Blog

La note de confiance révèle la valeur des initiatives d'amélioration de la sécurité par la conception

Matias Madou, Ph.D.
Publié le 13 novembre 2024

Un moyen sûr d'améliorer la posture de sécurité de votre organisation consiste à perfectionner les compétences des développeurs en matière de meilleures pratiques de codage sécurisé, dans un cadre qui comprend des lignes de base et des repères conçus pour donner aux développeurs les parcours d'apprentissage spécifiques dont ils ont besoin. Le codage sécurisé n'est toutefois pas une solution ponctuelle - il doit devenir un mode de vie, inscrit dans l'ADN de l'organisation. Les développeurs doivent non seulement passer à gauche, ou commencer à gauche, mais aussi rester à gauche. 

Il ne suffit pas de dispenser une formation. Les entreprises doivent s'assurer que les développeurs ont bien assimilé leur formation et qu'ils suivent les meilleures pratiques au début du cycle de développement logiciel (SDLC) dans le cadre de leurs activités quotidiennes. Vous devez suivre les performances des développeurs et mesurer leurs progrès par rapport aux normes internes et aux références du secteur, afin de mesurer efficacement le retour sur investissement de l'investissement dans la formation.

Secure Code WarriorLe score de confiance de Trust fournit une visibilité sur les performances des développeurs individuels et regroupe les données pour fournir un assessment de la performance globale de votre organisation. Il montre l'efficacité des programmes de perfectionnement tout en identifiant les domaines nécessitant des améliorations. Enfin, il contribue à garantir la conformité aux diverses exigences réglementaires, qu'elles proviennent du règlement général sur la protection des données(RGPD), de la norme de sécurité des données de l'industrie des cartes de paiement(PCI DSS), de la loi californienne sur la protection de la vie privée des consommateurs(CCPA), ou d'autres encore.

Nos recherches ont montré que la formation au code sécurisé fonctionne. Le Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité à réduire les vulnérabilités et la manière de rendre l'initiative encore plus efficace.

La formation améliore la sécurité - si les développeurs s'y mettent 

Pendant des années, l'utilisation des meilleures pratiques en matière de sécurité dès le début du cycle de développement logiciel (SDLC) a semblé être une aspiration dans l'industrie du logiciel - une bonne chose à avoir un jour, mais pas une priorité pour aujourd'hui. Mais la vitesse toujours croissante du développement de logiciels, ainsi que l'accélération du rythme des cybermenaces sophistiquées et destructrices - souvent fondées sur le ciblage des vulnérabilités logicielles - ont fait du codage sécurisé une nécessité. L'Agence pour la cybersécurité et la sécurité des infrastructures(CISA) met le code sécurisé au premier plan avec son initiative Secure-by-Design, qui est en train de devenir un mouvement international

Nos recherches l'ont prouvé : la corrélation entre l'approche Secure-by-Design et la réduction des vulnérabilités des logiciels est évidente. Nous avons analysé les données relatives à la réduction des vulnérabilités de 26 % de la clientèle de SCW et avons constaté que la formation des développeurs entraînait une réduction des vulnérabilités logicielles allant de 22 % à 84 %. Cette fourchette résulte de variables telles que la taille des entreprises concernées (les petites entreprises comptant relativement peu de développeurs ont produit une fourchette de résultats plus spectaculaire) et le fait qu'un groupe d'apprentissage se soit concentré sur un problème spécifique, auquel cas il a éliminé un pourcentage plus élevé de failles.

Les résultats obtenus auprès des grandes entreprises sont assez cohérents. Les entreprises comptant 7 000 développeurs ou plus peuvent s'attendre à voir les vulnérabilités réduites de 47 % à 53 % grâce à l'amélioration des compétences des développeurs en matière de sécurité. Par exemple, une entreprise statistiquement moyenne comptant plus de 10 000 développeurs - qui n'est pas l'une des plus performantes sur la plateforme ni l'une des plus performantes - a constaté une réduction de 53 % des vulnérabilités. 

Bien entendu, la formation la plus efficace n'adopte pas une approche générale et universelle. Elle doit être adaptée à l'environnement de travail des développeurs et aux types de développement qu'ils effectuent.

Les entreprises devraient commencer par définir les compétences de base que les développeurs doivent posséder pour que l'écriture de codes sécurisés leur soit aussi naturelle que l'écriture de codes tout court. Les programmes de perfectionnement devraient consister en une formation pratique et agile dans des scénarios réels qui correspondent au type de travail qu'ils effectuent et aux langages qu'ils utilisent. Ils doivent être suffisamment souples pour que les sessions de formation s'intègrent dans leur emploi du temps. 

Pour les développeurs, les compétences ne se limitent pas à l'écriture de codes. Ils doivent être en mesure de vérifier les logiciels créés par les assistants d'intelligence artificielle et les tiers, tels que les dépôts de logiciels libres. Les développeurs ont fait un usage intensif des modèles d'IA générative, et ils ont généralement loué ses avantages en les aidant à créer plus de code plus rapidement. Cependant, bien que 76 % des personnes interrogées dans le cadre d'une enquête Snyk aient déclaré que le code généré par l'IA était plus sûr que le code produit par des humains, 56,4 % d'entre elles ont déclaré que l'IA introduisait parfois ou fréquemment des erreurs. La même enquête a révélé que 80 % des développeurs n'appliquent pas les politiques de sécurité du code de l'IA, ce qui suggère que les problèmes liés au code de l'IA ne sont pas pris en compte.

Dans le cadre d'une approche "Secure-by-Design", les développeurs - en collaboration avec les équipes de sécurité, plutôt que séparément - s'attaquent à ces problèmes dès le début du cycle de développement durable, en identifiant et en corrigeant les failles avant que le code ne soit mis en production.

La note de confiance mesure les performances des individus et des entreprises

Il est également essentiel que la formation soit continue. Les entreprises doivent adopter une culture de la sécurité qui s'applique partout, depuis les échelons les plus élevés de l'entreprise jusqu'aux échelons inférieurs. Cette culture doit être axée sur l'amélioration continue et l'application des meilleures pratiques de sécurité tout au long du cycle de développement durable. La technologie et les cybercriminels ne cessent d'évoluer ; la cybersécurité non plus. Pour les organisations qui produisent des logiciels, les développeurs formés à la sécurité sont la base.

C'est pourquoi il est tout aussi important de démontrer que la formation a été effectivement suivie que la formation elle-même. Trust Score offre non seulement une visibilité sur les performances des développeurs individuellement et de l'organisation dans son ensemble, mais il permet également aux organisations d'approfondir les données de performance pour se concentrer sur des langues, des équipes de développeurs ou des catégories de logiciels spécifiques. Les données des performances individuelles et agrégées permettent également d'identifier les domaines dans lesquels la formation doit être améliorée, par exemple si elle n'a pas l'effet escompté sur les performances quotidiennes des développeurs.

Trust Score a permis aux organisations d'évaluer les performances des développeurs et de confirmer qu'ils ont acquis - et utilisent - les compétences nécessaires en matière de sécurité, en s'assurant qu'ils ont gagné leur licence de codage. Il permet aux organisations d'accorder en toute confiance aux développeurs qualifiés l'accès à leurs données les plus sensibles et à leurs projets logiciels critiques, tout en refusant cet accès à ceux qui ne sont pas encore tout à fait prêts.

Preuve de l'évolution de la culture de la sécurité

La cybersécurité n'est plus seulement un problème de sécurité. Il s'agit d'une question commerciale, qui affecte l'intégrité de l'actif le plus précieux de nombreuses organisations : leurs données. Une violation grave affecte les opérations d'une organisation, sa réputation et, potentiellement, sa viabilité. L'importance de la cybersécurité n'a pas échappé aux organismes de réglementation, qui ont mis en place des règles de plus en plus strictes et se sont montrés disposés à poursuivre les RSSI et, éventuellement, d'autres membres de la haute direction, jusqu'à engager des poursuites pénales, comme dans les cas d'Uber et de SolarWinds

L'adoption d'une culture de la sécurité à l'échelle de l'entreprise est essentielle dans l'environnement actuel. Et parce qu'une grande partie de la valeur d'une entreprise repose sur ses données, ses applications et ses services, le codage sécurisé est un élément essentiel de cette culture. Une formation ciblée et une amélioration des compétences dans le cadre d'un état d'esprit culturel, ainsi que la preuve que la formation a contribué à changer la culture, peuvent mettre les organisations sur la voie du renforcement de leurs positions en matière de sécurité. 


Les programmes de sécurité mis en place par les développeurs sont utiles. La preuve en est la note de confiance.

Voir la ressource
Voir la ressource

Nos recherches ont montré que la formation au code sécurisé fonctionne. Le Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité à réduire les vulnérabilités et la manière de rendre l'initiative encore plus efficace.

Vous souhaitez en savoir plus ?

Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstration
Partager sur :
Auteur
Matias Madou, Ph.D.
Publié le 13 novembre 2024

Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.

Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.

Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.

Partager sur :

Un moyen sûr d'améliorer la posture de sécurité de votre organisation consiste à perfectionner les compétences des développeurs en matière de meilleures pratiques de codage sécurisé, dans un cadre qui comprend des lignes de base et des repères conçus pour donner aux développeurs les parcours d'apprentissage spécifiques dont ils ont besoin. Le codage sécurisé n'est toutefois pas une solution ponctuelle - il doit devenir un mode de vie, inscrit dans l'ADN de l'organisation. Les développeurs doivent non seulement passer à gauche, ou commencer à gauche, mais aussi rester à gauche. 

Il ne suffit pas de dispenser une formation. Les entreprises doivent s'assurer que les développeurs ont bien assimilé leur formation et qu'ils suivent les meilleures pratiques au début du cycle de développement logiciel (SDLC) dans le cadre de leurs activités quotidiennes. Vous devez suivre les performances des développeurs et mesurer leurs progrès par rapport aux normes internes et aux références du secteur, afin de mesurer efficacement le retour sur investissement de l'investissement dans la formation.

Secure Code WarriorLe score de confiance de Trust fournit une visibilité sur les performances des développeurs individuels et regroupe les données pour fournir un assessment de la performance globale de votre organisation. Il montre l'efficacité des programmes de perfectionnement tout en identifiant les domaines nécessitant des améliorations. Enfin, il contribue à garantir la conformité aux diverses exigences réglementaires, qu'elles proviennent du règlement général sur la protection des données(RGPD), de la norme de sécurité des données de l'industrie des cartes de paiement(PCI DSS), de la loi californienne sur la protection de la vie privée des consommateurs(CCPA), ou d'autres encore.

Nos recherches ont montré que la formation au code sécurisé fonctionne. Le Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité à réduire les vulnérabilités et la manière de rendre l'initiative encore plus efficace.

La formation améliore la sécurité - si les développeurs s'y mettent 

Pendant des années, l'utilisation des meilleures pratiques en matière de sécurité dès le début du cycle de développement logiciel (SDLC) a semblé être une aspiration dans l'industrie du logiciel - une bonne chose à avoir un jour, mais pas une priorité pour aujourd'hui. Mais la vitesse toujours croissante du développement de logiciels, ainsi que l'accélération du rythme des cybermenaces sophistiquées et destructrices - souvent fondées sur le ciblage des vulnérabilités logicielles - ont fait du codage sécurisé une nécessité. L'Agence pour la cybersécurité et la sécurité des infrastructures(CISA) met le code sécurisé au premier plan avec son initiative Secure-by-Design, qui est en train de devenir un mouvement international

Nos recherches l'ont prouvé : la corrélation entre l'approche Secure-by-Design et la réduction des vulnérabilités des logiciels est évidente. Nous avons analysé les données relatives à la réduction des vulnérabilités de 26 % de la clientèle de SCW et avons constaté que la formation des développeurs entraînait une réduction des vulnérabilités logicielles allant de 22 % à 84 %. Cette fourchette résulte de variables telles que la taille des entreprises concernées (les petites entreprises comptant relativement peu de développeurs ont produit une fourchette de résultats plus spectaculaire) et le fait qu'un groupe d'apprentissage se soit concentré sur un problème spécifique, auquel cas il a éliminé un pourcentage plus élevé de failles.

Les résultats obtenus auprès des grandes entreprises sont assez cohérents. Les entreprises comptant 7 000 développeurs ou plus peuvent s'attendre à voir les vulnérabilités réduites de 47 % à 53 % grâce à l'amélioration des compétences des développeurs en matière de sécurité. Par exemple, une entreprise statistiquement moyenne comptant plus de 10 000 développeurs - qui n'est pas l'une des plus performantes sur la plateforme ni l'une des plus performantes - a constaté une réduction de 53 % des vulnérabilités. 

Bien entendu, la formation la plus efficace n'adopte pas une approche générale et universelle. Elle doit être adaptée à l'environnement de travail des développeurs et aux types de développement qu'ils effectuent.

Les entreprises devraient commencer par définir les compétences de base que les développeurs doivent posséder pour que l'écriture de codes sécurisés leur soit aussi naturelle que l'écriture de codes tout court. Les programmes de perfectionnement devraient consister en une formation pratique et agile dans des scénarios réels qui correspondent au type de travail qu'ils effectuent et aux langages qu'ils utilisent. Ils doivent être suffisamment souples pour que les sessions de formation s'intègrent dans leur emploi du temps. 

Pour les développeurs, les compétences ne se limitent pas à l'écriture de codes. Ils doivent être en mesure de vérifier les logiciels créés par les assistants d'intelligence artificielle et les tiers, tels que les dépôts de logiciels libres. Les développeurs ont fait un usage intensif des modèles d'IA générative, et ils ont généralement loué ses avantages en les aidant à créer plus de code plus rapidement. Cependant, bien que 76 % des personnes interrogées dans le cadre d'une enquête Snyk aient déclaré que le code généré par l'IA était plus sûr que le code produit par des humains, 56,4 % d'entre elles ont déclaré que l'IA introduisait parfois ou fréquemment des erreurs. La même enquête a révélé que 80 % des développeurs n'appliquent pas les politiques de sécurité du code de l'IA, ce qui suggère que les problèmes liés au code de l'IA ne sont pas pris en compte.

Dans le cadre d'une approche "Secure-by-Design", les développeurs - en collaboration avec les équipes de sécurité, plutôt que séparément - s'attaquent à ces problèmes dès le début du cycle de développement durable, en identifiant et en corrigeant les failles avant que le code ne soit mis en production.

La note de confiance mesure les performances des individus et des entreprises

Il est également essentiel que la formation soit continue. Les entreprises doivent adopter une culture de la sécurité qui s'applique partout, depuis les échelons les plus élevés de l'entreprise jusqu'aux échelons inférieurs. Cette culture doit être axée sur l'amélioration continue et l'application des meilleures pratiques de sécurité tout au long du cycle de développement durable. La technologie et les cybercriminels ne cessent d'évoluer ; la cybersécurité non plus. Pour les organisations qui produisent des logiciels, les développeurs formés à la sécurité sont la base.

C'est pourquoi il est tout aussi important de démontrer que la formation a été effectivement suivie que la formation elle-même. Trust Score offre non seulement une visibilité sur les performances des développeurs individuellement et de l'organisation dans son ensemble, mais il permet également aux organisations d'approfondir les données de performance pour se concentrer sur des langues, des équipes de développeurs ou des catégories de logiciels spécifiques. Les données des performances individuelles et agrégées permettent également d'identifier les domaines dans lesquels la formation doit être améliorée, par exemple si elle n'a pas l'effet escompté sur les performances quotidiennes des développeurs.

Trust Score a permis aux organisations d'évaluer les performances des développeurs et de confirmer qu'ils ont acquis - et utilisent - les compétences nécessaires en matière de sécurité, en s'assurant qu'ils ont gagné leur licence de codage. Il permet aux organisations d'accorder en toute confiance aux développeurs qualifiés l'accès à leurs données les plus sensibles et à leurs projets logiciels critiques, tout en refusant cet accès à ceux qui ne sont pas encore tout à fait prêts.

Preuve de l'évolution de la culture de la sécurité

La cybersécurité n'est plus seulement un problème de sécurité. Il s'agit d'une question commerciale, qui affecte l'intégrité de l'actif le plus précieux de nombreuses organisations : leurs données. Une violation grave affecte les opérations d'une organisation, sa réputation et, potentiellement, sa viabilité. L'importance de la cybersécurité n'a pas échappé aux organismes de réglementation, qui ont mis en place des règles de plus en plus strictes et se sont montrés disposés à poursuivre les RSSI et, éventuellement, d'autres membres de la haute direction, jusqu'à engager des poursuites pénales, comme dans les cas d'Uber et de SolarWinds

L'adoption d'une culture de la sécurité à l'échelle de l'entreprise est essentielle dans l'environnement actuel. Et parce qu'une grande partie de la valeur d'une entreprise repose sur ses données, ses applications et ses services, le codage sécurisé est un élément essentiel de cette culture. Une formation ciblée et une amélioration des compétences dans le cadre d'un état d'esprit culturel, ainsi que la preuve que la formation a contribué à changer la culture, peuvent mettre les organisations sur la voie du renforcement de leurs positions en matière de sécurité. 


Les programmes de sécurité mis en place par les développeurs sont utiles. La preuve en est la note de confiance.

Voir la ressource
Voir la ressource

Remplissez le formulaire ci-dessous pour télécharger le rapport

Nous aimerions que vous nous autorisiez à vous envoyer des informations sur nos produits et/ou sur des sujets liés au codage sécurisé. Nous traiterons toujours vos données personnelles avec le plus grand soin et ne les vendrons jamais à d'autres entreprises à des fins de marketing.

Soumettre
Pour soumettre le formulaire, veuillez activer les cookies "Analytics". N'hésitez pas à les désactiver à nouveau une fois que vous aurez terminé.

Un moyen sûr d'améliorer la posture de sécurité de votre organisation consiste à perfectionner les compétences des développeurs en matière de meilleures pratiques de codage sécurisé, dans un cadre qui comprend des lignes de base et des repères conçus pour donner aux développeurs les parcours d'apprentissage spécifiques dont ils ont besoin. Le codage sécurisé n'est toutefois pas une solution ponctuelle - il doit devenir un mode de vie, inscrit dans l'ADN de l'organisation. Les développeurs doivent non seulement passer à gauche, ou commencer à gauche, mais aussi rester à gauche. 

Il ne suffit pas de dispenser une formation. Les entreprises doivent s'assurer que les développeurs ont bien assimilé leur formation et qu'ils suivent les meilleures pratiques au début du cycle de développement logiciel (SDLC) dans le cadre de leurs activités quotidiennes. Vous devez suivre les performances des développeurs et mesurer leurs progrès par rapport aux normes internes et aux références du secteur, afin de mesurer efficacement le retour sur investissement de l'investissement dans la formation.

Secure Code WarriorLe score de confiance de Trust fournit une visibilité sur les performances des développeurs individuels et regroupe les données pour fournir un assessment de la performance globale de votre organisation. Il montre l'efficacité des programmes de perfectionnement tout en identifiant les domaines nécessitant des améliorations. Enfin, il contribue à garantir la conformité aux diverses exigences réglementaires, qu'elles proviennent du règlement général sur la protection des données(RGPD), de la norme de sécurité des données de l'industrie des cartes de paiement(PCI DSS), de la loi californienne sur la protection de la vie privée des consommateurs(CCPA), ou d'autres encore.

Nos recherches ont montré que la formation au code sécurisé fonctionne. Le Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité à réduire les vulnérabilités et la manière de rendre l'initiative encore plus efficace.

La formation améliore la sécurité - si les développeurs s'y mettent 

Pendant des années, l'utilisation des meilleures pratiques en matière de sécurité dès le début du cycle de développement logiciel (SDLC) a semblé être une aspiration dans l'industrie du logiciel - une bonne chose à avoir un jour, mais pas une priorité pour aujourd'hui. Mais la vitesse toujours croissante du développement de logiciels, ainsi que l'accélération du rythme des cybermenaces sophistiquées et destructrices - souvent fondées sur le ciblage des vulnérabilités logicielles - ont fait du codage sécurisé une nécessité. L'Agence pour la cybersécurité et la sécurité des infrastructures(CISA) met le code sécurisé au premier plan avec son initiative Secure-by-Design, qui est en train de devenir un mouvement international

Nos recherches l'ont prouvé : la corrélation entre l'approche Secure-by-Design et la réduction des vulnérabilités des logiciels est évidente. Nous avons analysé les données relatives à la réduction des vulnérabilités de 26 % de la clientèle de SCW et avons constaté que la formation des développeurs entraînait une réduction des vulnérabilités logicielles allant de 22 % à 84 %. Cette fourchette résulte de variables telles que la taille des entreprises concernées (les petites entreprises comptant relativement peu de développeurs ont produit une fourchette de résultats plus spectaculaire) et le fait qu'un groupe d'apprentissage se soit concentré sur un problème spécifique, auquel cas il a éliminé un pourcentage plus élevé de failles.

Les résultats obtenus auprès des grandes entreprises sont assez cohérents. Les entreprises comptant 7 000 développeurs ou plus peuvent s'attendre à voir les vulnérabilités réduites de 47 % à 53 % grâce à l'amélioration des compétences des développeurs en matière de sécurité. Par exemple, une entreprise statistiquement moyenne comptant plus de 10 000 développeurs - qui n'est pas l'une des plus performantes sur la plateforme ni l'une des plus performantes - a constaté une réduction de 53 % des vulnérabilités. 

Bien entendu, la formation la plus efficace n'adopte pas une approche générale et universelle. Elle doit être adaptée à l'environnement de travail des développeurs et aux types de développement qu'ils effectuent.

Les entreprises devraient commencer par définir les compétences de base que les développeurs doivent posséder pour que l'écriture de codes sécurisés leur soit aussi naturelle que l'écriture de codes tout court. Les programmes de perfectionnement devraient consister en une formation pratique et agile dans des scénarios réels qui correspondent au type de travail qu'ils effectuent et aux langages qu'ils utilisent. Ils doivent être suffisamment souples pour que les sessions de formation s'intègrent dans leur emploi du temps. 

Pour les développeurs, les compétences ne se limitent pas à l'écriture de codes. Ils doivent être en mesure de vérifier les logiciels créés par les assistants d'intelligence artificielle et les tiers, tels que les dépôts de logiciels libres. Les développeurs ont fait un usage intensif des modèles d'IA générative, et ils ont généralement loué ses avantages en les aidant à créer plus de code plus rapidement. Cependant, bien que 76 % des personnes interrogées dans le cadre d'une enquête Snyk aient déclaré que le code généré par l'IA était plus sûr que le code produit par des humains, 56,4 % d'entre elles ont déclaré que l'IA introduisait parfois ou fréquemment des erreurs. La même enquête a révélé que 80 % des développeurs n'appliquent pas les politiques de sécurité du code de l'IA, ce qui suggère que les problèmes liés au code de l'IA ne sont pas pris en compte.

Dans le cadre d'une approche "Secure-by-Design", les développeurs - en collaboration avec les équipes de sécurité, plutôt que séparément - s'attaquent à ces problèmes dès le début du cycle de développement durable, en identifiant et en corrigeant les failles avant que le code ne soit mis en production.

La note de confiance mesure les performances des individus et des entreprises

Il est également essentiel que la formation soit continue. Les entreprises doivent adopter une culture de la sécurité qui s'applique partout, depuis les échelons les plus élevés de l'entreprise jusqu'aux échelons inférieurs. Cette culture doit être axée sur l'amélioration continue et l'application des meilleures pratiques de sécurité tout au long du cycle de développement durable. La technologie et les cybercriminels ne cessent d'évoluer ; la cybersécurité non plus. Pour les organisations qui produisent des logiciels, les développeurs formés à la sécurité sont la base.

C'est pourquoi il est tout aussi important de démontrer que la formation a été effectivement suivie que la formation elle-même. Trust Score offre non seulement une visibilité sur les performances des développeurs individuellement et de l'organisation dans son ensemble, mais il permet également aux organisations d'approfondir les données de performance pour se concentrer sur des langues, des équipes de développeurs ou des catégories de logiciels spécifiques. Les données des performances individuelles et agrégées permettent également d'identifier les domaines dans lesquels la formation doit être améliorée, par exemple si elle n'a pas l'effet escompté sur les performances quotidiennes des développeurs.

Trust Score a permis aux organisations d'évaluer les performances des développeurs et de confirmer qu'ils ont acquis - et utilisent - les compétences nécessaires en matière de sécurité, en s'assurant qu'ils ont gagné leur licence de codage. Il permet aux organisations d'accorder en toute confiance aux développeurs qualifiés l'accès à leurs données les plus sensibles et à leurs projets logiciels critiques, tout en refusant cet accès à ceux qui ne sont pas encore tout à fait prêts.

Preuve de l'évolution de la culture de la sécurité

La cybersécurité n'est plus seulement un problème de sécurité. Il s'agit d'une question commerciale, qui affecte l'intégrité de l'actif le plus précieux de nombreuses organisations : leurs données. Une violation grave affecte les opérations d'une organisation, sa réputation et, potentiellement, sa viabilité. L'importance de la cybersécurité n'a pas échappé aux organismes de réglementation, qui ont mis en place des règles de plus en plus strictes et se sont montrés disposés à poursuivre les RSSI et, éventuellement, d'autres membres de la haute direction, jusqu'à engager des poursuites pénales, comme dans les cas d'Uber et de SolarWinds

L'adoption d'une culture de la sécurité à l'échelle de l'entreprise est essentielle dans l'environnement actuel. Et parce qu'une grande partie de la valeur d'une entreprise repose sur ses données, ses applications et ses services, le codage sécurisé est un élément essentiel de cette culture. Une formation ciblée et une amélioration des compétences dans le cadre d'un état d'esprit culturel, ainsi que la preuve que la formation a contribué à changer la culture, peuvent mettre les organisations sur la voie du renforcement de leurs positions en matière de sécurité. 


Les programmes de sécurité mis en place par les développeurs sont utiles. La preuve en est la note de confiance.

Commencez

Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Voir le rapportRéservez une démonstration
Télécharger le PDF
Voir la ressource
Partager sur :
Vous souhaitez en savoir plus ?

Partager sur :
Auteur
Matias Madou, Ph.D.
Publié le 13 novembre 2024

Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.

Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.

Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.

Partager sur :

Un moyen sûr d'améliorer la posture de sécurité de votre organisation consiste à perfectionner les compétences des développeurs en matière de meilleures pratiques de codage sécurisé, dans un cadre qui comprend des lignes de base et des repères conçus pour donner aux développeurs les parcours d'apprentissage spécifiques dont ils ont besoin. Le codage sécurisé n'est toutefois pas une solution ponctuelle - il doit devenir un mode de vie, inscrit dans l'ADN de l'organisation. Les développeurs doivent non seulement passer à gauche, ou commencer à gauche, mais aussi rester à gauche. 

Il ne suffit pas de dispenser une formation. Les entreprises doivent s'assurer que les développeurs ont bien assimilé leur formation et qu'ils suivent les meilleures pratiques au début du cycle de développement logiciel (SDLC) dans le cadre de leurs activités quotidiennes. Vous devez suivre les performances des développeurs et mesurer leurs progrès par rapport aux normes internes et aux références du secteur, afin de mesurer efficacement le retour sur investissement de l'investissement dans la formation.

Secure Code WarriorLe score de confiance de Trust fournit une visibilité sur les performances des développeurs individuels et regroupe les données pour fournir un assessment de la performance globale de votre organisation. Il montre l'efficacité des programmes de perfectionnement tout en identifiant les domaines nécessitant des améliorations. Enfin, il contribue à garantir la conformité aux diverses exigences réglementaires, qu'elles proviennent du règlement général sur la protection des données(RGPD), de la norme de sécurité des données de l'industrie des cartes de paiement(PCI DSS), de la loi californienne sur la protection de la vie privée des consommateurs(CCPA), ou d'autres encore.

Nos recherches ont montré que la formation au code sécurisé fonctionne. Le Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité à réduire les vulnérabilités et la manière de rendre l'initiative encore plus efficace.

La formation améliore la sécurité - si les développeurs s'y mettent 

Pendant des années, l'utilisation des meilleures pratiques en matière de sécurité dès le début du cycle de développement logiciel (SDLC) a semblé être une aspiration dans l'industrie du logiciel - une bonne chose à avoir un jour, mais pas une priorité pour aujourd'hui. Mais la vitesse toujours croissante du développement de logiciels, ainsi que l'accélération du rythme des cybermenaces sophistiquées et destructrices - souvent fondées sur le ciblage des vulnérabilités logicielles - ont fait du codage sécurisé une nécessité. L'Agence pour la cybersécurité et la sécurité des infrastructures(CISA) met le code sécurisé au premier plan avec son initiative Secure-by-Design, qui est en train de devenir un mouvement international

Nos recherches l'ont prouvé : la corrélation entre l'approche Secure-by-Design et la réduction des vulnérabilités des logiciels est évidente. Nous avons analysé les données relatives à la réduction des vulnérabilités de 26 % de la clientèle de SCW et avons constaté que la formation des développeurs entraînait une réduction des vulnérabilités logicielles allant de 22 % à 84 %. Cette fourchette résulte de variables telles que la taille des entreprises concernées (les petites entreprises comptant relativement peu de développeurs ont produit une fourchette de résultats plus spectaculaire) et le fait qu'un groupe d'apprentissage se soit concentré sur un problème spécifique, auquel cas il a éliminé un pourcentage plus élevé de failles.

Les résultats obtenus auprès des grandes entreprises sont assez cohérents. Les entreprises comptant 7 000 développeurs ou plus peuvent s'attendre à voir les vulnérabilités réduites de 47 % à 53 % grâce à l'amélioration des compétences des développeurs en matière de sécurité. Par exemple, une entreprise statistiquement moyenne comptant plus de 10 000 développeurs - qui n'est pas l'une des plus performantes sur la plateforme ni l'une des plus performantes - a constaté une réduction de 53 % des vulnérabilités. 

Bien entendu, la formation la plus efficace n'adopte pas une approche générale et universelle. Elle doit être adaptée à l'environnement de travail des développeurs et aux types de développement qu'ils effectuent.

Les entreprises devraient commencer par définir les compétences de base que les développeurs doivent posséder pour que l'écriture de codes sécurisés leur soit aussi naturelle que l'écriture de codes tout court. Les programmes de perfectionnement devraient consister en une formation pratique et agile dans des scénarios réels qui correspondent au type de travail qu'ils effectuent et aux langages qu'ils utilisent. Ils doivent être suffisamment souples pour que les sessions de formation s'intègrent dans leur emploi du temps. 

Pour les développeurs, les compétences ne se limitent pas à l'écriture de codes. Ils doivent être en mesure de vérifier les logiciels créés par les assistants d'intelligence artificielle et les tiers, tels que les dépôts de logiciels libres. Les développeurs ont fait un usage intensif des modèles d'IA générative, et ils ont généralement loué ses avantages en les aidant à créer plus de code plus rapidement. Cependant, bien que 76 % des personnes interrogées dans le cadre d'une enquête Snyk aient déclaré que le code généré par l'IA était plus sûr que le code produit par des humains, 56,4 % d'entre elles ont déclaré que l'IA introduisait parfois ou fréquemment des erreurs. La même enquête a révélé que 80 % des développeurs n'appliquent pas les politiques de sécurité du code de l'IA, ce qui suggère que les problèmes liés au code de l'IA ne sont pas pris en compte.

Dans le cadre d'une approche "Secure-by-Design", les développeurs - en collaboration avec les équipes de sécurité, plutôt que séparément - s'attaquent à ces problèmes dès le début du cycle de développement durable, en identifiant et en corrigeant les failles avant que le code ne soit mis en production.

La note de confiance mesure les performances des individus et des entreprises

Il est également essentiel que la formation soit continue. Les entreprises doivent adopter une culture de la sécurité qui s'applique partout, depuis les échelons les plus élevés de l'entreprise jusqu'aux échelons inférieurs. Cette culture doit être axée sur l'amélioration continue et l'application des meilleures pratiques de sécurité tout au long du cycle de développement durable. La technologie et les cybercriminels ne cessent d'évoluer ; la cybersécurité non plus. Pour les organisations qui produisent des logiciels, les développeurs formés à la sécurité sont la base.

C'est pourquoi il est tout aussi important de démontrer que la formation a été effectivement suivie que la formation elle-même. Trust Score offre non seulement une visibilité sur les performances des développeurs individuellement et de l'organisation dans son ensemble, mais il permet également aux organisations d'approfondir les données de performance pour se concentrer sur des langues, des équipes de développeurs ou des catégories de logiciels spécifiques. Les données des performances individuelles et agrégées permettent également d'identifier les domaines dans lesquels la formation doit être améliorée, par exemple si elle n'a pas l'effet escompté sur les performances quotidiennes des développeurs.

Trust Score a permis aux organisations d'évaluer les performances des développeurs et de confirmer qu'ils ont acquis - et utilisent - les compétences nécessaires en matière de sécurité, en s'assurant qu'ils ont gagné leur licence de codage. Il permet aux organisations d'accorder en toute confiance aux développeurs qualifiés l'accès à leurs données les plus sensibles et à leurs projets logiciels critiques, tout en refusant cet accès à ceux qui ne sont pas encore tout à fait prêts.

Preuve de l'évolution de la culture de la sécurité

La cybersécurité n'est plus seulement un problème de sécurité. Il s'agit d'une question commerciale, qui affecte l'intégrité de l'actif le plus précieux de nombreuses organisations : leurs données. Une violation grave affecte les opérations d'une organisation, sa réputation et, potentiellement, sa viabilité. L'importance de la cybersécurité n'a pas échappé aux organismes de réglementation, qui ont mis en place des règles de plus en plus strictes et se sont montrés disposés à poursuivre les RSSI et, éventuellement, d'autres membres de la haute direction, jusqu'à engager des poursuites pénales, comme dans les cas d'Uber et de SolarWinds

L'adoption d'une culture de la sécurité à l'échelle de l'entreprise est essentielle dans l'environnement actuel. Et parce qu'une grande partie de la valeur d'une entreprise repose sur ses données, ses applications et ses services, le codage sécurisé est un élément essentiel de cette culture. Une formation ciblée et une amélioration des compétences dans le cadre d'un état d'esprit culturel, ainsi que la preuve que la formation a contribué à changer la culture, peuvent mettre les organisations sur la voie du renforcement de leurs positions en matière de sécurité. 


Les programmes de sécurité mis en place par les développeurs sont utiles. La preuve en est la note de confiance.

Table des matières

Télécharger le PDF
Voir la ressource
Vous souhaitez en savoir plus ?

Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstrationTélécharger
Partager sur :
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles