Blog

Passer à gauche (et se mettre en conformité) grâce à des compétences de codage sécurisé reproductibles

Secure Code Warrior
Publié le 10 novembre 2022

De nos jours, presque toutes les équipes de développeurs ont recours à une forme ou une autre de formation à la conformité, que ce soit dans le cadre d'un processus de certification initiale visant à garantir qu'une entreprise reste dans les limites des cadres sectoriels ou des réglementations gouvernementales, ou dans le cadre d'une exigence ou d'un examen annuel. Il s'agit d'une étape importante, car si une organisation n'est pas en mesure de respecter les exigences de base en matière de conformité, ses employés ne peuvent pas accomplir leurs tâches de manière réaliste.

Les règles de conformité existent pour une raison, car toute personne travaillant dans le domaine couvert par ces règles doit avoir au moins une compréhension fondamentale de tous les processus et procédures pertinents, ainsi que de toutes les lois applicables.

Bien que la formation à la conformité soit importante, le fait de remplir les exigences minimales prescrites ne garantit pas une véritable sécurité des applications. C'est particulièrement vrai pour les développeurs qui tentent d'intégrer des compétences de codage sécurisé dans leur flux de travail quotidien. Presque tous les développeurs suivent une formation à la conformité sous une forme ou une autre et pourtant, lorsqu'ils ont été interrogés, 67 % d'entre eux ont admis qu'ils laissaient souvent des vulnérabilités dans leur code.

Pourquoi ?

Pour la deuxième année, Secure Code Warrior a mené l'enquête "The state of developer-driven security survey, 2022" en partenariat avec Evans Data Corp en décembre 2021. Nous avons interrogé 1 200 développeurs dans le monde entier pour comprendre les compétences, les perceptions et les comportements en matière de pratiques de codage sécurisées, ainsi que leur impact et leur pertinence perçue dans le cycle de vie du développement logiciel (SDLC).

Quant à savoir pourquoi la formation à la conformité ne permet pas d'améliorer la sécurité des logiciels, c'est une question dont nous parlons depuis longtemps. L'enquête récente ne fait que mettre en lumière ce problème.

D'une part, on demande aux développeurs d'assumer de nouveaux rôles en intégrant la cybersécurité tout au long du processus de développement des logiciels, y compris lors de la rédaction initiale du code des applications et des programmes. Mais il n'est pas facile d'écrire un code sécurisé, ni même de s'informer sur les problèmes de cybersécurité et les vulnérabilités qui pourraient l'affecter. 63 % des développeurs interrogés dans le cadre de l'enquête ont déclaré que l'écriture d'un code sécurisé était une tâche difficile.

La difficulté d'écrire un code sécurisé n'est pas une surprise. Ce n'est pas pour rien que tant d'emplois bien rémunérés dans le domaine de la cybersécurité ne sont pas pourvus, avec plus de 3,5 millions de postes à pourvoir dans le monde au dernier recensement. Si le travail était facile, tout le monde se lancerait dans ce domaine. Il est difficile d'apprendre à combattre les menaces et à éliminer les vulnérabilités dans le code, et le paysage des menaces est en constante évolution. Les formations statiques sur la conformité ou les cours ponctuels ne peuvent pas suivre ou fournir le type d'éducation dont les développeurs ont besoin. Elles peuvent certes cocher une case en termes de conformité, mais ne peuvent pas fournir de véritables garanties de sécurité des applications pour votre organisation, ni permettre aux développeurs d'écrire un code sécurisé ou d'acquérir les compétences nécessaires pour trouver et corriger les vulnérabilités du code.

Les formations à la conformité et à la sécurité sont importantes, mais différentes

Les organisations doivent commencer à réaliser et à reconnaître ce que la formation en matière de conformité peut faire, et ce qu'elle ne peut pas faire. N'abandonnez pas la formation à la conformité, surtout si elle est imposée par la loi. Et surtout parce que (même avec les méthodes de formation actuelles) 92 % des personnes interrogées ont déclaré qu'elles avaient besoin d'au moins une formation sur les questions de conformité ou les cadres de sécurité, 50 % d'entre elles soulignant la nécessité d'une formation importante en matière de conformité.

Les cadres de conformité avec lesquels ils souhaitent le plus se former sont ceux qui sont spécifiques à divers secteurs, bien que plusieurs cadres généraux de cybersécurité figurent également sur la liste. Il s'agit notamment du cadre de sécurité CIS, de PCI DSS, du Top 10 de l'OWASP, de MISRA C, d'ISO/IEC, de la loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) et d'autres encore.

Alors oui, formez-vous à ces cadres, mais comprenez que le fait de cocher une case sur la formation à la conformité n'équivaut pas à fournir une base pour la création continue d'un code sécurisé.

Au lieu de cela, considérez la formation à la conformité comme une opportunité permanente de développer les compétences de codage sécurisé de vos développeurs, qui peuvent être répétées en dehors du cycle de conformité, afin qu'ils puissent créer et publier des logiciels sécurisés tous les jours. La priorité n'est plus d'assurer la conformité, mais de permettre aux équipes de développement de coder en toute sécurité grâce à l'apprentissage continu. En investissant du temps et des ressources dans l'habilitation des développeurs, les exercices ou examens annuels de conformité deviendront un jeu d'enfant pour votre personnel, qui bénéficiera d'une productivité globale accrue.

Comment pouvez-vous passer à une sécurité axée sur les développeurs ?

Les développeurs ont massivement déclaré que la formation était utile, mais se sont opposés au type de formation qu'ils ont reçu en matière de codage sécurisé au fil des ans. Les développeurs ont déclaré qu'ils souhaitaient que l'on mette davantage l'accent sur une formation pratique utilisant des exemples du monde réel en rapport avec leur travail (30 %). Une plus grande interactivité a également été jugée essentielle par 26 % des personnes interrogées, en particulier si elles pouvaient s'entraîner à écrire du code sécurisé dans le cadre de ces exercices.

Pour 23 % des développeurs interrogés, il est important de recevoir une formation plus guidée, axée sur les vulnérabilités spécifiques qu'ils sont le plus susceptibles de rencontrer dans leur industrie ou leur secteur, tandis que 22 % d'entre eux souhaitent voir davantage d'exemples de vulnérabilités réelles dans leur formation ( courses).

Il est clair qu'une formation statique et non interactive (comme c'est généralement le cas pour la formation à la conformité) n'a que peu de valeur en termes de compétences reproductibles en matière de sécurité pour les développeurs. Les organisations devraient plutôt se concentrer sur des éléments tels que la formation juste à temps, où les développeurs sont formés à la sécurité au fur et à mesure qu'ils travaillent. Vous pouvez même envisager de mettre en œuvre un programme d'apprentissage à plusieurs niveaux.

Dans le cadre d'une approche par niveaux, les sujets plus vastes sont généralement décomposés en expériences ou concepts d'apprentissage distincts. Au fur et à mesure que les développeurs progressent, des concepts plus avancés sont superposés à ceux déjà maîtrisés, tout comme un échafaudage physique est construit au fur et à mesure qu'un bâtiment s'élève. Il s'agit d'une méthode éprouvée pour enseigner un sujet difficile et en constante évolution comme la cybersécurité, en le décomposant d'abord en morceaux plus petits et moins complexes, puis en construisant des éléments plus complexes sur cette base.

Quelle que soit la manière dont vous décidez d'aborder votre programme de compétences en matière de sécurité des développeurs, il est essentiel de le séparer des exercices de conformité. Les formations à la conformité et à la sécurité sont toutes deux importantes et nécessitent des approches différentes pour être couronnées de succès.

Pour en savoir plus

Livre blanc : Les défis (et les opportunités) pour améliorer la sécurité des logiciels.
Livre blanc : L'approche préventive de la sécurité des logiciels par les développeurs.
Rapport : L'état de la sécurité pilotée par les développeurs.
Voir la ressource
Voir la ressource

De nos jours, presque toutes les équipes de développeurs ont recours à une forme ou une autre de formation à la conformité, que ce soit dans le cadre d'un processus de certification initiale visant à garantir qu'une entreprise reste dans les limites des cadres sectoriels ou des réglementations gouvernementales, ou dans le cadre d'une exigence ou d'un examen annuel. Il s'agit d'une étape importante, car si une organisation n'est pas en mesure de respecter les exigences de base en matière de conformité, ses employés ne peuvent pas accomplir leurs tâches de manière réaliste.

Vous souhaitez en savoir plus ?

Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstration
Partager sur :
Auteur
Secure Code Warrior
Publié le 10 novembre 2022

Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.

Secure Code Warrior crée une culture de développeurs axés sur la sécurité en leur donnant les compétences nécessaires pour coder de manière sécurisée. Notre programme phare Agile Learning Platform propose des parcours pertinents basés sur les compétences, des exercices pratiques missions et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé.

Partager sur :

De nos jours, presque toutes les équipes de développeurs ont recours à une forme ou une autre de formation à la conformité, que ce soit dans le cadre d'un processus de certification initiale visant à garantir qu'une entreprise reste dans les limites des cadres sectoriels ou des réglementations gouvernementales, ou dans le cadre d'une exigence ou d'un examen annuel. Il s'agit d'une étape importante, car si une organisation n'est pas en mesure de respecter les exigences de base en matière de conformité, ses employés ne peuvent pas accomplir leurs tâches de manière réaliste.

Les règles de conformité existent pour une raison, car toute personne travaillant dans le domaine couvert par ces règles doit avoir au moins une compréhension fondamentale de tous les processus et procédures pertinents, ainsi que de toutes les lois applicables.

Bien que la formation à la conformité soit importante, le fait de remplir les exigences minimales prescrites ne garantit pas une véritable sécurité des applications. C'est particulièrement vrai pour les développeurs qui tentent d'intégrer des compétences de codage sécurisé dans leur flux de travail quotidien. Presque tous les développeurs suivent une formation à la conformité sous une forme ou une autre et pourtant, lorsqu'ils ont été interrogés, 67 % d'entre eux ont admis qu'ils laissaient souvent des vulnérabilités dans leur code.

Pourquoi ?

Pour la deuxième année, Secure Code Warrior a mené l'enquête "The state of developer-driven security survey, 2022" en partenariat avec Evans Data Corp en décembre 2021. Nous avons interrogé 1 200 développeurs dans le monde entier pour comprendre les compétences, les perceptions et les comportements en matière de pratiques de codage sécurisées, ainsi que leur impact et leur pertinence perçue dans le cycle de vie du développement logiciel (SDLC).

Quant à savoir pourquoi la formation à la conformité ne permet pas d'améliorer la sécurité des logiciels, c'est une question dont nous parlons depuis longtemps. L'enquête récente ne fait que mettre en lumière ce problème.

D'une part, on demande aux développeurs d'assumer de nouveaux rôles en intégrant la cybersécurité tout au long du processus de développement des logiciels, y compris lors de la rédaction initiale du code des applications et des programmes. Mais il n'est pas facile d'écrire un code sécurisé, ni même de s'informer sur les problèmes de cybersécurité et les vulnérabilités qui pourraient l'affecter. 63 % des développeurs interrogés dans le cadre de l'enquête ont déclaré que l'écriture d'un code sécurisé était une tâche difficile.

La difficulté d'écrire un code sécurisé n'est pas une surprise. Ce n'est pas pour rien que tant d'emplois bien rémunérés dans le domaine de la cybersécurité ne sont pas pourvus, avec plus de 3,5 millions de postes à pourvoir dans le monde au dernier recensement. Si le travail était facile, tout le monde se lancerait dans ce domaine. Il est difficile d'apprendre à combattre les menaces et à éliminer les vulnérabilités dans le code, et le paysage des menaces est en constante évolution. Les formations statiques sur la conformité ou les cours ponctuels ne peuvent pas suivre ou fournir le type d'éducation dont les développeurs ont besoin. Elles peuvent certes cocher une case en termes de conformité, mais ne peuvent pas fournir de véritables garanties de sécurité des applications pour votre organisation, ni permettre aux développeurs d'écrire un code sécurisé ou d'acquérir les compétences nécessaires pour trouver et corriger les vulnérabilités du code.

Les formations à la conformité et à la sécurité sont importantes, mais différentes

Les organisations doivent commencer à réaliser et à reconnaître ce que la formation en matière de conformité peut faire, et ce qu'elle ne peut pas faire. N'abandonnez pas la formation à la conformité, surtout si elle est imposée par la loi. Et surtout parce que (même avec les méthodes de formation actuelles) 92 % des personnes interrogées ont déclaré qu'elles avaient besoin d'au moins une formation sur les questions de conformité ou les cadres de sécurité, 50 % d'entre elles soulignant la nécessité d'une formation importante en matière de conformité.

Les cadres de conformité avec lesquels ils souhaitent le plus se former sont ceux qui sont spécifiques à divers secteurs, bien que plusieurs cadres généraux de cybersécurité figurent également sur la liste. Il s'agit notamment du cadre de sécurité CIS, de PCI DSS, du Top 10 de l'OWASP, de MISRA C, d'ISO/IEC, de la loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) et d'autres encore.

Alors oui, formez-vous à ces cadres, mais comprenez que le fait de cocher une case sur la formation à la conformité n'équivaut pas à fournir une base pour la création continue d'un code sécurisé.

Au lieu de cela, considérez la formation à la conformité comme une opportunité permanente de développer les compétences de codage sécurisé de vos développeurs, qui peuvent être répétées en dehors du cycle de conformité, afin qu'ils puissent créer et publier des logiciels sécurisés tous les jours. La priorité n'est plus d'assurer la conformité, mais de permettre aux équipes de développement de coder en toute sécurité grâce à l'apprentissage continu. En investissant du temps et des ressources dans l'habilitation des développeurs, les exercices ou examens annuels de conformité deviendront un jeu d'enfant pour votre personnel, qui bénéficiera d'une productivité globale accrue.

Comment pouvez-vous passer à une sécurité axée sur les développeurs ?

Les développeurs ont massivement déclaré que la formation était utile, mais se sont opposés au type de formation qu'ils ont reçu en matière de codage sécurisé au fil des ans. Les développeurs ont déclaré qu'ils souhaitaient que l'on mette davantage l'accent sur une formation pratique utilisant des exemples du monde réel en rapport avec leur travail (30 %). Une plus grande interactivité a également été jugée essentielle par 26 % des personnes interrogées, en particulier si elles pouvaient s'entraîner à écrire du code sécurisé dans le cadre de ces exercices.

Pour 23 % des développeurs interrogés, il est important de recevoir une formation plus guidée, axée sur les vulnérabilités spécifiques qu'ils sont le plus susceptibles de rencontrer dans leur industrie ou leur secteur, tandis que 22 % d'entre eux souhaitent voir davantage d'exemples de vulnérabilités réelles dans leur formation ( courses).

Il est clair qu'une formation statique et non interactive (comme c'est généralement le cas pour la formation à la conformité) n'a que peu de valeur en termes de compétences reproductibles en matière de sécurité pour les développeurs. Les organisations devraient plutôt se concentrer sur des éléments tels que la formation juste à temps, où les développeurs sont formés à la sécurité au fur et à mesure qu'ils travaillent. Vous pouvez même envisager de mettre en œuvre un programme d'apprentissage à plusieurs niveaux.

Dans le cadre d'une approche par niveaux, les sujets plus vastes sont généralement décomposés en expériences ou concepts d'apprentissage distincts. Au fur et à mesure que les développeurs progressent, des concepts plus avancés sont superposés à ceux déjà maîtrisés, tout comme un échafaudage physique est construit au fur et à mesure qu'un bâtiment s'élève. Il s'agit d'une méthode éprouvée pour enseigner un sujet difficile et en constante évolution comme la cybersécurité, en le décomposant d'abord en morceaux plus petits et moins complexes, puis en construisant des éléments plus complexes sur cette base.

Quelle que soit la manière dont vous décidez d'aborder votre programme de compétences en matière de sécurité des développeurs, il est essentiel de le séparer des exercices de conformité. Les formations à la conformité et à la sécurité sont toutes deux importantes et nécessitent des approches différentes pour être couronnées de succès.

Pour en savoir plus

Livre blanc : Les défis (et les opportunités) pour améliorer la sécurité des logiciels.
Livre blanc : L'approche préventive de la sécurité des logiciels par les développeurs.
Rapport : L'état de la sécurité pilotée par les développeurs.
Voir la ressource
Voir la ressource

Remplissez le formulaire ci-dessous pour télécharger le rapport

Nous aimerions que vous nous autorisiez à vous envoyer des informations sur nos produits et/ou sur des sujets liés au codage sécurisé. Nous traiterons toujours vos données personnelles avec le plus grand soin et ne les vendrons jamais à d'autres entreprises à des fins de marketing.

Soumettre
Pour soumettre le formulaire, veuillez activer les cookies "Analytics". N'hésitez pas à les désactiver à nouveau une fois que vous aurez terminé.

De nos jours, presque toutes les équipes de développeurs ont recours à une forme ou une autre de formation à la conformité, que ce soit dans le cadre d'un processus de certification initiale visant à garantir qu'une entreprise reste dans les limites des cadres sectoriels ou des réglementations gouvernementales, ou dans le cadre d'une exigence ou d'un examen annuel. Il s'agit d'une étape importante, car si une organisation n'est pas en mesure de respecter les exigences de base en matière de conformité, ses employés ne peuvent pas accomplir leurs tâches de manière réaliste.

Les règles de conformité existent pour une raison, car toute personne travaillant dans le domaine couvert par ces règles doit avoir au moins une compréhension fondamentale de tous les processus et procédures pertinents, ainsi que de toutes les lois applicables.

Bien que la formation à la conformité soit importante, le fait de remplir les exigences minimales prescrites ne garantit pas une véritable sécurité des applications. C'est particulièrement vrai pour les développeurs qui tentent d'intégrer des compétences de codage sécurisé dans leur flux de travail quotidien. Presque tous les développeurs suivent une formation à la conformité sous une forme ou une autre et pourtant, lorsqu'ils ont été interrogés, 67 % d'entre eux ont admis qu'ils laissaient souvent des vulnérabilités dans leur code.

Pourquoi ?

Pour la deuxième année, Secure Code Warrior a mené l'enquête "The state of developer-driven security survey, 2022" en partenariat avec Evans Data Corp en décembre 2021. Nous avons interrogé 1 200 développeurs dans le monde entier pour comprendre les compétences, les perceptions et les comportements en matière de pratiques de codage sécurisées, ainsi que leur impact et leur pertinence perçue dans le cycle de vie du développement logiciel (SDLC).

Quant à savoir pourquoi la formation à la conformité ne permet pas d'améliorer la sécurité des logiciels, c'est une question dont nous parlons depuis longtemps. L'enquête récente ne fait que mettre en lumière ce problème.

D'une part, on demande aux développeurs d'assumer de nouveaux rôles en intégrant la cybersécurité tout au long du processus de développement des logiciels, y compris lors de la rédaction initiale du code des applications et des programmes. Mais il n'est pas facile d'écrire un code sécurisé, ni même de s'informer sur les problèmes de cybersécurité et les vulnérabilités qui pourraient l'affecter. 63 % des développeurs interrogés dans le cadre de l'enquête ont déclaré que l'écriture d'un code sécurisé était une tâche difficile.

La difficulté d'écrire un code sécurisé n'est pas une surprise. Ce n'est pas pour rien que tant d'emplois bien rémunérés dans le domaine de la cybersécurité ne sont pas pourvus, avec plus de 3,5 millions de postes à pourvoir dans le monde au dernier recensement. Si le travail était facile, tout le monde se lancerait dans ce domaine. Il est difficile d'apprendre à combattre les menaces et à éliminer les vulnérabilités dans le code, et le paysage des menaces est en constante évolution. Les formations statiques sur la conformité ou les cours ponctuels ne peuvent pas suivre ou fournir le type d'éducation dont les développeurs ont besoin. Elles peuvent certes cocher une case en termes de conformité, mais ne peuvent pas fournir de véritables garanties de sécurité des applications pour votre organisation, ni permettre aux développeurs d'écrire un code sécurisé ou d'acquérir les compétences nécessaires pour trouver et corriger les vulnérabilités du code.

Les formations à la conformité et à la sécurité sont importantes, mais différentes

Les organisations doivent commencer à réaliser et à reconnaître ce que la formation en matière de conformité peut faire, et ce qu'elle ne peut pas faire. N'abandonnez pas la formation à la conformité, surtout si elle est imposée par la loi. Et surtout parce que (même avec les méthodes de formation actuelles) 92 % des personnes interrogées ont déclaré qu'elles avaient besoin d'au moins une formation sur les questions de conformité ou les cadres de sécurité, 50 % d'entre elles soulignant la nécessité d'une formation importante en matière de conformité.

Les cadres de conformité avec lesquels ils souhaitent le plus se former sont ceux qui sont spécifiques à divers secteurs, bien que plusieurs cadres généraux de cybersécurité figurent également sur la liste. Il s'agit notamment du cadre de sécurité CIS, de PCI DSS, du Top 10 de l'OWASP, de MISRA C, d'ISO/IEC, de la loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) et d'autres encore.

Alors oui, formez-vous à ces cadres, mais comprenez que le fait de cocher une case sur la formation à la conformité n'équivaut pas à fournir une base pour la création continue d'un code sécurisé.

Au lieu de cela, considérez la formation à la conformité comme une opportunité permanente de développer les compétences de codage sécurisé de vos développeurs, qui peuvent être répétées en dehors du cycle de conformité, afin qu'ils puissent créer et publier des logiciels sécurisés tous les jours. La priorité n'est plus d'assurer la conformité, mais de permettre aux équipes de développement de coder en toute sécurité grâce à l'apprentissage continu. En investissant du temps et des ressources dans l'habilitation des développeurs, les exercices ou examens annuels de conformité deviendront un jeu d'enfant pour votre personnel, qui bénéficiera d'une productivité globale accrue.

Comment pouvez-vous passer à une sécurité axée sur les développeurs ?

Les développeurs ont massivement déclaré que la formation était utile, mais se sont opposés au type de formation qu'ils ont reçu en matière de codage sécurisé au fil des ans. Les développeurs ont déclaré qu'ils souhaitaient que l'on mette davantage l'accent sur une formation pratique utilisant des exemples du monde réel en rapport avec leur travail (30 %). Une plus grande interactivité a également été jugée essentielle par 26 % des personnes interrogées, en particulier si elles pouvaient s'entraîner à écrire du code sécurisé dans le cadre de ces exercices.

Pour 23 % des développeurs interrogés, il est important de recevoir une formation plus guidée, axée sur les vulnérabilités spécifiques qu'ils sont le plus susceptibles de rencontrer dans leur industrie ou leur secteur, tandis que 22 % d'entre eux souhaitent voir davantage d'exemples de vulnérabilités réelles dans leur formation ( courses).

Il est clair qu'une formation statique et non interactive (comme c'est généralement le cas pour la formation à la conformité) n'a que peu de valeur en termes de compétences reproductibles en matière de sécurité pour les développeurs. Les organisations devraient plutôt se concentrer sur des éléments tels que la formation juste à temps, où les développeurs sont formés à la sécurité au fur et à mesure qu'ils travaillent. Vous pouvez même envisager de mettre en œuvre un programme d'apprentissage à plusieurs niveaux.

Dans le cadre d'une approche par niveaux, les sujets plus vastes sont généralement décomposés en expériences ou concepts d'apprentissage distincts. Au fur et à mesure que les développeurs progressent, des concepts plus avancés sont superposés à ceux déjà maîtrisés, tout comme un échafaudage physique est construit au fur et à mesure qu'un bâtiment s'élève. Il s'agit d'une méthode éprouvée pour enseigner un sujet difficile et en constante évolution comme la cybersécurité, en le décomposant d'abord en morceaux plus petits et moins complexes, puis en construisant des éléments plus complexes sur cette base.

Quelle que soit la manière dont vous décidez d'aborder votre programme de compétences en matière de sécurité des développeurs, il est essentiel de le séparer des exercices de conformité. Les formations à la conformité et à la sécurité sont toutes deux importantes et nécessitent des approches différentes pour être couronnées de succès.

Pour en savoir plus

Livre blanc : Les défis (et les opportunités) pour améliorer la sécurité des logiciels.
Livre blanc : L'approche préventive de la sécurité des logiciels par les développeurs.
Rapport : L'état de la sécurité pilotée par les développeurs.
Accès aux ressources

Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Voir le rapportRéservez une démonstration
Partager sur :
Vous souhaitez en savoir plus ?

Partager sur :
Auteur
Secure Code Warrior
Publié le 10 novembre 2022

Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.

Secure Code Warrior crée une culture de développeurs axés sur la sécurité en leur donnant les compétences nécessaires pour coder de manière sécurisée. Notre programme phare Agile Learning Platform propose des parcours pertinents basés sur les compétences, des exercices pratiques missions et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé.

Partager sur :

De nos jours, presque toutes les équipes de développeurs ont recours à une forme ou une autre de formation à la conformité, que ce soit dans le cadre d'un processus de certification initiale visant à garantir qu'une entreprise reste dans les limites des cadres sectoriels ou des réglementations gouvernementales, ou dans le cadre d'une exigence ou d'un examen annuel. Il s'agit d'une étape importante, car si une organisation n'est pas en mesure de respecter les exigences de base en matière de conformité, ses employés ne peuvent pas accomplir leurs tâches de manière réaliste.

Les règles de conformité existent pour une raison, car toute personne travaillant dans le domaine couvert par ces règles doit avoir au moins une compréhension fondamentale de tous les processus et procédures pertinents, ainsi que de toutes les lois applicables.

Bien que la formation à la conformité soit importante, le fait de remplir les exigences minimales prescrites ne garantit pas une véritable sécurité des applications. C'est particulièrement vrai pour les développeurs qui tentent d'intégrer des compétences de codage sécurisé dans leur flux de travail quotidien. Presque tous les développeurs suivent une formation à la conformité sous une forme ou une autre et pourtant, lorsqu'ils ont été interrogés, 67 % d'entre eux ont admis qu'ils laissaient souvent des vulnérabilités dans leur code.

Pourquoi ?

Pour la deuxième année, Secure Code Warrior a mené l'enquête "The state of developer-driven security survey, 2022" en partenariat avec Evans Data Corp en décembre 2021. Nous avons interrogé 1 200 développeurs dans le monde entier pour comprendre les compétences, les perceptions et les comportements en matière de pratiques de codage sécurisées, ainsi que leur impact et leur pertinence perçue dans le cycle de vie du développement logiciel (SDLC).

Quant à savoir pourquoi la formation à la conformité ne permet pas d'améliorer la sécurité des logiciels, c'est une question dont nous parlons depuis longtemps. L'enquête récente ne fait que mettre en lumière ce problème.

D'une part, on demande aux développeurs d'assumer de nouveaux rôles en intégrant la cybersécurité tout au long du processus de développement des logiciels, y compris lors de la rédaction initiale du code des applications et des programmes. Mais il n'est pas facile d'écrire un code sécurisé, ni même de s'informer sur les problèmes de cybersécurité et les vulnérabilités qui pourraient l'affecter. 63 % des développeurs interrogés dans le cadre de l'enquête ont déclaré que l'écriture d'un code sécurisé était une tâche difficile.

La difficulté d'écrire un code sécurisé n'est pas une surprise. Ce n'est pas pour rien que tant d'emplois bien rémunérés dans le domaine de la cybersécurité ne sont pas pourvus, avec plus de 3,5 millions de postes à pourvoir dans le monde au dernier recensement. Si le travail était facile, tout le monde se lancerait dans ce domaine. Il est difficile d'apprendre à combattre les menaces et à éliminer les vulnérabilités dans le code, et le paysage des menaces est en constante évolution. Les formations statiques sur la conformité ou les cours ponctuels ne peuvent pas suivre ou fournir le type d'éducation dont les développeurs ont besoin. Elles peuvent certes cocher une case en termes de conformité, mais ne peuvent pas fournir de véritables garanties de sécurité des applications pour votre organisation, ni permettre aux développeurs d'écrire un code sécurisé ou d'acquérir les compétences nécessaires pour trouver et corriger les vulnérabilités du code.

Les formations à la conformité et à la sécurité sont importantes, mais différentes

Les organisations doivent commencer à réaliser et à reconnaître ce que la formation en matière de conformité peut faire, et ce qu'elle ne peut pas faire. N'abandonnez pas la formation à la conformité, surtout si elle est imposée par la loi. Et surtout parce que (même avec les méthodes de formation actuelles) 92 % des personnes interrogées ont déclaré qu'elles avaient besoin d'au moins une formation sur les questions de conformité ou les cadres de sécurité, 50 % d'entre elles soulignant la nécessité d'une formation importante en matière de conformité.

Les cadres de conformité avec lesquels ils souhaitent le plus se former sont ceux qui sont spécifiques à divers secteurs, bien que plusieurs cadres généraux de cybersécurité figurent également sur la liste. Il s'agit notamment du cadre de sécurité CIS, de PCI DSS, du Top 10 de l'OWASP, de MISRA C, d'ISO/IEC, de la loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) et d'autres encore.

Alors oui, formez-vous à ces cadres, mais comprenez que le fait de cocher une case sur la formation à la conformité n'équivaut pas à fournir une base pour la création continue d'un code sécurisé.

Au lieu de cela, considérez la formation à la conformité comme une opportunité permanente de développer les compétences de codage sécurisé de vos développeurs, qui peuvent être répétées en dehors du cycle de conformité, afin qu'ils puissent créer et publier des logiciels sécurisés tous les jours. La priorité n'est plus d'assurer la conformité, mais de permettre aux équipes de développement de coder en toute sécurité grâce à l'apprentissage continu. En investissant du temps et des ressources dans l'habilitation des développeurs, les exercices ou examens annuels de conformité deviendront un jeu d'enfant pour votre personnel, qui bénéficiera d'une productivité globale accrue.

Comment pouvez-vous passer à une sécurité axée sur les développeurs ?

Les développeurs ont massivement déclaré que la formation était utile, mais se sont opposés au type de formation qu'ils ont reçu en matière de codage sécurisé au fil des ans. Les développeurs ont déclaré qu'ils souhaitaient que l'on mette davantage l'accent sur une formation pratique utilisant des exemples du monde réel en rapport avec leur travail (30 %). Une plus grande interactivité a également été jugée essentielle par 26 % des personnes interrogées, en particulier si elles pouvaient s'entraîner à écrire du code sécurisé dans le cadre de ces exercices.

Pour 23 % des développeurs interrogés, il est important de recevoir une formation plus guidée, axée sur les vulnérabilités spécifiques qu'ils sont le plus susceptibles de rencontrer dans leur industrie ou leur secteur, tandis que 22 % d'entre eux souhaitent voir davantage d'exemples de vulnérabilités réelles dans leur formation ( courses).

Il est clair qu'une formation statique et non interactive (comme c'est généralement le cas pour la formation à la conformité) n'a que peu de valeur en termes de compétences reproductibles en matière de sécurité pour les développeurs. Les organisations devraient plutôt se concentrer sur des éléments tels que la formation juste à temps, où les développeurs sont formés à la sécurité au fur et à mesure qu'ils travaillent. Vous pouvez même envisager de mettre en œuvre un programme d'apprentissage à plusieurs niveaux.

Dans le cadre d'une approche par niveaux, les sujets plus vastes sont généralement décomposés en expériences ou concepts d'apprentissage distincts. Au fur et à mesure que les développeurs progressent, des concepts plus avancés sont superposés à ceux déjà maîtrisés, tout comme un échafaudage physique est construit au fur et à mesure qu'un bâtiment s'élève. Il s'agit d'une méthode éprouvée pour enseigner un sujet difficile et en constante évolution comme la cybersécurité, en le décomposant d'abord en morceaux plus petits et moins complexes, puis en construisant des éléments plus complexes sur cette base.

Quelle que soit la manière dont vous décidez d'aborder votre programme de compétences en matière de sécurité des développeurs, il est essentiel de le séparer des exercices de conformité. Les formations à la conformité et à la sécurité sont toutes deux importantes et nécessitent des approches différentes pour être couronnées de succès.

Pour en savoir plus

Livre blanc : Les défis (et les opportunités) pour améliorer la sécurité des logiciels.
Livre blanc : L'approche préventive de la sécurité des logiciels par les développeurs.
Rapport : L'état de la sécurité pilotée par les développeurs.

Table des matières

Voir la ressource
Vous souhaitez en savoir plus ?

Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstrationTélécharger
Partager sur :
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles