Les mots "champion" et "coach" sont de plus en plus pertinents en dehors du domaine sportif, et ils ont une forte présence dans la plupart des contextes. Il existe des coachs de vie, des coachs en bien-être, des coachs en empathie et des "champions" qui sont couronnés dans de nombreuses organisations, des titres tels que "champion de la sécurité" ou "champion des vibrations" deviennent plus courants et s'intègrent à l'esprit et à la culture de l'entreprise. Dans les moments difficiles, qui ne voudrait pas d'un coach ou d'un champion dans son coin ? 

Les institutions du secteur de la cybersécurité utilisent depuis longtemps des champions pour diffuser la bonne parole en matière de sécurité au niveau du développement et maintenir des normes plus élevées en matière de sécurité des logiciels. Le BSIMM les appelle le groupe Satellite, tandis qu'OpenSAMM et Axway font partie des groupes pionniers qui soutiennent les champions de la sécurité en tant que concept et programme formalisé. Ces initiatives recoupent et soutiennent l'un des principaux objectifs du mouvement DevSecOps, qui est un engagement à partager la responsabilité de la sécurité entre les équipes et les fonctions, dès le début du processus de développement logiciel.

De nombreuses entreprises qui se sont fixé des objectifs en matière de cybersécurité ont mis en place un programme officiel de champions de la sécurité, en confiant des responsabilités clés en matière de sécurité - allant de la liaison entre les équipes à la supervision des meilleures pratiques, en passant par l'encouragement général - à des personnes qui se montrent aptes et passionnées par ce rôle. 

Toutefois, il est assez évident que le rôle du "champion de la sécurité" est en train de changer et qu'une entreprise avant-gardiste peut atteindre de nouveaux sommets en matière de meilleures pratiques de sécurité évolutives grâce à une équipe élargie, dont les membres clés soutiennent des fonctions différentes, mais tout aussi importantes. 

Nous redéfinissons et dupliquons le champion de la sécurité afin d'avoir un impact réel sur un programme de sécurité à l'épreuve du temps. Êtes-vous prêt à constituer votre prochaine équipe de rêve ?

Toute grande équipe s'appuie sur un coach inspirant.

Lorsque vous pensez à Lionel Messi, Michael Jordan et Serena Williams, seuls les fans les plus acharnés seraient capables de réciter des anecdotes sur leurs entraîneurs. Cependant, c'est ce pilier étroit de soutien qui affine leurs compétences naturelles, leur talent et leur volonté d'atteindre leurs objectifs qui est à l'origine de l'immense succès que nous voyons sous les feux de la rampe. 

Personne n'attend des développeurs qu'ils gagnent un grand chelem ou qu'ils marquent un but pour l'Argentine, et personne ne devrait même s'attendre à ce que les développeurs soient des experts en sécurité (après tout, ils ont signé pour créer des fonctionnalités intéressantes, pas pour se plonger dans la sécurité), mais un grand "coach" en sécurité est leur véritable champion au sein de l'équipe.

Un champion de la sécurité côté développeur est beaucoup plus aligné sur ce que nous pourrions reconnaître comme les principes fondamentaux d'un coach. Il est passionné par la sécurité, connaît son métier et est un point de contact clé lorsqu'un développeur a un problème de sécurité à résoudre. Il possède le savoir-faire pratique nécessaire pour l'aider à résoudre le problème et à apprendre de ses erreurs, tout en s'assurant que l'équipe respecte les meilleures pratiques et les valeurs fondamentales en matière de sécurité. 

Le champion de l'AppSec peut-il se lever ?

Un champion de l'AppSec est une pièce souvent manquante du puzzle du programme de sécurité. Il est absolument vital pour le succès d'une équipe de développement et, en tant que pont entre le niveau C, le personnel exécutif et les développeurs, il peut les défendre activement et leur fournir les outils dont ils ont besoin pour avoir un impact positif sur la réduction des vulnérabilités, la sécurité des logiciels, ainsi que la confiance et la satisfaction des clients. 

Un grand champion AppSec est reconnu comme un leader de la sécurité au sein de l'entreprise, et il devrait jouer un rôle important dans la formation directe des coachs en sécurité, dans le but de forger de meilleurs résultats et de meilleures relations entre les équipes, tout cela dans le but d'atteindre un objectif commun : un code sécurisé et étanche. 

Faites appel à votre super-entraîneur.

Les champions et les grands entraîneurs vont de pair et, ensemble, ils créent de la magie. Les programmes de champions de la sécurité existants ont tendance à se concentrer sur le développeur, mais comme nous l'avons identifié, le véritable champion devrait être du côté de l'AppSec, laissant les développeurs les plus passionnés et les plus conscients de la sécurité aider à atteindre l'excellence en matière de codage sécurisé sous le capot, en élevant le reste de l'équipe. 

Découvrir le coach idéal est un processus similaire à celui du champion traditionnel : le meilleur coach n' est pas simplement la personne qui est "la meilleure" en matière de sécurité. La personne qui se trouve être extraordinaire pour coder en toute sécurité et produire un code fortifié de haute qualité, peut n'avoir aucun intérêt à assumer un rôle extrascolaire, ou peut-être n'est-elle pas particulièrement enthousiasmée par la sécurité en dépit de ses aptitudes. 

Au lieu de cela, votre coach pourrait être découvert si vous cherchez quelqu'un qui.. :

• S'intéresse de près à la cybersécurité, depuis le codage pratique jusqu'à l'information sur les derniers incidents, les outils et les développements les plus récents.
• Il a de bonnes compétences interpersonnelles ; il aime aider les autres, se sentir comme la personne de référence (ou l'expert résident) et est un joueur d'équipe accessible.
• Il peut être proactif dans la défense des intérêts des développeurs ; il sait ce qui est nécessaire pour aider l'équipe et peut travailler avec son agent de liaison AppSec (son champion) pour que les besoins soient satisfaits afin d'obtenir des résultats mutuels en matière de sécurité.

Encouragez le poste d'entraîneur ; la personne que vous choisirez devra assumer davantage de responsabilités et sa charge de travail devra être évaluée en conséquence. Bien que l'intérêt personnel et la progression de carrière soient des facteurs de motivation pour un coach potentiel, il est bon de voir où il peut être récompensé pour ses coups de pied dans les buts. Peut-on l'envoyer à une conférence exceptionnelle ? Peut-il bénéficier d'un congé supplémentaire ? Peut-on financer courses et des certifications pour eux ? Le temps et l'argent consacrés dès maintenant à la sécurisation du SDLC dès le départ permettent d'économiser bien davantage plus tard dans le cycle - ou pire, si une vulnérabilité est découverte en direct - et un bon coach maintiendra la sensibilisation à un niveau élevé. Trouvez un moyen d'offrir des récompenses significatives.

Votre programme de champion de la sécurité de niveau supérieur.

En fin de compte, en tant qu'industrie, nous devons faire plus pour soutenir les développeurs et les faire passer du côté obscur de la sécurité, en les motivant à voir qu'un code de qualité est un code sécurisé. Il est difficile de s'intéresser à quelque chose quand le temps et les efforts pour éduquer et permettre la réussite n'ont pas eu lieu, et malheureusement, cela tend à être le cas avec l'éducation au codage sécurisé. Un perfectionnement pertinent et pratique, en conjonction avec un coach et un défenseur de l'AppSec, est vraiment le triple coup nécessaire pour soutenir l'équipe de développement afin qu'elle libère sa puissance défensive.

Une version de cet article a été publiée dans Help Net Security. Elle a été mise à jour et publiée ici.

‍

J'ai passé ma carrière à trouver, corriger, discuter et décomposer les vulnérabilités des logiciels, d'une manière ou d'une autre. Je sais qu'en ce qui concerne certains bogues de sécurité courants, bien qu'ils soient dans notre orbite depuis les années 90, ils continuent d'infester nos logiciels et de causer des problèmes majeurs, même si la solution (souvent simple) est connue depuis presque aussi longtemps. Nous avons vraiment l'impression de vivre le jour de la marmotte, où l'industrie semble faire la même chose encore et encore et s'attendre à un résultat différent. 

Mais il y a un autre petit problème. Nous ne recevons pas de conseils réalistes, ni les solutions les plus rapides, pour lutter contre les assauts incessants de la cybersécurité moderne. Bien sûr, chaque violation est différente à sa manière, et il existe de nombreux vecteurs d'attaque qui peuvent être exploités dans les logiciels vulnérables. Les conseils génériques réalisables seront limités, mais l'approche des meilleures pratiques semble plus défectueuse d'heure en heure. 

À cette fin, je me demande pourquoi tant de commentaires et d'analyses sur la cybersécurité ont omis les solutions qui s'attaquent vraiment à la cause profonde de tant de vulnérabilités : les humains. Le dernier Hype Cycle de Gartner pour la sécurité des applications et The State of Application Security 2021 de Forrester, deux bibles pour les experts en sécurité qui contribuent sans aucun doute à façonner leur programme et l'adoption potentielle de produits, sont presque entièrement axés sur les outils. Un rapport d'Aberdeen datant de 2017 montrait à quel point la pile technologique de sécurité moyenne était devenue indisciplinée, les RSSI gérant des centaines de produits dans le cadre de leurs stratégies de sécurité ; quatre ans plus tard, nous sommes aux prises avec plus de risques, plus de vulnérabilités et plus d'ajouts à des bêtes de pile technologique en pleine croissance.

Les outils de sécurité sont indispensables, mais nous devons voir plus loin et rétablir l'équilibre de la composante humaine de la défense de la sécurité.    

L'automatisation est l'avenir. Pourquoi devrions-nous nous préoccuper de l'aspect humain de la cybersécurité ?

Pratiquement tout dans nos vies est alimenté par des logiciels, et il est vrai que l'automatisation remplace les éléments humains qui étaient autrefois présents dans tant d'industries. C'est un signe de progrès dans un monde qui se numérise à grande vitesse, l'IA et l'apprentissage automatique étant des sujets d'actualité qui permettent à de nombreuses organisations de rester tournées vers l'avenir. 

Alors pourquoi une approche de la cybersécurité axée sur l'être humain serait-elle autre chose qu'une solution dépassée à un problème technologiquement avancé ? Le fait que des milliards d'enregistrements de données aient été volés dans des brèches au cours de l'année écoulée, y compris la brèche la plus récente dans Facebook qui a touché plus d'un demi-milliard de comptes, devrait indiquer que nous n'en faisons pas assez (ou que nous n'adoptons pas la bonne approche) pour contrer sérieusement les acteurs de la menace. 

L'outillage de cybersécurité est un élément indispensable de la cyberdéfense, et les outils auront toujours leur place. Les analystes ont toujours eu raison de recommander les outils les plus récents dans le cadre d'une approche d'atténuation des risques pour les entreprises, et cela ne changera pas. Cependant, la qualité du code (et, par définition, la sécurité) étant difficile à gérer au vu du volume de production de code, les outils ne peuvent pas faire le travail à eux seuls. À ce jour, il n'existe pas d'outil unique qui puisse le faire :

• Recherchez toutes les vulnérabilités, dans tous les langages:framework
• Numériser à la vitesse
• Minimiser la double manipulation causée par les faux positifs et les faux négatifs

Les outils peuvent être lents, encombrants et difficiles à manier. Mais surtout, ils ne font que détecter les problèmes - ils ne les résolvent pas et ne recommandent pas de solutions. Ces dernières exigent des experts en sécurité, qui sont peu nombreux et surchargés de travail, qu'ils fouillent dans les poubelles pour trouver des trésors dans les résultats interminables de pentesting et d'analyse.

Le fait est que, selon le rapport IBM Cyber Security Intelligence Index, l'erreur humaine joue un rôle dans 95 % de toutes les violations de données réussies. Près de la moitié d'entre elles sont directement liées à des vulnérabilités logicielles, dont beaucoup pourraient être atténuées si l'on adhérait davantage au codage sécurisé et à la sensibilisation dès les premiers stades du cycle de développement logiciel (SDLC). Toutefois, pour que cela se produise, il est essentiel de mettre l'accent sur la formation des développeurs et de l'intégrer dans leur flux de travail. 

Que nous le voulions ou non, l'être humain est profondément ancré dans le processus de développement des logiciels, et la cybersécurité est avant tout un problème humain. Les outils ne seront pas la panacée pour corriger une faille fondamentale dans notre approche, mais ils peuvent jouer un rôle de soutien essentiel pour remodeler les solutions humaines. 

Et si nous construisions de meilleurs outils (et beaucoup d'outils) ?

Les outils de sécurité ne cessent de s'améliorer. Les outils SAST/DAST/IAST ont parcouru un long chemin, gagnant en rapidité et en intelligence, et le RASP devrait être une considération défensive sérieuse dans de nombreux environnements d'application. Les pare-feu, les gestionnaires de secrets, les applications de sécurité en nuage et en réseau sont autant d'éléments qui ne posent pas de problème. 

Les humains peuvent toujours s'efforcer de créer de meilleurs outils, mais l'innovation ne suit pas les besoins de sécurité et de protection des données du monde numérique dans lequel nous vivons. Les outils sont, pour la plupart, conçus pour les robots. Ils peuvent aider les développeurs et l'équipe de sécurité à analyser, surveiller ou protéger le code, mais l'interaction est très limitée, et très peu de solutions visent à sensibiliser à la sécurité ou à améliorer les compétences de base qui peuvent conduire à de meilleurs résultats en matière de sécurité.

En fait, plus de la moitié des entreprises ne savent même pas si les outils fonctionnent pour elles, et elles ne sont pas sûres de pouvoir éviter une violation de données dévastatrice. Il s'agit là d'un sentiment très médiocre qui, dans un secteur obsédé par les outils et peu enclin à adopter une approche différente, tend à consolider le statu quo et les problèmes qui en découlent. 

Comment une organisation peut-elle tirer parti d'une approche humaine de la sécurité ?

Il ne fait aucun doute qu'il est bénéfique de rester à l'avant-garde des tendances en matière de technologie de sécurité des applications, et que cela peut même aider à prioriser les mises à niveau ou les consolidations dans une pile technologique surchargée, mais ne pas cibler la cause première des logiciels vulnérables - nous, simples humains - nous maintiendra du côté perdant du front de bataille de la cybersécurité.

Si nous voulons sérieusement réduire le nombre de failles de sécurité au niveau du code, il faut donner aux développeurs les bases nécessaires pour réussir à partager la responsabilité de la sécurité. Ils ont besoin d'une formation pertinente et pratique, d'un perfectionnement en cours d'emploi et d'outils fonctionnels qui ne perturbent pas leur flux de travail et ne font pas de la sécurité une corvée à développer. Idéalement, certains outils devraient être centrés sur les développeurs et conçus en pensant avant tout à l'expérience des utilisateurs. 

À ce jour, il n'existe pas de programme officiel de certification de la sécurité pour les développeurs, mais chaque entreprise peut tirer profit de l'évaluation comparative et de l'amélioration des compétences en matière de codage sécurisé, en éliminant les vulnérabilités courantes de manière précoce et fréquente, avant que la grosse pile technologique n'entre en action et ne ralentisse tout. 

Une équipe de développeurs sensibilisés à la sécurité est un trésor caché pour toute organisation, mais comme toute chose qui en vaut la peine, il faudra du temps et des efforts pour mettre en place une équipe de rêve efficace. Pour convaincre les développeurs de se préoccuper de la sécurité et de considérer le codage sécurisé comme le fondement de la qualité du code, il faut que l'ensemble de l'organisation s'engage à placer la sécurité au premier plan. Et lorsque des équipes entières sont sensibilisées à l'impact positif qu'elles peuvent avoir en éliminant les vulnérabilités courantes au fur et à mesure de l'écriture du code, aucun outil sur Terre ne peut rivaliser.

Nous avons récemment été très heureux de voir le premier article du Forbes Technology Council rédigé par notre président-directeur général, Pieter Danhieux, mis en ligne. Cet article explique comment la prévention des cyberattaques et des atteintes à la protection des données passe par la formation des développeurs à la création de codes plus sûrs. De plus, il révèle comment ces mêmes développeurs sensibilisés à la sécurité peuvent contribuer à fournir un code de meilleure qualité et plus sûr, plus rapidement que ne le pensent de nombreux services informatiques. La nécessité de cette approche est certainement impérieuse. Une étude récente a révélé qu'une cyberattaque se produit désormais toutes les 39 secondes, et nous avons tous vu les perturbations causées par une seule attaque réussie de ransomware sur le Colonial Pipeline, qui dans l'ensemble n'était pas aussi destructrice que le piratage de SolarWinds. 

‍

De nombreuses vulnérabilités courantes subsistent parce que personne n'a jamais pris la peine de montrer aux développeurs comment remplacer les mauvais modèles de codage par une meilleure façon d'accomplir les mêmes fonctions, de manière plus sûre et plus sécurisée. L'impact de la correction d'un logiciel à un stade tardif de son développement est extrêmement coûteux, tant en termes d'heures passées que de retards dans le déploiement. La correction du code après son déploiement, en particulier après qu'un pirate a exploité une vulnérabilité non découverte auparavant, peut parfois coûter des millions de dollars. Et cela ne tient même pas compte des dommages causés à la réputation d'une entreprise à la suite d'une violation majeure.

Les développeurs formés à la sécurité deviennent naturellement de meilleurs codeurs. Il est certain que les RSSI ne devraient pas abandonner leurs outils de sécurité de sitôt, mais en menant une approche inclusive et préventive de la sécurité depuis le sommet, les RSSI peuvent tirer parti de la plus grande ressource de leur entreprise, le facteur humain, en particulier lorsqu'il s'agit de coder de manière sécurisée dès le début du cycle de vie du développement du logiciel.

Pour ce faire, voici les trois principales stratégies de haut niveau à garder à l'esprit.

1. Soyez proactif, pas réactif

Les entreprises tombent souvent dans le piège de la réactivité, par exemple en réagissant à ce que fait la concurrence au lieu de développer et de poursuivre une vision unique. Nombre d'entre elles adoptent également cette approche lorsqu'il s'agit des failles de sécurité dans le code, ne prenant la cybersécurité au sérieux que lorsqu'elles y sont contraintes à la suite d'une violation réussie. Malheureusement, à ce moment-là, le mal est fait, avec des amendes, des coûts de récupération, l'attrition de la clientèle et la restauration de la marque qui frappent le résultat net. Une autre forme de réaction au lieu d'action consiste à s'appuyer sur l'analyse automatique ou manuelle du code pour trouver les vulnérabilités dans le code existant au lieu de se concentrer sur la création d'un code sécurisé dès le départ. Malheureusement, l'analyse du code n'est pas une solution parfaite, ce qui signifie que plus il y a de vulnérabilités dans le code, plus il y a de chances que certaines d'entre elles se glissent dans le code. 

Ce n'est qu'en adoptant une approche proactive et en travaillant avec les développeurs pour les aider à créer un code sécurisé dès le départ que vous pourrez établir un cycle de développement logiciel qui réduira de manière significative la possibilité que des vulnérabilités de codage soient communiquées aux utilisateurs.

2. Améliorez vos compétences, n'en faites pas trop

Une fois que vous avez décidé de fournir aux développeurs les connaissances dont ils ont besoin pour créer un code sécurisé, choisissez judicieusement votre approche. Les ateliers de formation internes qui interrompent le codage frustrent les développeurs et les responsables. Les formations hors site ( courses ) qui nécessitent une présence le soir ou le week-end sont encore moins populaires. La meilleure approche consiste à développer progressivement les compétences en matière de codage, en fournissant des informations pertinentes étape par étape au cours du processus de codage - essentiellement pour améliorer les compétences sans distraire les développeurs de manière significative ni ralentir le processus de développement. 

3. Inciter, ne pas présumer

Les développeurs ne doivent pas considérer l'amélioration de la sécurité comme une punition ou une corvée. Les responsables doivent inspirer les développeurs en leur communiquant le rôle important que joue le code sécurisé dans la réussite de l'entreprise. Il est également important de faire comprendre que les codeurs sécurisés sont plus précieux pour l'entreprise et qu'ils bénéficieront d'un plus grand nombre d'opportunités de carrière à l'avenir.

L'administration Biden accueillie favorablement décret a mis l'accent sur la cybersécurité et sur la nécessité "d'inclure des critères pour évaluer les pratiques de sécurité des développeurs et des fournisseurs eux-mêmes, et d'identifier des outils ou des méthodes innovants pour démontrer la conformité avec les pratiques de sécurité". Mais si l'outillage est essentiel, il n'est pas suffisant. Aucun outil n'éliminera jamais complètement la capacité d'un individu à ignorer, à mal comprendre, à abuser ou à contourner les systèmes et les outils mis en place. Pour maximiser la sécurité de leur entreprise, les RSSI doivent tirer parti du facteur humain et encourager les développeurs à devenir des partisans et des praticiens de la sécurité.

Le récent décret sur la cybersécurité de l'administration Biden a certainement fait parler le secteur de la sécurité, en particulier ceux qui cherchent à convaincre les développeurs de l'importance d'appliquer les meilleures pratiques de codage sécurisé dans leur travail quotidien. Pour la première fois, les développeurs qui travaillent sur des logiciels utilisés par le gouvernement fédéral doivent avoir des compétences vérifiées en matière de sécurité et adhérer à de nouvelles lignes directrices.

Cela marque un changement positif dans le statu quo de la cyberdéfense, et fait enfin de la qualification adéquate des développeurs un sujet de conversation. Bien que ces politiques soient centrées sur le gouvernement américain, elles offrent aux organisations une opportunité globale de traiter et d'améliorer les normes de sécurité actuelles, depuis les développeurs jusqu'à l'analyse de la sécurité des chaînes d'approvisionnement en logiciels. 

Le NIST a récemment sollicité l'avis du public pour éclairer ses prochaines mises à jour de la législation HIPAA, entre autres, et c'était pour nous une occasion à ne pas manquer de mettre en commun l'expertise de notre entreprise dans des documents de positionnement qui peuvent contribuer à une approche de la cybersécurité plus sûre et plus efficace, pilotée par l'homme, qui aidera les organisations à tirer le meilleur parti de leurs équipes pour obtenir de meilleurs résultats. 

En tant qu'organisation dirigée par des experts, nous avons la chance de pouvoir compter sur certains des professionnels de la cybersécurité les plus dévoués et les plus accomplis, notamment Pieter de Cremer, candidat au doctorat, et Brian Chess, qui fait partie de notre comité consultatif technique. Tous les trois, nous nous sommes mis d'accord pour soumettre officiellement des documents de positionnement au NIST, en expliquant comment notre approche de l'amélioration des compétences des développeurs et de la sécurité préventive au stade de la création des logiciels pourrait avoir un impact positif sur les normes de cybersécurité à l'avenir. 

Une voie de développement sécurisée, pavée pour les développeurs

Les outils d'analyse des vulnérabilités, la surveillance et les autres formes d'automatisation de la sécurité sont de plus en plus répandus et figurent à la fois dans le nouveau décret et dans les lignes directrices du NIST. Ils constituent un élément de plus en plus essentiel d'un programme de sécurité moderne, mais l'histoire et le présent montrent que les outils d'analyse en particulier trouvent certainement des vulnérabilités dans les logiciels avec une efficacité toujours croissante, mais que cela ne suffit pas à les réduire, ni même à améliorer la sécurité dès le départ. 

La lourdeur de la pile technologique, qui distrait et ralentit le flux de travail du développeur, est l'une des raisons fondamentales pour lesquelles les développeurs se désintéressent de la sécurité et la voient d'un mauvais œil. Cependant, si les développeurs disposaient d'une voie toute tracée pour le développement sécurisé, une voie personnalisée en fonction non seulement de la technologie, mais aussi des langages, des cadres et des objectifs de développement spécifiques au projet, alors l'intégration de la sécurité dans le processus de développement dès le début - avec le moins de perturbation possible de leur productivité - est un idéal qui se traduirait par une réduction significative des vulnérabilités courantes au fil du temps. 

Pour lire l'intégralité de notre document de positionnement du NIST, téléchargez-le maintenant :

Cadre de certification pour des pratiques de développement sûres : Le chaînon manquant (actuel)

À ce jour, il n'existe pas de certification formelle permettant de vérifier les compétences et les meilleures pratiques en matière de codage sécurisé. Il s'agit d'un oubli de l'industrie depuis longtemps, et nous pensons qu'il est essentiel pour l'avenir de l'amélioration de la cyberdéfense et du développement sécurisé. 

Nous savons qu'il existe de nombreuses formes de formation à la sécurité destinées aux développeurs, mais si l'on en croit le nombre de violations de données à grande échelle, de cyberattaques et de codes de mauvaise qualité, ces formations ne créent pas de développeurs sensibilisés à la sécurité et ne leur apportent pas les connaissances nécessaires pour faire une entorse à un problème qui ne fait que s'aggraver. 

L'amélioration des compétences des développeurs nécessite des outils et une formation adaptés à leur travail quotidien, contextuels, de courte durée (mais fréquents), et qui leur permettent de s'appuyer sur les connaissances existantes dans les langages et les cadres qu'ils utilisent réellement. Une formation générique ne suffit pas, et il faut que la législation et les organismes industriels tels que le NIST le précisent clairement. 

Le cadre NICE est tout à fait adapté à l'élaboration de lignes directrices de certification complètes qui utilisent activement des méthodologies qui fonctionnent et qui présentent le plus d'intérêt et de pertinence pour les développeurs et leur travail. L'alignement sur ce cadre institutionnel reconnu aide à normaliser les pratiques qui font vraiment la différence et offre aux organisations des voies plus concrètes à suivre.

Pour lire l'intégralité de notre deuxième document de positionnement du NIST, téléchargez-le maintenant :

Le facteur humain dans la cybersécurité est souvent oublié, et il est temps de trouver des solutions humaines à des problèmes humains tels que les vulnérabilités communes récurrentes. Des bogues vieux de plusieurs décennies ne devraient plus nous faire trébucher, mais il faudra le soutien des gouvernements mondiaux pour changer le statu quo et obtenir un impact positif mesurable.
‍
Êtes-vous prêt à certifier vos développeurs ? Vous êtes au bon endroit. Consultez notre Plateforme D'apprentissage aujourd'hui.

Nous nous sommes récemment entretenus avec Dimitri Vanderhaeghe, ingénieur logiciel chez Selligent Marketing Cloud, une plateforme d'automatisation du marketing omnicanal hautement intégrée et alimentée par l'IA qui permet aux marketeurs B2C ambitieux de maximiser chaque moment d'interaction avec les consommateurs connectés d'aujourd'hui. Pour Selligent, une entreprise technologique B2C au rythme rapide, il est vital de s'adapter et de répondre aux demandes croissantes de son marché. Pour être en mesure de répondre à ces demandes, il faut notamment mettre l'accent sur la cybersécurité et, surtout, sur un programme de compétences en sécurité dirigé par des développeurs. 

Pourquoi la cybersécurité est-elle essentielle à l'expansion de votre entreprise ? 

Une stratégie de sécurité solide doit figurer parmi les priorités de votre entreprise si vous souhaitez développer vos activités, faute de quoi vous vous exposez à des vulnérabilités. Une attaque de cybersécurité a lieu toutes les 39 secondes, et le coût d'une attaque sur votre entreprise peut être financièrement préjudiciable et ruiner votre réputation. Il suffit de penser au piratage d'Equifax en 2017 pour s'en convaincre : le PDG de l'entreprise a démissionné en indiquant clairement que le piratage était la raison de sa démission. 

Cependant, la cybersécurité doit devenir une responsabilité partagée afin d'évoluer, en particulier au sein de votre communauté de développeurs, comme l'explique Dimitri :

"La raison la plus importante de former les ingénieurs est l'évolutivité, car nous avons un gros produit sur lequel travaillent près de 60 ingénieurs. S'ils ne s'intéressent pas à la sécurité, toutes les analyses de vulnérabilité reviendront aux spécialistes de la sécurité."

Comment créer une culture de la sécurité dirigée par les développeurs ?

Dimitri et l'équipe de Selligent semblent avoir réussi à créer une culture de la sécurité dirigée par les développeurs, mais d'après notre récente étude, seuls 15 % des développeurs considèrent que la sécurité relève de la responsabilité de chacun au sein de leur organisation. Alors, comment commencer à gauche et créer une culture de la sécurité dirigée par les développeurs ?

Dimitri attribue ce résultat à une augmentation de la sensibilisation à la sécurité générée par Secure Code Warrior® 's Plateforme D'apprentissage pour améliorer les compétences de leurs développeurs. Dimitri affirme que sans la plateforme, ils auraient eu du mal à sensibiliser à la sécurité. En conséquence, la sécurité est au premier plan de l'esprit des développeurs lorsqu'ils produisent du code. 

Un autre aspect clé de la création d'une culture de la sécurité dirigée par les développeurs consiste à rendre la formation pertinente. Notre récente étude a également montré que 40 % des développeurs déclarent que la formation n'est pas pratique et 30 % qu'elle n'est pas pertinente. Dimitri note que la granularité et la nature réelle de Secure Code Warrior® tournaments font toute la différence. La nature amusante et compétitive de la plateforme conduit également à des développeurs plus engagés et plus conscients. 

Comme le souligne Dimitri, sans sensibilisation, la charge de la cybersécurité revient aux spécialistes de la sécurité, ce qui n'est tout simplement pas extensible. La solution consiste à dimensionner efficacement votre entreprise et vos produits pour vous assurer que vous êtes protégé contre les vulnérabilités logicielles en vous concentrant sur la formation contextuelle hyper pertinente de votre communauté de développeurs grâce à un programme de compétences en sécurité dirigé par les développeurs. 

‍
Secure Code Warrior peut offrir cela à votre organisation. Intéressé par une démonstration ? Réservez-en une ci-dessous. 

‍

Que diriez-vous d'une statistique qui donne à réfléchir ? 60 % des PME font faillite dans les six mois qui suivent une cyberattaque réussie*. Les grandes entreprises perdent des millions (ou des milliards !) tandis que la réputation de leur marque est entachée. Alors que les organisations adoptent de plus en plus des pratiques de codage sécurisées, un "virage à gauche" est en train de s'opérer. Avec l'essor de DevSecOps, le code sécurisé devient la priorité dès le début du cycle de développement durable. Pour étudier l'impact réel de cette tendance, Secure Code Warrior et Evans Data Corp*** ont commandé une étude récente sur les attitudes des développeurs à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité.

Le virage à gauche - un virage à plusieurs niveaux  

Les entreprises réalisant qu'il est 30 fois plus coûteux de corriger les vulnérabilités après coup, les mesures préventives sont devenues le nouvel étalon-or*. Mais pour que ces mesures soient efficaces, tous les acteurs du cycle de développement durable doivent être sensibilisés à la sécurité, en particulier les développeurs. 

‍ShiftOne - qui est responsable maintenant ?

Avec l'essor de DevSecOps, les organisations adoptent des pratiques de codage sécurisées. Par conséquent, l'un des premiers changements mis en évidence par notre étude est le transfert de la responsabilité de la sécurité du code vers les niveaux opérationnels. 

Lorsque nous avons demandé aux développeurs et aux responsables du développement "qui devrait avoir la responsabilité finale de la sécurité du code", 46% ont répondu le chef de projet ou d'équipe - presque deux fois plus que ceux qui ont dit que la responsabilité devrait rester à l'équipe de sécurité des applications. 

Il s'agit là d'une indication claire d'un déplacement des responsabilités en matière de sécurité des équipes traditionnelles de sécurité des applications vers les responsables des équipes de développement.

Deuxième étape - L'évolution du rôle des managers  

Les pressions exercées sur les gestionnaires pour qu'ils mettent en place une formation au code sécurisé proviennent de plusieurs directions. 

41% révèlent que l'impératif organisationnel pour la formation au code sécurisé vient de la direction générale. Les exigences croissantes en matière de conformité réglementaire sont également un facteur. 

Les managers jouent un rôle essentiel dans la transition du développement traditionnel vers DevSecOps et deviennent des décideurs cruciaux pour les décisions de formation et d'achat d'outils.

‍ShiftThree - Developers Stepping Up

Cependant, nous constatons également que la pression pour le changement remonte de la base : 24 % des responsables révèlent qu'ils mettent en œuvre des pratiques de codage sécurisées à la suite de suggestions et de recommandations de leurs développeurs. Ce point met en évidence le rôle de plus en plus important des développeurs en tant que contributeurs aux programmes de sécurité de leur entreprise. Le passage à DevSecOps, qui met l'accent sur les pratiques préventives de codage sécurisé, fait des développeurs la "première ligne de défense".

Quatrième étape - Amélioration de la dynamique d'équipe  

Si la mise en œuvre de pratiques de codage sécurisées a un impact matériel sur la qualité des logiciels, elle modifie également la façon dont les équipes travaillent pour le mieux. 60 % des développeurs interrogés estiment que l'utilisation de pratiques de codage sécurisées a amélioré leur communication avec les autres développeurs - mais les avantages ne s'arrêtent pas là. 

La moitié des développeurs et des responsables interrogés ont reconnu que les pratiques de codage sécurisées ont conduit à une plus grande coopération entre les développeurs et leurs dirigeants. 46 % affirment que la collaboration entre les développeurs et les parties prenantes s'est améliorée. Dans le même temps, 41 % ont souligné une plus grande coopération entre les dirigeants et les parties prenantes.

DevSecOps rassemble les équipes, les dirigeants et les parties prenantes d'une nouvelle manière, en améliorant la coopération entre les différents rôles et étapes du cycle de vie du développement logiciel. 

62 % des responsables interrogés affirment que les pratiques en matière de code sécurisé contribuent à accroître la rapidité des publications de code. Ce simple fait s'ajoute à tous ces autres changements pour mettre en évidence les avantages évidents de l'adoption d'une approche DevOps. Mais, comme indiqué plus haut dans cet article, pour que ces mesures soient efficaces, tous les acteurs du SDLC doivent être sensibilisés à la sécurité. Cette idée a des implications cruciales sur la façon dont les organisations forment leurs développeurs. Les équipes doivent s'informer sur les vulnérabilités récemment identifiées et apprendre dans le langage spécifique : les cadres dans lesquels ils codent. En bref, elles doivent comprendre comment localiser, identifier et corriger les vulnérabilités connues dans le code dans le contexte dans lequel elles travaillent tous les jours. Une telle formation transforme vos équipes de première ligne de risque en première ligne de défense.  

En tant que champion du changement en matière de codage sécurisé, Secure Code Warrior adopte une approche humaine pour aider votre organisation à "passer à gauche" - et à faire passer votre approche globale de la sécurité de la réactivité à la proactivité.

Si vous souhaitez en savoir plus sur la formation pratique, très engageante et éprouvée sur le code sécurisé qui aligne les besoins des managers, des développeurs et de l'organisation pour atteindre un avenir DevSecOps, réservez une démo dès maintenant.

‍

*60 % des petites entreprises ferment dans les 6 mois suivant leur piratage.
‍https://cybersecurityventures.com/60-percent-of-small-companies-close-within-6-months-of-being-hacked/

**IBM Software Group ; Minimizing Code Defects to Improve Software Quality and Lower Development Costs (Minimiser les défauts de code pour améliorer la qualité des logiciels et réduire les coûts de développement).
‍https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html

***Passerde la réaction à la prévention : The changing face of application security 2021. Secure Code Warrior et Evans Data Corp.
https://scw.buzz/3169uzS

Gérer les dépendances avec souplesse

La fonctionnalité Scope de Sensei a toujours été très appréciée des développeurs. Grâce à la possibilité d'étendre ou de limiter le champ d'application d'une recette, les équipes de développement ont pu adapter son utilisation à des projets individuels et à des secteurs verticaux au sein de leur organisation, ce qui a permis aux développeurs de personnaliser leur expérience.

Elle est donc au centre des processus d'innovation continue de Sensei. Au cours d'une séance de réflexion sur l'innovation visant à élargir le champ d'application du "champ d'application" (oui, c'est un jeu de mots), une question a été soulevée : 

"J'essayais de créer une recette pour ... mais depuis la version x, le framework a rendu cette fonctionnalité obsolète. Je ne suis pas sûr qu'il soit encore utile de créer une recette. Qu'en pensez-vous ?"

Bien entendu, ce n'est pas la première fois que nous hésitons à créer une recette. Bien que la recette puisse être considérée comme une information redondante, nous pensons qu'il est utile de créer quelque chose qui s'applique à un nombre limité de versions de la dépendance concernée. C'est pourquoi nous avons créé le champ d'application de la bibliothèque.

La portée de la bibliothèque nous permet de vérifier si une dépendance est présente dans le projet et d'appliquer conditionnellement les recettes Sensei . Cela offre une grande flexibilité lorsque les équipes naviguent dans le code existant et les dépendances.

Beaucoup d'entre vous connaissent l'étendue de la bibliothèque qui est déjà disponible dans les paramètres généraux. Qu'est-ce que c'est, me direz-vous ? Nous avons permis à l'étendue de la bibliothèque d'être présente dans YAML, tout comme la recherche. Cela crée une meilleure expérience utilisateur et n'interrompt pas votre flux lorsque vous créez la recette, ce qui vous obligerait à naviguer vers les Paramètres généraux et à revenir pour mettre à jour les métadonnées. D'autres champs d'application seront intégrés au YAML, mais nous avons commencé par le champ d'application de la bibliothèque.

Voyons donc un peu plus en détail comment cela fonctionne à l'aide d'un exemple.

Portée de la bibliothèque appliquée à hibernate-jpamodelgen

Imaginez le cas suivant : 

Nous voulons créer une API Spring Web REST qui nous permette d'interroger certaines données. Conformément aux meilleures pratiques, nous créons un modèle pour l'entité que nous voulons interroger. Ensuite, nous ajoutons une dépendance à l'ORM Hibernate, afin de ne pas avoir à manipuler la structure de la base de données. L'ORM s'en charge pour nous. Nous devons également créer un service qui fournit les données de la couche d'accès aux données (référentiels CRUD, etc.) au contrôleur. Enfin, nous créons la classe du contrôleur pour notre API, où nous exposerons les requêtes autorisées en tant que points d'extrémité.

Pour éviter d'avoir à exposer différents points de terminaison pour chaque champ pouvant être interrogé, nous choisissons plutôt d'utiliser les spécifications JPA 2. Pour ce faire, nous créons une spécification dans le contrôleur à partir de l'URL de la requête. Cette spécification décrit à quoi doivent ressembler les entités que nous recherchons. Dans la classe `Specification` elle-même, nous implémentons la méthode `toPredicate` pour indiquer comment la spécification peut être validée.

Mais nous sommes confrontés à un problème dans la méthode `toPredicate`. Pour construire le prédicat, nous devons connaître les noms des colonnes de la base de données à comparer. Mais comme nous utilisons un ORM, ces colonnes ne sont pas présentes dans un modèle séparé. Le générateur de métamodèle JPA 2 d'Hibernate() vient donc à notre rescousse ! Il vous aidera à générer un métamodèle pour les entités que nous lui avons demandé de gérer. Ces métamodèles nous permettent de référencer les noms de colonnes en tant que propriétés au lieu de les coder en dur.

Création de la recette Sensei

Maintenant que nous avons généré les métamodèles, nous voulons les utiliser à bon escient. Sensei peut aider tous ceux qui travaillent sur le projet en leur rappelant d'utiliser le métamodèle, en s'assurant que les noms de colonnes ne sont pas codés en dur. Mettons donc cela en pratique.

Pour commencer, nous examinons la méthode `toPredicate`:‍

Ce prédicat de base ne compare que le nom de notre entité. Nous pouvons le développer en utilisant des clauses `et`, mais pour les besoins de cette recette, cette vérification "simple" suffira.

Pour le composant de recherche de la recette, nous voulons appeler la méthode `get()` du paramètre racine, donc nous sélectionnons l'option `methodcall` dans le menu déroulant. Ensuite, nous voulons limiter la recherche à un appel de méthode avec le nom `get` dont la signature est déclarée dans l'interface `Path` du package `javax.persistence.criteria`. Comme la méthode a été surchargée, nous devons également indiquer à la recherche que notre recette ne s'applique qu'à la variante qui prend une seule chaîne de caractères comme argument. Pour résoudre le problème d'avoir les noms de colonnes dans le code, nous voulons utiliser un argument de type `SingularAttribute` à la place, le même type fourni par le générateur de métamodèle.

La recette que nous avons créée jusqu'à présent se déclenchera sur n'importe quelle base de code qui utilise l'interface JPA 2 `Path`, indépendamment du fait que la base de code soit configurée pour utiliser le générateur de modèle Hibernate. Si cette bibliothèque est présente dans le projet, nous voulons indiquer à l'utilisateur qu'elle doit être utilisée, donc nous ajoutons une portée de bibliothèque à la recette.

Enfin, notre recette est prête.

Avec cette recette, toute occurrence de `Path#get` qui utilise une chaîne de caractères comme argument sera signalée. Comme vous pouvez le voir dans l'exemple de code surligné dans la capture d'écran ci-dessus, cette recette fonctionne toujours lorsque le nom littéral de la colonne est stocké dans une variable intermédiaire.

Note - Nous pouvons également inverser la portée de la bibliothèque pour gérer le cas où la bibliothèque n'est pas disponible, en ajoutant une clause `not` à la portée.

Conclusion

Comme nous l'avons vu dans l'exemple ci-dessus, cette nouvelle fonctionnalité nous permet de créer des recettes plus utiles en les appliquant en fonction de la présence de dépendances dans le projet. Pour améliorer encore sa puissance, nous avons inclus plus d'options que celles montrées dans l'exemple, telles que non seulement la vérification de la présence de la dépendance, mais aussi l'application de conditions à la version spécifique de la dépendance. 

Les principaux cas d'utilisation que nous voyons pour cette fonctionnalité sont d'empêcher les recettes de fournir des informations en double, de détecter les problèmes liés à des versions spécifiques de dépendances, mais aussi d'effectuer des migrations d'une version de dépendance à l'autre. Nous attendons avec impatience que vous nous fassiez part des utilisations que vous envisagez pour cette fonctionnalité.

Comme pour toutes les fonctionnalités de Sensei , vous trouverez de plus amples informations sur l'étendue de la bibliothèque dans la documentation de référence.

Selon une étude d'IBM, il est trente fois plus coûteux de corriger les vulnérabilités après leur publication que de les trouver et de les corriger au départ. Dans ce contexte, il n'est pas surprenant que les DSI tournés vers l'avenir mettent en œuvre des pratiques de codage sécurisé. Il s'agit de former et d'équiper les développeurs pour qu'ils écrivent un code plus sûr dès le départ, ce qui fait d'eux la "première ligne de défense" de leur organisation. Pour mesurer l'impact réel de cette tendance, Secure Code Warrior s'est associé à Evans Data Corp* et a commandé une étude récente sur les attitudes des développeurs à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité. Cette étude révèle que la mise en œuvre de pratiques de codage sécurisé est trans-formatrice pour les entreprises sur plusieurs fronts. Téléchargez votre exemplaire du livre blanc ici.

Coder en toute sécurité avec plus de confiance et d'attention

Il ne fait aucun doute que la mise en œuvre de pratiques de codage sécurisées sensibilise les développeurs à la sécurité d'une manière qui profite à leurs employeurs. Notre étude révèle que 55 % des développeurs déclarent qu'une bonne formation a renforcé leur confiance dans leurs techniques de codage, et 53 % qu'une bonne formation leur a permis d'être plus prudents lorsqu'ils déboguent et testent leur propre code. Par ailleurs, 53 % pensent qu'ils sont devenus plus attentifs à la sécurité lorsqu'ils écrivent du code.

Qu'est-ce que cela nous apprend ? Cela nous indique qu'avec un peu de perfectionnement, les développeurs peuvent se transformer en votre première ligne de défense.

Une sélection d'outils plus intelligente + une plus grande rapidité de mise en œuvre

Lorsque nous avons interrogé les responsables sur l'impact de la formation au codage sécurisé, leurs points de vue reflétaient leurs responsabilités managériales. 43 % des responsables ont reconnu que la formation au code sécurisé avait aidé leur organisation à devenir plus prudente lors du débogage et du test de leur code. 47 % ont révélé qu'une bonne formation leur avait permis d'être plus sélectifs dans le choix d'outils offrant davantage de sécurité. Mais peut-être plus important encore, 44 % ont indiqué que la formation et les techniques de codage sécurisé ont permis de gagner du temps et d'accélérer la sortie des logiciels - un avantage substantiel lorsque la rapidité de la mise sur le marché est primordiale.

Amélioration de la productivité dans tous les domaines

Lorsque nous avons demandé aux développeurs comment le codage sécurisé avait contribué à leur productivité, plus de la moitié d'entre eux ont estimé qu'il avait permis d'améliorer la qualité du codage et de la conception des applications.  

63 % déclarent qu'il réduit la charge de travail en évitant les vulnérabilités récurrentes. 70 % déclarent qu'il a contribué à éliminer les erreurs qui entraînent des retouches ou des correctifs. 56 % affirment qu'elle a amélioré la productivité en matière de débogage et de test. Nous pouvons constater la transformation en cours à de multiples étapes du cycle de vie du développement logiciel.

Dynamique d'équipe et qualité du code

Les pratiques de codage sécurisé ont également un impact sur la dynamique de l'équipe. Si les développeurs apprennent individuellement à coder de manière plus sûre, leur code n'existe pas en vase clos. Leur code dépend souvent du travail des autres et vice versa. La mise en œuvre de pratiques de codage sécurisé incite les développeurs à partager et à rechercher des connaissances en matière de codage sécurisé, ce qui favorise une meilleure communication entre les développeurs, les développeurs et la direction, et l'équipe de développement et ses parties prenantes.

• 60 % des développeurs interrogés estiment que l'utilisation de pratiques de codage sécurisées a amélioré leur communication avec les autres développeurs.
• 45 % déclarent que les contacts avec la direction ont augmenté.

Ces sentiments sont partagés par les managers, bien que dans une perspective différente. 62 % des responsables interrogés affirment que les pratiques en matière de code sécurisé les obligent à consacrer plus de temps à la gestion du personnel et contribuent à augmenter la vitesse de publication du code.

Pour les organisations qui mettent en œuvre des pratiques de code sécurisé, l'augmentation de la communication a un impact trans-formatif sur la dynamique de l'équipe, ce qui a un impact positif sur la qualité du code et la rapidité de mise sur le marché.

Passer de la réactivité à la prévention

Enfin, le code sécurisé a un impact sur la manière dont les développeurs et les responsables du développement appliquent les mesures de sécurité et les indicateurs qui les accompagnent.

Aujourd'hui, 81 % des organisations s'appuient encore sur des mesures réactives, telles que le nombre de défauts et les mesures des scanners, pour déterminer la qualité de la sécurité.

Mais ces activités réactives sont de plus en plus complétées ou remplacées par des mesures proactives ou préventives. 67% des organisations mesurent désormais la sensibilisation des développeurs au Top 10 de l'OWASP en tant que mesure de la préparation à la sécurité. D'autres mesures proactives sont de plus en plus utilisées :

• Mesurer les compétences des développeurs en matière de sécurité des applications
• Utilisation d'un code pré-approuvé
• Respect des exigences réglementaires.

90 % des développeurs sont désormais attentifs à ces mesures préventives. Mais si les pratiques de codage sécurisé sont de plus en plus connues et mises en œuvre, il reste encore du chemin à parcourir pour qu'elles atteignent leur plein potentiel.

Que faire maintenant ?

En tant que champion du changement dans le codage sécurisé, Secure Code Warrior adopte une approche humaine pour vous aider à transformer vos développeurs en première ligne de défense - et votre approche globale de la sécurité de réactive à proactive. Notre site Plateforme D'apprentissage , qui a fait ses preuves, propose une formation contextuelle et pratique dans 52 catégories spécifiques au langage et au cadre, avec des défis qui imitent ceux auxquels les développeurs sont confrontés dans le monde réel. Nous savons par expérience que les développeurs préfèrent la méthode d'apprentissage par la pratique à l'apprentissage statique basé sur la théorie. Si vous souhaitez voir l'impact transformateur que cela peut avoir sur vos équipes et leur capacité à produire du code de qualité en toute confiance, réservez une démo dès maintenant.

‍

*Passer de la réaction à la prévention : Le nouveau visage de la sécurité des applications. Secure Code Warrior et Evans Data Corp. 2020
1. IBM Software Group ; Minimizing Code Defects to Improve Software Quality and Lower Development Cost - (Minimiser les défauts du code pour améliorer la qualité des logiciels et réduire les coûts de développement). https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html

‍

Une nouvelle étude explore les avantages d'une formation de qualité en matière de sécurité. 

Quels sont les impacts potentiels d'une formation de qualité au codage sécurisé pour votre organisation - et est-ce un investissement qui en vaut la peine ? Pour répondre à ces questions, examinons les résultats d'une étude récente sur les attitudes des développeurs à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité, menée par Secure Code Warrior en collaboration avec Evans Data Corp*.
‍

Lorsqu'on a demandé aux développeurs et à leurs responsables comment la formation avait modifié leur façon de coder, chaque cohorte a répondu de manière légèrement différente. Ces différences correspondent à la manière dont ils abordent leur travail et leur rôle dans le cycle de vie du développement logiciel. Dans l'ensemble, cependant, le thème sous-jacent est que l'impact de la formation sur le code sécurisé de qualité est extrêmement positif. 

55 % des développeurs ont indiqué qu'une bonne formation avait renforcé leur confiance dans leurs techniques de codage, tandis que 53 % ont déclaré qu'une bonne formation leur avait permis d'être plus prudents lorsqu'ils déboguaient et testaient leur propre code. 

Plus important encore, 53 % d'entre eux pensent qu'ils sont devenus plus attentifs à la sécurité lorsqu'ils écrivent leur code, ce qui se traduit par une diminution des vulnérabilités et une réduction des travaux de refonte. 

Les gestionnaires parviennent à accélérer la mise en production des logiciels

Alors que 43 % des responsables reconnaissent que la formation au code sécurisé a aidé leur organisation à devenir plus prudente lorsqu'elle débogue et teste son code, les deux changements les plus importants reflètent les responsabilités des responsables. 47 % ont révélé qu'une bonne formation leur a permis d'être plus sélectifs dans le choix d'outils offrant davantage de sécurité. 44 % ont indiqué que la formation et les techniques de sécurisation du code ont permis de gagner du temps et d'accélérer la sortie des logiciels.

L'influence du codage sécurisé sur la productivité

Lorsqu'il s'agit d'augmenter la productivité, les pratiques de codage sécurisé peuvent avoir un effet puissant. Interrogés sur la manière dont le codage sécurisé pourrait contribuer à améliorer la productivité, plus de 63 % des développeurs ont indiqué que l'écriture d'un code sécurisé/de qualité réduit les travaux de reprise en évitant les vulnérabilités récurrentes. 70 % des développeurs affirment qu'une formation de qualité pourrait éliminer les erreurs qui entraînent par la suite des remaniements ou des correctifs. 

Impact du codage sécurisé sur le cycle de vie du développement

Au fur et à mesure que les développeurs et leurs responsables intègrent des pratiques de codage sécurisées dans leurs cycles de développement, les effets concrets de leur formation peuvent être mesurés. 

Il semble que les améliorations soient généralisées et que la productivité soit améliorée dès le début du cycle de développement durable. Plus de la moitié des développeurs interrogés affirment qu'une bonne formation a permis d'améliorer la productivité de la conception des applications, du codage, du débogage et des tests.

La phase de débogage et de test est la plus touchée, 56 % des développeurs déclarant qu'ils sont devenus plus productifs dans le cadre de ces activités. Bien que de meilleurs outils d'analyse et de test aient pu raccourcir cette phase de développement, les pratiques de codage sécurisé encouragent l'utilisation et la réutilisation d'un code vérifié dont il est prouvé qu'il ne présente aucune vulnérabilité, ainsi qu'une approche de la conception des applications axée sur la sécurité. En "démarrant à gauche" du cycle de développement avec leur approche de la sécurité, les développeurs peuvent gagner du temps pendant la phase de débogage.

Le déploiement, qui se situe plus en aval, est moins touché, bien que 44 % des développeurs révèlent qu'ils sont devenus plus productifs même lors du déploiement. Cela est dû à l'augmentation de la vitesse de publication associée à des pratiques de codage sécurisées.

Une méthode éprouvée pour améliorer la formation

Il ne fait aucun doute qu'une formation de qualité sur le code sécurisé offre de nombreux avantages. La question est de savoir comment juger de la qualité d'une formation au code sécurisé. 

Pour trouver la réponse, nous avons demandé aux développeurs ce qu'ils voulaient. 75 % des développeurs préfèrent une formation structurée sur le tas. Ils préfèrent la méthode d'apprentissage par la pratique à la corvée de l'apprentissage statique basé sur la théorie. Les développeurs sont en première ligne lorsqu'il s'agit d'éliminer les vulnérabilités. Ils veulent donc une formation axée sur les applications pratiques, ce qui fait cruellement défaut à la plupart des programmes de formation actuels.

En tant que champion du changement dans le codage sécurisé, Secure Code Warrior adopte une approche humaine pour vous aider à créer une défense humaine. Notre site Plateforme D'apprentissage , qui a fait ses preuves, propose un contenu de formation contextuel et pratique dans plus de 50 langages et cadres, avec des défis qui imitent ceux auxquels les développeurs sont confrontés dans le monde réel. Tout cela permet de réduire les coûts et les délais de publication en prévenant les vulnérabilités avant qu'elles ne deviennent les nouvelles de demain.

Si vous souhaitez voir l'impact potentiel sur vos équipes et leur capacité à fournir plus rapidement du code sécurisé, réservez une démonstration dès maintenant.