Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
Les cybermenaces étant de plus en plus répandues et de plus en plus sophistiquées, la cybersécurité se concentre sur l'importance d'un code sécurisé. La stratégie nationale de cybersécurité de la Maison Blanche et l'initiative Secure-by-Design de la Cybersecurity and Infrastructure Security Agency (CISA), ainsi que les initiatives et la législation dans d'autres pays, placent la responsabilité de la sécurité directement sur les épaules des producteurs de logiciels. Il est désormais essentiel pour les organisations de protéger leurs données et leurs systèmes et d'éviter les retombées réglementaires en cas de violation, alors que l'on considérait autrefois qu'il était agréable de le faire.
La clé pour garantir des pratiques de codage sécurisées réside dans la formation des développeurs. Les ingénieurs logiciels reçoivent généralement peu ou pas de formation à la cybersécurité. Leur travail, en particulier dans l'environnement DevOps accéléré d'aujourd'hui, consiste à créer de nouvelles applications, des mises à jour et des services aussi rapidement que possible - de plus en plus avec l'aide de modèles d'IA génératifs rapides - et à laisser les équipes de sécurité s'occuper des problèmes de cybersécurité à un moment ultérieur du cycle de développement logiciel (SDLC). C'est une façon inefficace de traiter la pléthore de failles qui apparaissent avec la création d'une telle quantité de code, ce qui entraîne souvent la diffusion de vulnérabilités logicielles dans l'écosystème.
Les développeurs doivent être formés à l'écriture de codes sécurisés dès le départ et être en mesure de détecter les codes non sécurisés générés par l'IA ou présents dans les logiciels libres et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes de développement et organisations, il s'agit d'un terrain inconnu. Comment savoir si les développeurs reçoivent la formation dont ils ont besoin ? Et cette formation est-elle appliquée régulièrement ?
Certaines entreprises qui poursuivent la formation des développeurs ont jugé utile d'établir un ensemble de compétences de base que les développeurs doivent acquérir et de mesurer leurs progrès par rapport à des points de référence clairement définis. Pour contribuer à cet effort, Secure Code Warrior a lancé un point de référence conçu pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le score de confiance SCW permet aux organisations de mesurer l'efficacité de la formation sur le terrain et de permettre aux équipes de sécurité, de développement et d'ingénierie de collaborer.
Il s'agit d'un moyen de prouver que la formation au code sécurisé est en train de s'implanter tout en identifiant les domaines à améliorer.
Arguments en faveur d'une conception sécurisée
Les fabricants de logiciels ont toutes les raisons d'intégrer la sécurité dans le cycle de développement logiciel dès le début du processus. La demande croissante d'applications et de services et la vitesse que l'IA apporte au processus de développement se sont avérées utiles aux développeurs, qui ont rapidement adopté l'IA générative, mais elles entraînent aussi inévitablement la diffusion de logiciels bogués dans le pipeline. Plus il y a de code généré, plus il y a de failles - et des recherches récentes ont révélé que près des trois quarts des applications (indépendamment de la manière dont elles ont été créées) contiennent au moins une faille de sécurité, près de 20 % d'entre elles étant considérées comme critiques.
Rattraper les vulnérabilités plus tard dans le cycle de vie du logiciel devient prohibitif en termes de temps et de coût. Le National Institute of Standards and Technology (NIST) a constaté que la correction des défauts pendant les tests prend 15 fois plus de temps que la sécurisation des logiciels au début du cycle de développement durable, et que la correction des défauts pendant la phase de déploiement/maintenance peut prendre de 30 à 100 fois plus de temps.
Tout cela souligne l'importance d'appliquer la sécurité dès le début du cycle de développement, ce qui s'est avéré être non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs - qui travaillent avec les équipes de sécurité plutôt que de les voir fonctionner comme des entités distinctes - sont les mieux placés pour intégrer la sécurité au début du cycle de développement durable. Et les développeurs formés aux meilleures pratiques de sécurité ont réussi à réduire les vulnérabilités. Le problème est que très peu d'entre eux ont été formés.
La beauté des repères
Pour les entreprises, il s'agit d'établir une base de compétences en matière de sécurité, de dispenser une formation et de vérifier, tant pour les organisations que pour les autorités de réglementation, que les développeurs ont acquis les compétences nécessaires. Cela s'est avéré difficile pour de nombreuses organisations dans tous les secteurs économiques, mais ce n'est pas une fatalité.
L'un des défis identifiés par les responsables de la sécurité est la difficulté d'étendre un programme de formation à l'ensemble de l'entreprise. Mais les recherches de SCW montrent que les organisations, en particulier celles qui disposent d'un grand nombre de développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des organisations plus petites tendent à montrer une grande variabilité dans la manière dont elles appliquent les principes de la conception sécurisée. Néanmoins, elles peuvent elles aussi bénéficier d'une approche qui inclut des scores de confiance, et elles montreront probablement des améliorations plus rapidement.
Trust Score utilise des mesures d'étalonnage pour mesurer les progrès des apprenants individuels, regroupe leurs scores pour évaluer les performances de l'ensemble de l'équipe et compare les progrès de l'organisation avec les références et les meilleures pratiques de l'industrie. Il ne s'agit pas seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent leurs nouvelles compétences au quotidien. Il met également en évidence les domaines qui doivent être améliorés, ce qui permet à l'organisation d'optimiser ses programmes de formation et de perfectionnement.
Dans les secteurs d'infrastructures critiques de la CISA pour lesquels des données étaient disponibles, la plupart des organisations se situent à peu près au même niveau en ce qui concerne la mise en œuvre des principes de conception sécurisée. Les scores de confiance des secteurs allant des services financiers et de la base industrielle de défense aux soins de santé, à l'informatique et à l'industrie critique se situent dans la même fourchette - un peu plus de 300 sur une échelle de 1 000 points. Aucun secteur ne surpasse les autres, malgré l'idée reçue selon laquelle les services financiers, en tant que secteur le plus réglementé, seraient loin devant.
Les secteurs d'infrastructures critiques qui ne sont pas inclus dans le classement du Trust Score - tels que les opérations chimiques, énergétiques et nucléaires - ne créent généralement pas leurs propres logiciels, mais s'appuient sur d'autres secteurs, en particulier les technologies de l'information. Cependant, l'importance de maintenir des systèmes sécurisés dans ces secteurs (personne ne souhaite voir une centrale nucléaire compromise) montre à quel point il est essentiel de sécuriser les logiciels qu'ils utilisent en premier lieu.
Conclusion
La pression réglementaire accrue et les réalités du paysage des cybermenaces ont rendu l'approche "Secure-by-Design" impérative pour les organisations qui veulent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels sécurisés est en grande partie entre les mains des développeurs, mais ils ont besoin d'aide sous la forme d'un programme complet de perfectionnement et de formation qui leur apporte l'éducation dont ils ont besoin et leur montre comment elle est appliquée.
Un programme comprenant des points de référence, soutenu par un outil tel que Trust Score, peut fournir une vision claire des progrès critiques d'une équipe de développement. Il s'agit d'une nouvelle approche vitale dont les développeurs et les entreprises pour lesquelles ils travaillent ont besoin pour s'assurer qu'ils améliorent constamment leurs compétences en matière de développement de logiciels sécurisés, tout en répondant aux nouvelles exigences de la conception sécurisée.
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationMatias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Les cybermenaces étant de plus en plus répandues et de plus en plus sophistiquées, la cybersécurité se concentre sur l'importance d'un code sécurisé. La stratégie nationale de cybersécurité de la Maison Blanche et l'initiative Secure-by-Design de la Cybersecurity and Infrastructure Security Agency (CISA), ainsi que les initiatives et la législation dans d'autres pays, placent la responsabilité de la sécurité directement sur les épaules des producteurs de logiciels. Il est désormais essentiel pour les organisations de protéger leurs données et leurs systèmes et d'éviter les retombées réglementaires en cas de violation, alors que l'on considérait autrefois qu'il était agréable de le faire.
La clé pour garantir des pratiques de codage sécurisées réside dans la formation des développeurs. Les ingénieurs logiciels reçoivent généralement peu ou pas de formation à la cybersécurité. Leur travail, en particulier dans l'environnement DevOps accéléré d'aujourd'hui, consiste à créer de nouvelles applications, des mises à jour et des services aussi rapidement que possible - de plus en plus avec l'aide de modèles d'IA génératifs rapides - et à laisser les équipes de sécurité s'occuper des problèmes de cybersécurité à un moment ultérieur du cycle de développement logiciel (SDLC). C'est une façon inefficace de traiter la pléthore de failles qui apparaissent avec la création d'une telle quantité de code, ce qui entraîne souvent la diffusion de vulnérabilités logicielles dans l'écosystème.
Les développeurs doivent être formés à l'écriture de codes sécurisés dès le départ et être en mesure de détecter les codes non sécurisés générés par l'IA ou présents dans les logiciels libres et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes de développement et organisations, il s'agit d'un terrain inconnu. Comment savoir si les développeurs reçoivent la formation dont ils ont besoin ? Et cette formation est-elle appliquée régulièrement ?
Certaines entreprises qui poursuivent la formation des développeurs ont jugé utile d'établir un ensemble de compétences de base que les développeurs doivent acquérir et de mesurer leurs progrès par rapport à des points de référence clairement définis. Pour contribuer à cet effort, Secure Code Warrior a lancé un point de référence conçu pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le score de confiance SCW permet aux organisations de mesurer l'efficacité de la formation sur le terrain et de permettre aux équipes de sécurité, de développement et d'ingénierie de collaborer.
Il s'agit d'un moyen de prouver que la formation au code sécurisé est en train de s'implanter tout en identifiant les domaines à améliorer.
Arguments en faveur d'une conception sécurisée
Les fabricants de logiciels ont toutes les raisons d'intégrer la sécurité dans le cycle de développement logiciel dès le début du processus. La demande croissante d'applications et de services et la vitesse que l'IA apporte au processus de développement se sont avérées utiles aux développeurs, qui ont rapidement adopté l'IA générative, mais elles entraînent aussi inévitablement la diffusion de logiciels bogués dans le pipeline. Plus il y a de code généré, plus il y a de failles - et des recherches récentes ont révélé que près des trois quarts des applications (indépendamment de la manière dont elles ont été créées) contiennent au moins une faille de sécurité, près de 20 % d'entre elles étant considérées comme critiques.
Rattraper les vulnérabilités plus tard dans le cycle de vie du logiciel devient prohibitif en termes de temps et de coût. Le National Institute of Standards and Technology (NIST) a constaté que la correction des défauts pendant les tests prend 15 fois plus de temps que la sécurisation des logiciels au début du cycle de développement durable, et que la correction des défauts pendant la phase de déploiement/maintenance peut prendre de 30 à 100 fois plus de temps.
Tout cela souligne l'importance d'appliquer la sécurité dès le début du cycle de développement, ce qui s'est avéré être non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs - qui travaillent avec les équipes de sécurité plutôt que de les voir fonctionner comme des entités distinctes - sont les mieux placés pour intégrer la sécurité au début du cycle de développement durable. Et les développeurs formés aux meilleures pratiques de sécurité ont réussi à réduire les vulnérabilités. Le problème est que très peu d'entre eux ont été formés.
La beauté des repères
Pour les entreprises, il s'agit d'établir une base de compétences en matière de sécurité, de dispenser une formation et de vérifier, tant pour les organisations que pour les autorités de réglementation, que les développeurs ont acquis les compétences nécessaires. Cela s'est avéré difficile pour de nombreuses organisations dans tous les secteurs économiques, mais ce n'est pas une fatalité.
L'un des défis identifiés par les responsables de la sécurité est la difficulté d'étendre un programme de formation à l'ensemble de l'entreprise. Mais les recherches de SCW montrent que les organisations, en particulier celles qui disposent d'un grand nombre de développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des organisations plus petites tendent à montrer une grande variabilité dans la manière dont elles appliquent les principes de la conception sécurisée. Néanmoins, elles peuvent elles aussi bénéficier d'une approche qui inclut des scores de confiance, et elles montreront probablement des améliorations plus rapidement.
Trust Score utilise des mesures d'étalonnage pour mesurer les progrès des apprenants individuels, regroupe leurs scores pour évaluer les performances de l'ensemble de l'équipe et compare les progrès de l'organisation avec les références et les meilleures pratiques de l'industrie. Il ne s'agit pas seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent leurs nouvelles compétences au quotidien. Il met également en évidence les domaines qui doivent être améliorés, ce qui permet à l'organisation d'optimiser ses programmes de formation et de perfectionnement.
Dans les secteurs d'infrastructures critiques de la CISA pour lesquels des données étaient disponibles, la plupart des organisations se situent à peu près au même niveau en ce qui concerne la mise en œuvre des principes de conception sécurisée. Les scores de confiance des secteurs allant des services financiers et de la base industrielle de défense aux soins de santé, à l'informatique et à l'industrie critique se situent dans la même fourchette - un peu plus de 300 sur une échelle de 1 000 points. Aucun secteur ne surpasse les autres, malgré l'idée reçue selon laquelle les services financiers, en tant que secteur le plus réglementé, seraient loin devant.
Les secteurs d'infrastructures critiques qui ne sont pas inclus dans le classement du Trust Score - tels que les opérations chimiques, énergétiques et nucléaires - ne créent généralement pas leurs propres logiciels, mais s'appuient sur d'autres secteurs, en particulier les technologies de l'information. Cependant, l'importance de maintenir des systèmes sécurisés dans ces secteurs (personne ne souhaite voir une centrale nucléaire compromise) montre à quel point il est essentiel de sécuriser les logiciels qu'ils utilisent en premier lieu.
Conclusion
La pression réglementaire accrue et les réalités du paysage des cybermenaces ont rendu l'approche "Secure-by-Design" impérative pour les organisations qui veulent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels sécurisés est en grande partie entre les mains des développeurs, mais ils ont besoin d'aide sous la forme d'un programme complet de perfectionnement et de formation qui leur apporte l'éducation dont ils ont besoin et leur montre comment elle est appliquée.
Un programme comprenant des points de référence, soutenu par un outil tel que Trust Score, peut fournir une vision claire des progrès critiques d'une équipe de développement. Il s'agit d'une nouvelle approche vitale dont les développeurs et les entreprises pour lesquelles ils travaillent ont besoin pour s'assurer qu'ils améliorent constamment leurs compétences en matière de développement de logiciels sécurisés, tout en répondant aux nouvelles exigences de la conception sécurisée.
Les cybermenaces étant de plus en plus répandues et de plus en plus sophistiquées, la cybersécurité se concentre sur l'importance d'un code sécurisé. La stratégie nationale de cybersécurité de la Maison Blanche et l'initiative Secure-by-Design de la Cybersecurity and Infrastructure Security Agency (CISA), ainsi que les initiatives et la législation dans d'autres pays, placent la responsabilité de la sécurité directement sur les épaules des producteurs de logiciels. Il est désormais essentiel pour les organisations de protéger leurs données et leurs systèmes et d'éviter les retombées réglementaires en cas de violation, alors que l'on considérait autrefois qu'il était agréable de le faire.
La clé pour garantir des pratiques de codage sécurisées réside dans la formation des développeurs. Les ingénieurs logiciels reçoivent généralement peu ou pas de formation à la cybersécurité. Leur travail, en particulier dans l'environnement DevOps accéléré d'aujourd'hui, consiste à créer de nouvelles applications, des mises à jour et des services aussi rapidement que possible - de plus en plus avec l'aide de modèles d'IA génératifs rapides - et à laisser les équipes de sécurité s'occuper des problèmes de cybersécurité à un moment ultérieur du cycle de développement logiciel (SDLC). C'est une façon inefficace de traiter la pléthore de failles qui apparaissent avec la création d'une telle quantité de code, ce qui entraîne souvent la diffusion de vulnérabilités logicielles dans l'écosystème.
Les développeurs doivent être formés à l'écriture de codes sécurisés dès le départ et être en mesure de détecter les codes non sécurisés générés par l'IA ou présents dans les logiciels libres et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes de développement et organisations, il s'agit d'un terrain inconnu. Comment savoir si les développeurs reçoivent la formation dont ils ont besoin ? Et cette formation est-elle appliquée régulièrement ?
Certaines entreprises qui poursuivent la formation des développeurs ont jugé utile d'établir un ensemble de compétences de base que les développeurs doivent acquérir et de mesurer leurs progrès par rapport à des points de référence clairement définis. Pour contribuer à cet effort, Secure Code Warrior a lancé un point de référence conçu pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le score de confiance SCW permet aux organisations de mesurer l'efficacité de la formation sur le terrain et de permettre aux équipes de sécurité, de développement et d'ingénierie de collaborer.
Il s'agit d'un moyen de prouver que la formation au code sécurisé est en train de s'implanter tout en identifiant les domaines à améliorer.
Arguments en faveur d'une conception sécurisée
Les fabricants de logiciels ont toutes les raisons d'intégrer la sécurité dans le cycle de développement logiciel dès le début du processus. La demande croissante d'applications et de services et la vitesse que l'IA apporte au processus de développement se sont avérées utiles aux développeurs, qui ont rapidement adopté l'IA générative, mais elles entraînent aussi inévitablement la diffusion de logiciels bogués dans le pipeline. Plus il y a de code généré, plus il y a de failles - et des recherches récentes ont révélé que près des trois quarts des applications (indépendamment de la manière dont elles ont été créées) contiennent au moins une faille de sécurité, près de 20 % d'entre elles étant considérées comme critiques.
Rattraper les vulnérabilités plus tard dans le cycle de vie du logiciel devient prohibitif en termes de temps et de coût. Le National Institute of Standards and Technology (NIST) a constaté que la correction des défauts pendant les tests prend 15 fois plus de temps que la sécurisation des logiciels au début du cycle de développement durable, et que la correction des défauts pendant la phase de déploiement/maintenance peut prendre de 30 à 100 fois plus de temps.
Tout cela souligne l'importance d'appliquer la sécurité dès le début du cycle de développement, ce qui s'est avéré être non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs - qui travaillent avec les équipes de sécurité plutôt que de les voir fonctionner comme des entités distinctes - sont les mieux placés pour intégrer la sécurité au début du cycle de développement durable. Et les développeurs formés aux meilleures pratiques de sécurité ont réussi à réduire les vulnérabilités. Le problème est que très peu d'entre eux ont été formés.
La beauté des repères
Pour les entreprises, il s'agit d'établir une base de compétences en matière de sécurité, de dispenser une formation et de vérifier, tant pour les organisations que pour les autorités de réglementation, que les développeurs ont acquis les compétences nécessaires. Cela s'est avéré difficile pour de nombreuses organisations dans tous les secteurs économiques, mais ce n'est pas une fatalité.
L'un des défis identifiés par les responsables de la sécurité est la difficulté d'étendre un programme de formation à l'ensemble de l'entreprise. Mais les recherches de SCW montrent que les organisations, en particulier celles qui disposent d'un grand nombre de développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des organisations plus petites tendent à montrer une grande variabilité dans la manière dont elles appliquent les principes de la conception sécurisée. Néanmoins, elles peuvent elles aussi bénéficier d'une approche qui inclut des scores de confiance, et elles montreront probablement des améliorations plus rapidement.
Trust Score utilise des mesures d'étalonnage pour mesurer les progrès des apprenants individuels, regroupe leurs scores pour évaluer les performances de l'ensemble de l'équipe et compare les progrès de l'organisation avec les références et les meilleures pratiques de l'industrie. Il ne s'agit pas seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent leurs nouvelles compétences au quotidien. Il met également en évidence les domaines qui doivent être améliorés, ce qui permet à l'organisation d'optimiser ses programmes de formation et de perfectionnement.
Dans les secteurs d'infrastructures critiques de la CISA pour lesquels des données étaient disponibles, la plupart des organisations se situent à peu près au même niveau en ce qui concerne la mise en œuvre des principes de conception sécurisée. Les scores de confiance des secteurs allant des services financiers et de la base industrielle de défense aux soins de santé, à l'informatique et à l'industrie critique se situent dans la même fourchette - un peu plus de 300 sur une échelle de 1 000 points. Aucun secteur ne surpasse les autres, malgré l'idée reçue selon laquelle les services financiers, en tant que secteur le plus réglementé, seraient loin devant.
Les secteurs d'infrastructures critiques qui ne sont pas inclus dans le classement du Trust Score - tels que les opérations chimiques, énergétiques et nucléaires - ne créent généralement pas leurs propres logiciels, mais s'appuient sur d'autres secteurs, en particulier les technologies de l'information. Cependant, l'importance de maintenir des systèmes sécurisés dans ces secteurs (personne ne souhaite voir une centrale nucléaire compromise) montre à quel point il est essentiel de sécuriser les logiciels qu'ils utilisent en premier lieu.
Conclusion
La pression réglementaire accrue et les réalités du paysage des cybermenaces ont rendu l'approche "Secure-by-Design" impérative pour les organisations qui veulent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels sécurisés est en grande partie entre les mains des développeurs, mais ils ont besoin d'aide sous la forme d'un programme complet de perfectionnement et de formation qui leur apporte l'éducation dont ils ont besoin et leur montre comment elle est appliquée.
Un programme comprenant des points de référence, soutenu par un outil tel que Trust Score, peut fournir une vision claire des progrès critiques d'une équipe de développement. Il s'agit d'une nouvelle approche vitale dont les développeurs et les entreprises pour lesquelles ils travaillent ont besoin pour s'assurer qu'ils améliorent constamment leurs compétences en matière de développement de logiciels sécurisés, tout en répondant aux nouvelles exigences de la conception sécurisée.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationMatias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Les cybermenaces étant de plus en plus répandues et de plus en plus sophistiquées, la cybersécurité se concentre sur l'importance d'un code sécurisé. La stratégie nationale de cybersécurité de la Maison Blanche et l'initiative Secure-by-Design de la Cybersecurity and Infrastructure Security Agency (CISA), ainsi que les initiatives et la législation dans d'autres pays, placent la responsabilité de la sécurité directement sur les épaules des producteurs de logiciels. Il est désormais essentiel pour les organisations de protéger leurs données et leurs systèmes et d'éviter les retombées réglementaires en cas de violation, alors que l'on considérait autrefois qu'il était agréable de le faire.
La clé pour garantir des pratiques de codage sécurisées réside dans la formation des développeurs. Les ingénieurs logiciels reçoivent généralement peu ou pas de formation à la cybersécurité. Leur travail, en particulier dans l'environnement DevOps accéléré d'aujourd'hui, consiste à créer de nouvelles applications, des mises à jour et des services aussi rapidement que possible - de plus en plus avec l'aide de modèles d'IA génératifs rapides - et à laisser les équipes de sécurité s'occuper des problèmes de cybersécurité à un moment ultérieur du cycle de développement logiciel (SDLC). C'est une façon inefficace de traiter la pléthore de failles qui apparaissent avec la création d'une telle quantité de code, ce qui entraîne souvent la diffusion de vulnérabilités logicielles dans l'écosystème.
Les développeurs doivent être formés à l'écriture de codes sécurisés dès le départ et être en mesure de détecter les codes non sécurisés générés par l'IA ou présents dans les logiciels libres et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes de développement et organisations, il s'agit d'un terrain inconnu. Comment savoir si les développeurs reçoivent la formation dont ils ont besoin ? Et cette formation est-elle appliquée régulièrement ?
Certaines entreprises qui poursuivent la formation des développeurs ont jugé utile d'établir un ensemble de compétences de base que les développeurs doivent acquérir et de mesurer leurs progrès par rapport à des points de référence clairement définis. Pour contribuer à cet effort, Secure Code Warrior a lancé un point de référence conçu pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le score de confiance SCW permet aux organisations de mesurer l'efficacité de la formation sur le terrain et de permettre aux équipes de sécurité, de développement et d'ingénierie de collaborer.
Il s'agit d'un moyen de prouver que la formation au code sécurisé est en train de s'implanter tout en identifiant les domaines à améliorer.
Arguments en faveur d'une conception sécurisée
Les fabricants de logiciels ont toutes les raisons d'intégrer la sécurité dans le cycle de développement logiciel dès le début du processus. La demande croissante d'applications et de services et la vitesse que l'IA apporte au processus de développement se sont avérées utiles aux développeurs, qui ont rapidement adopté l'IA générative, mais elles entraînent aussi inévitablement la diffusion de logiciels bogués dans le pipeline. Plus il y a de code généré, plus il y a de failles - et des recherches récentes ont révélé que près des trois quarts des applications (indépendamment de la manière dont elles ont été créées) contiennent au moins une faille de sécurité, près de 20 % d'entre elles étant considérées comme critiques.
Rattraper les vulnérabilités plus tard dans le cycle de vie du logiciel devient prohibitif en termes de temps et de coût. Le National Institute of Standards and Technology (NIST) a constaté que la correction des défauts pendant les tests prend 15 fois plus de temps que la sécurisation des logiciels au début du cycle de développement durable, et que la correction des défauts pendant la phase de déploiement/maintenance peut prendre de 30 à 100 fois plus de temps.
Tout cela souligne l'importance d'appliquer la sécurité dès le début du cycle de développement, ce qui s'est avéré être non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs - qui travaillent avec les équipes de sécurité plutôt que de les voir fonctionner comme des entités distinctes - sont les mieux placés pour intégrer la sécurité au début du cycle de développement durable. Et les développeurs formés aux meilleures pratiques de sécurité ont réussi à réduire les vulnérabilités. Le problème est que très peu d'entre eux ont été formés.
La beauté des repères
Pour les entreprises, il s'agit d'établir une base de compétences en matière de sécurité, de dispenser une formation et de vérifier, tant pour les organisations que pour les autorités de réglementation, que les développeurs ont acquis les compétences nécessaires. Cela s'est avéré difficile pour de nombreuses organisations dans tous les secteurs économiques, mais ce n'est pas une fatalité.
L'un des défis identifiés par les responsables de la sécurité est la difficulté d'étendre un programme de formation à l'ensemble de l'entreprise. Mais les recherches de SCW montrent que les organisations, en particulier celles qui disposent d'un grand nombre de développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des organisations plus petites tendent à montrer une grande variabilité dans la manière dont elles appliquent les principes de la conception sécurisée. Néanmoins, elles peuvent elles aussi bénéficier d'une approche qui inclut des scores de confiance, et elles montreront probablement des améliorations plus rapidement.
Trust Score utilise des mesures d'étalonnage pour mesurer les progrès des apprenants individuels, regroupe leurs scores pour évaluer les performances de l'ensemble de l'équipe et compare les progrès de l'organisation avec les références et les meilleures pratiques de l'industrie. Il ne s'agit pas seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent leurs nouvelles compétences au quotidien. Il met également en évidence les domaines qui doivent être améliorés, ce qui permet à l'organisation d'optimiser ses programmes de formation et de perfectionnement.
Dans les secteurs d'infrastructures critiques de la CISA pour lesquels des données étaient disponibles, la plupart des organisations se situent à peu près au même niveau en ce qui concerne la mise en œuvre des principes de conception sécurisée. Les scores de confiance des secteurs allant des services financiers et de la base industrielle de défense aux soins de santé, à l'informatique et à l'industrie critique se situent dans la même fourchette - un peu plus de 300 sur une échelle de 1 000 points. Aucun secteur ne surpasse les autres, malgré l'idée reçue selon laquelle les services financiers, en tant que secteur le plus réglementé, seraient loin devant.
Les secteurs d'infrastructures critiques qui ne sont pas inclus dans le classement du Trust Score - tels que les opérations chimiques, énergétiques et nucléaires - ne créent généralement pas leurs propres logiciels, mais s'appuient sur d'autres secteurs, en particulier les technologies de l'information. Cependant, l'importance de maintenir des systèmes sécurisés dans ces secteurs (personne ne souhaite voir une centrale nucléaire compromise) montre à quel point il est essentiel de sécuriser les logiciels qu'ils utilisent en premier lieu.
Conclusion
La pression réglementaire accrue et les réalités du paysage des cybermenaces ont rendu l'approche "Secure-by-Design" impérative pour les organisations qui veulent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels sécurisés est en grande partie entre les mains des développeurs, mais ils ont besoin d'aide sous la forme d'un programme complet de perfectionnement et de formation qui leur apporte l'éducation dont ils ont besoin et leur montre comment elle est appliquée.
Un programme comprenant des points de référence, soutenu par un outil tel que Trust Score, peut fournir une vision claire des progrès critiques d'une équipe de développement. Il s'agit d'une nouvelle approche vitale dont les développeurs et les entreprises pour lesquelles ils travaillent ont besoin pour s'assurer qu'ils améliorent constamment leurs compétences en matière de développement de logiciels sécurisés, tout en répondant aux nouvelles exigences de la conception sécurisée.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.
Plongée en profondeur : Naviguer dans la vulnérabilité critique de CUPS dans les systèmes GNU-Linux
Découvrez les derniers défis de sécurité auxquels sont confrontés les utilisateurs de Linux en explorant les récentes vulnérabilités de haute sévérité dans le système d'impression commun d'UNIX (CUPS). Apprenez comment ces problèmes peuvent conduire à une potentielle exécution de code à distance (RCE) et ce que vous pouvez faire pour protéger vos systèmes.
Les codeurs à la conquête de la sécurité : Partager et apprendre - Cross-Site Scripting (XSS)
Les scripts intersites (XSS) profitent de la confiance des navigateurs et de l'ignorance des utilisateurs pour voler des données, s'emparer de comptes et défigurer des sites web ; il s'agit d'une vulnérabilité qui peut rapidement devenir très gênante. Voyons comment fonctionne le XSS, quels sont les dommages qu'il peut causer et comment s'en prémunir.