pas. Les développeurs ont besoin d'une formation continue régulière afin d'être suffisamment familiarisés avec les menaces potentielles pour être correctement équipés pour s'en défendre. 

Viser l'immunité collective au sein de l'équipe de développement

Une seule personne ne peut pas prévenir tous les problèmes de sécurité. C'est une bonne chose d'avoir des champions de la sécurité dans l'équipe, mais pour obtenir la meilleure protection, plus il y a de personnes qui ont appris à connaître les vulnérabilités en matière de sécurité et à les prévenir, plus votre organisation a de chances de les prévenir. Encore une fois, ce n'est pas très différent de la façon dont le système immunitaire a différents types de cellules T pour différents objectifs. Chaque développeur fait partie d'une équipe qui assure la sécurité. S'ils sont habilités à prendre des responsabilités, à bien faire leur travail et même à aimer le faire, vous pouvez alors créer une immunité collective contre les cybermenaces au sein de l'équipe de développement.

Créer une immunité collective contre les cybermenaces au sein de l'équipe de développement

Gardez la sécurité à l'esprit grâce à une exposition répétée

Notre cerveau apprend de la même manière que notre système immunitaire. Le psychologue allemand Hermann Ebbinghaus a été un pionnier dans le domaine de la mémoire et de l'apprentissage. Il en a déduit que l'apprentissage doit se faire dans la durée et au cours de multiples sessions d'apprentissage. À l'école, on ne s'attend jamais à ce que nous conservions de nouvelles connaissances après la première introduction. L'information nous est d'abord présentée, puis nous la pratiquons avec des conseils, puis nous la pratiquons seuls. Et même lorsque nous les avons suffisamment bien assimilées pour réussir un examen, les informations ont tendance à être oubliées peu de temps après si nous n'utilisons pas régulièrement les connaissances que nous avons consacré du temps et des efforts à apprendre. Combien d'entre nous peuvent affirmer qu'ils se souviennent du français qu'ils ont appris au lycée ?

Dès lors, comment croire qu'une seule journée passée à regarder des diapositives et à écouter quelqu'un parler de sécurité permettra aux développeurs présents de coder de manière plus sûre ?

Les schémas de vulnérabilités récurrentes nous montrent que cela ne fonctionne tout simplement pas. 

Comment parvenir à une immunité de développement sécurisée ?

La réponse se trouve dans notre nature. Notre corps et notre esprit fonctionnent de la même manière et apportent de belles solutions aux problèmes, à condition de travailler avec eux et non contre eux. 

Pour garantir la sécurité de vos applications, vous devez commencer par former les développeurs à l'écriture de codes sécurisés. Sinon, l'AppSec continuera à passer tout son temps à examiner l'ensemble du code à la recherche de failles de sécurité et à rapporter les mêmes vulnérabilités récurrentes au développement pour qu'elles soient rapidement corrigées sans que rien n'ait été appris. Et l'on recommence pour la prochaine version.

Répétons-le donc.

Sécurité du système immunitaire

Si vous collaborez avec vos responsables du développement pour y parvenir, vous ne vous contenterez pas de mettre en œuvre un SDLC sécurisé et de cocher la case de l'exigence de formation à la sécurité pour la conformité, vous aurez un impact réel sur le processus de développement. Pour couronner le tout, l'AppSec ne rencontrera plus de vulnérabilités répétées et ne les signalera plus aux équipes de développement, et les développeurs passeront moins de temps à les corriger. Cela signifie qu'ils pourront consacrer plus de temps à la création et à l'amélioration des logiciels extraordinaires qui rendent notre monde meilleur. 

Prêt à renforcer les compétences de votre équipe de développement ? Réservez une démonstration avec nous.

Voir la ressource
Voir la ressource

Remplissez le formulaire ci-dessous pour télécharger le rapport

Nous aimerions que vous nous autorisiez à vous envoyer des informations sur nos produits et/ou sur des sujets liés au codage sécurisé. Nous traiterons toujours vos données personnelles avec le plus grand soin et ne les vendrons jamais à d'autres entreprises à des fins de marketing.

Soumettre
Pour soumettre le formulaire, veuillez activer les cookies "Analytics". N'hésitez pas à les désactiver à nouveau une fois que vous aurez terminé.

En tant que professionnel de la sécurité des applications, il vous incombe de garantir la cybersécurité des applications de votre organisation. Cependant, vous n'êtes pas responsable de l'écriture du code sur lequel l'application fonctionne. Ce sont les ingénieurs de l'équipe de développement qui s'en chargent. Comment pouvez-vous donc vous assurer qu'ils développent ces systèmes en gardant la sécurité à l'esprit ? 

Il est très probable que vous fassiez certaines des choses suivantes, voire toutes : 

  • Examiner l'ensemble du code pour détecter les failles de sécurité et les signaler à l'équipe de développement pour qu'elle les corrige. 
  • Appliquer un processus strict d'évaluation par les pairs tout au long du cycle de développement sécurisé. 
  • Faire réaliser régulièrement des tests d'application assessment/de pénétration par des équipes de sécurité internes ou externes.
  • Mettre en place des outils d'analyse pour détecter les vulnérabilités.

Il s'agit là d'excellentes pratiques, mais elles sont également coûteuses et reviennent à prendre une série d'antibiotiques chaque fois que vous tombez malade. Non seulement le coût est élevé, mais les médicaments perdent de leur efficacité et peuvent affaiblir votre système immunitaire au fil du temps. 

Comment s'assurer que le code livré par les développeurs est écrit de manière sécurisée ? 

Au-delà du codage sécurisé, réfléchissez d'abord à la manière dont les gens apprennent. La plupart d'entre nous sont des apprenants visuels et nous apprenons par la pratique. Or, la formation au codage sécurisé est souvent proposée comme une activité "à cocher" et n'est pas pertinente pour le travail quotidien d'un développeur. Elle est conçue pour prouver que les développeurs ont suivi une formation à la sécurité, souvent pour se conformer aux normes de l'industrie, et non pour que les développeurs retiennent réellement ces connaissances, et encore moins pour qu'ils apprécient le processus d'apprentissage. 

Les humains ont également tendance à apprendre en commettant des erreurs, comme le fait notre système immunitaire. Les cellules T se souviennent des agents pathogènes qu'elles ont rencontrés et éradiqués avec succès dans le passé, de sorte qu'elles peuvent se protéger contre eux à l'avenir. C'est exactement le rôle que les développeurs devraient jouer dans votre SDLC sécurisé .

Il n'est pas réaliste d'attendre d'eux qu'ils ne fassent pas d'erreurs, mais vous pouvez les préparer de manière à ce qu'ils soient capables de reconnaître les schémas de codage qui se traduiront par des vulnérabilités en matière de sécurité à l'avenir. 

C'est également ainsi qu'un processus robuste d'évaluation par les pairs devient si puissant. Ce n'est pas parce qu'un développeur ne remarque pas une faille de sécurité qu'un autre ne le fera pas. Et plus l'équipe de développement est bien formée, plus les vulnérabilités sont susceptibles d'être détectées et de ne jamais atteindre la production. 

Les vulnérabilités des logiciels sont comme des agents pathogènes

Les vulnérabilités des logiciels sont comme des agents pathogènes, en ce sens qu'il faut s'en souvenir pour les combattre. Dans le cas des agents pathogènes, notre système immunitaire doit souvent être exposé plusieurs fois avant de se souvenir de la manière de les combattre et d'éviter une maladie grave, voire pire. 

Une cyberattaque réussie à partir d'un logiciel vulnérable peut gravement paralyser ou tuer une organisation. Mais si les développeurs sont d'abord confrontés aux vulnérabilités des logiciels dans un environnement contrôlé, ils peuvent s'efforcer de s'immuniser contre les menaces en renforçant et en pratiquant régulièrement leurs connaissances et leurs compétences en matière de codage sécurisé. 

Exposer les développeurs aux failles de sécurité dans un environnement contrôlé

Nous ne pouvons jamais nous protéger totalement contre les maladies, mais il y a des choses que nous pouvons faire pour renforcer notre système immunitaire et rester en aussi bonne santé que possible. L'exercice physique régulier, une alimentation saine et un sommeil suffisant font partie des choix de vie généralement associés à un système immunitaire fort. Mais toutes ces choses demandent un peu d'effort et doivent être continues. Faire du jogging tous les jours pendant une semaine ou arrêter de boire pendant un mois ne changera pas grand-chose à votre état de santé général. Il n'est pas non plus conseillé de courir un 10 km le premier jour où l'on se met à la course à pied. Nous devons d'abord exposer notre cœur et nos muscles à l'exercice. Nous savons également qu'il faut expérimenter un peu avant de trouver un bon équilibre pour notre corps, des aliments sains et des exercices que nous aimons.

Il en va de même pour le développement de logiciels sécurisés. L'apprentissage se fait avec le temps et la pratique, et les développeurs ont besoin de la même formation continue pour renforcer régulièrement leurs compétences en matière de codage sécurisé. De plus, le développement de logiciels évolue et s'adapte en permanence, ce qui signifie que les vulnérabilités évoluent également. C'est pourquoi un simple cours de formation ne suffit pas. Les développeurs ont besoin d'une formation continue régulière afin d'être suffisamment familiarisés avec les menaces potentielles pour être correctement équipés pour s'en défendre. 

Viser l'immunité collective au sein de l'équipe de développement

Une seule personne ne peut pas prévenir tous les problèmes de sécurité. C'est une bonne chose d'avoir des champions de la sécurité dans l'équipe, mais pour obtenir la meilleure protection, plus il y a de personnes qui ont appris à connaître les vulnérabilités en matière de sécurité et à les prévenir, plus votre organisation a de chances de les prévenir. Encore une fois, ce n'est pas très différent de la façon dont le système immunitaire a différents types de cellules T pour différents objectifs. Chaque développeur fait partie d'une équipe qui assure la sécurité. S'ils sont habilités à prendre des responsabilités, à bien faire leur travail et même à aimer le faire, vous pouvez alors créer une immunité collective contre les cybermenaces au sein de l'équipe de développement.

Créer une immunité collective contre les cybermenaces au sein de l'équipe de développement

Gardez la sécurité à l'esprit grâce à une exposition répétée

Notre cerveau apprend de la même manière que notre système immunitaire. Le psychologue allemand Hermann Ebbinghaus a été un pionnier dans le domaine de la mémoire et de l'apprentissage. Il en a déduit que l'apprentissage doit se faire dans la durée et au cours de multiples sessions d'apprentissage. À l'école, on ne s'attend jamais à ce que nous conservions de nouvelles connaissances après la première introduction. L'information nous est d'abord présentée, puis nous la pratiquons avec des conseils, puis nous la pratiquons seuls. Et même lorsque nous les avons suffisamment bien assimilées pour réussir un examen, les informations ont tendance à être oubliées peu de temps après si nous n'utilisons pas régulièrement les connaissances que nous avons consacré du temps et des efforts à apprendre. Combien d'entre nous peuvent affirmer qu'ils se souviennent du français qu'ils ont appris au lycée ?

Dès lors, comment croire qu'une seule journée passée à regarder des diapositives et à écouter quelqu'un parler de sécurité permettra aux développeurs présents de coder de manière plus sûre ?

Les schémas de vulnérabilités récurrentes nous montrent que cela ne fonctionne tout simplement pas. 

Comment parvenir à une immunité de développement sécurisée ?

La réponse se trouve dans notre nature. Notre corps et notre esprit fonctionnent de la même manière et apportent de belles solutions aux problèmes, à condition de travailler avec eux et non contre eux. 

Pour garantir la sécurité de vos applications, vous devez commencer par former les développeurs à l'écriture de codes sécurisés. Sinon, l'AppSec continuera à passer tout son temps à examiner l'ensemble du code à la recherche de failles de sécurité et à rapporter les mêmes vulnérabilités récurrentes au développement pour qu'elles soient rapidement corrigées sans que rien n'ait été appris. Et l'on recommence pour la prochaine version.

Répétons-le donc.

Sécurité du système immunitaire

Si vous collaborez avec vos responsables du développement pour y parvenir, vous ne vous contenterez pas de mettre en œuvre un SDLC sécurisé et de cocher la case de l'exigence de formation à la sécurité pour la conformité, vous aurez un impact réel sur le processus de développement. Pour couronner le tout, l'AppSec ne rencontrera plus de vulnérabilités répétées et ne les signalera plus aux équipes de développement, et les développeurs passeront moins de temps à les corriger. Cela signifie qu'ils pourront consacrer plus de temps à la création et à l'amélioration des logiciels extraordinaires qui rendent notre monde meilleur. 

Prêt à renforcer les compétences de votre équipe de développement ? Réservez une démonstration avec nous.

Accès aux ressources

Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Voir le rapportRéservez une démonstration
Partager sur :
Vous souhaitez en savoir plus ?

Partager sur :
Auteur
Secure Code Warrior
Publié le 24 août 2021

Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.

Secure Code Warrior crée une culture de développeurs axés sur la sécurité en leur donnant les compétences nécessaires pour coder de manière sécurisée. Notre programme phare Agile Learning Platform propose des parcours pertinents basés sur les compétences, des exercices pratiques missions et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé.

Partager sur :

En tant que professionnel de la sécurité des applications, il vous incombe de garantir la cybersécurité des applications de votre organisation. Cependant, vous n'êtes pas responsable de l'écriture du code sur lequel l'application fonctionne. Ce sont les ingénieurs de l'équipe de développement qui s'en chargent. Comment pouvez-vous donc vous assurer qu'ils développent ces systèmes en gardant la sécurité à l'esprit ? 

Il est très probable que vous fassiez certaines des choses suivantes, voire toutes : 

  • Examiner l'ensemble du code pour détecter les failles de sécurité et les signaler à l'équipe de développement pour qu'elle les corrige. 
  • Appliquer un processus strict d'évaluation par les pairs tout au long du cycle de développement sécurisé. 
  • Faire réaliser régulièrement des tests d'application assessment/de pénétration par des équipes de sécurité internes ou externes.
  • Mettre en place des outils d'analyse pour détecter les vulnérabilités.

Il s'agit là d'excellentes pratiques, mais elles sont également coûteuses et reviennent à prendre une série d'antibiotiques chaque fois que vous tombez malade. Non seulement le coût est élevé, mais les médicaments perdent de leur efficacité et peuvent affaiblir votre système immunitaire au fil du temps. 

Comment s'assurer que le code livré par les développeurs est écrit de manière sécurisée ? 

Au-delà du codage sécurisé, réfléchissez d'abord à la manière dont les gens apprennent. La plupart d'entre nous sont des apprenants visuels et nous apprenons par la pratique. Or, la formation au codage sécurisé est souvent proposée comme une activité "à cocher" et n'est pas pertinente pour le travail quotidien d'un développeur. Elle est conçue pour prouver que les développeurs ont suivi une formation à la sécurité, souvent pour se conformer aux normes de l'industrie, et non pour que les développeurs retiennent réellement ces connaissances, et encore moins pour qu'ils apprécient le processus d'apprentissage. 

Les humains ont également tendance à apprendre en commettant des erreurs, comme le fait notre système immunitaire. Les cellules T se souviennent des agents pathogènes qu'elles ont rencontrés et éradiqués avec succès dans le passé, de sorte qu'elles peuvent se protéger contre eux à l'avenir. C'est exactement le rôle que les développeurs devraient jouer dans votre SDLC sécurisé .

Il n'est pas réaliste d'attendre d'eux qu'ils ne fassent pas d'erreurs, mais vous pouvez les préparer de manière à ce qu'ils soient capables de reconnaître les schémas de codage qui se traduiront par des vulnérabilités en matière de sécurité à l'avenir. 

C'est également ainsi qu'un processus robuste d'évaluation par les pairs devient si puissant. Ce n'est pas parce qu'un développeur ne remarque pas une faille de sécurité qu'un autre ne le fera pas. Et plus l'équipe de développement est bien formée, plus les vulnérabilités sont susceptibles d'être détectées et de ne jamais atteindre la production. 

Les vulnérabilités des logiciels sont comme des agents pathogènes

Les vulnérabilités des logiciels sont comme des agents pathogènes, en ce sens qu'il faut s'en souvenir pour les combattre. Dans le cas des agents pathogènes, notre système immunitaire doit souvent être exposé plusieurs fois avant de se souvenir de la manière de les combattre et d'éviter une maladie grave, voire pire. 

Une cyberattaque réussie à partir d'un logiciel vulnérable peut gravement paralyser ou tuer une organisation. Mais si les développeurs sont d'abord confrontés aux vulnérabilités des logiciels dans un environnement contrôlé, ils peuvent s'efforcer de s'immuniser contre les menaces en renforçant et en pratiquant régulièrement leurs connaissances et leurs compétences en matière de codage sécurisé. 

Exposer les développeurs aux failles de sécurité dans un environnement contrôlé

Nous ne pouvons jamais nous protéger totalement contre les maladies, mais il y a des choses que nous pouvons faire pour renforcer notre système immunitaire et rester en aussi bonne santé que possible. L'exercice physique régulier, une alimentation saine et un sommeil suffisant font partie des choix de vie généralement associés à un système immunitaire fort. Mais toutes ces choses demandent un peu d'effort et doivent être continues. Faire du jogging tous les jours pendant une semaine ou arrêter de boire pendant un mois ne changera pas grand-chose à votre état de santé général. Il n'est pas non plus conseillé de courir un 10 km le premier jour où l'on se met à la course à pied. Nous devons d'abord exposer notre cœur et nos muscles à l'exercice. Nous savons également qu'il faut expérimenter un peu avant de trouver un bon équilibre pour notre corps, des aliments sains et des exercices que nous aimons.

Il en va de même pour le développement de logiciels sécurisés. L'apprentissage se fait avec le temps et la pratique, et les développeurs ont besoin de la même formation continue pour renforcer régulièrement leurs compétences en matière de codage sécurisé. De plus, le développement de logiciels évolue et s'adapte en permanence, ce qui signifie que les vulnérabilités évoluent également. C'est pourquoi un simple cours de formation ne suffit pas. Les développeurs ont besoin d'une formation continue régulière afin d'être suffisamment familiarisés avec les menaces potentielles pour être correctement équipés pour s'en défendre. 

Viser l'immunité collective au sein de l'équipe de développement

Une seule personne ne peut pas prévenir tous les problèmes de sécurité. C'est une bonne chose d'avoir des champions de la sécurité dans l'équipe, mais pour obtenir la meilleure protection, plus il y a de personnes qui ont appris à connaître les vulnérabilités en matière de sécurité et à les prévenir, plus votre organisation a de chances de les prévenir. Encore une fois, ce n'est pas très différent de la façon dont le système immunitaire a différents types de cellules T pour différents objectifs. Chaque développeur fait partie d'une équipe qui assure la sécurité. S'ils sont habilités à prendre des responsabilités, à bien faire leur travail et même à aimer le faire, vous pouvez alors créer une immunité collective contre les cybermenaces au sein de l'équipe de développement.

Créer une immunité collective contre les cybermenaces au sein de l'équipe de développement

Gardez la sécurité à l'esprit grâce à une exposition répétée

Notre cerveau apprend de la même manière que notre système immunitaire. Le psychologue allemand Hermann Ebbinghaus a été un pionnier dans le domaine de la mémoire et de l'apprentissage. Il en a déduit que l'apprentissage doit se faire dans la durée et au cours de multiples sessions d'apprentissage. À l'école, on ne s'attend jamais à ce que nous conservions de nouvelles connaissances après la première introduction. L'information nous est d'abord présentée, puis nous la pratiquons avec des conseils, puis nous la pratiquons seuls. Et même lorsque nous les avons suffisamment bien assimilées pour réussir un examen, les informations ont tendance à être oubliées peu de temps après si nous n'utilisons pas régulièrement les connaissances que nous avons consacré du temps et des efforts à apprendre. Combien d'entre nous peuvent affirmer qu'ils se souviennent du français qu'ils ont appris au lycée ?

Dès lors, comment croire qu'une seule journée passée à regarder des diapositives et à écouter quelqu'un parler de sécurité permettra aux développeurs présents de coder de manière plus sûre ?

Les schémas de vulnérabilités récurrentes nous montrent que cela ne fonctionne tout simplement pas. 

Comment parvenir à une immunité de développement sécurisée ?

La réponse se trouve dans notre nature. Notre corps et notre esprit fonctionnent de la même manière et apportent de belles solutions aux problèmes, à condition de travailler avec eux et non contre eux. 

Pour garantir la sécurité de vos applications, vous devez commencer par former les développeurs à l'écriture de codes sécurisés. Sinon, l'AppSec continuera à passer tout son temps à examiner l'ensemble du code à la recherche de failles de sécurité et à rapporter les mêmes vulnérabilités récurrentes au développement pour qu'elles soient rapidement corrigées sans que rien n'ait été appris. Et l'on recommence pour la prochaine version.

Répétons-le donc.

Sécurité du système immunitaire

Si vous collaborez avec vos responsables du développement pour y parvenir, vous ne vous contenterez pas de mettre en œuvre un SDLC sécurisé et de cocher la case de l'exigence de formation à la sécurité pour la conformité, vous aurez un impact réel sur le processus de développement. Pour couronner le tout, l'AppSec ne rencontrera plus de vulnérabilités répétées et ne les signalera plus aux équipes de développement, et les développeurs passeront moins de temps à les corriger. Cela signifie qu'ils pourront consacrer plus de temps à la création et à l'amélioration des logiciels extraordinaires qui rendent notre monde meilleur. 

Prêt à renforcer les compétences de votre équipe de développement ? Réservez une démonstration avec nous.

Table des matières

Voir la ressource
Vous souhaitez en savoir plus ?

Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstrationTélécharger
Partager sur :
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles