Que diriez-vous d'une statistique qui donne à réfléchir ? 60 % des PME font faillite dans les six mois qui suivent une cyberattaque réussie*. Les grandes entreprises perdent des millions (ou des milliards !) tandis que la réputation de leur marque est entachée. Alors que les organisations adoptent de plus en plus des pratiques de codage sécurisées, un "virage à gauche" est en train de s'opérer. Avec l'essor de DevSecOps, le code sécurisé devient la priorité dès le début du cycle de développement durable. Pour étudier l'impact réel de cette tendance, Secure Code Warrior et Evans Data Corp*** ont commandé une étude récente sur les attitudes des développeurs à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité.

Le virage à gauche - un virage à plusieurs niveaux  

Les entreprises réalisant qu'il est 30 fois plus coûteux de corriger les vulnérabilités après coup, les mesures préventives sont devenues le nouvel étalon-or*. Mais pour que ces mesures soient efficaces, tous les acteurs du cycle de développement durable doivent être sensibilisés à la sécurité, en particulier les développeurs. 

‍ShiftOne - qui est responsable maintenant ?

Avec l'essor de DevSecOps, les organisations adoptent des pratiques de codage sécurisées. Par conséquent, l'un des premiers changements mis en évidence par notre étude est le transfert de la responsabilité de la sécurité du code vers les niveaux opérationnels. 

Lorsque nous avons demandé aux développeurs et aux responsables du développement "qui devrait avoir la responsabilité finale de la sécurité du code", 46% ont répondu le chef de projet ou d'équipe - presque deux fois plus que ceux qui ont dit que la responsabilité devrait rester à l'équipe de sécurité des applications. 

Il s'agit là d'une indication claire d'un déplacement des responsabilités en matière de sécurité des équipes traditionnelles de sécurité des applications vers les responsables des équipes de développement.

Deuxième étape - L'évolution du rôle des managers  

Les pressions exercées sur les gestionnaires pour qu'ils mettent en place une formation au code sécurisé proviennent de plusieurs directions. 

41% révèlent que l'impératif organisationnel pour la formation au code sécurisé vient de la direction générale. Les exigences croissantes en matière de conformité réglementaire sont également un facteur. 

Les managers jouent un rôle essentiel dans la transition du développement traditionnel vers DevSecOps et deviennent des décideurs cruciaux pour les décisions de formation et d'achat d'outils.

‍ShiftThree - Developers Stepping Up

Cependant, nous constatons également que la pression pour le changement remonte de la base : 24 % des responsables révèlent qu'ils mettent en œuvre des pratiques de codage sécurisées à la suite de suggestions et de recommandations de leurs développeurs. Ce point met en évidence le rôle de plus en plus important des développeurs en tant que contributeurs aux programmes de sécurité de leur entreprise. Le passage à DevSecOps, qui met l'accent sur les pratiques préventives de codage sécurisé, fait des développeurs la "première ligne de défense".

Quatrième étape - Amélioration de la dynamique d'équipe  

Si la mise en œuvre de pratiques de codage sécurisées a un impact matériel sur la qualité des logiciels, elle modifie également la façon dont les équipes travaillent pour le mieux. 60 % des développeurs interrogés estiment que l'utilisation de pratiques de codage sécurisées a amélioré leur communication avec les autres développeurs - mais les avantages ne s'arrêtent pas là. 

La moitié des développeurs et des responsables interrogés ont reconnu que les pratiques de codage sécurisées ont conduit à une plus grande coopération entre les développeurs et leurs dirigeants. 46 % affirment que la collaboration entre les développeurs et les parties prenantes s'est améliorée. Dans le même temps, 41 % ont souligné une plus grande coopération entre les dirigeants et les parties prenantes.

DevSecOps rassemble les équipes, les dirigeants et les parties prenantes d'une nouvelle manière, en améliorant la coopération entre les différents rôles et étapes du cycle de vie du développement logiciel. 

62 % des responsables interrogés affirment que les pratiques en matière de code sécurisé contribuent à accroître la rapidité des publications de code. Ce simple fait s'ajoute à tous ces autres changements pour mettre en évidence les avantages évidents de l'adoption d'une approche DevOps. Mais, comme indiqué plus haut dans cet article, pour que ces mesures soient efficaces, tous les acteurs du SDLC doivent être sensibilisés à la sécurité. Cette idée a des implications cruciales sur la façon dont les organisations forment leurs développeurs. Les équipes doivent s'informer sur les vulnérabilités récemment identifiées et apprendre dans le langage spécifique : les cadres dans lesquels ils codent. En bref, elles doivent comprendre comment localiser, identifier et corriger les vulnérabilités connues dans le code dans le contexte dans lequel elles travaillent tous les jours. Une telle formation transforme vos équipes de première ligne de risque en première ligne de défense.  

En tant que champion du changement en matière de codage sécurisé, Secure Code Warrior adopte une approche humaine pour aider votre organisation à "passer à gauche" - et à faire passer votre approche globale de la sécurité de la réactivité à la proactivité.

Si vous souhaitez en savoir plus sur la formation pratique, très engageante et éprouvée sur le code sécurisé qui aligne les besoins des managers, des développeurs et de l'organisation pour atteindre un avenir DevSecOps, réservez une démo dès maintenant.

‍

*60 % des petites entreprises ferment dans les 6 mois suivant leur piratage.
‍https://cybersecurityventures.com/60-percent-of-small-companies-close-within-6-months-of-being-hacked/

**IBM Software Group ; Minimizing Code Defects to Improve Software Quality and Lower Development Costs (Minimiser les défauts de code pour améliorer la qualité des logiciels et réduire les coûts de développement).
‍https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html

***Passerde la réaction à la prévention : The changing face of application security 2021. Secure Code Warrior et Evans Data Corp.
https://scw.buzz/3169uzS

Gérer les dépendances avec souplesse

La fonctionnalité Scope de Sensei a toujours été très appréciée des développeurs. Grâce à la possibilité d'étendre ou de limiter le champ d'application d'une recette, les équipes de développement ont pu adapter son utilisation à des projets individuels et à des secteurs verticaux au sein de leur organisation, ce qui a permis aux développeurs de personnaliser leur expérience.

Elle est donc au centre des processus d'innovation continue de Sensei. Au cours d'une séance de réflexion sur l'innovation visant à élargir le champ d'application du "champ d'application" (oui, c'est un jeu de mots), une question a été soulevée : 

"J'essayais de créer une recette pour ... mais depuis la version x, le framework a rendu cette fonctionnalité obsolète. Je ne suis pas sûr qu'il soit encore utile de créer une recette. Qu'en pensez-vous ?"

Bien entendu, ce n'est pas la première fois que nous hésitons à créer une recette. Bien que la recette puisse être considérée comme une information redondante, nous pensons qu'il est utile de créer quelque chose qui s'applique à un nombre limité de versions de la dépendance concernée. C'est pourquoi nous avons créé le champ d'application de la bibliothèque.

La portée de la bibliothèque nous permet de vérifier si une dépendance est présente dans le projet et d'appliquer conditionnellement les recettes Sensei . Cela offre une grande flexibilité lorsque les équipes naviguent dans le code existant et les dépendances.

Beaucoup d'entre vous connaissent l'étendue de la bibliothèque qui est déjà disponible dans les paramètres généraux. Qu'est-ce que c'est, me direz-vous ? Nous avons permis à l'étendue de la bibliothèque d'être présente dans YAML, tout comme la recherche. Cela crée une meilleure expérience utilisateur et n'interrompt pas votre flux lorsque vous créez la recette, ce qui vous obligerait à naviguer vers les Paramètres généraux et à revenir pour mettre à jour les métadonnées. D'autres champs d'application seront intégrés au YAML, mais nous avons commencé par le champ d'application de la bibliothèque.

Voyons donc un peu plus en détail comment cela fonctionne à l'aide d'un exemple.

Portée de la bibliothèque appliquée à hibernate-jpamodelgen

Imaginez le cas suivant : 

Nous voulons créer une API Spring Web REST qui nous permette d'interroger certaines données. Conformément aux meilleures pratiques, nous créons un modèle pour l'entité que nous voulons interroger. Ensuite, nous ajoutons une dépendance à l'ORM Hibernate, afin de ne pas avoir à manipuler la structure de la base de données. L'ORM s'en charge pour nous. Nous devons également créer un service qui fournit les données de la couche d'accès aux données (référentiels CRUD, etc.) au contrôleur. Enfin, nous créons la classe du contrôleur pour notre API, où nous exposerons les requêtes autorisées en tant que points d'extrémité.

Pour éviter d'avoir à exposer différents points de terminaison pour chaque champ pouvant être interrogé, nous choisissons plutôt d'utiliser les spécifications JPA 2. Pour ce faire, nous créons une spécification dans le contrôleur à partir de l'URL de la requête. Cette spécification décrit à quoi doivent ressembler les entités que nous recherchons. Dans la classe `Specification` elle-même, nous implémentons la méthode `toPredicate` pour indiquer comment la spécification peut être validée.

Mais nous sommes confrontés à un problème dans la méthode `toPredicate`. Pour construire le prédicat, nous devons connaître les noms des colonnes de la base de données à comparer. Mais comme nous utilisons un ORM, ces colonnes ne sont pas présentes dans un modèle séparé. Le générateur de métamodèle JPA 2 d'Hibernate() vient donc à notre rescousse ! Il vous aidera à générer un métamodèle pour les entités que nous lui avons demandé de gérer. Ces métamodèles nous permettent de référencer les noms de colonnes en tant que propriétés au lieu de les coder en dur.

Création de la recette Sensei

Maintenant que nous avons généré les métamodèles, nous voulons les utiliser à bon escient. Sensei peut aider tous ceux qui travaillent sur le projet en leur rappelant d'utiliser le métamodèle, en s'assurant que les noms de colonnes ne sont pas codés en dur. Mettons donc cela en pratique.

Pour commencer, nous examinons la méthode `toPredicate`:‍

Ce prédicat de base ne compare que le nom de notre entité. Nous pouvons le développer en utilisant des clauses `et`, mais pour les besoins de cette recette, cette vérification "simple" suffira.

Pour le composant de recherche de la recette, nous voulons appeler la méthode `get()` du paramètre racine, donc nous sélectionnons l'option `methodcall` dans le menu déroulant. Ensuite, nous voulons limiter la recherche à un appel de méthode avec le nom `get` dont la signature est déclarée dans l'interface `Path` du package `javax.persistence.criteria`. Comme la méthode a été surchargée, nous devons également indiquer à la recherche que notre recette ne s'applique qu'à la variante qui prend une seule chaîne de caractères comme argument. Pour résoudre le problème d'avoir les noms de colonnes dans le code, nous voulons utiliser un argument de type `SingularAttribute` à la place, le même type fourni par le générateur de métamodèle.

La recette que nous avons créée jusqu'à présent se déclenchera sur n'importe quelle base de code qui utilise l'interface JPA 2 `Path`, indépendamment du fait que la base de code soit configurée pour utiliser le générateur de modèle Hibernate. Si cette bibliothèque est présente dans le projet, nous voulons indiquer à l'utilisateur qu'elle doit être utilisée, donc nous ajoutons une portée de bibliothèque à la recette.

Enfin, notre recette est prête.

Avec cette recette, toute occurrence de `Path#get` qui utilise une chaîne de caractères comme argument sera signalée. Comme vous pouvez le voir dans l'exemple de code surligné dans la capture d'écran ci-dessus, cette recette fonctionne toujours lorsque le nom littéral de la colonne est stocké dans une variable intermédiaire.

Note - Nous pouvons également inverser la portée de la bibliothèque pour gérer le cas où la bibliothèque n'est pas disponible, en ajoutant une clause `not` à la portée.

Conclusion

Comme nous l'avons vu dans l'exemple ci-dessus, cette nouvelle fonctionnalité nous permet de créer des recettes plus utiles en les appliquant en fonction de la présence de dépendances dans le projet. Pour améliorer encore sa puissance, nous avons inclus plus d'options que celles montrées dans l'exemple, telles que non seulement la vérification de la présence de la dépendance, mais aussi l'application de conditions à la version spécifique de la dépendance. 

Les principaux cas d'utilisation que nous voyons pour cette fonctionnalité sont d'empêcher les recettes de fournir des informations en double, de détecter les problèmes liés à des versions spécifiques de dépendances, mais aussi d'effectuer des migrations d'une version de dépendance à l'autre. Nous attendons avec impatience que vous nous fassiez part des utilisations que vous envisagez pour cette fonctionnalité.

Comme pour toutes les fonctionnalités de Sensei , vous trouverez de plus amples informations sur l'étendue de la bibliothèque dans la documentation de référence.

Selon une étude d'IBM, il est trente fois plus coûteux de corriger les vulnérabilités après leur publication que de les trouver et de les corriger au départ. Dans ce contexte, il n'est pas surprenant que les DSI tournés vers l'avenir mettent en œuvre des pratiques de codage sécurisé. Il s'agit de former et d'équiper les développeurs pour qu'ils écrivent un code plus sûr dès le départ, ce qui fait d'eux la "première ligne de défense" de leur organisation. Pour mesurer l'impact réel de cette tendance, Secure Code Warrior s'est associé à Evans Data Corp* et a commandé une étude récente sur les attitudes des développeurs à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité. Cette étude révèle que la mise en œuvre de pratiques de codage sécurisé est trans-formatrice pour les entreprises sur plusieurs fronts. Téléchargez votre exemplaire du livre blanc ici.

Coder en toute sécurité avec plus de confiance et d'attention

Il ne fait aucun doute que la mise en œuvre de pratiques de codage sécurisées sensibilise les développeurs à la sécurité d'une manière qui profite à leurs employeurs. Notre étude révèle que 55 % des développeurs déclarent qu'une bonne formation a renforcé leur confiance dans leurs techniques de codage, et 53 % qu'une bonne formation leur a permis d'être plus prudents lorsqu'ils déboguent et testent leur propre code. Par ailleurs, 53 % pensent qu'ils sont devenus plus attentifs à la sécurité lorsqu'ils écrivent du code.

Qu'est-ce que cela nous apprend ? Cela nous indique qu'avec un peu de perfectionnement, les développeurs peuvent se transformer en votre première ligne de défense.

Une sélection d'outils plus intelligente + une plus grande rapidité de mise en œuvre

Lorsque nous avons interrogé les responsables sur l'impact de la formation au codage sécurisé, leurs points de vue reflétaient leurs responsabilités managériales. 43 % des responsables ont reconnu que la formation au code sécurisé avait aidé leur organisation à devenir plus prudente lors du débogage et du test de leur code. 47 % ont révélé qu'une bonne formation leur avait permis d'être plus sélectifs dans le choix d'outils offrant davantage de sécurité. Mais peut-être plus important encore, 44 % ont indiqué que la formation et les techniques de codage sécurisé ont permis de gagner du temps et d'accélérer la sortie des logiciels - un avantage substantiel lorsque la rapidité de la mise sur le marché est primordiale.

Amélioration de la productivité dans tous les domaines

Lorsque nous avons demandé aux développeurs comment le codage sécurisé avait contribué à leur productivité, plus de la moitié d'entre eux ont estimé qu'il avait permis d'améliorer la qualité du codage et de la conception des applications.  

63 % déclarent qu'il réduit la charge de travail en évitant les vulnérabilités récurrentes. 70 % déclarent qu'il a contribué à éliminer les erreurs qui entraînent des retouches ou des correctifs. 56 % affirment qu'elle a amélioré la productivité en matière de débogage et de test. Nous pouvons constater la transformation en cours à de multiples étapes du cycle de vie du développement logiciel.

Dynamique d'équipe et qualité du code

Les pratiques de codage sécurisé ont également un impact sur la dynamique de l'équipe. Si les développeurs apprennent individuellement à coder de manière plus sûre, leur code n'existe pas en vase clos. Leur code dépend souvent du travail des autres et vice versa. La mise en œuvre de pratiques de codage sécurisé incite les développeurs à partager et à rechercher des connaissances en matière de codage sécurisé, ce qui favorise une meilleure communication entre les développeurs, les développeurs et la direction, et l'équipe de développement et ses parties prenantes.

• 60 % des développeurs interrogés estiment que l'utilisation de pratiques de codage sécurisées a amélioré leur communication avec les autres développeurs.
• 45 % déclarent que les contacts avec la direction ont augmenté.

Ces sentiments sont partagés par les managers, bien que dans une perspective différente. 62 % des responsables interrogés affirment que les pratiques en matière de code sécurisé les obligent à consacrer plus de temps à la gestion du personnel et contribuent à augmenter la vitesse de publication du code.

Pour les organisations qui mettent en œuvre des pratiques de code sécurisé, l'augmentation de la communication a un impact trans-formatif sur la dynamique de l'équipe, ce qui a un impact positif sur la qualité du code et la rapidité de mise sur le marché.

Passer de la réactivité à la prévention

Enfin, le code sécurisé a un impact sur la manière dont les développeurs et les responsables du développement appliquent les mesures de sécurité et les indicateurs qui les accompagnent.

Aujourd'hui, 81 % des organisations s'appuient encore sur des mesures réactives, telles que le nombre de défauts et les mesures des scanners, pour déterminer la qualité de la sécurité.

Mais ces activités réactives sont de plus en plus complétées ou remplacées par des mesures proactives ou préventives. 67% des organisations mesurent désormais la sensibilisation des développeurs au Top 10 de l'OWASP en tant que mesure de la préparation à la sécurité. D'autres mesures proactives sont de plus en plus utilisées :

• Mesurer les compétences des développeurs en matière de sécurité des applications
• Utilisation d'un code pré-approuvé
• Respect des exigences réglementaires.

90 % des développeurs sont désormais attentifs à ces mesures préventives. Mais si les pratiques de codage sécurisé sont de plus en plus connues et mises en œuvre, il reste encore du chemin à parcourir pour qu'elles atteignent leur plein potentiel.

Que faire maintenant ?

En tant que champion du changement dans le codage sécurisé, Secure Code Warrior adopte une approche humaine pour vous aider à transformer vos développeurs en première ligne de défense - et votre approche globale de la sécurité de réactive à proactive. Notre site learning platform , qui a fait ses preuves, propose une formation contextuelle et pratique dans 52 catégories spécifiques au langage et au cadre, avec des défis qui imitent ceux auxquels les développeurs sont confrontés dans le monde réel. Nous savons par expérience que les développeurs préfèrent la méthode d'apprentissage par la pratique à l'apprentissage statique basé sur la théorie. Si vous souhaitez voir l'impact transformateur que cela peut avoir sur vos équipes et leur capacité à produire du code de qualité en toute confiance, réservez une démo dès maintenant.

‍

*Passer de la réaction à la prévention : Le nouveau visage de la sécurité des applications. Secure Code Warrior et Evans Data Corp. 2020
1. IBM Software Group ; Minimizing Code Defects to Improve Software Quality and Lower Development Cost - (Minimiser les défauts du code pour améliorer la qualité des logiciels et réduire les coûts de développement). https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html

‍

Une nouvelle étude explore les avantages d'une formation de qualité en matière de sécurité. 

Quels sont les impacts potentiels d'une formation de qualité au codage sécurisé pour votre organisation - et est-ce un investissement qui en vaut la peine ? Pour répondre à ces questions, examinons les résultats d'une étude récente sur les attitudes des développeurs à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité, menée par Secure Code Warrior en collaboration avec Evans Data Corp*.
‍

Lorsqu'on a demandé aux développeurs et à leurs responsables comment la formation avait modifié leur façon de coder, chaque cohorte a répondu de manière légèrement différente. Ces différences correspondent à la manière dont ils abordent leur travail et leur rôle dans le cycle de vie du développement logiciel. Dans l'ensemble, cependant, le thème sous-jacent est que l'impact de la formation sur le code sécurisé de qualité est extrêmement positif. 

55 % des développeurs ont indiqué qu'une bonne formation avait renforcé leur confiance dans leurs techniques de codage, tandis que 53 % ont déclaré qu'une bonne formation leur avait permis d'être plus prudents lorsqu'ils déboguaient et testaient leur propre code. 

Plus important encore, 53 % d'entre eux pensent qu'ils sont devenus plus attentifs à la sécurité lorsqu'ils écrivent leur code, ce qui se traduit par une diminution des vulnérabilités et une réduction des travaux de refonte. 

Les gestionnaires parviennent à accélérer la mise en production des logiciels

Alors que 43 % des responsables reconnaissent que la formation au code sécurisé a aidé leur organisation à devenir plus prudente lorsqu'elle débogue et teste son code, les deux changements les plus importants reflètent les responsabilités des responsables. 47 % ont révélé qu'une bonne formation leur a permis d'être plus sélectifs dans le choix d'outils offrant davantage de sécurité. 44 % ont indiqué que la formation et les techniques de sécurisation du code ont permis de gagner du temps et d'accélérer la sortie des logiciels.

L'influence du codage sécurisé sur la productivité

Lorsqu'il s'agit d'augmenter la productivité, les pratiques de codage sécurisé peuvent avoir un effet puissant. Interrogés sur la manière dont le codage sécurisé pourrait contribuer à améliorer la productivité, plus de 63 % des développeurs ont indiqué que l'écriture d'un code sécurisé/de qualité réduit les travaux de reprise en évitant les vulnérabilités récurrentes. 70 % des développeurs affirment qu'une formation de qualité pourrait éliminer les erreurs qui entraînent par la suite des remaniements ou des correctifs. 

Impact du codage sécurisé sur le cycle de vie du développement

Au fur et à mesure que les développeurs et leurs responsables intègrent des pratiques de codage sécurisées dans leurs cycles de développement, les effets concrets de leur formation peuvent être mesurés. 

Il semble que les améliorations soient généralisées et que la productivité soit améliorée dès le début du cycle de développement durable. Plus de la moitié des développeurs interrogés affirment qu'une bonne formation a permis d'améliorer la productivité de la conception des applications, du codage, du débogage et des tests.

La phase de débogage et de test est la plus touchée, 56 % des développeurs déclarant qu'ils sont devenus plus productifs dans le cadre de ces activités. Bien que de meilleurs outils d'analyse et de test aient pu raccourcir cette phase de développement, les pratiques de codage sécurisé encouragent l'utilisation et la réutilisation d'un code vérifié dont il est prouvé qu'il ne présente aucune vulnérabilité, ainsi qu'une approche de la conception des applications axée sur la sécurité. En "démarrant à gauche" du cycle de développement avec leur approche de la sécurité, les développeurs peuvent gagner du temps pendant la phase de débogage.

Le déploiement, qui se situe plus en aval, est moins touché, bien que 44 % des développeurs révèlent qu'ils sont devenus plus productifs même lors du déploiement. Cela est dû à l'augmentation de la vitesse de publication associée à des pratiques de codage sécurisées.

Une méthode éprouvée pour améliorer la formation

Il ne fait aucun doute qu'une formation de qualité sur le code sécurisé offre de nombreux avantages. La question est de savoir comment juger de la qualité d'une formation au code sécurisé. 

Pour trouver la réponse, nous avons demandé aux développeurs ce qu'ils voulaient. 75 % des développeurs préfèrent une formation structurée sur le tas. Ils préfèrent la méthode d'apprentissage par la pratique à la corvée de l'apprentissage statique basé sur la théorie. Les développeurs sont en première ligne lorsqu'il s'agit d'éliminer les vulnérabilités. Ils veulent donc une formation axée sur les applications pratiques, ce qui fait cruellement défaut à la plupart des programmes de formation actuels.

En tant que champion du changement dans le codage sécurisé, Secure Code Warrior adopte une approche humaine pour vous aider à créer une défense humaine. Notre site learning platform , qui a fait ses preuves, propose un contenu de formation contextuel et pratique dans plus de 50 langages et cadres, avec des défis qui imitent ceux auxquels les développeurs sont confrontés dans le monde réel. Tout cela permet de réduire les coûts et les délais de publication en prévenant les vulnérabilités avant qu'elles ne deviennent les nouvelles de demain.

Si vous souhaitez voir l'impact potentiel sur vos équipes et leur capacité à fournir plus rapidement du code sécurisé, réservez une démonstration dès maintenant.

S'il existe un timing divin, on peut dire que l'administration Biden l'a atteint avec l'annonce de son décret, qui concerne le plan du gouvernement américain visant à renforcer les réseaux fédéraux et à améliorer les normes et les meilleures pratiques en matière de cybersécurité dans l'ensemble du pays. Cette stratégie fait suite à deux cyberattaques récentes et dévastatrices : la violation de la chaîne d'approvisionnement de SolarWinds et l'attaque de l'infrastructure gazière de Colonial Pipeline.

Bien que ces événements aient sans aucun doute provoqué des remous à tous les niveaux du gouvernement, cette directive marque une période passionnante pour l'avenir de la cybersécurité. Il semble que nous prenions enfin au sérieux la protection de notre existence numérique depuis le sommet, et il n'y a pas de meilleur moment qu'aujourd'hui pour promouvoir de meilleures normes et des logiciels de meilleure qualité.

Le décret aborde de nombreux aspects de la cybersécurité fonctionnelle, mais pour la première fois, il souligne spécifiquement l'impact des développeurs et la nécessité pour eux de disposer de compétences vérifiées en matière de sécurité et d'être sensibilisés à cette question. Depuis des années, nous crions sur tous les toits que c'est la voie à suivre pour combattre les vulnérabilités courantes qui nous font si souvent trébucher, et que les mandats gouvernementaux s'alignent sur cette approche est la voie d'un succès généralisé en matière de cyberdéfense.

Comment les organisations - et les ministères fédéraux - doivent-ils réagir à cette ordonnance ? Passons en revue les principales catégories.

Le principe de la "boîte à cocher" n'est plus d'actualité. 

Nous soulignons depuis longtemps l'inefficacité de la plupart des formations à la cybersécurité destinées aux développeurs. Elle est souvent trop générique, n'est pas dispensée de manière à susciter l'intérêt et à inspirer le résultat souhaité (lire : un code plus sûr), et est abordée bien trop rarement. Pire encore, beaucoup d'entreprises se contentent d'une formation de type "tick-the-box" : une approche qui fournit le strict minimum, des bases "one and done" pour répondre à une exigence opérationnelle et obtenir une coche à côté du nom d'un développeur. Ces stratégies de formation sont ce qui maintient tous les RSSI sur le fil du rasoir, croisant les doigts en espérant que leur entreprise ne sera pas victime de la prochaine faille de type "zero-day". Elles ne permettent tout simplement pas de réduire les vulnérabilités et de créer un code de meilleure qualité. 

La section 4 du mandat de M. Biden indique clairement qu'une organisation doit démontrer que ses développeurs respectent les règles de sécurité de manière documentée et vérifiée :

‍

"Les lignes directrices comprennent des critères qui peuvent être utilisés pour évaluer la sécurité des logiciels, des critères pour évaluer les pratiques de sécurité des développeurs et des fournisseurs eux-mêmes, et identifient des outils ou des méthodes innovants pour démontrer la conformité avec les pratiques de sécurité.

Il y a un léger problème à cela : il n'existe actuellement aucune certification standard pour les développeurs. Il est fondamental de pouvoir évaluer le niveau de compétence des développeurs en matière de codage sécurisé et de travailler avec courses et des évaluations pour améliorer ces compétences, ce qui permet aux entreprises de fixer des objectifs et de se mettre en conformité. Lorsque les développeurs peuvent démontrer leurs compétences de base dans un environnement pratique, il est possible de les évaluer et de les certifier d'une manière significative et fiable. C'est le cœur de notre offre à Secure Code Warrior, et nous avons travaillé dur pour créer un système qui peut être utilisé pour une certification fiable et personnalisable en fonction de leur pile technologique et de leurs exigences organisationnelles. 

Ces compétences sont précieuses et ne peuvent être automatisées. La certification peut transformer les développeurs en une force consciente de la sécurité, capable de défendre la base de code contre des menaces insidieuses. 

‍

L'accent est mis sur l'outillage des développeurs (et les outils en général).

Outre les lignes directrices relatives à la vérification des pratiques de codage sécurisées, l'OE se penche de manière assez approfondie sur l'automatisation et l'outillage en matière de sécurité. 

Il y a tout simplement trop de code produit pour que les humains puissent le gérer seuls du point de vue de la sécurité, et l'automatisation - en tant qu'élément d'une pile technologique étendue - est un élément majeur de tout programme de sécurité, comme il se doit. Cependant, tous les outils ne sont pas créés égaux, et il n'existe pas d'outil unique qui puisse détecter toutes les vulnérabilités, dans tous les langages de programmation. Un bon programme de sécurité adopte une approche nuancée, en particulier lorsqu'il s'agit d'outils et de services destinés aux développeurs.

La section 3 du décret décrit les attentes des fournisseurs qui créent des logiciels pouvant être utilisés par le gouvernement fédéral, ainsi que des lignes directrices concernant l'utilisation d'outils dans le processus de développement :

‍

"(iii) l'utilisation d'outils automatisés, ou de processus comparables, pour maintenir des chaînes d'approvisionnement en code source fiables, garantissant ainsi l'intégrité du code ;
(iv) l'utilisation d'outils automatisés, ou de processus comparables, qui vérifient les vulnérabilités connues et potentielles et y remédient, et qui fonctionnent régulièrement ou, au minimum, avant la sortie d'un produit, d'une version ou d'une mise à jour".

Les outils de sécurité dans la pile technologique des développeurs sont l'un des moyens d'améliorer rapidement les meilleures pratiques en matière de sécurité, en veillant à ce que les versions aient les meilleures chances de respecter les délais et de ne pas être retardées par des bogues de sécurité et d'autres obstacles. Il n'en reste pas moins que les développeurs auront besoin d'un apprentissage contextuel pour utiliser au mieux les outils les plus puissants. Il est essentiel qu'ils comprennent ce qui a été signalé, pourquoi c'est dangereux et comment y remédier, ce qui permettra de réduire le nombre d'erreurs que les outils devront identifier en premier lieu. 

Les meilleurs outils s'intègrent à l'environnement du développeur, l'aident à produire un code de meilleure qualité (et plus sûr) et veillent à ce que la sécurité reste au premier plan. 

‍

Sécuriser la chaîne d'approvisionnement.

L'une des parties que j'ai préférées dans la déclaration d'intention concerne les plans détaillés visant à sécuriser la chaîne d'approvisionnement en logiciels. Ce n'est pas surprenant, étant donné l'événement SolarWinds, mais c'est un point important :

"La sécurité des logiciels utilisés par le gouvernement fédéral est essentielle à la capacité de ce dernier à remplir ses fonctions critiques. Le développement de logiciels commerciaux manque souvent de transparence, d'une attention suffisante à la capacité du logiciel à résister aux attaques et de contrôles adéquats pour prévenir les manipulations par des acteurs malveillants. Il est urgent de mettre en œuvre des mécanismes plus rigoureux et plus prévisibles pour garantir que les produits fonctionnent en toute sécurité et comme prévu... le gouvernement fédéral doit prendre des mesures pour améliorer rapidement la sécurité et l'intégrité de la chaîne d'approvisionnement en logiciels, en accordant la priorité aux logiciels critiques."

Cette décision affectera tout éditeur de logiciels cherchant à faire des affaires avec le gouvernement américain, mais elle devrait être appliquée comme norme partout. Le manque de transparence des fournisseurs tiers (sans parler des développeurs qui utilisent des composants tiers) en ce qui concerne leurs mesures de sécurité rend incroyablement difficile l'évaluation, la validation et la déclaration du respect des meilleures pratiques en matière de cybersécurité. Nous devons analyser les fournisseurs que nous utilisons et les logiciels qu'ils écrivent. Ces actions peuvent être considérées comme un "extra mile", mais elles devraient être inhérentes à un étalon-or des meilleures pratiques en matière de cybersécurité.

L'expédition de code sécurisé en toute confiance est depuis longtemps un point sensible dans notre secteur, mais c'est l'occasion idéale d'évaluer les processus actuels et de mener la charge vers des logiciels renforcés et une infrastructure en nuage qui font l'envie de ceux qui restent en arrière. Contactez-nous dès maintenant pour découvrir comment vous pouvez tirer parti de la technologie de l'information. CoursesNous vous invitons à nous contacter dès maintenant pour découvrir comment vous pouvez tirer parti des évaluations de la sécurité et des outils de développement pour certifier votre prochaine équipe de développeurs sensibilisés à la sécurité.

‍

Dans notre monde hyperconnecté, presque toutes les organisations ont un talon d'Achille commun. Une seule vulnérabilité, une seule faille exploitable dans leur code, peut déclencher le vol de données clients, une atteinte à la réputation et des pertes financières considérables. L'alignement organisationnel autour du codage sécurisé n'a jamais été aussi impératif - mais y parvenir est plus facile à dire qu'à faire. C'est pourquoi, en 2020, Secure Code Warrior s'est engagé avec Evans Data Corp. à mener une étude primaire* sur les attitudes des développeurs et des responsables à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité.

Dans cet environnement où la cybersécurité est primordiale, les indicateurs clés de performance traditionnels pour la réussite des projets sont en train d'être redéfinis, mais pas assez rapidement.

Lorsque nous avons interrogé des développeurs et des responsables sur les priorités les plus importantes dans le processus de développement de logiciels :

• 76% de performances d'application nominées 
• 62% ont choisi les caractéristiques et les fonctionnalités
• Et un peu plus de 50 % ont choisi le code sécurisé
  

Aujourd'hui, comme on peut le constater, la sécurité n'est pas une priorité essentielle. 

Mais si l'on se tourne vers l'avenir, la situation change radicalement. Interrogés sur les priorités futures les plus importantes pour mesurer la réussite d'un projet, 79 % des développeurs s'accordent à dire que le codage sécurisé deviendra de plus en plus critique. En fait, les développeurs considèrent la sécurité comme l'ICP dont l'importance augmentera le plus. 

Mais même si le codage sécurisé est de plus en plus connu, son adoption suscite des inquiétudes. Pour les développeurs comme pour les gestionnaires, la gestion des vulnérabilités et l'obligation de rendre compte du code suffisent à les empêcher de dormir. Notre étude* a montré que ces deux groupes partagent les mêmes préoccupations de base, qui soulignent la nécessité d'une meilleure formation aux pratiques de codage sécurisé. 

Préoccupations et obstacles liés aux pratiques de codage sécurisé

La préoccupation numéro un des développeurs est "l'inclusion d'un code qui reproduit des vulnérabilités antérieures". Comme les développeurs sont jugés sur la qualité de leur code, cela n'a rien d'étonnant. Aucun développeur ne veut être à l'origine d'un code non sécurisé - ou d'un code qui nécessite des retouches et ralentit son équipe. 

La deuxième préoccupation la plus importante des développeurs est la gestion des erreurs commises par leurs collègues. Le respect des délais et la responsabilité du code figurent également en bonne place sur la liste, tout comme le fait que l'apprentissage du code sécurisé est difficile, ce qui fait écho à l'insatisfaction des développeurs à l'égard des méthodes de formation actuelles.

Les gestionnaires, quant à eux, ont une vision plus descendante. Leur principale préoccupation est d'être responsable d'un mauvais code ou d'un code qui reproduit des vulnérabilités antérieures. Après tout, si leur équipe produit un code médiocre, c'est le manager qui est responsable. 

Le fait que le processus d'apprentissage soit difficile arrive en troisième position - ce n'est pas le seul obstacle aux pratiques de codage sécurisées. 

45 % ont indiqué que le manque de communication entre les parties prenantes et la direction constituait un obstacle important. 42 % déplorent le manque de compétences en matière de codage sécurisé chez les nouveaux employés. Dans le même temps, 40 % citent l'insuffisance du temps et des ressources consacrés à la formation.

Les méthodes actuelles de formation au code sécurisé ne donnent pas les résultats escomptés - et les responsables se rendent compte qu'une nouvelle approche est nécessaire.   

Qui est responsable des pratiques de codage sécurisé ? 

De par sa nature même, la pratique du codage sécurisé implique de prendre en compte la sécurité bien plus tôt dans le cycle de développement durable. Il s'agit d'intégrer activement la sécurité dans le logiciel dès son écriture, dès le début, au lieu de la remettre à plus tard. En d'autres termes, il s'agit de "passer à gauche". Ce "glissement vers la gauche" est l'essence même de la pratique du codage sécurisé. Et cela signifie qu'en fin de compte, chaque membre d'une organisation devrait être responsable de la sécurité du code. Mais à l'heure actuelle, seuls 15 % des développeurs sont d'accord. 

Cependant, alors que la plupart des développeurs considèrent encore la sécurité comme le problème de quelqu'un d'autre, une cohorte restreinte mais croissante non seulement adopte activement le codage sécurisé, mais le défend au sein de son organisation. 29 % des développeurs interrogés reconnaissent que de telles personnes existent sur leur lieu de travail. Le problème est que ces champions du codage sécurisé sont encore trop peu nombreux. 

Créer plus de champions de la sécurité 

Les responsables du développement sont conscients de la nécessité d'identifier et de créer de nouveaux champions de la sécurité et d'améliorer les compétences des développeurs en général en matière de codage sécurisé. 

De nombreux responsables accordent également une grande importance aux compétences en matière de codage sécurisé lorsqu'ils recrutent de nouveaux développeurs et valorisent l'expérience en matière de codage sécurisé des développeurs qui font déjà partie de leurs équipes.

83 % des responsables interrogés déclarent demander aux développeurs d'apprendre ou d'adopter des pratiques de codage sécurisées. Environ trois quarts des responsables interrogés déclarent offrir des incitations aux développeurs pour qu'ils s'engagent dans une formation au codage sécurisé. Ces incitations vont de la reconnaissance formelle à des responsabilités accrues, en passant par une augmentation de salaire. 

Il est clair que les responsables du développement ont une influence déterminante sur l'adoption de pratiques de codage sécurisées au niveau de l'organisation, et qu'ils jouent un rôle essentiel dans l'identification des champions de la sécurité.  

Mais lorsqu'il s'agit de créer davantage de champions, qu'est-ce qui motive les développeurs à s'initier au codage sécurisé ? Notre étude montre qu'ils y voient un moyen d'accroître leur productivité et leur efficacité. 

Pourquoi les développeurs n'insistent-ils pas sur la nécessité d'une formation au code plus sûre ? Qu'est-ce qui les empêche de s'aligner sur un besoin organisationnel croissant ? 

Des solutions pour commencer à s'attaquer au problème de la réorientation

Les développeurs ne veulent pas rester assis à écouter des conférenciers - ils veulent mettre la main à la pâte et essayer par eux-mêmes. Ils veulent que l'accent soit mis sur les applications pratiques, ce qui fait cruellement défaut aux programmes de formation actuels. Lorsqu'on leur a demandé d'indiquer comment la formation dispensée par l'entreprise pourrait être améliorée, 30 % des personnes interrogées ont répondu qu'elles aimeraient que la formation soit axée sur les applications pratiques, en particulier sur des scénarios de travail authentiques. 

Les pratiques de formation actuelles ne permettent pas d'atteindre cet objectif. Une nouvelle approche est nécessaire - et en tant que champions du changement, Secure Code Warrior adopte une approche humaine pour aider les organisations à se réaligner sur le codage sécurisé. Nos formations en cybersécurité Courses offrent des parcours d'apprentissage guidés qui comprennent des défis de codage pratiques et "gamifiés" qui imitent ceux auxquels les développeurs sont confrontés dans le monde réel. 

Cette formation est spécifique à la langue et au cadre, contrairement à la formation générique, qui entre souvent dans une oreille et sort de l'autre. 

Lorsqu'il s'agit de réaligner la culture, Tournaments peut être utilisé pour mesurer les compétences des codeurs en matière de sécurité, établir une base de référence pour le développement futur des compétences et repérer les champions potentiels de la sécurité au sein de votre équipe de développement.

Si vous souhaitez en savoir plus sur la formation au codage sécurisé qui aligne les besoins des managers, des développeurs et de l'organisation vers un avenir de codage sécurisé, réservez une démonstration maintenant.

*Passer de la réaction à la prévention : Le nouveau visage de la sécurité des applications. Secure Code Warrior et Evans Data Corp. 2020

Les codes non sécurisés coûtent des millions aux entreprises. Qu'est-ce qui empêche l'adoption de pratiques de codage sécurisées ? 

Dans un monde où presque tout repose sur des logiciels, il est essentiel de veiller à la sécurité du code. La réputation des marques et la viabilité financière en dépendent. Cela dit, le codage sécurisé suscite de nombreuses inquiétudes - et de nombreux obstacles s'opposent à son adoption complète et efficace. Plus que jamais, une nouvelle méthode de travail est nécessaire. En 2020, Secure Code Warrior s'est donc engagé avec Evans Data Corp. à mener une recherche primaire* sur les attitudes des développeurs et de leurs responsables à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité (téléchargez le livre blanc ici).

‍Aujourd'hui, les organisations ont du mal à mettre en œuvre des pratiques de code sécurisé. Les développeurs et les gestionnaires sont particulièrement préoccupés par la gestion des vulnérabilités et la responsabilité du code.

Il est clair qu'il est nécessaire d'améliorer la formation et de mettre en place un programme qui soutienne les pratiques de codage sécurisé. Ce besoin devient évident lorsque nous demandons aux développeurs et à leurs responsables quelles sont leurs préoccupations en matière de codage sécurisé. Nos recherches* ont montré que ces deux groupes partagent les mêmes préoccupations de base. Mais en raison de leurs rôles différents, ils ne s'accordent pas sur les préoccupations les plus urgentes.  

La préoccupation numéro un des développeurs est "l'inclusion d'un code qui reproduit des vulnérabilités antérieures". Comme les développeurs sont jugés sur la qualité de leur code, cela n'a rien d'étonnant. Aucun développeur ne veut être à l'origine d'un code non sécurisé - ou d'un code qui nécessite des retouches et ralentit son équipe. 

La deuxième préoccupation la plus importante des développeurs est la gestion des erreurs commises par leurs collègues. Le respect des délais et la responsabilité du code figurent également en bonne place sur la liste, tout comme le fait que l'apprentissage du code sécurisé est difficile, ce qui souligne une fois de plus la nécessité d'une nouvelle approche de la formation au code sécurisé. 

Les managers, quant à eux, ont une vision plus descendante. 

En tant que managers et chefs d'équipe, leur principale préoccupation est d'être responsables du code. Si une équipe produit un code médiocre, c'est à son responsable qu'il revient d'en assumer la responsabilité. 

Le code qui reproduit des vulnérabilités antérieures arrive en deuxième position. Le fait que le processus d'apprentissage soit difficile arrive en troisième position. Comme les méthodes actuelles de formation au code sécurisé ne donnent pas les résultats escomptés, les responsables se rendent compte qu'une nouvelle approche est nécessaire. ‍

Obstacles à l'adoption de pratiques de codage sécurisées

Lorsque nous avons interrogé les responsables sur les obstacles à l'adoption de pratiques de codage sécurisées dans leur entreprise, deux éléments ressortent clairement : la communication et la formation. 

45 % des personnes interrogées estiment que le manque de communication entre les parties prenantes et la direction est un obstacle important. 42 % déplorent le manque de compétences en matière de codage sécurisé chez les nouveaux employés. Dans le même temps, 40 % citent l'insuffisance du temps et des ressources consacrés à la formation. 

Il existe des obstacles liés aux processus et aux ressources humaines qui empêchent les organisations d'adopter avec succès des pratiques de code sécurisé. 

Mais vous pouvez encore progresser malgré ces problèmes insolubles. Il est plus facile de s'attaquer au manque de compétences en matière de codage sécurisé chez les nouveaux employés et à l'inadéquation de la formation et des ressources. 

Les développeurs sont en première ligne lorsqu'il s'agit d'éliminer les vulnérabilités. Mais bénéficient-ils du soutien, des outils et de la formation nécessaires pour remplir leur part du contrat de sécurité ?

Sur la base de leurs préoccupations, la réponse courte est "non". 

En réalité, une bonne formation ne doit pas ressembler à un cours magistral. 

En tant que champion du changement en matière de codage sécurisé, Secure Code Warrior adopte une approche humaine qui incite activement les développeurs à apprendre et à renforcer leurs compétences en matière de codage sécurisé. Notre site Learning Platform , qui a fait ses preuves, offre aux équipes de développement et de sécurité un apprentissage contextuel et hyperpertinent dans le cadre de leur flux de travail préféré. Cela leur permet non seulement de trouver des vulnérabilités, mais aussi de les empêcher de se produire.

Ce type de formation pratique est une opportunité de perfectionnement - une évolution de carrière qui n'a que des avantages pour les développeurs qui veulent vraiment éliminer les vulnérabilités et travailler avec le reste de l'équipe pour produire un code de meilleure qualité.

Si vous souhaitez en savoir plus et voir l'impact potentiel sur la capacité de vos équipes à " démarrer à gauche " et à livrer un code sécurisé plus rapidement sans compromettre la sécurité, réservez une démonstration dès maintenant.

‍* Passer de la réaction à la prévention : The changing face of application security. Secure Code Warrior et Evans Data Corp. 2020

À l'heure actuelle, seuls 15 % des développeurs sont d'accord pour dire que les pratiques de codage sécurisé devraient être la responsabilité de tous. Dans un monde où les menaces à la sécurité se multiplient, ce n'est tout simplement pas suffisant. Il faut faire quelque chose. L'une des clés pour créer une culture AppSec saine est de comprendre les influences clés (et les influenceurs !) en jeu. Ainsi, en 2020, Secure Code Warrior s'est engagé avec Evans Data Corp. à mener une recherche primaire* sur les attitudes des développeurs et des managers à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité.

Lorsqu'il s'agit de l'adoption vitale de pratiques de codage sécurisées, certains rôles ont une influence et une voix croissantes, ce qui peut contribuer à contraindre les autres à apprendre et à adopter les meilleures pratiques. 

Le premier d'entre eux est le responsable du développement, qui cajole les développeurs réticents à l'AppSec pour qu'ils adoptent un état d'esprit de codage sécurisé. Les responsables du développement sont conscients qu'eux-mêmes et leurs équipes doivent accroître et améliorer leurs compétences en matière de codage sécurisé. 42 % des responsables interrogés déplorent le manque de compétences en codage sécurisé des nouveaux employés.

Le second est le "champion de la sécurité". Alors que la plupart des développeurs considèrent encore la sécurité comme la responsabilité de quelqu'un d'autre, il existe une cohorte, petite mais croissante, qui adopte le codage sécurisé et en fait la promotion auprès de ses collègues codeurs. 25 % des développeurs interrogés reconnaissent qu'il y a des personnes bien placées pour mener le changement vers un codage sécurisé.

Même si ces champions ne sont que des développeurs ou des développeurs chevronnés, ils peuvent avoir un impact considérable sur l'évolution d'une organisation vers une posture de sécurité proactive.

Mais tout d'abord, examinons le rôle du responsable du développement dans ce contexte. 

83 % des responsables interrogés déclarent demander aux développeurs d'apprendre ou d'adopter des pratiques de codage sécurisées. Environ trois quarts des responsables interrogés déclarent offrir des incitations aux développeurs pour qu'ils s'engagent dans une formation au codage sécurisé.  

• 67 % offrent aux développeurs la possibilité d'assumer des responsabilités plus importantes en reconnaissance de l'apprentissage de pratiques de codage sécurisées. 
• 47 % déclarent qu'ils offrent la possibilité d'une rémunération plus élevée. 

De nombreux responsables accordent une grande importance aux compétences en matière de codage sécurisé lorsqu'ils recrutent de nouveaux développeurs et valorisent l'expérience en matière de codage sécurisé des développeurs qui font déjà partie de leur équipe.

Il est clair qu'au niveau de l'organisation, les responsables du développement sont des moteurs essentiels de l'adoption de pratiques de codage sécurisées, et qu'ils jouent un rôle déterminant pour repérer les champions de la sécurité dans les rangs de leurs développeurs.  

Identifier les champions de la sécurité 

L'une des clés pour améliorer l'engagement des développeurs dans les programmes de formation et de sensibilisation au code sécurisé est d'identifier les défenseurs ou les champions de la sécurité dans les rangs de leur cohorte actuelle de développeurs. 

Certains responsables du développement le font déjà - 55% des personnes interrogées déclarent reconnaître les développeurs qui ont obtenu de bons résultats lors d'événements spéciaux. 

En tant que champions du changement en matière de codage sécurisé, Secure Code Warrior comprend le pouvoir des événements spéciaux et des compétitions pour faire ressortir le meilleur de la base de développeurs d'une organisation. C'est pourquoi nous avons fait de Tournaments un élément central de notre programme Learning Platform. 

Sensibilisation et appropriation de la sécurité‍

Avec toute une série de défis, de limites de temps, de classements et de prix, tournaments génère un buzz qui rend le codage sécurisé cool et promeut la sensibilisation et l'appropriation de la sécurité. 

Lorsqu'il s'agit de mesurer l'effet de la formation au codage sécurisé, 65 % des responsables du développement interrogés déclarent que des évaluations régulières des compétences permettent à leur organisation de se concentrer sur le codage sécurisé. Tournaments peut être utilisé pour mesurer les compétences des codeurs en matière de sécurité dans un environnement actif mais sûr et pour établir rapidement une base de référence pour le développement futur des compétences. Cette formation ludique offre des expériences contextuelles et pratiques dans des langages de programmation et des cadres pertinents, avec des défis qui imitent ceux auxquels les développeurs sont confrontés dans le monde réel.

Tout au long du site tournament, les développeurs gagnent des points et se hissent au sommet du classement. L'observation du tableau de classement aide la direction à repérer les champions potentiels de la sécurité au sein de leur équipe de développement.

‍
Si vous souhaitez en savoir plus sur le renforcement des compétences et de la sensibilisation au code sécurisé grâce à une formation gamifiée qui engage les développeurs et identifie les champions de la sécurité, réservez une démonstration maintenant.

‍

*Passer de la réaction à la prévention : Le nouveau visage de la sécurité des applications. Secure Code Warrior et Evans Data Corp. 2020

Ces dernières années, beaucoup de choses ont été sacrifiées sur l'autel de la rapidité de mise sur le marché, comme la sécurité des réseaux, les téraoctets de données sensibles des clients et la réputation inestimable des marques. La pression intense exercée pour accélérer la mise sur le marché de nouvelles caractéristiques et fonctions a conduit à la constitution d'équipes complexes et réparties, axées sur le développement rapide, peu conscientes des vulnérabilités qu'elles pouvaient créer ou des risques énormes qu'elles encouraient. Plus que jamais, une nouvelle façon de travailler est nécessaire. En 2020, Secure Code Warrior s'est donc engagé avec Evans Data Corp. à mener une étude primaire* sur les attitudes des développeurs et de leurs responsables à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité (téléchargez votre exemplaire du livre blanc ici).

Indicateurs de performance pour la réussite des projets - quelle est la place de la sécurité ? 

Les développeurs et les responsables pensent qu'il est important d'avoir un code sécurisé, mais pas autant que d'autres facteurs. Lorsque nous avons demandé aux développeurs et aux managers quelles étaient les priorités les plus importantes dans le processus de développement de logiciels, ils ont répondu par l'affirmative :

• 76% de performances d'application nominées 
• 62% ont choisi les caractéristiques et les fonctionnalités
• Et un peu plus de 50 % ont choisi le code sécurisé
  

Comparé à d'autres indicateurs de performance pour la réussite d'un projet, le codage sécurisé arrive actuellement en troisième position, loin derrière.

À l'heure actuelle - et ce n'est peut-être pas surprenant - les développeurs évaluent la réussite d'un projet sur la base d'indicateurs de performance qui n'évaluent le code qu'une fois le projet terminé. 

Toutefois, si l'on demande comment cela pourrait changer à l'avenir, la situation s'inverse. La façon dont les organisations abordent la sécurité en tant que critère de réussite est en train de changer. Le codage sécurisé devient une plus grande priorité.

Lorsqu'on leur demande quelles sont les priorités les plus importantes pour mesurer la réussite d'un projet à l'avenir, 79 % des personnes interrogées s'accordent à dire que le codage sécurisé gagnera en importance. Ce qui est frappant, c'est qu'un pourcentage plus important que n'importe quel autre indicateur de performance considère que l'importance de la sécurité augmentera à l'avenir. Le codage sécurisé est de plus en plus connu, de même qu'un mouvement de "glissement vers la gauche". De par sa nature même, la pratique du codage sécurisé implique de prendre en compte la sécurité beaucoup plus tôt dans le cycle de développement du logiciel (SDLC). Il s'agit d'intégrer activement la sécurité dans les logiciels dès leur écriture, au lieu de la reporter à plus tard. 

Alors que les DSI s'efforcent de rendre leurs organisations plus agiles, les capacités de codage sécurisé deviendront une arme d'innovation vitale. Les DSI et les RSSI doivent se demander si leurs équipes de développement sont la première ligne de risque ou la première ligne de défense. 

Cette constatation a des implications cruciales sur la manière dont les organisations forment leurs développeurs. Les équipes doivent s'informer sur les vulnérabilités récemment identifiées et apprendre dans leurs propres langages/cadres. En bref, elles doivent comprendre comment localiser, identifier et corriger les vulnérabilités connues dans le code dans le contexte dans lequel elles travaillent tous les jours.

En tant que champion du changement en matière de codage sécurisé, Secure Code Warrior adopte une approche humaine qui incite activement les développeurs à apprendre et à renforcer leurs compétences en matière de codage sécurisé. Si vous souhaitez voir l'impact potentiel sur la capacité de vos équipes à démarrer à gauche et à livrer du code sécurisé plus rapidement sans compromettre la sécurité, réservez une démonstration dès maintenant.

‍

‍* Passer de la réaction à la prévention : The changing face of application security. Secure Code Warrior et Evans Data Corp. 2020