Blog

Les avantages de l'évaluation des compétences des développeurs en matière de sécurité

Matias Madou, Ph.D.
Publié le 22 octobre 2024

Les cybermenaces étant de plus en plus répandues et de plus en plus sophistiquées, la cybersécurité se concentre sur l'importance d'un code sécurisé. La stratégie nationale de cybersécurité de la Maison Blanche et l'initiative Secure-by-Design de la Cybersecurity and Infrastructure Security Agency (CISA), ainsi que les initiatives et la législation dans d'autres pays, placent la responsabilité de la sécurité directement sur les épaules des producteurs de logiciels. Il est désormais essentiel pour les organisations de protéger leurs données et leurs systèmes et d'éviter les retombées réglementaires en cas de violation, alors que l'on considérait autrefois qu'il était agréable de le faire.

La clé pour garantir des pratiques de codage sécurisées réside dans la formation des développeurs. Les ingénieurs logiciels reçoivent généralement peu ou pas de formation à la cybersécurité. Leur travail, en particulier dans l'environnement DevOps accéléré d'aujourd'hui, consiste à créer de nouvelles applications, des mises à jour et des services aussi rapidement que possible - de plus en plus avec l'aide de modèles d'IA génératifs rapides - et à laisser les équipes de sécurité s'occuper des problèmes de cybersécurité à un moment ultérieur du cycle de développement logiciel (SDLC). C'est une façon inefficace de traiter la pléthore de failles qui apparaissent avec la création d'une telle quantité de code, ce qui entraîne souvent la diffusion de vulnérabilités logicielles dans l'écosystème.

Les développeurs doivent être formés à l'écriture de codes sécurisés dès le départ et être en mesure de détecter les codes non sécurisés générés par l'IA ou présents dans les logiciels libres et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes de développement et organisations, il s'agit d'un terrain inconnu. Comment savoir si les développeurs reçoivent la formation dont ils ont besoin ? Et cette formation est-elle appliquée régulièrement ?

Certaines entreprises qui poursuivent la formation des développeurs ont jugé utile d'établir un ensemble de compétences de base que les développeurs doivent acquérir et de mesurer leurs progrès par rapport à des points de référence clairement définis. Pour contribuer à cet effort, Secure Code Warrior a lancé un point de référence conçu pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le score de confiance SCW permet aux organisations de mesurer l'efficacité de la formation sur le terrain et de permettre aux équipes de sécurité, de développement et d'ingénierie de collaborer.

Il s'agit d'un moyen de prouver que la formation au code sécurisé est en train de s'implanter tout en identifiant les domaines à améliorer.

Arguments en faveur d'une conception sécurisée

Les fabricants de logiciels ont toutes les raisons d'intégrer la sécurité dans le cycle de développement logiciel dès le début du processus. La demande croissante d'applications et de services et la vitesse que l'IA apporte au processus de développement se sont avérées utiles aux développeurs, qui ont rapidement adopté l'IA générative, mais elles entraînent aussi inévitablement la diffusion de logiciels bogués dans le pipeline. Plus il y a de code généré, plus il y a de failles - et des recherches récentes ont révélé que près des trois quarts des applications (indépendamment de la manière dont elles ont été créées) contiennent au moins une faille de sécurité, près de 20 % d'entre elles étant considérées comme critiques. 

Rattraper les vulnérabilités plus tard dans le cycle de vie du logiciel devient prohibitif en termes de temps et de coût. Le National Institute of Standards and Technology (NIST) a constaté que la correction des défauts pendant les tests prend 15 fois plus de temps que la sécurisation des logiciels au début du cycle de développement durable, et que la correction des défauts pendant la phase de déploiement/maintenance peut prendre de 30 à 100 fois plus de temps. 

Tout cela souligne l'importance d'appliquer la sécurité dès le début du cycle de développement, ce qui s'est avéré être non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs - qui travaillent avec les équipes de sécurité plutôt que de les voir fonctionner comme des entités distinctes - sont les mieux placés pour intégrer la sécurité au début du cycle de développement durable. Et les développeurs formés aux meilleures pratiques de sécurité ont réussi à réduire les vulnérabilités. Le problème est que très peu d'entre eux ont été formés.

La beauté des repères 

Pour les entreprises, il s'agit d'établir une base de compétences en matière de sécurité, de dispenser une formation et de vérifier, tant pour les organisations que pour les autorités de réglementation, que les développeurs ont acquis les compétences nécessaires. Cela s'est avéré difficile pour de nombreuses organisations dans tous les secteurs économiques, mais ce n'est pas une fatalité.

L'un des défis identifiés par les responsables de la sécurité est la difficulté d'étendre un programme de formation à l'ensemble de l'entreprise. Mais les recherches de SCW montrent que les organisations, en particulier celles qui disposent d'un grand nombre de développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des organisations plus petites tendent à montrer une grande variabilité dans la manière dont elles appliquent les principes de la conception sécurisée. Néanmoins, elles peuvent elles aussi bénéficier d'une approche qui inclut des scores de confiance, et elles montreront probablement des améliorations plus rapidement.

Trust Score utilise des mesures d'étalonnage pour mesurer les progrès des apprenants individuels, regroupe leurs scores pour évaluer les performances de l'ensemble de l'équipe et compare les progrès de l'organisation avec les références et les meilleures pratiques de l'industrie. Il ne s'agit pas seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent leurs nouvelles compétences au quotidien. Il met également en évidence les domaines qui doivent être améliorés, ce qui permet à l'organisation d'optimiser ses programmes de formation et de perfectionnement. 

Dans les secteurs d'infrastructures critiques de la CISA pour lesquels des données étaient disponibles, la plupart des organisations se situent à peu près au même niveau en ce qui concerne la mise en œuvre des principes de conception sécurisée. Les scores de confiance des secteurs allant des services financiers et de la base industrielle de défense aux soins de santé, à l'informatique et à l'industrie critique se situent dans la même fourchette - un peu plus de 300 sur une échelle de 1 000 points. Aucun secteur ne surpasse les autres, malgré l'idée reçue selon laquelle les services financiers, en tant que secteur le plus réglementé, seraient loin devant.

Les secteurs d'infrastructures critiques qui ne sont pas inclus dans le classement du Trust Score - tels que les opérations chimiques, énergétiques et nucléaires - ne créent généralement pas leurs propres logiciels, mais s'appuient sur d'autres secteurs, en particulier les technologies de l'information. Cependant, l'importance de maintenir des systèmes sécurisés dans ces secteurs (personne ne souhaite voir une centrale nucléaire compromise) montre à quel point il est essentiel de sécuriser les logiciels qu'ils utilisent en premier lieu.

Conclusion

La pression réglementaire accrue et les réalités du paysage des cybermenaces ont rendu l'approche "Secure-by-Design" impérative pour les organisations qui veulent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels sécurisés est en grande partie entre les mains des développeurs, mais ils ont besoin d'aide sous la forme d'un programme complet de perfectionnement et de formation qui leur apporte l'éducation dont ils ont besoin et leur montre comment elle est appliquée. 

Un programme comprenant des points de référence, soutenu par un outil tel que Trust Score, peut fournir une vision claire des progrès critiques d'une équipe de développement. Il s'agit d'une nouvelle approche vitale dont les développeurs et les entreprises pour lesquelles ils travaillent ont besoin pour s'assurer qu'ils améliorent constamment leurs compétences en matière de développement de logiciels sécurisés, tout en répondant aux nouvelles exigences de la conception sécurisée.

Voir la ressource
Voir la ressource

L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.

Vous souhaitez en savoir plus ?

Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstration
Partager sur :
Auteur
Matias Madou, Ph.D.
Publié le 22 octobre 2024

Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.

Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.

Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.

Partager sur :

Les cybermenaces étant de plus en plus répandues et de plus en plus sophistiquées, la cybersécurité se concentre sur l'importance d'un code sécurisé. La stratégie nationale de cybersécurité de la Maison Blanche et l'initiative Secure-by-Design de la Cybersecurity and Infrastructure Security Agency (CISA), ainsi que les initiatives et la législation dans d'autres pays, placent la responsabilité de la sécurité directement sur les épaules des producteurs de logiciels. Il est désormais essentiel pour les organisations de protéger leurs données et leurs systèmes et d'éviter les retombées réglementaires en cas de violation, alors que l'on considérait autrefois qu'il était agréable de le faire.

La clé pour garantir des pratiques de codage sécurisées réside dans la formation des développeurs. Les ingénieurs logiciels reçoivent généralement peu ou pas de formation à la cybersécurité. Leur travail, en particulier dans l'environnement DevOps accéléré d'aujourd'hui, consiste à créer de nouvelles applications, des mises à jour et des services aussi rapidement que possible - de plus en plus avec l'aide de modèles d'IA génératifs rapides - et à laisser les équipes de sécurité s'occuper des problèmes de cybersécurité à un moment ultérieur du cycle de développement logiciel (SDLC). C'est une façon inefficace de traiter la pléthore de failles qui apparaissent avec la création d'une telle quantité de code, ce qui entraîne souvent la diffusion de vulnérabilités logicielles dans l'écosystème.

Les développeurs doivent être formés à l'écriture de codes sécurisés dès le départ et être en mesure de détecter les codes non sécurisés générés par l'IA ou présents dans les logiciels libres et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes de développement et organisations, il s'agit d'un terrain inconnu. Comment savoir si les développeurs reçoivent la formation dont ils ont besoin ? Et cette formation est-elle appliquée régulièrement ?

Certaines entreprises qui poursuivent la formation des développeurs ont jugé utile d'établir un ensemble de compétences de base que les développeurs doivent acquérir et de mesurer leurs progrès par rapport à des points de référence clairement définis. Pour contribuer à cet effort, Secure Code Warrior a lancé un point de référence conçu pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le score de confiance SCW permet aux organisations de mesurer l'efficacité de la formation sur le terrain et de permettre aux équipes de sécurité, de développement et d'ingénierie de collaborer.

Il s'agit d'un moyen de prouver que la formation au code sécurisé est en train de s'implanter tout en identifiant les domaines à améliorer.

Arguments en faveur d'une conception sécurisée

Les fabricants de logiciels ont toutes les raisons d'intégrer la sécurité dans le cycle de développement logiciel dès le début du processus. La demande croissante d'applications et de services et la vitesse que l'IA apporte au processus de développement se sont avérées utiles aux développeurs, qui ont rapidement adopté l'IA générative, mais elles entraînent aussi inévitablement la diffusion de logiciels bogués dans le pipeline. Plus il y a de code généré, plus il y a de failles - et des recherches récentes ont révélé que près des trois quarts des applications (indépendamment de la manière dont elles ont été créées) contiennent au moins une faille de sécurité, près de 20 % d'entre elles étant considérées comme critiques. 

Rattraper les vulnérabilités plus tard dans le cycle de vie du logiciel devient prohibitif en termes de temps et de coût. Le National Institute of Standards and Technology (NIST) a constaté que la correction des défauts pendant les tests prend 15 fois plus de temps que la sécurisation des logiciels au début du cycle de développement durable, et que la correction des défauts pendant la phase de déploiement/maintenance peut prendre de 30 à 100 fois plus de temps. 

Tout cela souligne l'importance d'appliquer la sécurité dès le début du cycle de développement, ce qui s'est avéré être non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs - qui travaillent avec les équipes de sécurité plutôt que de les voir fonctionner comme des entités distinctes - sont les mieux placés pour intégrer la sécurité au début du cycle de développement durable. Et les développeurs formés aux meilleures pratiques de sécurité ont réussi à réduire les vulnérabilités. Le problème est que très peu d'entre eux ont été formés.

La beauté des repères 

Pour les entreprises, il s'agit d'établir une base de compétences en matière de sécurité, de dispenser une formation et de vérifier, tant pour les organisations que pour les autorités de réglementation, que les développeurs ont acquis les compétences nécessaires. Cela s'est avéré difficile pour de nombreuses organisations dans tous les secteurs économiques, mais ce n'est pas une fatalité.

L'un des défis identifiés par les responsables de la sécurité est la difficulté d'étendre un programme de formation à l'ensemble de l'entreprise. Mais les recherches de SCW montrent que les organisations, en particulier celles qui disposent d'un grand nombre de développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des organisations plus petites tendent à montrer une grande variabilité dans la manière dont elles appliquent les principes de la conception sécurisée. Néanmoins, elles peuvent elles aussi bénéficier d'une approche qui inclut des scores de confiance, et elles montreront probablement des améliorations plus rapidement.

Trust Score utilise des mesures d'étalonnage pour mesurer les progrès des apprenants individuels, regroupe leurs scores pour évaluer les performances de l'ensemble de l'équipe et compare les progrès de l'organisation avec les références et les meilleures pratiques de l'industrie. Il ne s'agit pas seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent leurs nouvelles compétences au quotidien. Il met également en évidence les domaines qui doivent être améliorés, ce qui permet à l'organisation d'optimiser ses programmes de formation et de perfectionnement. 

Dans les secteurs d'infrastructures critiques de la CISA pour lesquels des données étaient disponibles, la plupart des organisations se situent à peu près au même niveau en ce qui concerne la mise en œuvre des principes de conception sécurisée. Les scores de confiance des secteurs allant des services financiers et de la base industrielle de défense aux soins de santé, à l'informatique et à l'industrie critique se situent dans la même fourchette - un peu plus de 300 sur une échelle de 1 000 points. Aucun secteur ne surpasse les autres, malgré l'idée reçue selon laquelle les services financiers, en tant que secteur le plus réglementé, seraient loin devant.

Les secteurs d'infrastructures critiques qui ne sont pas inclus dans le classement du Trust Score - tels que les opérations chimiques, énergétiques et nucléaires - ne créent généralement pas leurs propres logiciels, mais s'appuient sur d'autres secteurs, en particulier les technologies de l'information. Cependant, l'importance de maintenir des systèmes sécurisés dans ces secteurs (personne ne souhaite voir une centrale nucléaire compromise) montre à quel point il est essentiel de sécuriser les logiciels qu'ils utilisent en premier lieu.

Conclusion

La pression réglementaire accrue et les réalités du paysage des cybermenaces ont rendu l'approche "Secure-by-Design" impérative pour les organisations qui veulent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels sécurisés est en grande partie entre les mains des développeurs, mais ils ont besoin d'aide sous la forme d'un programme complet de perfectionnement et de formation qui leur apporte l'éducation dont ils ont besoin et leur montre comment elle est appliquée. 

Un programme comprenant des points de référence, soutenu par un outil tel que Trust Score, peut fournir une vision claire des progrès critiques d'une équipe de développement. Il s'agit d'une nouvelle approche vitale dont les développeurs et les entreprises pour lesquelles ils travaillent ont besoin pour s'assurer qu'ils améliorent constamment leurs compétences en matière de développement de logiciels sécurisés, tout en répondant aux nouvelles exigences de la conception sécurisée.

Voir la ressource
Voir la ressource

Remplissez le formulaire ci-dessous pour télécharger le rapport

Nous aimerions que vous nous autorisiez à vous envoyer des informations sur nos produits et/ou sur des sujets liés au codage sécurisé. Nous traiterons toujours vos données personnelles avec le plus grand soin et ne les vendrons jamais à d'autres entreprises à des fins de marketing.

Soumettre
Pour soumettre le formulaire, veuillez activer les cookies "Analytics". N'hésitez pas à les désactiver à nouveau une fois que vous aurez terminé.

Les cybermenaces étant de plus en plus répandues et de plus en plus sophistiquées, la cybersécurité se concentre sur l'importance d'un code sécurisé. La stratégie nationale de cybersécurité de la Maison Blanche et l'initiative Secure-by-Design de la Cybersecurity and Infrastructure Security Agency (CISA), ainsi que les initiatives et la législation dans d'autres pays, placent la responsabilité de la sécurité directement sur les épaules des producteurs de logiciels. Il est désormais essentiel pour les organisations de protéger leurs données et leurs systèmes et d'éviter les retombées réglementaires en cas de violation, alors que l'on considérait autrefois qu'il était agréable de le faire.

La clé pour garantir des pratiques de codage sécurisées réside dans la formation des développeurs. Les ingénieurs logiciels reçoivent généralement peu ou pas de formation à la cybersécurité. Leur travail, en particulier dans l'environnement DevOps accéléré d'aujourd'hui, consiste à créer de nouvelles applications, des mises à jour et des services aussi rapidement que possible - de plus en plus avec l'aide de modèles d'IA génératifs rapides - et à laisser les équipes de sécurité s'occuper des problèmes de cybersécurité à un moment ultérieur du cycle de développement logiciel (SDLC). C'est une façon inefficace de traiter la pléthore de failles qui apparaissent avec la création d'une telle quantité de code, ce qui entraîne souvent la diffusion de vulnérabilités logicielles dans l'écosystème.

Les développeurs doivent être formés à l'écriture de codes sécurisés dès le départ et être en mesure de détecter les codes non sécurisés générés par l'IA ou présents dans les logiciels libres et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes de développement et organisations, il s'agit d'un terrain inconnu. Comment savoir si les développeurs reçoivent la formation dont ils ont besoin ? Et cette formation est-elle appliquée régulièrement ?

Certaines entreprises qui poursuivent la formation des développeurs ont jugé utile d'établir un ensemble de compétences de base que les développeurs doivent acquérir et de mesurer leurs progrès par rapport à des points de référence clairement définis. Pour contribuer à cet effort, Secure Code Warrior a lancé un point de référence conçu pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le score de confiance SCW permet aux organisations de mesurer l'efficacité de la formation sur le terrain et de permettre aux équipes de sécurité, de développement et d'ingénierie de collaborer.

Il s'agit d'un moyen de prouver que la formation au code sécurisé est en train de s'implanter tout en identifiant les domaines à améliorer.

Arguments en faveur d'une conception sécurisée

Les fabricants de logiciels ont toutes les raisons d'intégrer la sécurité dans le cycle de développement logiciel dès le début du processus. La demande croissante d'applications et de services et la vitesse que l'IA apporte au processus de développement se sont avérées utiles aux développeurs, qui ont rapidement adopté l'IA générative, mais elles entraînent aussi inévitablement la diffusion de logiciels bogués dans le pipeline. Plus il y a de code généré, plus il y a de failles - et des recherches récentes ont révélé que près des trois quarts des applications (indépendamment de la manière dont elles ont été créées) contiennent au moins une faille de sécurité, près de 20 % d'entre elles étant considérées comme critiques. 

Rattraper les vulnérabilités plus tard dans le cycle de vie du logiciel devient prohibitif en termes de temps et de coût. Le National Institute of Standards and Technology (NIST) a constaté que la correction des défauts pendant les tests prend 15 fois plus de temps que la sécurisation des logiciels au début du cycle de développement durable, et que la correction des défauts pendant la phase de déploiement/maintenance peut prendre de 30 à 100 fois plus de temps. 

Tout cela souligne l'importance d'appliquer la sécurité dès le début du cycle de développement, ce qui s'est avéré être non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs - qui travaillent avec les équipes de sécurité plutôt que de les voir fonctionner comme des entités distinctes - sont les mieux placés pour intégrer la sécurité au début du cycle de développement durable. Et les développeurs formés aux meilleures pratiques de sécurité ont réussi à réduire les vulnérabilités. Le problème est que très peu d'entre eux ont été formés.

La beauté des repères 

Pour les entreprises, il s'agit d'établir une base de compétences en matière de sécurité, de dispenser une formation et de vérifier, tant pour les organisations que pour les autorités de réglementation, que les développeurs ont acquis les compétences nécessaires. Cela s'est avéré difficile pour de nombreuses organisations dans tous les secteurs économiques, mais ce n'est pas une fatalité.

L'un des défis identifiés par les responsables de la sécurité est la difficulté d'étendre un programme de formation à l'ensemble de l'entreprise. Mais les recherches de SCW montrent que les organisations, en particulier celles qui disposent d'un grand nombre de développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des organisations plus petites tendent à montrer une grande variabilité dans la manière dont elles appliquent les principes de la conception sécurisée. Néanmoins, elles peuvent elles aussi bénéficier d'une approche qui inclut des scores de confiance, et elles montreront probablement des améliorations plus rapidement.

Trust Score utilise des mesures d'étalonnage pour mesurer les progrès des apprenants individuels, regroupe leurs scores pour évaluer les performances de l'ensemble de l'équipe et compare les progrès de l'organisation avec les références et les meilleures pratiques de l'industrie. Il ne s'agit pas seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent leurs nouvelles compétences au quotidien. Il met également en évidence les domaines qui doivent être améliorés, ce qui permet à l'organisation d'optimiser ses programmes de formation et de perfectionnement. 

Dans les secteurs d'infrastructures critiques de la CISA pour lesquels des données étaient disponibles, la plupart des organisations se situent à peu près au même niveau en ce qui concerne la mise en œuvre des principes de conception sécurisée. Les scores de confiance des secteurs allant des services financiers et de la base industrielle de défense aux soins de santé, à l'informatique et à l'industrie critique se situent dans la même fourchette - un peu plus de 300 sur une échelle de 1 000 points. Aucun secteur ne surpasse les autres, malgré l'idée reçue selon laquelle les services financiers, en tant que secteur le plus réglementé, seraient loin devant.

Les secteurs d'infrastructures critiques qui ne sont pas inclus dans le classement du Trust Score - tels que les opérations chimiques, énergétiques et nucléaires - ne créent généralement pas leurs propres logiciels, mais s'appuient sur d'autres secteurs, en particulier les technologies de l'information. Cependant, l'importance de maintenir des systèmes sécurisés dans ces secteurs (personne ne souhaite voir une centrale nucléaire compromise) montre à quel point il est essentiel de sécuriser les logiciels qu'ils utilisent en premier lieu.

Conclusion

La pression réglementaire accrue et les réalités du paysage des cybermenaces ont rendu l'approche "Secure-by-Design" impérative pour les organisations qui veulent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels sécurisés est en grande partie entre les mains des développeurs, mais ils ont besoin d'aide sous la forme d'un programme complet de perfectionnement et de formation qui leur apporte l'éducation dont ils ont besoin et leur montre comment elle est appliquée. 

Un programme comprenant des points de référence, soutenu par un outil tel que Trust Score, peut fournir une vision claire des progrès critiques d'une équipe de développement. Il s'agit d'une nouvelle approche vitale dont les développeurs et les entreprises pour lesquelles ils travaillent ont besoin pour s'assurer qu'ils améliorent constamment leurs compétences en matière de développement de logiciels sécurisés, tout en répondant aux nouvelles exigences de la conception sécurisée.

Accès aux ressources

Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Voir le rapportRéservez une démonstration
Partager sur :
Vous souhaitez en savoir plus ?

Partager sur :
Auteur
Matias Madou, Ph.D.
Publié le 22 octobre 2024

Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.

Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.

Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.

Partager sur :

Les cybermenaces étant de plus en plus répandues et de plus en plus sophistiquées, la cybersécurité se concentre sur l'importance d'un code sécurisé. La stratégie nationale de cybersécurité de la Maison Blanche et l'initiative Secure-by-Design de la Cybersecurity and Infrastructure Security Agency (CISA), ainsi que les initiatives et la législation dans d'autres pays, placent la responsabilité de la sécurité directement sur les épaules des producteurs de logiciels. Il est désormais essentiel pour les organisations de protéger leurs données et leurs systèmes et d'éviter les retombées réglementaires en cas de violation, alors que l'on considérait autrefois qu'il était agréable de le faire.

La clé pour garantir des pratiques de codage sécurisées réside dans la formation des développeurs. Les ingénieurs logiciels reçoivent généralement peu ou pas de formation à la cybersécurité. Leur travail, en particulier dans l'environnement DevOps accéléré d'aujourd'hui, consiste à créer de nouvelles applications, des mises à jour et des services aussi rapidement que possible - de plus en plus avec l'aide de modèles d'IA génératifs rapides - et à laisser les équipes de sécurité s'occuper des problèmes de cybersécurité à un moment ultérieur du cycle de développement logiciel (SDLC). C'est une façon inefficace de traiter la pléthore de failles qui apparaissent avec la création d'une telle quantité de code, ce qui entraîne souvent la diffusion de vulnérabilités logicielles dans l'écosystème.

Les développeurs doivent être formés à l'écriture de codes sécurisés dès le départ et être en mesure de détecter les codes non sécurisés générés par l'IA ou présents dans les logiciels libres et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes de développement et organisations, il s'agit d'un terrain inconnu. Comment savoir si les développeurs reçoivent la formation dont ils ont besoin ? Et cette formation est-elle appliquée régulièrement ?

Certaines entreprises qui poursuivent la formation des développeurs ont jugé utile d'établir un ensemble de compétences de base que les développeurs doivent acquérir et de mesurer leurs progrès par rapport à des points de référence clairement définis. Pour contribuer à cet effort, Secure Code Warrior a lancé un point de référence conçu pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le score de confiance SCW permet aux organisations de mesurer l'efficacité de la formation sur le terrain et de permettre aux équipes de sécurité, de développement et d'ingénierie de collaborer.

Il s'agit d'un moyen de prouver que la formation au code sécurisé est en train de s'implanter tout en identifiant les domaines à améliorer.

Arguments en faveur d'une conception sécurisée

Les fabricants de logiciels ont toutes les raisons d'intégrer la sécurité dans le cycle de développement logiciel dès le début du processus. La demande croissante d'applications et de services et la vitesse que l'IA apporte au processus de développement se sont avérées utiles aux développeurs, qui ont rapidement adopté l'IA générative, mais elles entraînent aussi inévitablement la diffusion de logiciels bogués dans le pipeline. Plus il y a de code généré, plus il y a de failles - et des recherches récentes ont révélé que près des trois quarts des applications (indépendamment de la manière dont elles ont été créées) contiennent au moins une faille de sécurité, près de 20 % d'entre elles étant considérées comme critiques. 

Rattraper les vulnérabilités plus tard dans le cycle de vie du logiciel devient prohibitif en termes de temps et de coût. Le National Institute of Standards and Technology (NIST) a constaté que la correction des défauts pendant les tests prend 15 fois plus de temps que la sécurisation des logiciels au début du cycle de développement durable, et que la correction des défauts pendant la phase de déploiement/maintenance peut prendre de 30 à 100 fois plus de temps. 

Tout cela souligne l'importance d'appliquer la sécurité dès le début du cycle de développement, ce qui s'est avéré être non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs - qui travaillent avec les équipes de sécurité plutôt que de les voir fonctionner comme des entités distinctes - sont les mieux placés pour intégrer la sécurité au début du cycle de développement durable. Et les développeurs formés aux meilleures pratiques de sécurité ont réussi à réduire les vulnérabilités. Le problème est que très peu d'entre eux ont été formés.

La beauté des repères 

Pour les entreprises, il s'agit d'établir une base de compétences en matière de sécurité, de dispenser une formation et de vérifier, tant pour les organisations que pour les autorités de réglementation, que les développeurs ont acquis les compétences nécessaires. Cela s'est avéré difficile pour de nombreuses organisations dans tous les secteurs économiques, mais ce n'est pas une fatalité.

L'un des défis identifiés par les responsables de la sécurité est la difficulté d'étendre un programme de formation à l'ensemble de l'entreprise. Mais les recherches de SCW montrent que les organisations, en particulier celles qui disposent d'un grand nombre de développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des organisations plus petites tendent à montrer une grande variabilité dans la manière dont elles appliquent les principes de la conception sécurisée. Néanmoins, elles peuvent elles aussi bénéficier d'une approche qui inclut des scores de confiance, et elles montreront probablement des améliorations plus rapidement.

Trust Score utilise des mesures d'étalonnage pour mesurer les progrès des apprenants individuels, regroupe leurs scores pour évaluer les performances de l'ensemble de l'équipe et compare les progrès de l'organisation avec les références et les meilleures pratiques de l'industrie. Il ne s'agit pas seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent leurs nouvelles compétences au quotidien. Il met également en évidence les domaines qui doivent être améliorés, ce qui permet à l'organisation d'optimiser ses programmes de formation et de perfectionnement. 

Dans les secteurs d'infrastructures critiques de la CISA pour lesquels des données étaient disponibles, la plupart des organisations se situent à peu près au même niveau en ce qui concerne la mise en œuvre des principes de conception sécurisée. Les scores de confiance des secteurs allant des services financiers et de la base industrielle de défense aux soins de santé, à l'informatique et à l'industrie critique se situent dans la même fourchette - un peu plus de 300 sur une échelle de 1 000 points. Aucun secteur ne surpasse les autres, malgré l'idée reçue selon laquelle les services financiers, en tant que secteur le plus réglementé, seraient loin devant.

Les secteurs d'infrastructures critiques qui ne sont pas inclus dans le classement du Trust Score - tels que les opérations chimiques, énergétiques et nucléaires - ne créent généralement pas leurs propres logiciels, mais s'appuient sur d'autres secteurs, en particulier les technologies de l'information. Cependant, l'importance de maintenir des systèmes sécurisés dans ces secteurs (personne ne souhaite voir une centrale nucléaire compromise) montre à quel point il est essentiel de sécuriser les logiciels qu'ils utilisent en premier lieu.

Conclusion

La pression réglementaire accrue et les réalités du paysage des cybermenaces ont rendu l'approche "Secure-by-Design" impérative pour les organisations qui veulent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels sécurisés est en grande partie entre les mains des développeurs, mais ils ont besoin d'aide sous la forme d'un programme complet de perfectionnement et de formation qui leur apporte l'éducation dont ils ont besoin et leur montre comment elle est appliquée. 

Un programme comprenant des points de référence, soutenu par un outil tel que Trust Score, peut fournir une vision claire des progrès critiques d'une équipe de développement. Il s'agit d'une nouvelle approche vitale dont les développeurs et les entreprises pour lesquelles ils travaillent ont besoin pour s'assurer qu'ils améliorent constamment leurs compétences en matière de développement de logiciels sécurisés, tout en répondant aux nouvelles exigences de la conception sécurisée.

Table des matières

Voir la ressource
Vous souhaitez en savoir plus ?

Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstrationTélécharger
Partager sur :
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles