Passer à gauche (et se mettre en conformité) grâce à des compétences de codage sécurisé reproductibles
De nos jours, presque toutes les équipes de développeurs ont recours à une forme ou une autre de formation à la conformité, que ce soit dans le cadre d'un processus de certification initiale visant à garantir qu'une entreprise reste dans les limites des cadres sectoriels ou des réglementations gouvernementales, ou dans le cadre d'une exigence ou d'un examen annuel. Il s'agit d'une étape importante, car si une organisation n'est pas en mesure de respecter les exigences de base en matière de conformité, ses employés ne peuvent pas accomplir leurs tâches de manière réaliste.
Les règles de conformité existent pour une raison, car toute personne travaillant dans le domaine couvert par ces règles doit avoir au moins une compréhension fondamentale de tous les processus et procédures pertinents, ainsi que de toutes les lois applicables.
Bien que la formation à la conformité soit importante, le fait de remplir les exigences minimales prescrites ne garantit pas une véritable sécurité des applications. C'est particulièrement vrai pour les développeurs qui tentent d'intégrer des compétences de codage sécurisé dans leur flux de travail quotidien. Presque tous les développeurs suivent une formation à la conformité sous une forme ou une autre et pourtant, lorsqu'ils ont été interrogés, 67 % d'entre eux ont admis qu'ils laissaient souvent des vulnérabilités dans leur code.
Pourquoi ?
Pour la deuxième année, Secure Code Warrior a mené l'enquête "The state of developer-driven security survey, 2022" en partenariat avec Evans Data Corp en décembre 2021. Nous avons interrogé 1 200 développeurs dans le monde entier pour comprendre les compétences, les perceptions et les comportements en matière de pratiques de codage sécurisées, ainsi que leur impact et leur pertinence perçue dans le cycle de vie du développement logiciel (SDLC).
Quant à savoir pourquoi la formation à la conformité ne permet pas d'améliorer la sécurité des logiciels, c'est une question dont nous parlons depuis longtemps. L'enquête récente ne fait que mettre en lumière ce problème.
D'une part, on demande aux développeurs d'assumer de nouveaux rôles en intégrant la cybersécurité tout au long du processus de développement des logiciels, y compris lors de la rédaction initiale du code des applications et des programmes. Mais il n'est pas facile d'écrire un code sécurisé, ni même de s'informer sur les problèmes de cybersécurité et les vulnérabilités qui pourraient l'affecter. 63 % des développeurs interrogés dans le cadre de l'enquête ont déclaré que l'écriture d'un code sécurisé était une tâche difficile.
La difficulté d'écrire un code sécurisé n'est pas une surprise. Ce n'est pas pour rien que tant d'emplois bien rémunérés dans le domaine de la cybersécurité ne sont pas pourvus, avec plus de 3,5 millions de postes à pourvoir dans le monde au dernier recensement. Si le travail était facile, tout le monde se lancerait dans ce domaine. Il est difficile d'apprendre à combattre les menaces et à éliminer les vulnérabilités dans le code, et le paysage des menaces est en constante évolution. Les formations statiques sur la conformité ou les cours ponctuels ne peuvent pas suivre ou fournir le type d'éducation dont les développeurs ont besoin. Elles peuvent certes cocher une case en termes de conformité, mais ne peuvent pas fournir de véritables garanties de sécurité des applications pour votre organisation, ni permettre aux développeurs d'écrire un code sécurisé ou d'acquérir les compétences nécessaires pour trouver et corriger les vulnérabilités du code.
Les formations à la conformité et à la sécurité sont importantes, mais différentes
Les organisations doivent commencer à réaliser et à reconnaître ce que la formation en matière de conformité peut faire, et ce qu'elle ne peut pas faire. N'abandonnez pas la formation à la conformité, surtout si elle est imposée par la loi. Et surtout parce que (même avec les méthodes de formation actuelles) 92 % des personnes interrogées ont déclaré qu'elles avaient besoin d'au moins une formation sur les questions de conformité ou les cadres de sécurité, 50 % d'entre elles soulignant la nécessité d'une formation importante en matière de conformité.
Les cadres de conformité avec lesquels ils souhaitent le plus se former sont ceux qui sont spécifiques à divers secteurs, bien que plusieurs cadres généraux de cybersécurité figurent également sur la liste. Il s'agit notamment du cadre de sécurité CIS, de PCI DSS, du Top 10 de l'OWASP, de MISRA C, d'ISO/IEC, de la loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) et d'autres encore.
Alors oui, formez-vous à ces cadres, mais comprenez que le fait de cocher une case sur la formation à la conformité n'équivaut pas à fournir une base pour la création continue d'un code sécurisé.
Au lieu de cela, considérez la formation à la conformité comme une opportunité permanente de développer les compétences de codage sécurisé de vos développeurs, qui peuvent être répétées en dehors du cycle de conformité, afin qu'ils puissent créer et publier des logiciels sécurisés tous les jours. La priorité n'est plus d'assurer la conformité, mais de permettre aux équipes de développement de coder en toute sécurité grâce à l'apprentissage continu. En investissant du temps et des ressources dans l'habilitation des développeurs, les exercices ou examens annuels de conformité deviendront un jeu d'enfant pour votre personnel, qui bénéficiera d'une productivité globale accrue.
Comment pouvez-vous passer à une sécurité axée sur les développeurs ?
Les développeurs ont massivement déclaré que la formation était utile, mais se sont opposés au type de formation qu'ils ont reçu en matière de codage sécurisé au fil des ans. Les développeurs ont déclaré qu'ils souhaitaient que l'on mette davantage l'accent sur une formation pratique utilisant des exemples du monde réel en rapport avec leur travail (30 %). Une plus grande interactivité a également été jugée essentielle par 26 % des personnes interrogées, en particulier si elles pouvaient s'entraîner à écrire du code sécurisé dans le cadre de ces exercices.
Pour 23 % des développeurs interrogés, il est important de recevoir une formation plus guidée, axée sur les vulnérabilités spécifiques qu'ils sont le plus susceptibles de rencontrer dans leur industrie ou leur secteur, tandis que 22 % d'entre eux souhaitent voir davantage d'exemples de vulnérabilités réelles dans leur formation ( courses).
Il est clair qu'une formation statique et non interactive (comme c'est généralement le cas pour la formation à la conformité) n'a que peu de valeur en termes de compétences reproductibles en matière de sécurité pour les développeurs. Les organisations devraient plutôt se concentrer sur des éléments tels que la formation juste à temps, où les développeurs sont formés à la sécurité au fur et à mesure qu'ils travaillent. Vous pouvez même envisager de mettre en œuvre un programme d'apprentissage à plusieurs niveaux.
Dans le cadre d'une approche par niveaux, les sujets plus vastes sont généralement décomposés en expériences ou concepts d'apprentissage distincts. Au fur et à mesure que les développeurs progressent, des concepts plus avancés sont superposés à ceux déjà maîtrisés, tout comme un échafaudage physique est construit au fur et à mesure qu'un bâtiment s'élève. Il s'agit d'une méthode éprouvée pour enseigner un sujet difficile et en constante évolution comme la cybersécurité, en le décomposant d'abord en morceaux plus petits et moins complexes, puis en construisant des éléments plus complexes sur cette base.
Quelle que soit la manière dont vous décidez d'aborder votre programme de compétences en matière de sécurité des développeurs, il est essentiel de le séparer des exercices de conformité. Les formations à la conformité et à la sécurité sont toutes deux importantes et nécessitent des approches différentes pour être couronnées de succès.
Pour en savoir plus
Livre blanc : Les défis (et les opportunités) pour améliorer la sécurité des logiciels.
Livre blanc : L'approche préventive de la sécurité des logiciels par les développeurs.
Rapport : L'état de la sécurité pilotée par les développeurs.
De nos jours, presque toutes les équipes de développeurs ont recours à une forme ou une autre de formation à la conformité, que ce soit dans le cadre d'un processus de certification initiale visant à garantir qu'une entreprise reste dans les limites des cadres sectoriels ou des réglementations gouvernementales, ou dans le cadre d'une exigence ou d'un examen annuel. Il s'agit d'une étape importante, car si une organisation n'est pas en mesure de respecter les exigences de base en matière de conformité, ses employés ne peuvent pas accomplir leurs tâches de manière réaliste.
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationSecure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior crée une culture de développeurs axés sur la sécurité en leur donnant les compétences nécessaires pour coder de manière sécurisée. Notre programme phare Agile Learning Platform propose des parcours pertinents basés sur les compétences, des exercices pratiques missions et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé.
De nos jours, presque toutes les équipes de développeurs ont recours à une forme ou une autre de formation à la conformité, que ce soit dans le cadre d'un processus de certification initiale visant à garantir qu'une entreprise reste dans les limites des cadres sectoriels ou des réglementations gouvernementales, ou dans le cadre d'une exigence ou d'un examen annuel. Il s'agit d'une étape importante, car si une organisation n'est pas en mesure de respecter les exigences de base en matière de conformité, ses employés ne peuvent pas accomplir leurs tâches de manière réaliste.
Les règles de conformité existent pour une raison, car toute personne travaillant dans le domaine couvert par ces règles doit avoir au moins une compréhension fondamentale de tous les processus et procédures pertinents, ainsi que de toutes les lois applicables.
Bien que la formation à la conformité soit importante, le fait de remplir les exigences minimales prescrites ne garantit pas une véritable sécurité des applications. C'est particulièrement vrai pour les développeurs qui tentent d'intégrer des compétences de codage sécurisé dans leur flux de travail quotidien. Presque tous les développeurs suivent une formation à la conformité sous une forme ou une autre et pourtant, lorsqu'ils ont été interrogés, 67 % d'entre eux ont admis qu'ils laissaient souvent des vulnérabilités dans leur code.
Pourquoi ?
Pour la deuxième année, Secure Code Warrior a mené l'enquête "The state of developer-driven security survey, 2022" en partenariat avec Evans Data Corp en décembre 2021. Nous avons interrogé 1 200 développeurs dans le monde entier pour comprendre les compétences, les perceptions et les comportements en matière de pratiques de codage sécurisées, ainsi que leur impact et leur pertinence perçue dans le cycle de vie du développement logiciel (SDLC).
Quant à savoir pourquoi la formation à la conformité ne permet pas d'améliorer la sécurité des logiciels, c'est une question dont nous parlons depuis longtemps. L'enquête récente ne fait que mettre en lumière ce problème.
D'une part, on demande aux développeurs d'assumer de nouveaux rôles en intégrant la cybersécurité tout au long du processus de développement des logiciels, y compris lors de la rédaction initiale du code des applications et des programmes. Mais il n'est pas facile d'écrire un code sécurisé, ni même de s'informer sur les problèmes de cybersécurité et les vulnérabilités qui pourraient l'affecter. 63 % des développeurs interrogés dans le cadre de l'enquête ont déclaré que l'écriture d'un code sécurisé était une tâche difficile.
La difficulté d'écrire un code sécurisé n'est pas une surprise. Ce n'est pas pour rien que tant d'emplois bien rémunérés dans le domaine de la cybersécurité ne sont pas pourvus, avec plus de 3,5 millions de postes à pourvoir dans le monde au dernier recensement. Si le travail était facile, tout le monde se lancerait dans ce domaine. Il est difficile d'apprendre à combattre les menaces et à éliminer les vulnérabilités dans le code, et le paysage des menaces est en constante évolution. Les formations statiques sur la conformité ou les cours ponctuels ne peuvent pas suivre ou fournir le type d'éducation dont les développeurs ont besoin. Elles peuvent certes cocher une case en termes de conformité, mais ne peuvent pas fournir de véritables garanties de sécurité des applications pour votre organisation, ni permettre aux développeurs d'écrire un code sécurisé ou d'acquérir les compétences nécessaires pour trouver et corriger les vulnérabilités du code.
Les formations à la conformité et à la sécurité sont importantes, mais différentes
Les organisations doivent commencer à réaliser et à reconnaître ce que la formation en matière de conformité peut faire, et ce qu'elle ne peut pas faire. N'abandonnez pas la formation à la conformité, surtout si elle est imposée par la loi. Et surtout parce que (même avec les méthodes de formation actuelles) 92 % des personnes interrogées ont déclaré qu'elles avaient besoin d'au moins une formation sur les questions de conformité ou les cadres de sécurité, 50 % d'entre elles soulignant la nécessité d'une formation importante en matière de conformité.
Les cadres de conformité avec lesquels ils souhaitent le plus se former sont ceux qui sont spécifiques à divers secteurs, bien que plusieurs cadres généraux de cybersécurité figurent également sur la liste. Il s'agit notamment du cadre de sécurité CIS, de PCI DSS, du Top 10 de l'OWASP, de MISRA C, d'ISO/IEC, de la loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) et d'autres encore.
Alors oui, formez-vous à ces cadres, mais comprenez que le fait de cocher une case sur la formation à la conformité n'équivaut pas à fournir une base pour la création continue d'un code sécurisé.
Au lieu de cela, considérez la formation à la conformité comme une opportunité permanente de développer les compétences de codage sécurisé de vos développeurs, qui peuvent être répétées en dehors du cycle de conformité, afin qu'ils puissent créer et publier des logiciels sécurisés tous les jours. La priorité n'est plus d'assurer la conformité, mais de permettre aux équipes de développement de coder en toute sécurité grâce à l'apprentissage continu. En investissant du temps et des ressources dans l'habilitation des développeurs, les exercices ou examens annuels de conformité deviendront un jeu d'enfant pour votre personnel, qui bénéficiera d'une productivité globale accrue.
Comment pouvez-vous passer à une sécurité axée sur les développeurs ?
Les développeurs ont massivement déclaré que la formation était utile, mais se sont opposés au type de formation qu'ils ont reçu en matière de codage sécurisé au fil des ans. Les développeurs ont déclaré qu'ils souhaitaient que l'on mette davantage l'accent sur une formation pratique utilisant des exemples du monde réel en rapport avec leur travail (30 %). Une plus grande interactivité a également été jugée essentielle par 26 % des personnes interrogées, en particulier si elles pouvaient s'entraîner à écrire du code sécurisé dans le cadre de ces exercices.
Pour 23 % des développeurs interrogés, il est important de recevoir une formation plus guidée, axée sur les vulnérabilités spécifiques qu'ils sont le plus susceptibles de rencontrer dans leur industrie ou leur secteur, tandis que 22 % d'entre eux souhaitent voir davantage d'exemples de vulnérabilités réelles dans leur formation ( courses).
Il est clair qu'une formation statique et non interactive (comme c'est généralement le cas pour la formation à la conformité) n'a que peu de valeur en termes de compétences reproductibles en matière de sécurité pour les développeurs. Les organisations devraient plutôt se concentrer sur des éléments tels que la formation juste à temps, où les développeurs sont formés à la sécurité au fur et à mesure qu'ils travaillent. Vous pouvez même envisager de mettre en œuvre un programme d'apprentissage à plusieurs niveaux.
Dans le cadre d'une approche par niveaux, les sujets plus vastes sont généralement décomposés en expériences ou concepts d'apprentissage distincts. Au fur et à mesure que les développeurs progressent, des concepts plus avancés sont superposés à ceux déjà maîtrisés, tout comme un échafaudage physique est construit au fur et à mesure qu'un bâtiment s'élève. Il s'agit d'une méthode éprouvée pour enseigner un sujet difficile et en constante évolution comme la cybersécurité, en le décomposant d'abord en morceaux plus petits et moins complexes, puis en construisant des éléments plus complexes sur cette base.
Quelle que soit la manière dont vous décidez d'aborder votre programme de compétences en matière de sécurité des développeurs, il est essentiel de le séparer des exercices de conformité. Les formations à la conformité et à la sécurité sont toutes deux importantes et nécessitent des approches différentes pour être couronnées de succès.
Pour en savoir plus
Livre blanc : Les défis (et les opportunités) pour améliorer la sécurité des logiciels.
Livre blanc : L'approche préventive de la sécurité des logiciels par les développeurs.
Rapport : L'état de la sécurité pilotée par les développeurs.
De nos jours, presque toutes les équipes de développeurs ont recours à une forme ou une autre de formation à la conformité, que ce soit dans le cadre d'un processus de certification initiale visant à garantir qu'une entreprise reste dans les limites des cadres sectoriels ou des réglementations gouvernementales, ou dans le cadre d'une exigence ou d'un examen annuel. Il s'agit d'une étape importante, car si une organisation n'est pas en mesure de respecter les exigences de base en matière de conformité, ses employés ne peuvent pas accomplir leurs tâches de manière réaliste.
Les règles de conformité existent pour une raison, car toute personne travaillant dans le domaine couvert par ces règles doit avoir au moins une compréhension fondamentale de tous les processus et procédures pertinents, ainsi que de toutes les lois applicables.
Bien que la formation à la conformité soit importante, le fait de remplir les exigences minimales prescrites ne garantit pas une véritable sécurité des applications. C'est particulièrement vrai pour les développeurs qui tentent d'intégrer des compétences de codage sécurisé dans leur flux de travail quotidien. Presque tous les développeurs suivent une formation à la conformité sous une forme ou une autre et pourtant, lorsqu'ils ont été interrogés, 67 % d'entre eux ont admis qu'ils laissaient souvent des vulnérabilités dans leur code.
Pourquoi ?
Pour la deuxième année, Secure Code Warrior a mené l'enquête "The state of developer-driven security survey, 2022" en partenariat avec Evans Data Corp en décembre 2021. Nous avons interrogé 1 200 développeurs dans le monde entier pour comprendre les compétences, les perceptions et les comportements en matière de pratiques de codage sécurisées, ainsi que leur impact et leur pertinence perçue dans le cycle de vie du développement logiciel (SDLC).
Quant à savoir pourquoi la formation à la conformité ne permet pas d'améliorer la sécurité des logiciels, c'est une question dont nous parlons depuis longtemps. L'enquête récente ne fait que mettre en lumière ce problème.
D'une part, on demande aux développeurs d'assumer de nouveaux rôles en intégrant la cybersécurité tout au long du processus de développement des logiciels, y compris lors de la rédaction initiale du code des applications et des programmes. Mais il n'est pas facile d'écrire un code sécurisé, ni même de s'informer sur les problèmes de cybersécurité et les vulnérabilités qui pourraient l'affecter. 63 % des développeurs interrogés dans le cadre de l'enquête ont déclaré que l'écriture d'un code sécurisé était une tâche difficile.
La difficulté d'écrire un code sécurisé n'est pas une surprise. Ce n'est pas pour rien que tant d'emplois bien rémunérés dans le domaine de la cybersécurité ne sont pas pourvus, avec plus de 3,5 millions de postes à pourvoir dans le monde au dernier recensement. Si le travail était facile, tout le monde se lancerait dans ce domaine. Il est difficile d'apprendre à combattre les menaces et à éliminer les vulnérabilités dans le code, et le paysage des menaces est en constante évolution. Les formations statiques sur la conformité ou les cours ponctuels ne peuvent pas suivre ou fournir le type d'éducation dont les développeurs ont besoin. Elles peuvent certes cocher une case en termes de conformité, mais ne peuvent pas fournir de véritables garanties de sécurité des applications pour votre organisation, ni permettre aux développeurs d'écrire un code sécurisé ou d'acquérir les compétences nécessaires pour trouver et corriger les vulnérabilités du code.
Les formations à la conformité et à la sécurité sont importantes, mais différentes
Les organisations doivent commencer à réaliser et à reconnaître ce que la formation en matière de conformité peut faire, et ce qu'elle ne peut pas faire. N'abandonnez pas la formation à la conformité, surtout si elle est imposée par la loi. Et surtout parce que (même avec les méthodes de formation actuelles) 92 % des personnes interrogées ont déclaré qu'elles avaient besoin d'au moins une formation sur les questions de conformité ou les cadres de sécurité, 50 % d'entre elles soulignant la nécessité d'une formation importante en matière de conformité.
Les cadres de conformité avec lesquels ils souhaitent le plus se former sont ceux qui sont spécifiques à divers secteurs, bien que plusieurs cadres généraux de cybersécurité figurent également sur la liste. Il s'agit notamment du cadre de sécurité CIS, de PCI DSS, du Top 10 de l'OWASP, de MISRA C, d'ISO/IEC, de la loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) et d'autres encore.
Alors oui, formez-vous à ces cadres, mais comprenez que le fait de cocher une case sur la formation à la conformité n'équivaut pas à fournir une base pour la création continue d'un code sécurisé.
Au lieu de cela, considérez la formation à la conformité comme une opportunité permanente de développer les compétences de codage sécurisé de vos développeurs, qui peuvent être répétées en dehors du cycle de conformité, afin qu'ils puissent créer et publier des logiciels sécurisés tous les jours. La priorité n'est plus d'assurer la conformité, mais de permettre aux équipes de développement de coder en toute sécurité grâce à l'apprentissage continu. En investissant du temps et des ressources dans l'habilitation des développeurs, les exercices ou examens annuels de conformité deviendront un jeu d'enfant pour votre personnel, qui bénéficiera d'une productivité globale accrue.
Comment pouvez-vous passer à une sécurité axée sur les développeurs ?
Les développeurs ont massivement déclaré que la formation était utile, mais se sont opposés au type de formation qu'ils ont reçu en matière de codage sécurisé au fil des ans. Les développeurs ont déclaré qu'ils souhaitaient que l'on mette davantage l'accent sur une formation pratique utilisant des exemples du monde réel en rapport avec leur travail (30 %). Une plus grande interactivité a également été jugée essentielle par 26 % des personnes interrogées, en particulier si elles pouvaient s'entraîner à écrire du code sécurisé dans le cadre de ces exercices.
Pour 23 % des développeurs interrogés, il est important de recevoir une formation plus guidée, axée sur les vulnérabilités spécifiques qu'ils sont le plus susceptibles de rencontrer dans leur industrie ou leur secteur, tandis que 22 % d'entre eux souhaitent voir davantage d'exemples de vulnérabilités réelles dans leur formation ( courses).
Il est clair qu'une formation statique et non interactive (comme c'est généralement le cas pour la formation à la conformité) n'a que peu de valeur en termes de compétences reproductibles en matière de sécurité pour les développeurs. Les organisations devraient plutôt se concentrer sur des éléments tels que la formation juste à temps, où les développeurs sont formés à la sécurité au fur et à mesure qu'ils travaillent. Vous pouvez même envisager de mettre en œuvre un programme d'apprentissage à plusieurs niveaux.
Dans le cadre d'une approche par niveaux, les sujets plus vastes sont généralement décomposés en expériences ou concepts d'apprentissage distincts. Au fur et à mesure que les développeurs progressent, des concepts plus avancés sont superposés à ceux déjà maîtrisés, tout comme un échafaudage physique est construit au fur et à mesure qu'un bâtiment s'élève. Il s'agit d'une méthode éprouvée pour enseigner un sujet difficile et en constante évolution comme la cybersécurité, en le décomposant d'abord en morceaux plus petits et moins complexes, puis en construisant des éléments plus complexes sur cette base.
Quelle que soit la manière dont vous décidez d'aborder votre programme de compétences en matière de sécurité des développeurs, il est essentiel de le séparer des exercices de conformité. Les formations à la conformité et à la sécurité sont toutes deux importantes et nécessitent des approches différentes pour être couronnées de succès.
Pour en savoir plus
Livre blanc : Les défis (et les opportunités) pour améliorer la sécurité des logiciels.
Livre blanc : L'approche préventive de la sécurité des logiciels par les développeurs.
Rapport : L'état de la sécurité pilotée par les développeurs.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationSecure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior crée une culture de développeurs axés sur la sécurité en leur donnant les compétences nécessaires pour coder de manière sécurisée. Notre programme phare Agile Learning Platform propose des parcours pertinents basés sur les compétences, des exercices pratiques missions et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé.
De nos jours, presque toutes les équipes de développeurs ont recours à une forme ou une autre de formation à la conformité, que ce soit dans le cadre d'un processus de certification initiale visant à garantir qu'une entreprise reste dans les limites des cadres sectoriels ou des réglementations gouvernementales, ou dans le cadre d'une exigence ou d'un examen annuel. Il s'agit d'une étape importante, car si une organisation n'est pas en mesure de respecter les exigences de base en matière de conformité, ses employés ne peuvent pas accomplir leurs tâches de manière réaliste.
Les règles de conformité existent pour une raison, car toute personne travaillant dans le domaine couvert par ces règles doit avoir au moins une compréhension fondamentale de tous les processus et procédures pertinents, ainsi que de toutes les lois applicables.
Bien que la formation à la conformité soit importante, le fait de remplir les exigences minimales prescrites ne garantit pas une véritable sécurité des applications. C'est particulièrement vrai pour les développeurs qui tentent d'intégrer des compétences de codage sécurisé dans leur flux de travail quotidien. Presque tous les développeurs suivent une formation à la conformité sous une forme ou une autre et pourtant, lorsqu'ils ont été interrogés, 67 % d'entre eux ont admis qu'ils laissaient souvent des vulnérabilités dans leur code.
Pourquoi ?
Pour la deuxième année, Secure Code Warrior a mené l'enquête "The state of developer-driven security survey, 2022" en partenariat avec Evans Data Corp en décembre 2021. Nous avons interrogé 1 200 développeurs dans le monde entier pour comprendre les compétences, les perceptions et les comportements en matière de pratiques de codage sécurisées, ainsi que leur impact et leur pertinence perçue dans le cycle de vie du développement logiciel (SDLC).
Quant à savoir pourquoi la formation à la conformité ne permet pas d'améliorer la sécurité des logiciels, c'est une question dont nous parlons depuis longtemps. L'enquête récente ne fait que mettre en lumière ce problème.
D'une part, on demande aux développeurs d'assumer de nouveaux rôles en intégrant la cybersécurité tout au long du processus de développement des logiciels, y compris lors de la rédaction initiale du code des applications et des programmes. Mais il n'est pas facile d'écrire un code sécurisé, ni même de s'informer sur les problèmes de cybersécurité et les vulnérabilités qui pourraient l'affecter. 63 % des développeurs interrogés dans le cadre de l'enquête ont déclaré que l'écriture d'un code sécurisé était une tâche difficile.
La difficulté d'écrire un code sécurisé n'est pas une surprise. Ce n'est pas pour rien que tant d'emplois bien rémunérés dans le domaine de la cybersécurité ne sont pas pourvus, avec plus de 3,5 millions de postes à pourvoir dans le monde au dernier recensement. Si le travail était facile, tout le monde se lancerait dans ce domaine. Il est difficile d'apprendre à combattre les menaces et à éliminer les vulnérabilités dans le code, et le paysage des menaces est en constante évolution. Les formations statiques sur la conformité ou les cours ponctuels ne peuvent pas suivre ou fournir le type d'éducation dont les développeurs ont besoin. Elles peuvent certes cocher une case en termes de conformité, mais ne peuvent pas fournir de véritables garanties de sécurité des applications pour votre organisation, ni permettre aux développeurs d'écrire un code sécurisé ou d'acquérir les compétences nécessaires pour trouver et corriger les vulnérabilités du code.
Les formations à la conformité et à la sécurité sont importantes, mais différentes
Les organisations doivent commencer à réaliser et à reconnaître ce que la formation en matière de conformité peut faire, et ce qu'elle ne peut pas faire. N'abandonnez pas la formation à la conformité, surtout si elle est imposée par la loi. Et surtout parce que (même avec les méthodes de formation actuelles) 92 % des personnes interrogées ont déclaré qu'elles avaient besoin d'au moins une formation sur les questions de conformité ou les cadres de sécurité, 50 % d'entre elles soulignant la nécessité d'une formation importante en matière de conformité.
Les cadres de conformité avec lesquels ils souhaitent le plus se former sont ceux qui sont spécifiques à divers secteurs, bien que plusieurs cadres généraux de cybersécurité figurent également sur la liste. Il s'agit notamment du cadre de sécurité CIS, de PCI DSS, du Top 10 de l'OWASP, de MISRA C, d'ISO/IEC, de la loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) et d'autres encore.
Alors oui, formez-vous à ces cadres, mais comprenez que le fait de cocher une case sur la formation à la conformité n'équivaut pas à fournir une base pour la création continue d'un code sécurisé.
Au lieu de cela, considérez la formation à la conformité comme une opportunité permanente de développer les compétences de codage sécurisé de vos développeurs, qui peuvent être répétées en dehors du cycle de conformité, afin qu'ils puissent créer et publier des logiciels sécurisés tous les jours. La priorité n'est plus d'assurer la conformité, mais de permettre aux équipes de développement de coder en toute sécurité grâce à l'apprentissage continu. En investissant du temps et des ressources dans l'habilitation des développeurs, les exercices ou examens annuels de conformité deviendront un jeu d'enfant pour votre personnel, qui bénéficiera d'une productivité globale accrue.
Comment pouvez-vous passer à une sécurité axée sur les développeurs ?
Les développeurs ont massivement déclaré que la formation était utile, mais se sont opposés au type de formation qu'ils ont reçu en matière de codage sécurisé au fil des ans. Les développeurs ont déclaré qu'ils souhaitaient que l'on mette davantage l'accent sur une formation pratique utilisant des exemples du monde réel en rapport avec leur travail (30 %). Une plus grande interactivité a également été jugée essentielle par 26 % des personnes interrogées, en particulier si elles pouvaient s'entraîner à écrire du code sécurisé dans le cadre de ces exercices.
Pour 23 % des développeurs interrogés, il est important de recevoir une formation plus guidée, axée sur les vulnérabilités spécifiques qu'ils sont le plus susceptibles de rencontrer dans leur industrie ou leur secteur, tandis que 22 % d'entre eux souhaitent voir davantage d'exemples de vulnérabilités réelles dans leur formation ( courses).
Il est clair qu'une formation statique et non interactive (comme c'est généralement le cas pour la formation à la conformité) n'a que peu de valeur en termes de compétences reproductibles en matière de sécurité pour les développeurs. Les organisations devraient plutôt se concentrer sur des éléments tels que la formation juste à temps, où les développeurs sont formés à la sécurité au fur et à mesure qu'ils travaillent. Vous pouvez même envisager de mettre en œuvre un programme d'apprentissage à plusieurs niveaux.
Dans le cadre d'une approche par niveaux, les sujets plus vastes sont généralement décomposés en expériences ou concepts d'apprentissage distincts. Au fur et à mesure que les développeurs progressent, des concepts plus avancés sont superposés à ceux déjà maîtrisés, tout comme un échafaudage physique est construit au fur et à mesure qu'un bâtiment s'élève. Il s'agit d'une méthode éprouvée pour enseigner un sujet difficile et en constante évolution comme la cybersécurité, en le décomposant d'abord en morceaux plus petits et moins complexes, puis en construisant des éléments plus complexes sur cette base.
Quelle que soit la manière dont vous décidez d'aborder votre programme de compétences en matière de sécurité des développeurs, il est essentiel de le séparer des exercices de conformité. Les formations à la conformité et à la sécurité sont toutes deux importantes et nécessitent des approches différentes pour être couronnées de succès.
Pour en savoir plus
Livre blanc : Les défis (et les opportunités) pour améliorer la sécurité des logiciels.
Livre blanc : L'approche préventive de la sécurité des logiciels par les développeurs.
Rapport : L'état de la sécurité pilotée par les développeurs.
Table des matières
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.
Plongée en profondeur : Naviguer dans la vulnérabilité critique de CUPS dans les systèmes GNU-Linux
Découvrez les derniers défis de sécurité auxquels sont confrontés les utilisateurs de Linux en explorant les récentes vulnérabilités de haute sévérité dans le système d'impression commun d'UNIX (CUPS). Apprenez comment ces problèmes peuvent conduire à une potentielle exécution de code à distance (RCE) et ce que vous pouvez faire pour protéger vos systèmes.