À l'horizon 2025, après une année passionnante et pleine de défis, l'intersection de l'IA et du développement logiciel continuera à façonner la communauté des développeurs de manière significative. 

Les organisations sont confrontées à des décisions difficiles sur l'utilisation de l'IA pour soutenir la productivité à long terme, la durabilité et le retour sur investissement de la sécurité. Au cours des dernières années, il nous est apparu clairement que l'IA ne remplacera jamais complètement le rôle du développeur. Des partenariats IA + développeurs aux pressions croissantes (et à la confusion) autour des attentes en matière de conception sécurisée, examinons de plus près ce à quoi nous pouvons nous attendre l'année prochaine :
‍

Réécrire l'équation de l'IA : Non pas l'IA au lieu du développeur, mais l'IA + le développeur

"Alors que les entreprises sont incitées à prendre des mesures drastiques de réduction des coûts en 2025, il ne serait surprenant pour personne que les développeurs soient remplacés par des outils d'IA. Mais comme c'était le cas lorsque l'IA générative a fait ses débuts et maintenant avec des années de mises à jour et d'autres à venir, elle n'est toujours pas un moteur de productivité sûr et autonome, en particulier lorsqu'il s'agit de créer du code. L'IA est une technologie extrêmement perturbatrice avec de nombreuses applications et cas d'utilisation étonnants, mais elle n'est pas suffisante pour remplacer les développeurs humains qualifiés. Je suis d'accord avec la prédiction de Forrester selon laquelle cette évolution vers le remplacement de l'IA par l'homme en 2025 est susceptible d'échouer, en particulier à long terme. Je pense que la combinaison IA+développeur est plus susceptible d'y parvenir que l'IA seule."

‍

L'IA, un mélange de risques et d'opportunités

"En 2025, nous verrons émerger de nouveaux cas de risque liés au code généré par l'IA, y compris les effets néfastes de problèmes connus tels que le squattage par hallucination, les bibliothèques empoisonnées et les exploits affectant la chaîne d'approvisionnement en logiciels. En outre, l'IA sera de plus en plus utilisée pour trouver des failles dans le code, ainsi que pour écrire des exploits, comme le Projet Zéro de Google vient de le démontrer. En revanche, je pense que nous verrons également certains niveaux initiaux de maturité atteints par les développeurs d'entreprise capables d'exploiter ces outils dans leur travail sans ajouter trop de risques supplémentaires, mais ce sera l'exception et non la règle, et cela dépendra de leur organisation qui mesurera activement les risques pour les développeurs et ajustera son programme de sécurité en conséquence. Dans l'environnement de menaces en évolution rapide que 2025 ne manquera pas d'apporter, ce seront les développeurs compétents, sensibilisés à la sécurité et disposant d'outils de codage IA approuvés qui seront en mesure de produire du code plus rapidement, tandis que les développeurs peu sensibilisés à la sécurité et disposant de compétences générales ne feront qu'introduire davantage de problèmes, et à des vitesses plus élevées." 

‍

Sortir de l'ombre de l'IA

" Le paysage législatif autour de l'IA évolue rapidement pour tenter de suivre les progrès fréquents de la technologie et son taux d'adoption. En 2025, les responsables de la sécurité doivent s'assurer qu'ils sont prêts à se conformer aux directives potentielles. La combinaison des éléments suivants - comprendre la nature de l'"IA de l'ombre" et s'assurer qu'elle n'est pas utilisée dans l'organisation, puis l'utilisation stricte d'outils approuvés et vérifiés installés sur les systèmes de l'entreprise - s'avérera la plus critique pour les organisations au cours de l'année à venir. Cela conduira à une plus grande assessment de la cohorte de développement, pour comprendre comment ils doivent être mieux soutenus pour développer continuellement leurs prouesses en matière de sécurité et l'appliquer à tous les aspects de leur travail."

‍

La sécurité des outils d'IA sera une mesure clé pour les développeurs

"À l'heure actuelle, le marché des outils de codage alimentés par le LLM est en pleine effervescence. De nouveaux outils apparaissent en permanence, chacun vantant un meilleur rendement, une meilleure sécurité et une meilleure productivité. À l'approche de 2025, nous avons besoin d'une norme permettant de comparer et d'évaluer la sécurité de chaque outil d'IA. Cela inclut les capacités de codage, à savoir sa capacité à générer du code avec de bons modèles de codage sûrs qui ne peuvent pas être exploités par des acteurs menaçants". 

‍

L'IA rendra plus difficile l'entrée des développeurs juniors dans le secteur

"Les développeurs ont plus de barrières à l'entrée que jamais auparavant. Avec les effectifs hybrides et distribués et le niveau de compétences requis pour les postes de débutants, la barre continue de s'élever chaque année pour les développeurs juniors. En 2025, les employeurs commenceront à attendre des développeurs débutants qu'ils aient déjà les compétences et les connaissances nécessaires pour intégrer et optimiser les outils d'IA en toute sécurité dans leur flux de travail dès leur entrée en fonction - plutôt que de consacrer du temps à la formation sur le tas. Au cours de l'année à venir, les développeurs qui n'auront pas appris à exploiter les outils d'IA dans leur flux de travail seront confrontés à des conséquences significatives pour leur propre évolution de carrière - et auront des difficultés à obtenir des opportunités d'emploi. Ils risquent d'entraver leur "licence de codage", ce qui les empêchera de participer à des projets plus complexes, car une maîtrise sûre de l'IA deviendra finalement essentielle."

‍

Le temps empêchera les organisations d'atteindre la sécurité dès la conception

"Les développeurs ont besoin de suffisamment de temps et de ressources pour se perfectionner et se familiariser avec les bons outils et les bonnes pratiques afin d'atteindre le niveau "Secure by Design". Si les organisations n'obtiennent pas l'adhésion des responsables de la sécurité et de l'ingénierie, leurs progrès seront entravés, voire complètement bloqués. Lorsque les entreprises tentent de réduire les coûts ou de limiter les ressources, elles donnent souvent la priorité aux efforts de remédiation immédiats plutôt qu'aux solutions à long terme - en se concentrant sur des outils de remédiation à multiples facettes qui font certaines choses juste "correctes", et tout le reste "médiocre". En 2025, ce déséquilibre créera une plus grande disparité entre les organisations qui donnent la priorité au développement de logiciels sécurisés et celles qui veulent simplement une solution rapide pour rester en phase avec un paysage changeant."

‍

Les audits de sécurité de la chaîne d'approvisionnement joueront un rôle essentiel dans l'atténuation des risques mondiaux

"Tous les fournisseurs d'externalisation et de tierces parties vont commencer à faire l'objet d'un examen plus approfondi. Vous pouvez avoir le meilleur programme de sécurité en interne, mais pour les entreprises auxquelles vous faites appel, si elles ne pratiquent pas la conception sécurisée, l'ensemble du cadre de sécurité peut être compromis. En conséquence, les organisations vont procéder à des audits approfondis de leurs efforts d'externalisation, ce qui mettra la pression sur les chefs d'entreprise pour qu'ils suivent des lignes directrices strictes en matière de sécurité et de conformité sectorielle. En fin de compte, le succès des équipes de sécurité dépend d'une vision holistique, à 360 degrés - y compris une approche unifiée au sein de l'organisation et de tous les partenaires externes".

‍

L'IA va jouer un rôle important pour "couper court au bruit".  

"Leséquipes de développement sont confrontées à des taux de faux positifs avec les scanners de vulnérabilités de code. Comment peuvent-elles être sûres que les vulnérabilités qui leur sont attribuées représentent réellement un risque pour la sécurité ? En 2025, l'IA sera un outil crucial pour aider les développeurs à "couper à travers le bruit" lorsqu'il s'agit de remédier au code - en fournissant une compréhension plus profonde du code lui-même. En tirant parti de l'apprentissage automatique, l'IA peut mieux hiérarchiser les menaces réelles en fonction du contexte, réduisant ainsi le temps passé à améliorer la précision des alertes de sécurité. Cela permettra aux équipes de se concentrer sur les vulnérabilités qui posent réellement un risque, améliorant l'efficacité globale et permettant des cycles de développement plus rapides et plus sûrs."

‍

L'analyse comparative sera la solution pour que les organisations atteignent leurs objectifs en matière de sécurité dès la conception.

"L'absence d'un référentiel de sécurité s'avérera préjudiciable aux organisations en 2025, car elles ne disposeront pas d'une base de référence claire pour mesurer leurs progrès en matière de respect des normes Secure by Design. En l'absence d'un système de référence permettant d'évaluer la façon dont les équipes adhèrent aux pratiques de codage sécurisé, ces organisations risquent d'introduire par inadvertance des vulnérabilités qui pourraient conduire à une violation majeure. Et si une faille se produit, elles n'auront probablement pas le temps de mettre en place un système de benchmarking, mais seront plutôt forcées d'accélérer leurs initiatives SBD sans d'abord évaluer la maturité de leurs équipes de développeurs en matière de sécurité, exposant finalement leur organisation à des risques encore plus importants."

‍

La dette technique au détriment du code généré par l'IA

"Ce n'est un secret pour personne que le secteur est déjà confronté à un énorme problème de dette technique - et cela concerne le code qui a déjà été écrit. Avec l'augmentation de la confiance aveugle des développeurs dans le code généré par l'IA, intrinsèquement peu sûr, en plus d'une surveillance exécutive limitée, la situation ne fera qu'empirer. Il est très possible que cette dynamique nous conduise à multiplier par 10 le nombre de CVE signalés l'année prochaine."

‍

Pour réussir 2025, les organisations doivent être prêtes à introduire l'IA de manière responsable et sécurisée, tout en offrant une formation appropriée et en investissant dans l'atténuation des risques pour leurs équipes de développement. Alors que l'année prochaine marquera le premier anniversaire de l'engagement Secure-by-Design de la CISA, les marques qui conserveront leur avantage concurrentiel seront celles qui donneront la priorité à leur approche de développement sécurisé afin d'éliminer au mieux les risques associés à l'IA, aux problèmes de sécurité des tiers et aux autres menaces émergentes.

Pour adopter une approche proactive de la sécurisation de vos logiciels, vous devez rester à la pointe des dernières normes et exigences de conformité. Après tout, le paysage de la cybersécurité est constamment en mouvement avec de nouvelles menaces et vulnérabilités, en particulier avec l'émergence de nouvelles technologies. Cela n'a jamais été aussi vrai qu'aujourd'hui où nous nous trouvons collectivement à un point d'inflexion de l'IA où de nouvelles évolutions et de nouveaux cas d'utilisation semblent émerger chaque jour. 

Pour relever ces défis, la Fondation OWASP a récemment publié sa version mise à jour de l'OWASP Top 10 for Large Language Model (LLM) Applications, qui vise à informer les développeurs, les architectes et les autres contributeurs à la livraison de logiciels des risques potentiels lors du déploiement de LLM et d'applications d'IA générative. À l'adresse Secure Code Warrior , nous sommes ravis d'annoncer que les changements et les mises à jour de cette dernière version sont déjà mis en œuvre et disponibles dans notre code sécurisé learning platform. Grâce à ces documents nouvellement disponibles et mis à jour, tous nos utilisateurs peuvent rester à la pointe de l'atténuation des risques lors de l'utilisation des LLM.

Quelles sont les nouveautés de cette mise à jour ?

L'OWASP a supprimé deux éléments de son précédent Top 10 :

• Conception non sécurisée des plugins - qui concerne la manière dont les LLM interagissent avec les plugins et la manière dont les plugins interagissent avec le stockage ou les services externes. 
• Le vol de modèles: il s'agit de la reproduction ou de l'acquisition non autorisée de modèles d'apprentissage automatique ou de systèmes d'intelligence artificielle.

Conformément aux versions précédentes du Top 10 de l'OWASP, Secure Code Warrior avait des lignes directrices associées à ces vulnérabilités dans le cadre de notre cours LLM Top 10. Ces lignes directrices, qui fournissent des informations digestes sur les vulnérabilités et les concepts de sécurité dans un format facile à comprendre et à lire, ont depuis été retirées du programme du cours. Cependant, les lignes directrices restent disponibles dans Explore, avec tous les autres matériels d'apprentissage que nous avons à offrir. 

L'OWASP a ajouté deux nouveaux éléments à son Top 10, qui reste donc un Top 10 officiel :

• Fuite d'invites du système - lorsque des invites généralement cachées qui guident le comportement d'un modèle sont exposées aux utilisateurs.
• Vecteur et incorporation - qui peuvent exposer des informations spécifiques, exclusives ou en temps réel qui ne sont pas accessibles au public.

Les lignes directrices relatives à ces vulnérabilités ont été ajoutées au cours LLM Top 10 et, tout comme les lignes directrices qui ont été supprimées, elles sont également accessibles dans Explore pour les utilisateurs qui souhaitent bénéficier d'un apprentissage à leur rythme.

Enfin, l'OWASP a également apporté quelques modifications aux catégories de vulnérabilités existantes dans sa liste, en renommant certaines catégories pour les rendre plus larges ou plus spécifiques, et en modifiant leurs définitions. Nos lignes directrices relatives à ces sujets ont été mises à jour pour refléter les changements mineurs apportés par l'OWASP ainsi que les nouvelles conventions de dénomination. En outre, leur liste par ordre de priorité a été mise à jour pour correspondre à l'ordre établi dans le Top 10 du LLM de l'OWASP.

Sur Secure Code Warrior, nous nous engageons à aider nos utilisateurs à rester à la pointe de la technologie. Avec les dernières mises à jour de l'OWASP déjà reflétées dans notre site agile learning platform, nous avons facilité l'accès de nos utilisateurs à des supports de formation actualisés qui couvrent les vulnérabilités les plus récentes et réduisent les risques lors du déploiement des technologies LLM et Generative AI. Que vous naviguiez dans les menaces nouvellement introduites de la fuite de l'invite du système ou du vecteur et de l'intégration, ou que vous mettiez à jour votre compréhension de la désinformation et de la consommation illimitée, notre plateforme fournit les ressources dont vous avez besoin pour maîtriser ces concepts critiques qui améliorent votre posture de sécurité.

Un moyen sûr d'améliorer la posture de sécurité de votre organisation consiste à perfectionner les compétences des développeurs en matière de meilleures pratiques de codage sécurisé, dans un cadre qui comprend des lignes de base et des repères conçus pour donner aux développeurs les parcours d'apprentissage spécifiques dont ils ont besoin. Le codage sécurisé n'est toutefois pas une solution ponctuelle - il doit devenir un mode de vie, inscrit dans l'ADN de l'organisation. Les développeurs doivent non seulement passer à gauche, ou commencer à gauche, mais aussi rester à gauche. 

Il ne suffit pas de dispenser une formation. Les entreprises doivent s'assurer que les développeurs ont bien assimilé leur formation et qu'ils suivent les meilleures pratiques au début du cycle de développement logiciel (SDLC) dans le cadre de leurs activités quotidiennes. Vous devez suivre les performances des développeurs et mesurer leurs progrès par rapport aux normes internes et aux références du secteur, afin de mesurer efficacement le retour sur investissement de l'investissement dans la formation.

Secure Code WarriorLe score de confiance de Trust fournit une visibilité sur les performances des développeurs individuels et regroupe les données pour fournir un assessment de la performance globale de votre organisation. Il montre l'efficacité des programmes de perfectionnement tout en identifiant les domaines nécessitant des améliorations. Enfin, il contribue à garantir la conformité aux diverses exigences réglementaires, qu'elles proviennent du règlement général sur la protection des données(RGPD), de la norme de sécurité des données de l'industrie des cartes de paiement(PCI DSS), de la loi californienne sur la protection de la vie privée des consommateurs(CCPA), ou d'autres encore.

Nos recherches ont montré que la formation au code sécurisé fonctionne. Le Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité à réduire les vulnérabilités et la manière de rendre l'initiative encore plus efficace.

La formation améliore la sécurité - si les développeurs s'y mettent 

Pendant des années, l'utilisation des meilleures pratiques en matière de sécurité dès le début du cycle de développement logiciel (SDLC) a semblé être une aspiration dans l'industrie du logiciel - une bonne chose à avoir un jour, mais pas une priorité pour aujourd'hui. Mais la vitesse toujours croissante du développement de logiciels, ainsi que l'accélération du rythme des cybermenaces sophistiquées et destructrices - souvent fondées sur le ciblage des vulnérabilités logicielles - ont fait du codage sécurisé une nécessité. L'Agence pour la cybersécurité et la sécurité des infrastructures(CISA) met le code sécurisé au premier plan avec son initiative Secure-by-Design, qui est en train de devenir un mouvement international. 

Nos recherches l'ont prouvé : la corrélation entre l'approche Secure-by-Design et la réduction des vulnérabilités des logiciels est évidente. Nous avons analysé les données relatives à la réduction des vulnérabilités de 26 % de la clientèle de SCW et avons constaté que la formation des développeurs entraînait une réduction des vulnérabilités logicielles allant de 22 % à 84 %. Cette fourchette résulte de variables telles que la taille des entreprises concernées (les petites entreprises comptant relativement peu de développeurs ont produit une fourchette de résultats plus spectaculaire) et le fait qu'un groupe d'apprentissage se soit concentré sur un problème spécifique, auquel cas il a éliminé un pourcentage plus élevé de failles.

Les résultats obtenus auprès des grandes entreprises sont assez cohérents. Les entreprises comptant 7 000 développeurs ou plus peuvent s'attendre à voir les vulnérabilités réduites de 47 % à 53 % grâce à l'amélioration des compétences des développeurs en matière de sécurité. Par exemple, une entreprise statistiquement moyenne comptant plus de 10 000 développeurs - qui n'est pas l'une des plus performantes sur la plateforme ni l'une des plus performantes - a constaté une réduction de 53 % des vulnérabilités. 

Bien entendu, la formation la plus efficace n'adopte pas une approche générale et universelle. Elle doit être adaptée à l'environnement de travail des développeurs et aux types de développement qu'ils effectuent.

Les entreprises devraient commencer par définir les compétences de base que les développeurs doivent posséder pour que l'écriture de codes sécurisés leur soit aussi naturelle que l'écriture de codes tout court. Les programmes de perfectionnement devraient consister en une formation pratique et agile dans des scénarios réels qui correspondent au type de travail qu'ils effectuent et aux langages qu'ils utilisent. Ils doivent être suffisamment souples pour que les sessions de formation s'intègrent dans leur emploi du temps. 

Pour les développeurs, les compétences ne se limitent pas à l'écriture de codes. Ils doivent être en mesure de vérifier les logiciels créés par les assistants d'intelligence artificielle et les tiers, tels que les dépôts de logiciels libres. Les développeurs ont fait un usage intensif des modèles d'IA générative, et ils ont généralement loué ses avantages en les aidant à créer plus de code plus rapidement. Cependant, bien que 76 % des personnes interrogées dans le cadre d'une enquête Snyk aient déclaré que le code généré par l'IA était plus sûr que le code produit par des humains, 56,4 % d'entre elles ont déclaré que l'IA introduisait parfois ou fréquemment des erreurs. La même enquête a révélé que 80 % des développeurs n'appliquent pas les politiques de sécurité du code de l'IA, ce qui suggère que les problèmes liés au code de l'IA ne sont pas pris en compte.

Dans le cadre d'une approche "Secure-by-Design", les développeurs - en collaboration avec les équipes de sécurité, plutôt que séparément - s'attaquent à ces problèmes dès le début du cycle de développement durable, en identifiant et en corrigeant les failles avant que le code ne soit mis en production.

La note de confiance mesure les performances des individus et des entreprises

Il est également essentiel que la formation soit continue. Les entreprises doivent adopter une culture de la sécurité qui s'applique partout, depuis les échelons les plus élevés de l'entreprise jusqu'aux échelons inférieurs. Cette culture doit être axée sur l'amélioration continue et l'application des meilleures pratiques de sécurité tout au long du cycle de développement durable. La technologie et les cybercriminels ne cessent d'évoluer ; la cybersécurité non plus. Pour les organisations qui produisent des logiciels, les développeurs formés à la sécurité sont la base.

C'est pourquoi il est tout aussi important de démontrer que la formation a été effectivement suivie que la formation elle-même. Trust Score offre non seulement une visibilité sur les performances des développeurs individuellement et de l'organisation dans son ensemble, mais il permet également aux organisations d'approfondir les données de performance pour se concentrer sur des langues, des équipes de développeurs ou des catégories de logiciels spécifiques. Les données des performances individuelles et agrégées permettent également d'identifier les domaines dans lesquels la formation doit être améliorée, par exemple si elle n'a pas l'effet escompté sur les performances quotidiennes des développeurs.

Trust Score a permis aux organisations d'évaluer les performances des développeurs et de confirmer qu'ils ont acquis - et utilisent - les compétences nécessaires en matière de sécurité, en s'assurant qu'ils ont gagné leur licence de codage. Il permet aux organisations d'accorder en toute confiance aux développeurs qualifiés l'accès à leurs données les plus sensibles et à leurs projets logiciels critiques, tout en refusant cet accès à ceux qui ne sont pas encore tout à fait prêts.

Preuve de l'évolution de la culture de la sécurité

La cybersécurité n'est plus seulement un problème de sécurité. Il s'agit d'une question commerciale, qui affecte l'intégrité de l'actif le plus précieux de nombreuses organisations : leurs données. Une violation grave affecte les opérations d'une organisation, sa réputation et, potentiellement, sa viabilité. L'importance de la cybersécurité n'a pas échappé aux organismes de réglementation, qui ont mis en place des règles de plus en plus strictes et se sont montrés disposés à poursuivre les RSSI et, éventuellement, d'autres membres de la haute direction, jusqu'à engager des poursuites pénales, comme dans les cas d'Uber et de SolarWinds. 

L'adoption d'une culture de la sécurité à l'échelle de l'entreprise est essentielle dans l'environnement actuel. Et parce qu'une grande partie de la valeur d'une entreprise repose sur ses données, ses applications et ses services, le codage sécurisé est un élément essentiel de cette culture. Une formation ciblée et une amélioration des compétences dans le cadre d'un état d'esprit culturel, ainsi que la preuve que la formation a contribué à changer la culture, peuvent mettre les organisations sur la voie du renforcement de leurs positions en matière de sécurité. 

Les programmes de sécurité mis en place par les développeurs sont utiles. La preuve en est la note de confiance.

Les équipes de sécurité ont du mal à suivre le raz-de-marée de nouvelles innovations dans le monde DevOps d'aujourd'hui, axé sur le cloud. Il est donc logique qu'elles soient également incapables de suivre le rythme de la myriade de façons dont les attaquants exploitent les faiblesses qui découlent inévitablement d'une telle quantité de code générée en permanence. 

Pourtant, malgré l'accélération du rythme des failles de sécurité importantes - depuis la violation des données d'Equifax et l'attaque de la chaîne d'approvisionnement de SolarWinds jusqu'aux incidents de ces dernières années, tels que les attaques réussies contre Change Healthcare, AT&T et d'autres - de nombreuses organisations continuent de se concentrer sur une approche réactive de la sécurité. Elles consacrent la majeure partie de leurs ressources en matière de sécurité à la recherche et à la correction des vulnérabilités, ainsi qu'à la réaction aux incidents au fur et à mesure qu'ils se produisent. Cette approche aurait pu convenir à une autre époque, mais l'évolution rapide des logiciels, des capacités technologiques et de l'infrastructure informatique est trop importante pour que des équipes de sécurité en sous-effectif et surchargées de travail puissent la suivre.

Pour éviter d'être continuellement désavantagées, elles doivent cesser de courir après les menaces de sécurité qui évoluent trop vite pour elles ou d'attendre que le cheval de la violation de données soit sorti de l'écurie. Au lieu de cela, elles doivent s'attaquer au problème en adoptant une approche préventive plutôt que réactive. L'amélioration de la sécurité des applications existantes et des nouvelles applications nécessite une approche "Secure-by-Design", soutenue par une formation efficace des développeurs, afin de garantir que les meilleures pratiques de sécurité sont utilisées dès le début du cycle de développement logiciel (SDLC) et que les vulnérabilités sont corrigées avant qu'elles ne soient mises en production.

Jusqu'à présent, cela s'est avéré beaucoup plus facile à dire qu'à faire. 

Les codeurs sécurisés sont rares

L'agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a tenté de faire de la prévention une politique clé avec son initiative Secure-by-Design, qui promeut le codage sécurisé ainsi que d'autres bonnes pratiques - allant de l'authentification multifactorielle à la réduction des catégories de vulnérabilités - et encourage les organisations à prendre l'engagement Secure-by-Design Pledge (Engagement pour la sécurité par la conception). D'autres pays, dont l'Australie, le Canada, l'Allemagne et le Royaume-Uni, ont lancé des programmes similaires. Néanmoins, nos recherches montrent que très peu d'organisations se sont ralliées à ce programme jusqu'à présent.

Si nous combinons tous les développeurs sur Secure Code Warrior's Plateforme D'apprentissage avec ceux des concurrents de SCW travaillant dans la veine Secure-by-Design, il y a entre 500 000 et 1 million de développeurs qui adoptent cette approche. Selon l'estimation la plus généreuse, cela représente environ 3,5 % du nombre total de développeurs dans le monde, qui devrait atteindre 28,7 millions d' ici à la fin de 2024. Cela fait beaucoup de développeurs qui produisent plus de code que jamais auparavant, en particulier avec les programmes d'intelligence artificielle générative qui accélèrent considérablement le rythme de développement, et très peu qui apprennent à commencer par un code sécurisé. 

Les ingénieurs en logiciel n'apprennent généralement pas la cybersécurité parce que le modèle traditionnel veut que les développeurs et les professionnels de la sécurité travaillent comme des entités séparées, les équipes de sécurité s'occupant des problèmes de sécurité après la création du logiciel. Mais les professionnels de la sécurité sont terriblement moins nombreux dans l'environnement actuel. Le dernier rapport Building Security in Maturity Model ( BSIMM14) montre qu'il y a, en moyenne, 3,87 professionnels de l'AppSec pour 100 développeurs dans le monde. Avoir moins de quatre spécialistes formés qui tentent de sécuriser la production de 100 développeurs travaillant à une vitesse vertigineuse n'est pas une recette pour un code sécurisé. 

La négligence de la sécurité des applications est tout aussi évidente lorsque l'on compare la taille de son marché à celle d'autres secteurs de la sécurité. Les éléments qui composent une approche Secure-by-Design relèvent du marché de la sécurité des applications, qui devrait passer de 6,08 milliards de dollars en 2023 à 17,51 milliards de dollars d'ici à 2031. Cela ressemble à une croissance rapide, mais c'est bien peu comparé à l'argent dépensé pour la sécurité des réseaux, qui devrait passer de 23,57 milliards de dollars en 2023 à 67,33 milliards de dollars d'ici 2032, ou pour la sécurité des technologies opérationnelles, qui devrait passer de 18,03 milliards de dollars en 2023 à 57,51 milliards de dollars d'ici 2031. 

Compte tenu de l'importance croissante de la sécurité du code et des applications, ce domaine est sous-financé. En fait, si les entreprises investissent davantage dans la sécurité des applications et dans une approche "Secure-by-Design", elles peuvent être en mesure d'économiser dans d'autres domaines de la sécurité. 

Un certain nombre d'autres facteurs contribuent à l'idée que la sécurité préventive est plus difficile à mettre en œuvre, et donc plus difficile à vendre aux cadres supérieurs. D'une part, les entreprises qui existent depuis longtemps, comme celles du secteur des services financiers, sont encombrées de vieux systèmes, dont certains datent du milieu du siècle dernier, lorsque le COBOL était le langage de programmation de prédilection. 

L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité. 

Construire une culture de la prévention

La transition vers une approche préventive de la sécurité démarre peut-être lentement, mais la pression en faveur de l'adoption de pratiques de conception sécurisée (Secure-by-Design) ne faiblit pas, car le besoin pressant d'une telle approche dans l'environnement actuel des cybermenaces ne disparaît pas non plus. L'industrie automobile serait critiquée si elle décidait d'investir dans un plus grand nombre d'ambulances et de secouristes au lieu de rendre les voitures plus sûres, mais de nombreuses organisations suivent ce modèle en matière de cybersécurité.

Les organisations doivent adopter une approche préventive et proactive pour réduire les risques. Elles doivent mettre en place des programmes pour former les développeurs à l'écriture de codes sécurisés et à la correction des erreurs (telles que celles introduites par les assistants d'IA ou les codes tiers) dès le début du cycle de développement durable. Ces programmes devraient inclure des programmes de formation agiles et interactifs qui s'adaptent aux horaires des développeurs et peuvent être adaptés à leurs environnements de travail et aux langages de programmation qu'ils utilisent. La formation continue devrait comprendre une formation pratique qui aborde des problèmes du monde réel.

Il est important qu'il comprenne un moyen de mesurer leurs progrès pour s'assurer qu'ils ont fait des meilleures pratiques de sécurité une partie vitale de leurs routines quotidiennes. Un outil tel que le Trust Score de SCW utilise des points de référence pour évaluer les progrès réalisés en interne et par rapport aux normes du secteur, tout en identifiant les domaines qui doivent être améliorés. 

Une approche "Secure-by-Design" serait holistique, reflétant un état d'esprit axé sur la sécurité au sein de l'organisation, où la sécurité est une priorité pour l'entreprise. La réaction et la récupération sont des éléments essentiels de la posture de sécurité globale d'une organisation, certes. Mais en se concentrant sur la prévention, les entreprises peuvent faire de grands progrès dans la réduction des risques et peut-être éviter le type de violations majeures qui peuvent menacer la viabilité d'une entreprise.

Découvrez comment Secure Code Warrior peut vous aider à mettre en œuvre une initiative Secure-by-Design viable dès aujourd'hui.

Les cybermenaces étant de plus en plus répandues et de plus en plus sophistiquées, la cybersécurité se concentre sur l'importance d'un code sécurisé. La stratégie nationale de cybersécurité de la Maison Blanche et l'initiative Secure-by-Design de la Cybersecurity and Infrastructure Security Agency (CISA), ainsi que les initiatives et la législation dans d'autres pays, placent la responsabilité de la sécurité directement sur les épaules des producteurs de logiciels. Il est désormais essentiel pour les organisations de protéger leurs données et leurs systèmes et d'éviter les retombées réglementaires en cas de violation, alors que l'on considérait autrefois qu'il était agréable de le faire.

La clé pour garantir des pratiques de codage sécurisées réside dans la formation des développeurs. Les ingénieurs logiciels reçoivent généralement peu ou pas de formation à la cybersécurité. Leur travail, en particulier dans l'environnement DevOps accéléré d'aujourd'hui, consiste à créer de nouvelles applications, des mises à jour et des services aussi rapidement que possible - de plus en plus avec l'aide de modèles d'IA génératifs rapides - et à laisser les équipes de sécurité s'occuper des problèmes de cybersécurité à un moment ultérieur du cycle de développement logiciel (SDLC). C'est une façon inefficace de traiter la pléthore de failles qui apparaissent avec la création d'une telle quantité de code, ce qui entraîne souvent la diffusion de vulnérabilités logicielles dans l'écosystème.

Les développeurs doivent être formés à l'écriture de codes sécurisés dès le départ et être en mesure de détecter les codes non sécurisés générés par l'IA ou présents dans les logiciels libres et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes de développement et organisations, il s'agit d'un terrain inconnu. Comment savoir si les développeurs reçoivent la formation dont ils ont besoin ? Et cette formation est-elle appliquée régulièrement ?

Certaines entreprises qui poursuivent la formation des développeurs ont jugé utile d'établir un ensemble de compétences de base que les développeurs doivent acquérir et de mesurer leurs progrès par rapport à des points de référence clairement définis. Pour contribuer à cet effort, Secure Code Warrior a lancé un point de référence conçu pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le score de confiance SCW permet aux organisations de mesurer l'efficacité de la formation sur le terrain et de permettre aux équipes de sécurité, de développement et d'ingénierie de collaborer.

Il s'agit d'un moyen de prouver que la formation au code sécurisé est en train de s'implanter tout en identifiant les domaines à améliorer.

Arguments en faveur d'une conception sécurisée

Les fabricants de logiciels ont toutes les raisons d'intégrer la sécurité dans le cycle de développement logiciel dès le début du processus. La demande croissante d'applications et de services et la vitesse que l'IA apporte au processus de développement se sont avérées utiles aux développeurs, qui ont rapidement adopté l'IA générative, mais elles entraînent aussi inévitablement la diffusion de logiciels bogués dans le pipeline. Plus il y a de code généré, plus il y a de failles - et des recherches récentes ont révélé que près des trois quarts des applications (indépendamment de la manière dont elles ont été créées) contiennent au moins une faille de sécurité, près de 20 % d'entre elles étant considérées comme critiques. 

Rattraper les vulnérabilités plus tard dans le cycle de vie du logiciel devient prohibitif en termes de temps et de coût. Le National Institute of Standards and Technology (NIST) a constaté que la correction des défauts pendant les tests prend 15 fois plus de temps que la sécurisation des logiciels au début du cycle de développement durable, et que la correction des défauts pendant la phase de déploiement/maintenance peut prendre de 30 à 100 fois plus de temps. 

Tout cela souligne l'importance d'appliquer la sécurité dès le début du cycle de développement, ce qui s'est avéré être non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs - qui travaillent avec les équipes de sécurité plutôt que de les voir fonctionner comme des entités distinctes - sont les mieux placés pour intégrer la sécurité au début du cycle de développement durable. Et les développeurs formés aux meilleures pratiques de sécurité ont réussi à réduire les vulnérabilités. Le problème est que très peu d'entre eux ont été formés.

La beauté des repères 

Pour les entreprises, il s'agit d'établir une base de compétences en matière de sécurité, de dispenser une formation et de vérifier, tant pour les organisations que pour les autorités de réglementation, que les développeurs ont acquis les compétences nécessaires. Cela s'est avéré difficile pour de nombreuses organisations dans tous les secteurs économiques, mais ce n'est pas une fatalité.

L'un des défis identifiés par les responsables de la sécurité est la difficulté d'étendre un programme de formation à l'ensemble de l'entreprise. Mais les recherches de SCW montrent que les organisations, en particulier celles qui disposent d'un grand nombre de développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des organisations plus petites tendent à montrer une grande variabilité dans la manière dont elles appliquent les principes de la conception sécurisée. Néanmoins, elles peuvent elles aussi bénéficier d'une approche qui inclut des scores de confiance, et elles montreront probablement des améliorations plus rapidement.

Trust Score utilise des mesures d'étalonnage pour mesurer les progrès des apprenants individuels, regroupe leurs scores pour évaluer les performances de l'ensemble de l'équipe et compare les progrès de l'organisation avec les références et les meilleures pratiques de l'industrie. Il ne s'agit pas seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent leurs nouvelles compétences au quotidien. Il met également en évidence les domaines qui doivent être améliorés, ce qui permet à l'organisation d'optimiser ses programmes de formation et de perfectionnement. 

Dans les secteurs d'infrastructures critiques de la CISA pour lesquels des données étaient disponibles, la plupart des organisations se situent à peu près au même niveau en ce qui concerne la mise en œuvre des principes de conception sécurisée. Les scores de confiance des secteurs allant des services financiers et de la base industrielle de défense aux soins de santé, à l'informatique et à l'industrie critique se situent dans la même fourchette - un peu plus de 300 sur une échelle de 1 000 points. Aucun secteur ne surpasse les autres, malgré l'idée reçue selon laquelle les services financiers, en tant que secteur le plus réglementé, seraient loin devant.

Les secteurs d'infrastructures critiques qui ne sont pas inclus dans le classement du Trust Score - tels que les opérations chimiques, énergétiques et nucléaires - ne créent généralement pas leurs propres logiciels, mais s'appuient sur d'autres secteurs, en particulier les technologies de l'information. Cependant, l'importance de maintenir des systèmes sécurisés dans ces secteurs (personne ne souhaite voir une centrale nucléaire compromise) montre à quel point il est essentiel de sécuriser les logiciels qu'ils utilisent en premier lieu.

Conclusion

La pression réglementaire accrue et les réalités du paysage des cybermenaces ont rendu l'approche "Secure-by-Design" impérative pour les organisations qui veulent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels sécurisés est en grande partie entre les mains des développeurs, mais ils ont besoin d'aide sous la forme d'un programme complet de perfectionnement et de formation qui leur apporte l'éducation dont ils ont besoin et leur montre comment elle est appliquée. 

Un programme comprenant des points de référence, soutenu par un outil tel que Trust Score, peut fournir une vision claire des progrès critiques d'une équipe de développement. Il s'agit d'une nouvelle approche vitale dont les développeurs et les entreprises pour lesquelles ils travaillent ont besoin pour s'assurer qu'ils améliorent constamment leurs compétences en matière de développement de logiciels sécurisés, tout en répondant aux nouvelles exigences de la conception sécurisée.

‍

Il est encourageant de constater que le mouvement " Secure-By-Design " (SBD) de la CISA prend de l'ampleur dans le monde entier, puisque les États-Unis, l'Australie, la Nouvelle-Zélande, le Canada, Singapour, le Japon, l'Allemagne et le Royaume-Uni s'engagent à intégrer des lignes directrices similaires dans leurs stratégies de cybersécurité, et que nombre de ces pays contribuent également aux recommandations initiales.

Depuis avril 2024, plus de 200 entreprises, parmi lesquelles Secure Code Warrioront signé l'engagement "Secure-by-Design", ce qui témoigne d'un engagement plus large de l'industrie en faveur de normes plus strictes en matière de qualité et de sécurité des logiciels. Nous considérons ces lignes directrices comme un moment crucial pour les responsables de la cybersécurité qui, pour la première fois, bénéficient du soutien d'un gouvernement mondial en faveur d'un changement culturel important dans le développement des logiciels. Bien que ces recommandations ne soient pas encore obligatoires en dehors des fournisseurs de logiciels qui vendent directement au gouvernement américain, je considère qu'il ne s'agit pas seulement de l'avenir, mais d'une occasion en or de commencer à lutter contre les acteurs de la menace. L'objectif principal des lignes directrices est de supprimer les catégories de vulnérabilités, et en se concentrant sur cet objectif à l'échelle de l'industrie, nous pourrions avoir l'impact positif le plus important sur la sécurité numérique depuis des dizaines d'années.

Nous pensons que ce mouvement est essentiel, et notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise (Évaluation comparative des compétences en matière de sécurité : rationalisation de la conception sécurisée au sein de l'entreprise) est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données. 

Mesurer le retour sur investissement des efforts de conception sécurisée des organisations

La refonte de pratiques de développement de logiciels établies de longue date n'est pas une mince affaire. Les RSSI sont souvent mis au défi lorsqu'ils tentent de prouver le retour sur investissement (ROI) et la valeur commerciale des activités du programme de sécurité, tant au niveau des personnes que de l'entreprise, nombre d'entre eux exprimant une frustration croissante face aux réductions budgétaires et au manque d'adhésion des cadres supérieurs aux nouvelles initiatives cybernétiques. Toutefois, une proposition étayée par des données fera toute la différence. 

Ces dernières années, l'absence d'un référentiel de compétences permettant aux organisations d'évaluer leur situation par rapport aux normes de l'industrie a constitué un défi majeur. Il est donc extrêmement difficile de concevoir et de mettre en œuvre des programmes de sécurité qui touchent les bons domaines et qui favorisent l'amélioration continue de la cohorte de développement, un élément crucial des pratiques de sécurité logicielle efficaces. 

Pour que les initiatives de conception sécurisée fonctionnent, il faut non seulement donner aux développeurs les compétences nécessaires pour garantir la sécurité du code, mais aussi assurer aux régulateurs que ces compétences sont en place. Nous avons donc décidé d'analyser l'état de préparation des équipes de développeurs, et les résultats pourraient surprendre.

Comment les entreprises qui tentent d'accélérer leurs initiatives en matière de SMD peuvent-elles tirer parti du score de confiance ?

Il est pratiquement impossible de s'améliorer efficacement sans avoir une idée précise de son point de départ et de son point d'arrivée. Cependant, des centaines d'entreprises clientes utilisent efficacement le SCW Trust Score - uneréférence mondiale qui quantifie les compétences des équipes de développement en matière de sécurité - pour fournir ces points de données utiles et granulaires. Ces informations permettent de mettre en place des programmes de sécurité très efficaces, axés sur les développeurs et propices à la réussite des initiatives Secure-by-Design.

L'analyse présentée dans notre livre blanc montre que les entreprises des principaux secteurs d'infrastructures critiques progressent dans la préparation de leurs développeurs à l'avancement de leurs initiatives SBD. Nous avons également constaté que les équipes de développeurs de ces secteurs ont un niveau de sécurité moyen.

Secure Code Warrior 'analyse de l'amélioration des compétences des développeurs dans les secteurs des infrastructures critiques est basée sur des informations provenant de plus de 20 millions de points de données, de 600 entreprises clientes et de plus de 250 000 développeurs actifs dans le monde entier. L'analyse a révélé que :

• Le nombre total de développeurs actuellement impliqués dans des initiatives d'amélioration des compétences dans le cadre des SMD est inférieur à 4 % de l'ensemble des développeurs dans le monde ;
• Le secteur des services financiers a obtenu la note de confiance la plus élevée (336) ;
• La plupart des initiatives à grande échelle de renforcement des compétences dans le domaine de la sécurité sont couronnées de succès, tandis que les initiatives à plus petite échelle ont tendance à être dispersées. Toutefois, lorsqu'elles sont mandatées, il a été démontré qu'elles produisent plus rapidement un retour sur investissement mesurable ;
• Lorsque des initiatives de perfectionnement sont fermement mises en place, les risques introduits par les développeurs dans les applications sont considérablement réduits. L'analyse a montré que les développeurs participant à de vastes initiatives d'amélioration des compétences (plus de 7 000 développeurs dans une seule entreprise) peuvent réduire les vulnérabilités de 47 à 53 %.

La solution | Conclusion

Le score de confiance SCW est un outil puissant dans l'arsenal de tout responsable de la sécurité, permettant une analyse détaillée de domaines spécifiques au sein d'une organisation. Les rapports peuvent être filtrés en fonction des langues, des équipes ou des catégories, produisant ainsi des rapports personnalisés qui permettent aux entreprises de répondre aux besoins spécifiques des développeurs ou des équipes et d'identifier les domaines dans lesquels une formation ou un accompagnement supplémentaire est nécessaire. Après tout, la sécurité est une entreprise sans fin ; une analyse comparative efficace des performances permettra d'identifier les possibilités d'amélioration continue.

L'accélération du développement et du déploiement des logiciels, associée à un paysage de cybermenaces de plus en plus menaçant et à des organismes de réglementation de plus en plus vigilants, a placé la cybersécurité au premier plan. Les organisations, si ce n'est déjà fait, doivent donner la priorité au développement d'une culture de la sécurité à l'échelle de l'entreprise.

Les utilisateurs de Linux n'ont pas eu la vie facile ces derniers temps, plusieurs vulnérabilités de grande gravité ayant affecté le système de diverses manières au cours des dernières années. Les chercheurs en sécurité ont maintenant un nouveau groupe de vulnérabilités à déballer, toutes liées à la fonction Common UNIX Printing System (CUPS) ciblant les systèmes GNU/Linux avec une voie potentielle pour l'exécution de code à distance (RCE).

Le 27 septembre 2024, Simone Margaritelli d'evilsocket.net a publié des informations critiques sur plusieurs vulnérabilités exploitables dans CUPS, avec des CVEs attribués par la suite à quatre d'entre elles. Ce nombre pourrait augmenter, mais à l'heure où nous écrivons ces lignes, la communauté de la sécurité débat de la gravité réelle de ces découvertes. Alors que l'un des CVE, CVE-2024-47177, a une note de gravité critique actuelle de 9.1 de MITRE, la manipulation réussie de cette faille d'injection de commande dépend des serveurs avec le service CUPS activé et, en outre, nécessite l'accès au port UDP 631 ou DNS-SD. RedHat note cependant qu'il est possible de remapper CUPS sur un port différent. 

L'analyse complète de l'incident par Margaritelli révèle une chaîne d'attaques insidieuse et complexe qui, malgré les désaccords au sein de la communauté, ne devrait pas être ignorée. Elle nous donne une leçon sur les dépendances apparemment inoffensives qui peuvent être profondément exploitées si un acteur de la menace est suffisamment déterminé et si de petites fenêtres d'opportunité ont été laissées ouvertes par de mauvais modèles de codage.

Le scénario CUPS est un peu différent de ce que de nombreux développeurs et professionnels de l'AppSec ont pu connaître auparavant, alors jetons un coup d'œil et testons vos compétences au passage.

La vulnérabilité : Exécution de code à distance (RCE) via CUPS

Le blog d'Evilsocket fournit des informations approfondies et inégalées sur ces exploits, et c'est une ressource que nous continuerons à suivre de près. Margaritelli cite également une source anonyme dans son article, qui ne semble pas optimiste quant à la robustesse générale de Linux en matière de sécurité :

‍

"D'un point de vue de sécurité générique, un système Linux entier tel qu'il est aujourd'hui n'est qu'un fouillis sans fin et sans espoir de failles de sécurité attendant d'être exploitées."

Cela nous rappelle les risques de sécurité inhérents aux environnements à code source ouvert, sans parler du besoin urgent d'une sensibilisation accrue à la sécurité et de compétences de codage sécurisées au sein de la communauté mondiale des développeurs.

Jetons un coup d'œil aux CVE :

• CVE-2024-47177
• CVE-2024-47176
• CVE-2024-47076
• CVE-2024-47175

‍Lachaîne de vulnérabilité est très répandue et affecte actuellement toutes les versions actuelles et antérieures des paquets suivants :

• distrotech/cups-filtres
• OpenPrinting/cups-filters
• Coupes parcourues
• libcupsfilters
• libppd
  
  

CUPS est un composant hérité des systèmes d'exploitation UNIX et Linux depuis plus de vingt ans. Sa fonction de dépendance des services d'impression l'incite à effectuer des requêtes sur le réseau, ce qui en fait une cible de choix pour les vulnérabilités de type RCE.

Dans le cas présent, cependant, les attaques se combinent avec une certaine ingéniosité pour aboutir à un résultat positif. Il s'agit essentiellement de la capacité d'un attaquant non authentifié et non détecté à remplacer les URL du protocole d'impression Internet (IPP) par des URL malveillantes, en plus de modifier les directives qui peuvent provoquer l'injection de commandes dans le "fichier PPD (PostScript Printer Description), qui est un fichier utilisé pour décrire les caractéristiques de l'imprimante nouvellement ajoutée. Il en résulte une attaque par exécution de commande une fois qu'un travail d'impression est activé, et qui repose sur un manque de validation des entrées dans les composants de CUPS.

En outre, la correction de cette vulnérabilité particulière crée une sorte d'épée à double tranchant, comme le souligne Evilsocket. CUPS comprend le filtre foomatic-rip, un exécutable qui s'est déjà avéré être un composant exploitable à haut risque. Les CVE relatives à ce composant remontent à 2011, et bien qu'il ait été établi que foomatic-rip peut être utilisé pour exécuter des commandes du système d'exploitation, la correction de ce problème entraîne des problèmes de stabilité et la perte de la prise en charge de nombreuses imprimantes plus anciennes. Il s'agit d'un problème complexe à résoudre.

1. L'acteur de la menace lance l'attaque
   1. CVE-2024-47176: cups-browsed <= 2.0.1 is vulnerable because it binds to UDP port 631 using INADDR_ANY, which means it trusts any packet received from any source. This allows an unauthenticated remote attacker to send a malicious UDP packet with a manipulated IPP URL (pointing to the attacker-controlled IPP server), triggering the vulnerability. The victim’s machine now thinks it’s connecting to a new printer and sends a request asking for printer attributes.
2. Le système victime traite les attributs de l'imprimante
   1. CVE-2024-47076: libcupsfilters <= 2.1b1 has a vulnerability in cfGetPrinterAttributes5, which does not properly validate or sanitize the IPP attributes returned from an IPP server. When cups-browsed processes the packet, it can be tricked into reading malicious attributes sent by the attacker.
3. Le système de la victime se connecte au serveur IPP du contrôleur de l'attaquant.
   1. CVE-2024-47175: libppd <= 2.1b1 in the ppdCreatePPDFromIPP2 function does not properly validate or sanitize IPP attributes when saving them to a temporary PPD (PostScript Printer Description) file. This allows the attacker to inject arbitrary data into a PPD file, including the FoomaticRIPCommandLine directive, which the printing system can later execute.
4. Victim system initiates print job and attacker’s code is executed
   CVE-2024-47177: cups-filters <= 2.0.1 is vulnerable because the foomatic-rip filter executes arbitrary commands through the FoomaticRIPCommandLine directive, allowing the attacker to run commands as the cups-browsed process. The attacker waits for the victim’s machine to initiate a print job. The moment this happens, the attacker’s malicious code will be executed (Remote Code Execution).

Comment pouvez-vous atténuer le risque de RCE ?

Les entreprises qui utilisent CUPS dans le cadre de leurs opérations commerciales doivent suivre les conseils de remédiation recommandés par Evilsocket et RedHat. Cela inclut, mais n'est pas limité à, l'application des correctifs de sécurité en tant que priorité de niveau d'urgence.

Pour l'injection de commande en général, consultez notre guide complet.

Si vous souhaitez obtenir d'autres directives de codage gratuites, consultez Secure Code Coach pour vous aider à rester au fait des meilleures pratiques en matière de codage sécurisé.

Des informations exploitables qui mesurent vos efforts en matière d'apprentissage du code sécurisé 

La maximisation de la valeur de votre programme d'apprentissage du code sécurisé dépend fortement de l'engagement de vos utilisateurs. Le monde de la cybersécurité est un paysage en constante évolution avec de nouvelles menaces ainsi que des opportunités de renforcer votre posture de sécurité globale. Adopter une approche proactive de la sécurité de votre code nécessite un apprentissage continu du code sécurisé afin de maximiser l'efficacité et la pertinence du programme. Pour ce faire, les responsables du programme doivent avoir une compréhension claire de l'engagement des utilisateurs, non seulement à un moment donné, mais aussi sur des périodes prolongées afin d'identifier les tendances et d'optimiser les performances du programme.

C'est pourquoi nous sommes heureux d'annoncer un nouveau rapport conçu pour mesurer l'engagement de vos utilisateurs, qui permet de repérer facilement les tendances clés et d'identifier quand prendre des mesures au sein de votre organisation. Grâce à ces nouvelles informations, les organisations peuvent non seulement maximiser leur retour sur investissement en matière d'apprentissage de code sécurisé, mais aussi améliorer durablement leur position en matière de cybersécurité.

Quelles sont les nouveautés de ce rapport ?

Le rapport Engagement Insights présente un certain nombre de statistiques clés relatives à votre programme d'apprentissage agile, sur la période que vous avez sélectionnée (par défaut, les 12 derniers mois), qui est également accessible via l'API de reporting. Le rapport sur l'engagement fournit une vue rapide et facile sur le nombre de nouveaux apprenants qui ont été activement engagés avec le programme agile de SCW Plateforme D'apprentissage pendant cette période, les apprenants actifs qui se sont engagés avec la plateforme, et le nombre actuel d'apprenants activés.

‍

‍

Ces totaux ne sont qu'un début. Vous pouvez décomposer la manière dont vos apprenants se sont engagés avec la plateforme, en découvrant les tendances des apprenants actifs au cours de la période sélectionnée. Grâce à ces informations, vous pouvez planifier des communications (bulletins d'information internes, blogs) ou d'autres activités d'engagement afin que les développeurs reviennent pour perfectionner leurs compétences.

‍

De même, la ventilation des dernières activités d'apprentissage montre à quand remonte la dernière participation de vos apprenants à la plate-forme SCW. Comme pour toute forme d'apprentissage, le souvenir des concepts s'estompe avec le temps. L'idéal est que la plupart de vos apprenants soient regroupés dans les deux premières tranches indiquant un engagement récent. Ce type de regroupement permet non seulement de maintenir les compétences des développeurs à jour, mais aussi d'améliorer la note de confiance SCW de votre organisation en évitant la perte de compétences liée au temps dans l'ensemble.

‍

‍

Et les informations vont au-delà de la fréquence et de la récurrence. Le rapport d'engagement fournit une ventilation du temps que les apprenants ont passé dans les différentes parties de la plateforme Secure Code Warrior pendant la période sélectionnée. Les administrateurs peuvent utiliser ces informations pour identifier ce qui stimule l'engagement parmi la base d'utilisateurs. Cela fait-il un certain temps que vous n'avez pas organisé de SCW tournament, serait-il possible de réengager une partie de votre cohorte de développeurs ? Les apprenants utilisent-ils le module Explore pour élargir leurs horizons en dehors du contenu d'apprentissage structuré de Courses ou des évaluations ? L'identification des types d'engagement élevé ainsi que des utilisateurs de haut niveau offre des opportunités de concevoir des programmes que les développeurs aimeront et de célébrer vos leaders actifs.

‍

Comme vous pouvez le constater, il existe de nombreuses façons de mesurer l'engagement de vos apprenants dans votre programme d'apprentissage agile. Nous nous engageons à fournir des informations et des rapports supplémentaires afin d'obtenir les résultats d'apprentissage les plus efficaces et d'améliorer la position de votre organisation en matière de cybersécurité. Restez à l'écoute pour les prochaines nouveautés et n'hésitez pas à nous faire part de vos questions, de vos commentaires ou des données spécifiques que vous souhaiteriez obtenir pour optimiser votre programme !

‍

La réduction de la dette de sécurité est un objectif que toutes les entreprises s'efforcent d'atteindre. Comment minimiser le nombre de failles de sécurité ? Comment accélérer la mise sur le marché tout en s'assurant que le code généré est de première qualité ?  

Comme de nombreuses entreprises, DigitalOcean a choisi Secure Code Warrior pour stimuler l'innovation numérique et la modernisation en construisant et en publiant du code de qualité dès le départ avec des développeurs sensibilisés à la sécurité.  

DigitalOcean, qui offre des ressources informatiques évolutives et une suite de solutions cloud permettant aux développeurs de déployer, de gérer et de mettre à l'échelle des applications sans effort, s'est tourné vers Secure Code Warrior au fur et à mesure que l'entreprise s'agrandissait et développait ses équipes d'ingénieurs. Dans un secteur technologique en constante évolution, l'entreprise devait s'assurer que ses développeurs pouvaient identifier les mauvais schémas de codage courants qui apparaissaient lors des revues de conception, afin d'éviter qu'ils ne se reproduisent de manière proactive. 

Comme l'a fait remarquer Ari Kalfus, responsable principal de la sécurité des produits, "nous avions besoin d'une solution spécifique aux développeurs, pratique et axée sur les risques auxquels notre organisation était confrontée". Secure Code Warrior a répondu à cette attente, l'un des résultats les plus notables étant la capacité à renforcer rapidement et régulièrement les pratiques de codage sécurisées. Cela a conduit à une diminution marquée de la dette de sécurité au sein des équipes. Dans l'ensemble, DigitalOcean a constaté que les équipes formées avec SCW étaient non seulement plus aptes à identifier et à atténuer les problèmes de sécurité, mais qu'elles avaient également la confiance nécessaire pour repousser les limites de l'innovation sans compromettre la sécurité.

Découvrez ici comment DigitalOcean a réduit sa dette globale en matière de sécurité... et utilise désormais son surplus de sécurité pour repousser les limites de la productivité et de l'innovation.