Le retour sur investissement de la sécurité pilotée par les développeurs
Le coût d'un mauvais code
Grâce aux progrès technologiques, les développeurs peuvent désormais livrer leur code plus rapidement que jamais. Cela peut être stimulant pour l'innovation, mais décourageant lorsqu'il s'agit d'augmenter la qualité et la sécurité des logiciels. Justifier les coûts des outils supplémentaires, des programmes de formation et de l'investissement dans la mise à niveau des développeurs peut sembler être un bienfait plutôt qu'une fonction essentielle de l'entreprise si la vitesse du code livré est maintenue.
L'envoi de code plus rapide est peut-être devenu plus facile, mais malheureusement l'envoi de code sécurisé ne l'est pas, ce qui laisse les organisations vulnérables à plus de menaces que jamais. Le coût de la cybercriminalité est stupéfiant dans le monde entier, et il augmente rapidement. En fait, en 2020, le coût de la cybercriminalité s'élevait à environ 1 000 milliards de dollars. En moyenne, le coût d'une violation de données s'élève à 4,35 millions de dollars, répartis entre la perte de clientèle actuelle et potentielle, ainsi que les ressources consacrées à la détection, à l'escalade et à la reprise du travail.
Malgré ces coûts astronomiques, plus de la moitié des entreprises n'exigent pas des développeurs qu'ils suivent chaque année une formation formelle sur le code sécurisé.
Les professionnels de la sécurité savent tous que la recherche et la correction des vulnérabilités peuvent s'apparenter à un jeu de bonneteau. Même si vous disposez déjà d'un programme de sécurité assorti d'une stratégie de remédiation, il y a toujours une possibilité d'amélioration. La plupart des organisations constatent que lorsque leur capacité de sauvegarde ou de reprise après sinistre est mise à l'épreuve, leur approche de la sécurité n'est pas aussi solide qu'elles le pensaient. Si le renforcement de la résilience de votre organisation face aux cyberattaques est l'une de vos principales priorités, le changement de perspective laissé à vos développeurs devrait faire partie de vos plans pour continuer à améliorer votre posture de sécurité. Une équipe de développeurs compétents et responsabilisés, qui conçoivent des codes sécurisés dès le départ et qui sont suffisamment informés pour localiser et corriger rapidement les vulnérabilités, est votre moyen le plus rentable d'atténuer les risques.
Une idée fausse en matière de formation des développeurs est qu'il s'agit simplement d'un coût pour l'entreprise ou même d'une police d'assurance. Selon Klaus Klinger, DevSec Awareness Evangelist chez Allianz, "Tout doit commencer dans la tête de la direction. Investir dans la formation des développeurs n'est pas un investissement perdu, mais un investissement dans la qualité, la productivité et la réputation de l'entreprise".
Le retour sur investissement est souvent difficile à quantifier dans ce domaine, mais en fin de compte, les entreprises devraient se demander comment leur dispositif de sécurité les aide à réduire les risques, à rationaliser leur approche et à faire gagner du temps et de la productivité à leurs équipes de développeurs.
Comment quantifier le retour sur investissement des coûts de cybersécurité ?
Lorsqu'il s'agit de retour sur investissement, il est important de l'envisager sous deux angles différents : les économies réalisées grâce à la réduction des risques et l'impact de votre formation en matière de sécurité.
Prenons cet exemple trop courant : une vulnérabilité ou une brèche entraîne la mise hors ligne d'un site de commerce électronique pendant plusieurs jours, le temps que ses équipes recherchent le problème et la manière de le résoudre. Le coût de l'absence de remédiation peut être quantifié en termes de perte de revenus pendant la panne, d'impact du vol d'informations d'identification, de perte de confiance des clients (entraînant une réduction des ventes à long terme) et de perte de productivité globale pendant la résolution du problème.
Il s'agit en fait d'une analyse coûts/bénéfices. Les domaines clés que vous voudrez évaluer sont le niveau de maturité de votre entreprise en matière de sécurité, les niveaux d'acceptation des risques de votre entreprise et les domaines de votre code qui doivent être maintenus ou améliorés.
Les gens se concentrent souvent sur les mauvaises mesures pour déterminer le succès et la valeur. Peut-être devrions-nous moins nous préoccuper du retour sur l'investissement initial du programme et plutôt mesurer l'impact du programme lui-même.
Mesurer pour prouver l'impact
Afin d'établir le retour sur investissement, vous devez créer des objectifs mesurables. Cela commence par l'évaluation des connaissances de vos développeurs en matière de codage sécurisé et par la compréhension des domaines dans lesquels ils ont besoin d'améliorer leurs compétences.
Un point de départ serait de mesurer l'engagement pour vous aider à prendre des décisions stratégiques sur la manière d'élaborer des programmes de formation plus riches. Plus important encore, mesurez l'impact. Commencez par examiner le nombre de faiblesses détectées dans le cycle de vie du développement logiciel par le biais de l'analyse du code, de la chasse aux bogues ou de tests de vulnérabilité classiques avant de lancer le programme dans chaque équipe. L'un des moyens les plus simples de savoir si votre programme de formation produit les résultats escomptés est de mesurer la diminution des vulnérabilités introduites dans votre base de code en général.
Principales questions pour évaluer le retour sur investissement :
1. Rationalisons-nous notre approche ?
Est-ceque vous ajoutez des outils au problème ou est-ce que vous le résolvez à la racine ? L'ajout d'outils à votre pile technologique crée une approche de type "swiss cheese" pour trouver et corriger les vulnérabilités. Ils augmentent également les coûts opérationnels sans avoir d'impact sur la source de nombreuses vulnérabilités, à savoir le code. Bien que les outils d'analyse et de pentesting doivent absolument faire partie de votre arsenal, ils ne doivent pas être votre dernière ligne de défense.
2. Améliorons-nous l'efficacité et la productivité ?
Le temps consacré à des revues de code exhaustives et à des remaniements du code renvoyé par l'AppSec peut entraîner une perte de productivité importante. Réduire les exercices d'évacuation en donnant aux équipes de développeurs les moyens de mettre la main à la pâte dans le cadre de leur formation au code sécurisé devrait constituer un bon point de référence pour évaluer l'impact positif de votre programme de sécurité.
3. réduisons-nous les risques ?
Trouver et corriger une vulnérabilité peut s'apparenter à la résolution d'un grand puzzle, qui peut parfois prendre des jours, des semaines, voire des mois avant d'être complété par une solution solide. En donnant aux développeurs les moyens de prendre en charge la remédiation à la source, l'AppSec peut se concentrer sur la surveillance des risques et le renforcement de la posture de sécurité de l'organisation.
4. Augmentons-nous la vitesse (tout en maintenant la qualité) ?
Livrer du code rapidement n'est pas toujours une bonne chose. Couper les coins ronds et introduire des vulnérabilités dans le code peut créer de nombreux maux de tête à l'avenir et accumuler de la dette technique. La réflexion à court terme n'est pas la solution. Il est possible d'atténuer les risques en sécurisant le code dès le départ, afin d'éviter que le problème ne s'aggrave à l'avenir.
Mesures recommandées pour le suivi :
- Engagement - combien de temps consacrez-vous à la formation et comment les développeurs s'engagent-ils ? Remplissent-ils courses, font-ils des évaluations et participent-ils à tournaments?
- Compétences - quels sont vos points forts ? Quels sont les domaines que vous avez identifiés comme devant être améliorés ?
- Réduction des vulnérabilités - avez-vous remarqué une diminution mesurable des vulnérabilités lors de l'examen du code ? Voyez-vous moins de travaux de reprise de la part de l'AppSec ?
- Productivité - combien de temps faut-il pour remédier à un problème ? Avez-vous remarqué une augmentation de la productivité ou de la vélocité grâce à la réduction de la vulnérabilité ?
Créer de la valeur en passant à gauche
Les failles et les vulnérabilités augmentent rapidement chaque année. Il est important de commencer à élaborer de manière proactive une approche holistique de la sécurité, en commençant d'abord par votre code. Cela vous aidera à
- Réduire la complexité en investissant dans vos ressources les plus précieuses - vos collaborateurs - au lieu de dépenser de l'argent dans des outils qui ne résolvent qu'une partie du problème.
- Améliorer l'efficience et l'efficacité globale en limitant les reprises ou les corrections qui seraient normalement identifiées par l'AppSec après le déploiement du code.
- Atténuez les risques et respectez la conformité, en évitant les amendes coûteuses, la perte de confiance des clients ou, pire encore, le coût d'une violation de données.
Évitez les réflexions à court terme et les solutions rapides. Elles ne peuvent qu'entraîner une dette technique et des coûts supplémentaires à terme. Planifiez à long terme en exploitant la puissance de la formation continue et en permettant à vos développeurs d'être votre meilleure ligne de défense contre les vulnérabilités et la cybercriminalité, et constatez par vous-même l'impact et les économies réalisées.
Tout le monde veut un bon retour sur investissement lorsqu'il s'agit d'investir dans sa pile technologique ou dans des programmes de formation supplémentaires, mais lorsqu'il s'agit de sécurité, il faut jouer un jeu à long terme qui va au-delà du simple calcul du retour sur investissement. Découvrez comment l'investissement dans une sécurité axée sur les développeurs permettra non seulement d'économiser sur les dépenses liées aux brèches coûteuses, à la perte de productivité et à l'endettement technologique accumulé, mais aussi de créer une stratégie proactive et rentable pour garder une longueur d'avance sur le paysage des menaces d'aujourd'hui.
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationSecure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior crée une culture de développeurs axés sur la sécurité en leur donnant les compétences nécessaires pour coder de manière sécurisée. Notre programme phare Agile Learning Platform propose des parcours pertinents basés sur les compétences, des exercices pratiques missions et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé.
Le coût d'un mauvais code
Grâce aux progrès technologiques, les développeurs peuvent désormais livrer leur code plus rapidement que jamais. Cela peut être stimulant pour l'innovation, mais décourageant lorsqu'il s'agit d'augmenter la qualité et la sécurité des logiciels. Justifier les coûts des outils supplémentaires, des programmes de formation et de l'investissement dans la mise à niveau des développeurs peut sembler être un bienfait plutôt qu'une fonction essentielle de l'entreprise si la vitesse du code livré est maintenue.
L'envoi de code plus rapide est peut-être devenu plus facile, mais malheureusement l'envoi de code sécurisé ne l'est pas, ce qui laisse les organisations vulnérables à plus de menaces que jamais. Le coût de la cybercriminalité est stupéfiant dans le monde entier, et il augmente rapidement. En fait, en 2020, le coût de la cybercriminalité s'élevait à environ 1 000 milliards de dollars. En moyenne, le coût d'une violation de données s'élève à 4,35 millions de dollars, répartis entre la perte de clientèle actuelle et potentielle, ainsi que les ressources consacrées à la détection, à l'escalade et à la reprise du travail.
Malgré ces coûts astronomiques, plus de la moitié des entreprises n'exigent pas des développeurs qu'ils suivent chaque année une formation formelle sur le code sécurisé.
Les professionnels de la sécurité savent tous que la recherche et la correction des vulnérabilités peuvent s'apparenter à un jeu de bonneteau. Même si vous disposez déjà d'un programme de sécurité assorti d'une stratégie de remédiation, il y a toujours une possibilité d'amélioration. La plupart des organisations constatent que lorsque leur capacité de sauvegarde ou de reprise après sinistre est mise à l'épreuve, leur approche de la sécurité n'est pas aussi solide qu'elles le pensaient. Si le renforcement de la résilience de votre organisation face aux cyberattaques est l'une de vos principales priorités, le changement de perspective laissé à vos développeurs devrait faire partie de vos plans pour continuer à améliorer votre posture de sécurité. Une équipe de développeurs compétents et responsabilisés, qui conçoivent des codes sécurisés dès le départ et qui sont suffisamment informés pour localiser et corriger rapidement les vulnérabilités, est votre moyen le plus rentable d'atténuer les risques.
Une idée fausse en matière de formation des développeurs est qu'il s'agit simplement d'un coût pour l'entreprise ou même d'une police d'assurance. Selon Klaus Klinger, DevSec Awareness Evangelist chez Allianz, "Tout doit commencer dans la tête de la direction. Investir dans la formation des développeurs n'est pas un investissement perdu, mais un investissement dans la qualité, la productivité et la réputation de l'entreprise".
Le retour sur investissement est souvent difficile à quantifier dans ce domaine, mais en fin de compte, les entreprises devraient se demander comment leur dispositif de sécurité les aide à réduire les risques, à rationaliser leur approche et à faire gagner du temps et de la productivité à leurs équipes de développeurs.
Comment quantifier le retour sur investissement des coûts de cybersécurité ?
Lorsqu'il s'agit de retour sur investissement, il est important de l'envisager sous deux angles différents : les économies réalisées grâce à la réduction des risques et l'impact de votre formation en matière de sécurité.
Prenons cet exemple trop courant : une vulnérabilité ou une brèche entraîne la mise hors ligne d'un site de commerce électronique pendant plusieurs jours, le temps que ses équipes recherchent le problème et la manière de le résoudre. Le coût de l'absence de remédiation peut être quantifié en termes de perte de revenus pendant la panne, d'impact du vol d'informations d'identification, de perte de confiance des clients (entraînant une réduction des ventes à long terme) et de perte de productivité globale pendant la résolution du problème.
Il s'agit en fait d'une analyse coûts/bénéfices. Les domaines clés que vous voudrez évaluer sont le niveau de maturité de votre entreprise en matière de sécurité, les niveaux d'acceptation des risques de votre entreprise et les domaines de votre code qui doivent être maintenus ou améliorés.
Les gens se concentrent souvent sur les mauvaises mesures pour déterminer le succès et la valeur. Peut-être devrions-nous moins nous préoccuper du retour sur l'investissement initial du programme et plutôt mesurer l'impact du programme lui-même.
Mesurer pour prouver l'impact
Afin d'établir le retour sur investissement, vous devez créer des objectifs mesurables. Cela commence par l'évaluation des connaissances de vos développeurs en matière de codage sécurisé et par la compréhension des domaines dans lesquels ils ont besoin d'améliorer leurs compétences.
Un point de départ serait de mesurer l'engagement pour vous aider à prendre des décisions stratégiques sur la manière d'élaborer des programmes de formation plus riches. Plus important encore, mesurez l'impact. Commencez par examiner le nombre de faiblesses détectées dans le cycle de vie du développement logiciel par le biais de l'analyse du code, de la chasse aux bogues ou de tests de vulnérabilité classiques avant de lancer le programme dans chaque équipe. L'un des moyens les plus simples de savoir si votre programme de formation produit les résultats escomptés est de mesurer la diminution des vulnérabilités introduites dans votre base de code en général.
Principales questions pour évaluer le retour sur investissement :
1. Rationalisons-nous notre approche ?
Est-ceque vous ajoutez des outils au problème ou est-ce que vous le résolvez à la racine ? L'ajout d'outils à votre pile technologique crée une approche de type "swiss cheese" pour trouver et corriger les vulnérabilités. Ils augmentent également les coûts opérationnels sans avoir d'impact sur la source de nombreuses vulnérabilités, à savoir le code. Bien que les outils d'analyse et de pentesting doivent absolument faire partie de votre arsenal, ils ne doivent pas être votre dernière ligne de défense.
2. Améliorons-nous l'efficacité et la productivité ?
Le temps consacré à des revues de code exhaustives et à des remaniements du code renvoyé par l'AppSec peut entraîner une perte de productivité importante. Réduire les exercices d'évacuation en donnant aux équipes de développeurs les moyens de mettre la main à la pâte dans le cadre de leur formation au code sécurisé devrait constituer un bon point de référence pour évaluer l'impact positif de votre programme de sécurité.
3. réduisons-nous les risques ?
Trouver et corriger une vulnérabilité peut s'apparenter à la résolution d'un grand puzzle, qui peut parfois prendre des jours, des semaines, voire des mois avant d'être complété par une solution solide. En donnant aux développeurs les moyens de prendre en charge la remédiation à la source, l'AppSec peut se concentrer sur la surveillance des risques et le renforcement de la posture de sécurité de l'organisation.
4. Augmentons-nous la vitesse (tout en maintenant la qualité) ?
Livrer du code rapidement n'est pas toujours une bonne chose. Couper les coins ronds et introduire des vulnérabilités dans le code peut créer de nombreux maux de tête à l'avenir et accumuler de la dette technique. La réflexion à court terme n'est pas la solution. Il est possible d'atténuer les risques en sécurisant le code dès le départ, afin d'éviter que le problème ne s'aggrave à l'avenir.
Mesures recommandées pour le suivi :
- Engagement - combien de temps consacrez-vous à la formation et comment les développeurs s'engagent-ils ? Remplissent-ils courses, font-ils des évaluations et participent-ils à tournaments?
- Compétences - quels sont vos points forts ? Quels sont les domaines que vous avez identifiés comme devant être améliorés ?
- Réduction des vulnérabilités - avez-vous remarqué une diminution mesurable des vulnérabilités lors de l'examen du code ? Voyez-vous moins de travaux de reprise de la part de l'AppSec ?
- Productivité - combien de temps faut-il pour remédier à un problème ? Avez-vous remarqué une augmentation de la productivité ou de la vélocité grâce à la réduction de la vulnérabilité ?
Créer de la valeur en passant à gauche
Les failles et les vulnérabilités augmentent rapidement chaque année. Il est important de commencer à élaborer de manière proactive une approche holistique de la sécurité, en commençant d'abord par votre code. Cela vous aidera à
- Réduire la complexité en investissant dans vos ressources les plus précieuses - vos collaborateurs - au lieu de dépenser de l'argent dans des outils qui ne résolvent qu'une partie du problème.
- Améliorer l'efficience et l'efficacité globale en limitant les reprises ou les corrections qui seraient normalement identifiées par l'AppSec après le déploiement du code.
- Atténuez les risques et respectez la conformité, en évitant les amendes coûteuses, la perte de confiance des clients ou, pire encore, le coût d'une violation de données.
Évitez les réflexions à court terme et les solutions rapides. Elles ne peuvent qu'entraîner une dette technique et des coûts supplémentaires à terme. Planifiez à long terme en exploitant la puissance de la formation continue et en permettant à vos développeurs d'être votre meilleure ligne de défense contre les vulnérabilités et la cybercriminalité, et constatez par vous-même l'impact et les économies réalisées.
Le coût d'un mauvais code
Grâce aux progrès technologiques, les développeurs peuvent désormais livrer leur code plus rapidement que jamais. Cela peut être stimulant pour l'innovation, mais décourageant lorsqu'il s'agit d'augmenter la qualité et la sécurité des logiciels. Justifier les coûts des outils supplémentaires, des programmes de formation et de l'investissement dans la mise à niveau des développeurs peut sembler être un bienfait plutôt qu'une fonction essentielle de l'entreprise si la vitesse du code livré est maintenue.
L'envoi de code plus rapide est peut-être devenu plus facile, mais malheureusement l'envoi de code sécurisé ne l'est pas, ce qui laisse les organisations vulnérables à plus de menaces que jamais. Le coût de la cybercriminalité est stupéfiant dans le monde entier, et il augmente rapidement. En fait, en 2020, le coût de la cybercriminalité s'élevait à environ 1 000 milliards de dollars. En moyenne, le coût d'une violation de données s'élève à 4,35 millions de dollars, répartis entre la perte de clientèle actuelle et potentielle, ainsi que les ressources consacrées à la détection, à l'escalade et à la reprise du travail.
Malgré ces coûts astronomiques, plus de la moitié des entreprises n'exigent pas des développeurs qu'ils suivent chaque année une formation formelle sur le code sécurisé.
Les professionnels de la sécurité savent tous que la recherche et la correction des vulnérabilités peuvent s'apparenter à un jeu de bonneteau. Même si vous disposez déjà d'un programme de sécurité assorti d'une stratégie de remédiation, il y a toujours une possibilité d'amélioration. La plupart des organisations constatent que lorsque leur capacité de sauvegarde ou de reprise après sinistre est mise à l'épreuve, leur approche de la sécurité n'est pas aussi solide qu'elles le pensaient. Si le renforcement de la résilience de votre organisation face aux cyberattaques est l'une de vos principales priorités, le changement de perspective laissé à vos développeurs devrait faire partie de vos plans pour continuer à améliorer votre posture de sécurité. Une équipe de développeurs compétents et responsabilisés, qui conçoivent des codes sécurisés dès le départ et qui sont suffisamment informés pour localiser et corriger rapidement les vulnérabilités, est votre moyen le plus rentable d'atténuer les risques.
Une idée fausse en matière de formation des développeurs est qu'il s'agit simplement d'un coût pour l'entreprise ou même d'une police d'assurance. Selon Klaus Klinger, DevSec Awareness Evangelist chez Allianz, "Tout doit commencer dans la tête de la direction. Investir dans la formation des développeurs n'est pas un investissement perdu, mais un investissement dans la qualité, la productivité et la réputation de l'entreprise".
Le retour sur investissement est souvent difficile à quantifier dans ce domaine, mais en fin de compte, les entreprises devraient se demander comment leur dispositif de sécurité les aide à réduire les risques, à rationaliser leur approche et à faire gagner du temps et de la productivité à leurs équipes de développeurs.
Comment quantifier le retour sur investissement des coûts de cybersécurité ?
Lorsqu'il s'agit de retour sur investissement, il est important de l'envisager sous deux angles différents : les économies réalisées grâce à la réduction des risques et l'impact de votre formation en matière de sécurité.
Prenons cet exemple trop courant : une vulnérabilité ou une brèche entraîne la mise hors ligne d'un site de commerce électronique pendant plusieurs jours, le temps que ses équipes recherchent le problème et la manière de le résoudre. Le coût de l'absence de remédiation peut être quantifié en termes de perte de revenus pendant la panne, d'impact du vol d'informations d'identification, de perte de confiance des clients (entraînant une réduction des ventes à long terme) et de perte de productivité globale pendant la résolution du problème.
Il s'agit en fait d'une analyse coûts/bénéfices. Les domaines clés que vous voudrez évaluer sont le niveau de maturité de votre entreprise en matière de sécurité, les niveaux d'acceptation des risques de votre entreprise et les domaines de votre code qui doivent être maintenus ou améliorés.
Les gens se concentrent souvent sur les mauvaises mesures pour déterminer le succès et la valeur. Peut-être devrions-nous moins nous préoccuper du retour sur l'investissement initial du programme et plutôt mesurer l'impact du programme lui-même.
Mesurer pour prouver l'impact
Afin d'établir le retour sur investissement, vous devez créer des objectifs mesurables. Cela commence par l'évaluation des connaissances de vos développeurs en matière de codage sécurisé et par la compréhension des domaines dans lesquels ils ont besoin d'améliorer leurs compétences.
Un point de départ serait de mesurer l'engagement pour vous aider à prendre des décisions stratégiques sur la manière d'élaborer des programmes de formation plus riches. Plus important encore, mesurez l'impact. Commencez par examiner le nombre de faiblesses détectées dans le cycle de vie du développement logiciel par le biais de l'analyse du code, de la chasse aux bogues ou de tests de vulnérabilité classiques avant de lancer le programme dans chaque équipe. L'un des moyens les plus simples de savoir si votre programme de formation produit les résultats escomptés est de mesurer la diminution des vulnérabilités introduites dans votre base de code en général.
Principales questions pour évaluer le retour sur investissement :
1. Rationalisons-nous notre approche ?
Est-ceque vous ajoutez des outils au problème ou est-ce que vous le résolvez à la racine ? L'ajout d'outils à votre pile technologique crée une approche de type "swiss cheese" pour trouver et corriger les vulnérabilités. Ils augmentent également les coûts opérationnels sans avoir d'impact sur la source de nombreuses vulnérabilités, à savoir le code. Bien que les outils d'analyse et de pentesting doivent absolument faire partie de votre arsenal, ils ne doivent pas être votre dernière ligne de défense.
2. Améliorons-nous l'efficacité et la productivité ?
Le temps consacré à des revues de code exhaustives et à des remaniements du code renvoyé par l'AppSec peut entraîner une perte de productivité importante. Réduire les exercices d'évacuation en donnant aux équipes de développeurs les moyens de mettre la main à la pâte dans le cadre de leur formation au code sécurisé devrait constituer un bon point de référence pour évaluer l'impact positif de votre programme de sécurité.
3. réduisons-nous les risques ?
Trouver et corriger une vulnérabilité peut s'apparenter à la résolution d'un grand puzzle, qui peut parfois prendre des jours, des semaines, voire des mois avant d'être complété par une solution solide. En donnant aux développeurs les moyens de prendre en charge la remédiation à la source, l'AppSec peut se concentrer sur la surveillance des risques et le renforcement de la posture de sécurité de l'organisation.
4. Augmentons-nous la vitesse (tout en maintenant la qualité) ?
Livrer du code rapidement n'est pas toujours une bonne chose. Couper les coins ronds et introduire des vulnérabilités dans le code peut créer de nombreux maux de tête à l'avenir et accumuler de la dette technique. La réflexion à court terme n'est pas la solution. Il est possible d'atténuer les risques en sécurisant le code dès le départ, afin d'éviter que le problème ne s'aggrave à l'avenir.
Mesures recommandées pour le suivi :
- Engagement - combien de temps consacrez-vous à la formation et comment les développeurs s'engagent-ils ? Remplissent-ils courses, font-ils des évaluations et participent-ils à tournaments?
- Compétences - quels sont vos points forts ? Quels sont les domaines que vous avez identifiés comme devant être améliorés ?
- Réduction des vulnérabilités - avez-vous remarqué une diminution mesurable des vulnérabilités lors de l'examen du code ? Voyez-vous moins de travaux de reprise de la part de l'AppSec ?
- Productivité - combien de temps faut-il pour remédier à un problème ? Avez-vous remarqué une augmentation de la productivité ou de la vélocité grâce à la réduction de la vulnérabilité ?
Créer de la valeur en passant à gauche
Les failles et les vulnérabilités augmentent rapidement chaque année. Il est important de commencer à élaborer de manière proactive une approche holistique de la sécurité, en commençant d'abord par votre code. Cela vous aidera à
- Réduire la complexité en investissant dans vos ressources les plus précieuses - vos collaborateurs - au lieu de dépenser de l'argent dans des outils qui ne résolvent qu'une partie du problème.
- Améliorer l'efficience et l'efficacité globale en limitant les reprises ou les corrections qui seraient normalement identifiées par l'AppSec après le déploiement du code.
- Atténuez les risques et respectez la conformité, en évitant les amendes coûteuses, la perte de confiance des clients ou, pire encore, le coût d'une violation de données.
Évitez les réflexions à court terme et les solutions rapides. Elles ne peuvent qu'entraîner une dette technique et des coûts supplémentaires à terme. Planifiez à long terme en exploitant la puissance de la formation continue et en permettant à vos développeurs d'être votre meilleure ligne de défense contre les vulnérabilités et la cybercriminalité, et constatez par vous-même l'impact et les économies réalisées.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationSecure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationSecure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior crée une culture de développeurs axés sur la sécurité en leur donnant les compétences nécessaires pour coder de manière sécurisée. Notre programme phare Agile Learning Platform propose des parcours pertinents basés sur les compétences, des exercices pratiques missions et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé.
Le coût d'un mauvais code
Grâce aux progrès technologiques, les développeurs peuvent désormais livrer leur code plus rapidement que jamais. Cela peut être stimulant pour l'innovation, mais décourageant lorsqu'il s'agit d'augmenter la qualité et la sécurité des logiciels. Justifier les coûts des outils supplémentaires, des programmes de formation et de l'investissement dans la mise à niveau des développeurs peut sembler être un bienfait plutôt qu'une fonction essentielle de l'entreprise si la vitesse du code livré est maintenue.
L'envoi de code plus rapide est peut-être devenu plus facile, mais malheureusement l'envoi de code sécurisé ne l'est pas, ce qui laisse les organisations vulnérables à plus de menaces que jamais. Le coût de la cybercriminalité est stupéfiant dans le monde entier, et il augmente rapidement. En fait, en 2020, le coût de la cybercriminalité s'élevait à environ 1 000 milliards de dollars. En moyenne, le coût d'une violation de données s'élève à 4,35 millions de dollars, répartis entre la perte de clientèle actuelle et potentielle, ainsi que les ressources consacrées à la détection, à l'escalade et à la reprise du travail.
Malgré ces coûts astronomiques, plus de la moitié des entreprises n'exigent pas des développeurs qu'ils suivent chaque année une formation formelle sur le code sécurisé.
Les professionnels de la sécurité savent tous que la recherche et la correction des vulnérabilités peuvent s'apparenter à un jeu de bonneteau. Même si vous disposez déjà d'un programme de sécurité assorti d'une stratégie de remédiation, il y a toujours une possibilité d'amélioration. La plupart des organisations constatent que lorsque leur capacité de sauvegarde ou de reprise après sinistre est mise à l'épreuve, leur approche de la sécurité n'est pas aussi solide qu'elles le pensaient. Si le renforcement de la résilience de votre organisation face aux cyberattaques est l'une de vos principales priorités, le changement de perspective laissé à vos développeurs devrait faire partie de vos plans pour continuer à améliorer votre posture de sécurité. Une équipe de développeurs compétents et responsabilisés, qui conçoivent des codes sécurisés dès le départ et qui sont suffisamment informés pour localiser et corriger rapidement les vulnérabilités, est votre moyen le plus rentable d'atténuer les risques.
Une idée fausse en matière de formation des développeurs est qu'il s'agit simplement d'un coût pour l'entreprise ou même d'une police d'assurance. Selon Klaus Klinger, DevSec Awareness Evangelist chez Allianz, "Tout doit commencer dans la tête de la direction. Investir dans la formation des développeurs n'est pas un investissement perdu, mais un investissement dans la qualité, la productivité et la réputation de l'entreprise".
Le retour sur investissement est souvent difficile à quantifier dans ce domaine, mais en fin de compte, les entreprises devraient se demander comment leur dispositif de sécurité les aide à réduire les risques, à rationaliser leur approche et à faire gagner du temps et de la productivité à leurs équipes de développeurs.
Comment quantifier le retour sur investissement des coûts de cybersécurité ?
Lorsqu'il s'agit de retour sur investissement, il est important de l'envisager sous deux angles différents : les économies réalisées grâce à la réduction des risques et l'impact de votre formation en matière de sécurité.
Prenons cet exemple trop courant : une vulnérabilité ou une brèche entraîne la mise hors ligne d'un site de commerce électronique pendant plusieurs jours, le temps que ses équipes recherchent le problème et la manière de le résoudre. Le coût de l'absence de remédiation peut être quantifié en termes de perte de revenus pendant la panne, d'impact du vol d'informations d'identification, de perte de confiance des clients (entraînant une réduction des ventes à long terme) et de perte de productivité globale pendant la résolution du problème.
Il s'agit en fait d'une analyse coûts/bénéfices. Les domaines clés que vous voudrez évaluer sont le niveau de maturité de votre entreprise en matière de sécurité, les niveaux d'acceptation des risques de votre entreprise et les domaines de votre code qui doivent être maintenus ou améliorés.
Les gens se concentrent souvent sur les mauvaises mesures pour déterminer le succès et la valeur. Peut-être devrions-nous moins nous préoccuper du retour sur l'investissement initial du programme et plutôt mesurer l'impact du programme lui-même.
Mesurer pour prouver l'impact
Afin d'établir le retour sur investissement, vous devez créer des objectifs mesurables. Cela commence par l'évaluation des connaissances de vos développeurs en matière de codage sécurisé et par la compréhension des domaines dans lesquels ils ont besoin d'améliorer leurs compétences.
Un point de départ serait de mesurer l'engagement pour vous aider à prendre des décisions stratégiques sur la manière d'élaborer des programmes de formation plus riches. Plus important encore, mesurez l'impact. Commencez par examiner le nombre de faiblesses détectées dans le cycle de vie du développement logiciel par le biais de l'analyse du code, de la chasse aux bogues ou de tests de vulnérabilité classiques avant de lancer le programme dans chaque équipe. L'un des moyens les plus simples de savoir si votre programme de formation produit les résultats escomptés est de mesurer la diminution des vulnérabilités introduites dans votre base de code en général.
Principales questions pour évaluer le retour sur investissement :
1. Rationalisons-nous notre approche ?
Est-ceque vous ajoutez des outils au problème ou est-ce que vous le résolvez à la racine ? L'ajout d'outils à votre pile technologique crée une approche de type "swiss cheese" pour trouver et corriger les vulnérabilités. Ils augmentent également les coûts opérationnels sans avoir d'impact sur la source de nombreuses vulnérabilités, à savoir le code. Bien que les outils d'analyse et de pentesting doivent absolument faire partie de votre arsenal, ils ne doivent pas être votre dernière ligne de défense.
2. Améliorons-nous l'efficacité et la productivité ?
Le temps consacré à des revues de code exhaustives et à des remaniements du code renvoyé par l'AppSec peut entraîner une perte de productivité importante. Réduire les exercices d'évacuation en donnant aux équipes de développeurs les moyens de mettre la main à la pâte dans le cadre de leur formation au code sécurisé devrait constituer un bon point de référence pour évaluer l'impact positif de votre programme de sécurité.
3. réduisons-nous les risques ?
Trouver et corriger une vulnérabilité peut s'apparenter à la résolution d'un grand puzzle, qui peut parfois prendre des jours, des semaines, voire des mois avant d'être complété par une solution solide. En donnant aux développeurs les moyens de prendre en charge la remédiation à la source, l'AppSec peut se concentrer sur la surveillance des risques et le renforcement de la posture de sécurité de l'organisation.
4. Augmentons-nous la vitesse (tout en maintenant la qualité) ?
Livrer du code rapidement n'est pas toujours une bonne chose. Couper les coins ronds et introduire des vulnérabilités dans le code peut créer de nombreux maux de tête à l'avenir et accumuler de la dette technique. La réflexion à court terme n'est pas la solution. Il est possible d'atténuer les risques en sécurisant le code dès le départ, afin d'éviter que le problème ne s'aggrave à l'avenir.
Mesures recommandées pour le suivi :
- Engagement - combien de temps consacrez-vous à la formation et comment les développeurs s'engagent-ils ? Remplissent-ils courses, font-ils des évaluations et participent-ils à tournaments?
- Compétences - quels sont vos points forts ? Quels sont les domaines que vous avez identifiés comme devant être améliorés ?
- Réduction des vulnérabilités - avez-vous remarqué une diminution mesurable des vulnérabilités lors de l'examen du code ? Voyez-vous moins de travaux de reprise de la part de l'AppSec ?
- Productivité - combien de temps faut-il pour remédier à un problème ? Avez-vous remarqué une augmentation de la productivité ou de la vélocité grâce à la réduction de la vulnérabilité ?
Créer de la valeur en passant à gauche
Les failles et les vulnérabilités augmentent rapidement chaque année. Il est important de commencer à élaborer de manière proactive une approche holistique de la sécurité, en commençant d'abord par votre code. Cela vous aidera à
- Réduire la complexité en investissant dans vos ressources les plus précieuses - vos collaborateurs - au lieu de dépenser de l'argent dans des outils qui ne résolvent qu'une partie du problème.
- Améliorer l'efficience et l'efficacité globale en limitant les reprises ou les corrections qui seraient normalement identifiées par l'AppSec après le déploiement du code.
- Atténuez les risques et respectez la conformité, en évitant les amendes coûteuses, la perte de confiance des clients ou, pire encore, le coût d'une violation de données.
Évitez les réflexions à court terme et les solutions rapides. Elles ne peuvent qu'entraîner une dette technique et des coûts supplémentaires à terme. Planifiez à long terme en exploitant la puissance de la formation continue et en permettant à vos développeurs d'être votre meilleure ligne de défense contre les vulnérabilités et la cybercriminalité, et constatez par vous-même l'impact et les économies réalisées.
Table des matières
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.
Plongée en profondeur : Naviguer dans la vulnérabilité critique de CUPS dans les systèmes GNU-Linux
Découvrez les derniers défis de sécurité auxquels sont confrontés les utilisateurs de Linux en explorant les récentes vulnérabilités de haute sévérité dans le système d'impression commun d'UNIX (CUPS). Apprenez comment ces problèmes peuvent conduire à une potentielle exécution de code à distance (RCE) et ce que vous pouvez faire pour protéger vos systèmes.