Une version de cet article a été publiée dans VMblog. Elle a été mise à jour et publiée ici.

‍

Il semble que peu importe le nombre de mois de sensibilisation à la cybersécurité, le nombre de professionnels de la sécurité d'élite parachutés ou la quantité d'argent perdue dans un trou noir, le problème des grandes violations de données ne fait que s'aggraver d'année en année. Elles sont si fréquentes qu'elles font à peine la une des journaux, à moins qu'elles ne soient catastrophiques. En 2020, plus de 36 milliards d'enregistrements ont été exposés lors de cyberattaques malveillantes, et nous attendons de voir combien seront récoltés en 2021.

Les acteurs de la menace sont constamment à l'affût d'opportunités, et même si toutes les attaques ne sont pas des catastrophes, elles se produisent en moyenne toutes les 39 secondes. Nous sommes loin de gagner la bataille, et les méchants ont un énorme avantage sur les défenseurs de nos données.

Il semble toutefois qu'il y ait du changement dans l'air, l'administration Biden ayant fait de la cybersécurité une des premières priorités de son mandat, avec un financement supplémentaire de 10 milliards de dollars. Il s'agit incontestablement d'un pas dans la bonne direction, mais cela permettra-t-il réellement de lutter contre la cybercriminalité, dont la fréquence et la sophistication ne cessent de croître ?

Les cybermenaces ne pourront être résolues qu'à l'échelle d'un village (mondial)

Une défense efficace contre des cyberattaques de plus en plus puissantes ne peut être l'affaire d'une poignée de pays seulement et, malheureusement, une stratégie cohérente fait défaut depuis longtemps. Toutefois, face à l'augmentation des menaces émanant d'États-nations, de nombreux gouvernements se réveillent et prennent conscience de la situation. 

L'attaque de SolarWinds, qui a touché le gouvernement américain, a été un avertissement clair de ce qui est possible, et un indicateur de la dévastation potentielle en cas de violation d'une infrastructure critique. Récemment, le FBI a lancé un avertissement concernant l'attaque d'un système d'approvisionnement en eau en Floride, l'acteur de la menace étant capable de contaminer l'approvisionnement en eau à distance. L'attaque a été stoppée avant qu'elle ne cause de graves dommages, mais un attaquant plus avancé aurait pu causer des destructions massives mettant des vies en danger.

Lentement, mais sûrement, les gouvernements du monde entier investissent davantage dans la cyberdéfense. Le Royaume-Uni a réalisé des investissements records dans le secteur de la cybersécurité et a créé un nouveau groupe de travail. L'Australie a renforcé sa stratégie de cybersécurité (en particulier pour les infrastructures), et des pays comme Israël et le Danemark sont considérés comme les meilleurs de leur catégorie pour leurs programmes de cyberdéfense. Le Japon est classé cinquième en matière de cyberdéfense, un vote de confiance bienvenu après une déclaration faite en 2018 par Yoshitaka Sakurada, alors ministre de la cybersécurité, selon laquelle il n'avait jamais utilisé d'ordinateur. Une annonce récente du gouvernement de Singapour a promis un investissement de 50 millions de dollars dans la recherche sur l'IA et la cybersécurité dans les futures infrastructures de communication, une démarche avant-gardiste visant à solidifier la sécurité et l'intégrité numériques.

Une réponse mondiale forte et coordonnée en matière de cybersécurité est vitale à mesure que nous progressons rapidement dans les technologies du futur, et chaque organisme gouvernemental devrait en faire une priorité.

Plus d'argent ne signifie pas moins de problèmes

Si l'on prend l'exemple des États-Unis, du Royaume-Uni et de l'Australie, qui ont tous augmenté leurs investissements en matière de cybersécurité et d'expertise au cours des deux dernières années, on peut avoir l'impression que la sécurité est enfin une priorité et que les "bons" obtiennent ce dont ils ont besoin pour gagner la bataille. 

C'est certainement utile, mais ce n'est qu'une partie du tableau d'ensemble. Ce financement peut permettre d'acheter de super équipes d'experts (comme cela s'est produit avec l'injection de fonds de M. Biden), des programmes complets de primes aux bogues, ainsi qu'une réponse aux incidents et une atténuation de premier ordre en cas de brèches désastreuses, et c'est cette approche de la cyberdéfense qui garantit que nous ferons toujours des progrès minimes, quelle que soit la quantité d'argent consacrée aux groupes de travail et à la réponse aux menaces.

Chaque gouvernement doit aller au-delà des mesures de sécurité réactives et consacrer de sérieux efforts (et des fonds) à une stratégie plus préventive. Si l'accent reste mis sur la réaction aux cyberattaques réussies au lieu d'œuvrer à leur prévention, aucune somme d'argent ne permettra de réduire les risques croissants. Dans le cadre d'une véritable approche proactive de la sécurité, le budget serait alloué au renforcement de l'infrastructure et au déploiement d'une formation et d'un perfectionnement efficaces en matière de sécurité, dans le but de réduire autant que possible la surface d'attaque dès le départ.

Le déficit de compétences en matière de cybersécurité ne sera peut-être jamais comblé, mais il existe un potentiel gaspillé

Les spécialistes de la sécurité hautement qualifiés sont très demandés dans le monde entier, et il est peu probable que l'on assiste un jour à une pénurie de cyber-gourous. Cependant, c'est une raison de plus pour que les gouvernements et les organisations commencent à faire preuve de créativité et d'ingéniosité dans l'utilisation des ressources à leur disposition.

Une approche véritablement préventive de la cyberdéfense commence par la sensibilisation de chaque personne impliquée dans le processus de développement et d'infrastructure des logiciels à la sécurité, en fonction de son rôle. Les développeurs, en particulier, ont besoin d'une formation continue en matière de sécurité et d'outils adaptés à leur travail, afin que le codage sécurisé fasse partie intégrante de leur processus. Cela permet de s'assurer que les vulnérabilités courantes peuvent être corrigées avant qu'elles ne voient le jour. Il s'agit là d'une étape importante - et non des moindres - qui permet de réduire la pression et les retouches tout au long du cycle de développement du logiciel. 

Nous devons renforcer l'approche humaine des meilleures pratiques en matière de cybersécurité, et nous obtiendrons ainsi de meilleurs résultats qu'en nous appuyant fortement sur l'automatisation, les outils et la réaction à des problèmes qui ont déjà été intégrés et découverts - une stratégie qui ne fonctionne manifestement pas si l'on en juge par le nombre d'atteintes à la sécurité qui se produisent aujourd'hui.

Lorsqu'il s'agit de former les développeurs à l'utilisation de codes sécurisés, les résultats de l'enseignement laissent à désirer. De nombreuses entreprises dépensent beaucoup d'argent, mais n'obtiennent que des résultats minimes dans la pratique. Et ce n'est pas étonnant. Les recherches actuelles* montrent que les développeurs pensent que l'apprentissage du code sécurisé est ennuyeux et que l'apprentissage de la mise en œuvre du code sécurisé est difficile. De nouvelles approches de la formation au codage sécurisé sont nécessaires. C'est pourquoi, en 2020, Secure Code Warrior s'est engagé avec Evans Data Corp. à mener une recherche primaire sur les attitudes des développeurs à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité (téléchargez le livre blanc ici).

Lorsqu'ils ont eu l'occasion de critiquer la formation proposée, les développeurs n'ont pas mâché leurs mots, affirmant que la formation actuelle sur le code sécurisé est.. :  

• Enseignements en vase clos - 40 
• Trop théorique, sans rapport avec leur travail et pas assez "pratique" - 40%. 
• Souvent peu fréquents, non associés à leur travail ou à leur engagement - 30 %.
  

Ces statistiques sont sérieuses ; elles nous indiquent que la formation actuelle sur le code sécurisé n'est pas adaptée au contexte et n'a pas de lien significatif avec ce que les développeurs font tous les jours. 

Souvent, ils ne peuvent pas appliquer ce qu'ils ont appris dans leur environnement de travail. C'est pourquoi une grande partie de la formation à la sécurité est une perte de temps et d'argent. 

Cinq façons de mettre en place les formations souhaitées par les développeurs

En ce qui concerne le type de formation souhaité par les développeurs, cinq points sont apparus clairement. 

1. ‍75%des développeurs préfèrent une formation structurée sur le tas, estimant qu'il s'agit de la manière la plus efficace et la plus satisfaisante d'apprendre.
   
   Et lorsqu'il s'agit de savoir ce que cette formation devrait comprendre, les développeurs ont des demandes très claires et spécifiques : 
2. 65 % déclarent qu'il faut davantage de formation sur les vulnérabilités spécifiques aux langues.
3. 65% souhaitent davantage de formation sur le Top 10 de l'OWASP.
4. Beaucoup souhaitent également que l'accent soit mis sur les cadres de sécurité en matière de conformité, notamment NIST (58 %), CIS (52 %) et PCI DSS (50 %).
5. 78 % souhaitent que cette formation s'accompagne d'un coaching et d'une orientation informels par les pairs.

Mais surtout, les développeurs veulent une formation au code sécurisé qui soit pratique et ancrée dans le contexte de leur travail quotidien. Les développeurs ne veulent pas rester assis à écouter des conférenciers - ils veulent mettre la main à la pâte et essayer par eux-mêmes. Ils veulent que l'accent soit mis sur les applications pratiques, ce qui fait cruellement défaut aux programmes de formation actuels. Selon les développeurs que nous avons interrogés, les cinq principales caractéristiques d'une bonne formation sont les suivantes : 

• Une formation plus pratique, montrant des scénarios de travail réels (30 %). 
• Activité guidée axée sur un code ou des vulnérabilités spécifiques (24 %).
• Inclusion of more examples or use cases (24%) Provides some concrete advantage to taking the training (<20%) Incorporates more team-building exercises (<20%). 
• Apporte un avantage tangible à la participation à la formation. 
• Incorpore davantage d'exercices de renforcement de l'esprit d'équipe.
  

Les développeurs veulent une formation au codage sécurisé qui leur transmette des compétences fondamentales - et une véritable reconnaissance. Les compétences en matière de codage sécurisé étant très recherchées et reconnues par les employeurs, les développeurs ont montré leur enthousiasme à se différencier de leurs pairs, en particulier lorsqu'ils postulent à de nouveaux emplois. Les développeurs qui cherchent à démontrer leur maîtrise technique ou leurs compétences spécialisées utilisent depuis longtemps des programmes de certification officiels. Lorsqu'on leur a demandé s'ils recherchaient des programmes de formation structurés pour la certification, 70 % ont répondu par l'affirmative. Les principales motivations sont la recherche d'une reconnaissance officielle des compétences acquises, l'amélioration de l'efficacité dans le travail et l'acquisition d'une valeur inestimable pour l'entreprise.

Lorsqu'il s'agit d'améliorer les résultats éducatifs, la formation centrée sur le développeur est la clé. Une formation structurée au code sécurisé est souhaitable pour les développeurs, mais seulement si elle leur offre ce qu'ils veulent. Les entreprises qui relèvent le défi et reconfigurent leur formation au code sécurisé en fonction des besoins des développeurs récolteront les bénéfices d'une diminution des vulnérabilités récurrentes, d'une livraison plus rapide du code et de l'amélioration de la réputation qui va de pair avec ces deux éléments.

Il est évident que les développeurs veulent une formation contextuelle et pratique dans des langages de programmation et des cadres pertinents, avec des défis qui imitent ceux qu'ils rencontrent dans le monde réel. En tant que champion du changement en matière de codage sécurisé, Secure Code Warrior adopte une approche humaine pour répondre aux demandes des développeurs. Si vous souhaitez voir l'impact potentiel sur la capacité de vos équipes à produire du code sécurisé plus rapidement, demandez une démonstration maintenant.

*Passer de la réaction à la prévention : Le nouveau visage de la sécurité des applications. Secure Code Warrior et Evans Data Corp. 2020

Alors que les violations de données et leurs coûts ne cessent d'augmenter, le volume de code produit dans notre monde est trop important pour que les experts en sécurité puissent le gérer seuls. Les entreprises ont besoin de développeurs ayant des compétences en codage sécurisé - et les développeurs savent qu'ils ont besoin de ces compétences pour progresser dans leur carrière. Mais les formations actuelles au codage sécurisé les déçoivent. Que veulent donc les développeurs en matière de formation au codage sécurisé ? Pour répondre à cette question, examinons les résultats d'une étude récente sur les attitudes des développeurs à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité, réalisée par Secure Code Warrior avec Evans Data Corp*. (Téléchargez le livre blanc ici).

En ce qui concerne le type de formation souhaité par les développeurs, la réponse est claire comme de l'eau de roche. 75 % des développeurs préfèrent une formation structurée sur le tas, estimant qu'il s'agit du moyen le plus efficace et le plus satisfaisant d'apprendre. Quant au contenu de cette formation, les développeurs ont des demandes très claires et très précises : 

• 65% déclarent avoir besoin d'une formation sur les vulnérabilités propres à la langue
• 65% veulent plus de formation sur le Top 10 de l'OWASP
• Beaucoup souhaitent également que l'accent soit mis sur les cadres de sécurité en matière de conformité, notamment NIST (58%), CIS (52%) et PCI DSS (50%).
• 78 % souhaitent que cette formation s'accompagne d'un coaching et d'une orientation informels par les pairs
  

Mais si les développeurs préfèrent nettement les cours structurés à l'apprentissage non structuré, la manière dont les cours sont dispensés est essentielle. Bien entendu, cela soulève une autre question cruciale :

Comment les développeurs préfèrent-ils apprendre ? 

Les développeurs ne veulent pas rester assis à écouter des conférenciers - ils veulent mettre la main à la pâte et essayer par eux-mêmes. Ils veulent que l'accent soit mis sur les applications pratiques, ce qui fait cruellement défaut aux programmes de formation actuels. Lorsqu'on leur a demandé d'indiquer comment la formation dispensée par l'entreprise pourrait être améliorée, 30 % des personnes interrogées ont répondu qu'elles aimeraient que la formation soit axée sur les applications pratiques, en particulier sur des scénarios de travail authentiques. 

La formation des développeurs nécessite une approche humaine qui offre des parcours d'apprentissage guidés comprenant des défis de codage "gamifiés" qui sont à la fois pratiques et spécifiques au langage et au cadre. La formation "gamifiée" en fonction des rôles implique fortement les développeurs, avec des modules d'apprentissage configurables qui permettent à une organisation de cibler l'apprentissage des développeurs sur des vulnérabilités spécifiques.

Pour savoir comment faire de la sécurité des logiciels une partie intrinsèque de votre processus de développement grâce à des parcours structurés et basés sur les compétences qui offrent la formation que les développeurs souhaitent, demandez une démonstration dès maintenant.

"Les simulations interactives vous aident à identifier les failles de sécurité dans le code, vous incitent à faire preuve d'esprit critique et à trouver la solution ou plusieurs solutions. J'ai vu le code sous un nouvel angle, et le fait de mettre la main à la pâte m'a apporté beaucoup de joie !"
‍Ingénieur logiciel, services financiers‍

‍
*Passer de la réaction à la prévention : The changing face of application security. Secure Code Warrior et Evans Data Corp. 2020

Ennuyeux, ennuyeux, ennuyeux ! C'est l'une des principales réponses que vous entendrez de la part des développeurs chaque fois qu'il est question de formation au codage sécurisé. À Secure Code Warrior , nous pensons qu'il doit y avoir une meilleure façon de faire. C'est pourquoi nous avons fait appel à Evans Data Corp. pour mener une étude primaire sur les attitudes des développeurs à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité (téléchargez votre copie du livre blanc ici).

Dans l'ouvrage Shifting from reaction to prevention : The changing face of application security, les développeurs ont été interrogés sur leurs principaux problèmes avec la formation actuelle au code sécurisé - et la réponse a été révélatrice.

Une formation qui fait chuter les développeurs

40 % des développeurs interrogés estiment que le codage sécurisé est enseigné dans le vide. D'autres 40 % estiment que la formation est trop théorique, qu'elle n'est pas liée à leur travail et qu'elle n'est pas assez "pratique". 30 % ont identifié un manque de formation dans le langage:cadre dans lequel ils travaillent tous les jours. Ce constat est grave car il nous indique que la formation actuelle au codage sécurisé n'est pas adaptée au contexte et n'a pas de lien significatif avec ce que les développeurs font tous les jours. 

Pour de nombreux développeurs, la principale difficulté consiste à rester éveillés pendant des activités abrutissantes qui ne sont ni efficaces ni motivantes pour garder la sécurité à l'esprit. ‍

La formation en vase clos empêche les développeurs de faire les liens cognitifs entre le laboratoire et le monde réel.

3 choses que les développeurs attendent d'une formation au code sécurisé : 

1. La grande majorité des développeurs disent qu'ils veulent une formation plus pratique et plus en rapport avec leur travail quotidien. 
2. 65 % des développeurs déclarent qu'il faut davantage de formation sur les vulnérabilités spécifiques aux langues et sur le Top 10 de l'OWASP. 
3. 75 % des développeurs interrogés préfèrent une formation structurée et en cours d'emploi. 

Une formation qui tire les développeurs vers le haut

Lorsqu'il s'agit de formation sur le tas, les développeurs apportent avec eux un certain niveau d'expérience et de connaissances. D'où la nécessité d'un apprentissage "échafaudé". Il s'agit d'une formation structurée - ou échafaudée - qui s'appuie sur ce que le développeur connaît déjà. L'apprentissage par échafaudage active et renforce toute expérience antérieure tout en continuant à développer de nouvelles compétences par petits morceaux. C'est donc le moyen idéal pour l'apprentissage en cours d'emploi.

Transmettre des compétences qui tiennent la route

En matière de formation à la sécurité des développeurs, nous savons que ces derniers préfèrent la méthode d'apprentissage par la pratique à la corvée de l'apprentissage statique basé sur la théorie. Dans ce sens, apprendre à coder de manière sécurisée dans un environnement hyper pertinent et contextuel est essentiel. En tant que champion du changement dans le domaine du codage sécurisé, Secure Code Warrior propose une formation contextuelle et pratique dans des langages de programmation et des cadres pertinents, avec des défis qui imitent ceux auxquels les développeurs sont confrontés dans le monde réel. Le contenu d'apprentissage comprend plus de 5 500 défis et missions couvrant plus de 147 types de vulnérabilités différentes, y compris les très importants OWASP Top 10, OWASP Mobile Top 10, OWASP API Security Top 10 et CWE/SANS Top 25. 

Si vous souhaitez voir l'impact potentiel sur vos équipes et leur capacité à fournir du code sécurisé plus rapidement, réservez une démonstration dès maintenant.

Lorsqu'il s'agit de se familiariser avec le codage sécurisé, quelles sont les principales motivations des développeurs et comment peuvent-elles être exploitées pour concevoir et mettre en œuvre un programme de sécurité des applications efficace ? En 2020, Secure Code Warrior s'est engagé avec Evans Data Corp. à mener une recherche primaire sur les attitudes des développeurs à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité (téléchargez le livre blanc ici). ‍

Lorsqu'ils sont interrogés, les développeurs affirment qu'ils voient la valeur de la formation au codage sécurisé. Et 80 % des responsables du développement affirment qu'ils sont plus enclins à embaucher des développeurs ayant des compétences en matière de codage sécurisé. Alors, si ces compétences sont si demandées, pourquoi y a-t-il encore une telle pénurie de développeurs formés à la sécurité ? 

Le manque de motivation de la part des développeurs ne semble pas être le problème principal. Les développeurs sont motivés et lorsqu'on leur demande quelles sont les sources de leur motivation pour apprendre la formation au code sécurisé, voici ce qu'ils nous disent :

• 35 % des répondants ont été motivés par des préoccupations liées à l'entreprise
• 24% ont été motivés par des raisons personnelles
• 41 % ont été motivés à la fois par des raisons personnelles et par des raisons liées à l'entreprise. 
  

Et lorsque nous avons creusé un peu plus, nous avons découvert que les 5 principaux facteurs de motivation personnelle pour la formation au code sécurisé sont les suivants :

1. Augmentation de la productivité et de l'efficacité
2. Curiosité/intérêt personnel
3. Éviter les problèmes causés par un code non sécurisé
4. Possibilité d'avancement de carrière
5. Utilisation plus efficace des ressources humaines

Si l'on considère les motivations centrées sur l'entreprise, les développeurs comprennent comment l'apprentissage de pratiques de codage sécurisées peut augmenter la productivité. Les responsables voient comment la pratique du codage sécurisé peut permettre une utilisation plus efficace de leurs ressources humaines. Et si les motivations diffèrent d'une région à l'autre, à l'échelle mondiale, le désir d'accroître la productivité et l'efficacité reste une constante.
‍

‍

Cela dit, ce ne sont pas toujours des facteurs externes, tels que les exigences de l'employeur, qui poussent les développeurs à s'initier au codage sécurisé. Dans de nombreux cas, les décisions sont motivées par eux-mêmes. Les développeurs se soucient de ce qu'ils créent et sont fiers de leur travail, comme le montrent les quatre principales raisons qui incitent les développeurs à étudier le codage sécurisé. Si 25 % des développeurs déclarent vouloir créer de la valeur pour leur entreprise, le même pourcentage déclare vouloir améliorer la qualité de leur code. Pour d'autres, il s'agit avant tout d'obtenir des félicitations, de la visibilité et de la reconnaissance sur le lieu de travail. 70 % d'entre eux déclarent être reconnus par leur entreprise lorsqu'ils écrivent du code sécurisé. Et, comme indiqué précédemment, 80 % des responsables du développement sont plus enclins à embaucher des développeurs ayant des compétences en matière de codage sécurisé.

Les développeurs sont motivés - alors pourquoi ne sont-ils pas plus engagés ? 

Si les développeurs compétents en matière de sécurité sont si appréciés et si la motivation pour apprendre est présente, pourquoi sont-ils si peu nombreux ?

Comme nous l'avons vu, les développeurs ont de bonnes raisons d'améliorer leurs compétences en matière de codage sécurisé, mais ils restent réticents à la plupart des formations actuelles en matière de sécurité. Très peu d'entre eux la recherchent. Sur la base de cette recherche, nous pensons que la réponse est relativement simple : La formation actuelle au codage sécurisé est inadéquate, car elle ne tient pas compte des facteurs clés qui attirent les développeurs vers le codage sécurisé.

Examinons chacun de ces facteurs. 

Lorsqu'il s'agit d'augmenter la valeur et l'efficacité et d'améliorer la qualité de leur code, les développeurs ont besoin d'une formation qui rende le codage sécurisé intrinsèque à leur processus quotidien. Ils doivent acquérir les compétences nécessaires pour identifier et corriger les vulnérabilités au fur et à mesure qu'ils codent, et ce dès le début. Pour une pertinence maximale et une applicabilité immédiate, cette formation doit être dispensée dans le langage spécifique qu'ils utilisent tous les jours. Les approches de formation traditionnelles ne permettent pas d'atteindre cet objectif et de nombreux développeurs les trouvent incroyablement ennuyeuses et peu pertinentes.

En tant que champion du changement en matière de codage sécurisé, Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs. Nous pensons que la formation doit être dispensée d'une manière qui incite les développeurs à vouloir apprendre. Cela nécessite des simulations et des défis pratiques, interactifs et pertinents pour le travail, qui incitent les participants à intégrer des fonctions de sécurité dans leur code dès le départ. Cette approche de formation hautement interactive centrée sur le développeur place la motivation des développeurs à apprendre au cœur de votre programme de sécurité des applications. Si vous souhaitez voir comment tout cela s'articule, réservez une démo dès maintenant.

‍

‍

Une version de cet article a été publiée dans Lecture sombre. Elle a été mise à jour et publiée ici.

‍

S'il y a bien quelque chose qui va gâcher Noël dans le secteur de la cybersécurité, c'est une violation de données dévastatrice qui est en passe de devenir l'événement de cyberespionnage le plus important jamais enregistré au sein du gouvernement américain.

L'attaque de SolarWinds est d'une grande portée, les acteurs de la menace ayant initialement pénétré dans le logiciel dès la mi-2019. Ce vol de plusieurs mois a été découvert en décembre 2020 après avoir été utilisé pour infiltrer FireEye, une importante société de cybersécurité, et le cauchemar a commencé à partir de là. L'ampleur de la violation fait toujours l'objet d'une enquête, mais les principaux domaines d'infiltration comprennent les départements américains de l'État, de la sécurité intérieure, du commerce et du trésor, ainsi que l'Institut national de la santé.

Cet incident aura des répercussions permanentes, mais sa sophistication même est fascinante. D'un point de vue technique, il s'agit d'une infiltration à plusieurs niveaux impliquant des outils malveillants personnalisés, des portes dérobées et du code dissimulé, bien au-delà des compétences des script kiddies que l'on voit si souvent exploiter des erreurs plus évidentes.

Le blanchiment de code dans toute sa splendeur

CrowdStrike a poursuivi son travail de génie en procédant à une rétro-ingénierie de l'exploit et en détaillant ses conclusions pour que tout le monde puisse en prendre connaissance. Il apparaît maintenant que SolarWinds a été victime d'une brèche dans son infrastructure, permettant l'injection de codes malveillants dans les mises à jour du système, ce qui a permis à au moins quatre outils malveillants distincts d'ouvrir un accès sans précédent aux acteurs de la menace.

La méthode était secrète et permettait une précision stratégique qui semblait tout droit sortie d'un roman de Jason Bourne. Elle a permis de gagner du temps pour renifler, planifier et frapper les victimes en dehors du réseau SolarWinds exactement quand elles le souhaitaient, dans le cadre d'une attaque globale de la chaîne d'approvisionnement. Et tout cela a été réalisé à l'aide d'un code d'apparence tout à fait anodine. 

Les cyberattaques sont souvent le résultat d'erreurs simples, mais coûteuses. Une fois découvertes, ces erreurs sont assez évidentes : pensez à un réseau mal configuré, à des mots de passe stockés en clair ou à un logiciel non corrigé qui est vulnérable à des exploits connus. Dans le cas présent, le code n'était pas du tout évident, et pas seulement pour les développeurs et les ingénieurs en sécurité. Une myriade de technologies de sécurité complexes et coûteuses n'ont pas non plus réussi à le détecter.  

Les outils de contrôle de la sécurité et de test de pénétration sont devenus pratiquement inutiles.

Les professionnels de la sécurité ont tendance à être aussi rares que les excréments d'un cheval à bascule. Ils sont donc aidés dans leur quête pour sécuriser d'énormes quantités de données, de logiciels et d'infrastructures de l'entreprise par une pile technologique adaptée aux besoins de l'entreprise en matière de sécurité. Cela prend généralement la forme de composants tels que des pare-feu de réseau, des tests de pénétration automatisés, des outils de surveillance et de balayage, ces derniers prenant beaucoup de temps dans le processus de développement de logiciels. Cet outillage peut rapidement s'emballer et devenir difficile à gérer et à exécuter, de nombreuses entreprises utilisant plus de 300 produits et services différents.

SolarWinds disposerait d'une gamme impressionnante d'outils pour trouver et mettre en évidence les bogues de sécurité dans le code, les tentatives d'accès non autorisé au réseau, les compromissions potentielles dans n'importe quelle partie de l'infrastructure, et même les signes d'évasion de la détection. Il est sans précédent que ces acteurs de la menace aient pu injecter un code malveillant qui n'a pas été découvert, même par la pile de sécurité la plus avancée. 

Le renforcement de l'infrastructure - en particulier le contrôle d'accès - est un élément fondamental des meilleures pratiques en matière de cybersécurité, mais si un pirate peut exploiter discrètement une minuscule fenêtre d'opportunité, un réseau peut être compromis de la même manière qu'une vulnérabilité dans un logiciel autonome. 

Cette faille nous rappelle que, de manière générale, toute entreprise qui s'appuie fortement sur les seuls outils pour sécuriser son infrastructure réseau et ses logiciels prend un risque énorme. Il ne suffit pas toujours de protéger le code ; tout ce qui le stocke, l'exécute et le compile doit être également fortifié. L'idéal est de trouver un équilibre entre les outils et les personnes, en appliquant une stratégie solide qui permet d'évaluer et de réduire la surface d'attaque potentielle.

La sensibilisation des équipes à la sécurité permet une meilleure modélisation des menaces

La faille de SolarWinds a déjà commencé à avoir un impact significatif sur les opérations de sécurité, en particulier au niveau gouvernemental. Les experts estiment qu'elle pourrait remodeler à jamais les pratiques en matière de cybersécurité.

Nos vies sont alimentées par une infrastructure de plus en plus numérique qui, si elle n'est pas gérée de manière méticuleuse, peut être vulnérable aux attaques. Nous manquons cruellement de personnel en ce qui concerne l'expertise en matière de sécurité, mais nous ne faisons pas grand-chose pour combler cette lacune. La sensibilisation à la sécurité par l'homme est un élément sous-utilisé de la cybersécurité, tout comme le fait de faire de la prévention - plutôt que de la réaction - une priorité. 

La sécurité des infrastructures est une entreprise complexe qui comporte de nombreux éléments mobiles, mais, de la même manière qu'ils sont positionnés dans la création de logiciels, les développeurs peuvent être un atout dans la réduction des risques structurels s'ils sont correctement formés et sensibilisés à la sécurité. 

La modélisation des menaces tient rarement compte des attaques de la chaîne d'approvisionnement, bien que ce type d'attaque ait été mis en évidence dès 2012 comme un risque clé difficile à prévenir avec les techniques actuelles, ce qui fait que de nombreuses entreprises ne sont pas suffisamment préparées. Les développeurs de logiciels pourraient absolument jouer un rôle dans la prévention, et cela commence par s'assurer qu'ils sont bien formés et capables d'évaluer l'intégrité de leur code de l'intérieur. Le mécanisme de mise à jour a-t-il été conçu de manière sûre ? Le logiciel fonctionne-t-il avec une connectivité inutile qui pourrait faciliter une compromission malveillante ?

Lorsque la sécurité est synonyme de qualité logicielle, il est facile de voir l'immense valeur qu'un ingénieur sensibilisé à la sécurité peut apporter.

Alors que le nombre de cyber-menaces ne cesse d'augmenter, les organisations doivent quotidiennement faire des compromis entre la sécurité, l'aspect pratique et la rapidité, s'exposant ainsi à des risques. De nouvelles approches du codage sécurisé sont nécessaires, c'est pourquoi Secure Code Warrior s'est engagé avec Evans Data Corp. à mener une recherche primaire sur les attitudes des développeurs envers le codage sécurisé, les pratiques de codage sécurisé et les opérations de sécurité (téléchargez le livre blanc ici).

Ce rapport a révélé que si la pensée réactive "à l'ancienne" domine encore, il y a une prise de conscience croissante de la nécessité de solutions plus proactives, qui transforment les développeurs eux-mêmes en première ligne de défense.  

Toute exploration de l'adoption de pratiques de codage sécurisées doit commencer par une compréhension des personnes impliquées dans sa mise en œuvre, de leurs perceptions et de leur capacité à la mettre en œuvre. Cela nous amène à la pièce la plus importante du puzzle : comment leur donner les moyens de coder de manière plus sûre dès le départ et de livrer un code de qualité plus rapidement et en toute confiance ? 

Codage sécurisé - où en sommes-nous aujourd'hui et qu'est-ce qui doit changer ? Téléchargez l'infographie l'infographie "L'élément humain".

Perspectives actuelles - réactivité ou proactivité

Lorsque les développeurs et les responsables du développement ont été interrogés sur les activités qu'ils associent au codage sécurisé, les trois réponses les plus fréquentes ont été les suivantes :

• Utilisation d'outils d'analyse sur les applications déployées.
• Examiner manuellement le code pour détecter les vulnérabilités.
• La pratique active et continue de l'écriture de logiciels protégés contre les vulnérabilités.

Comme nous pouvons le constater, deux des trois premières réponses se concentrent toujours sur des approches réactives - la première dépend d'outils (scanners), et la seconde du développeur (c'est-à-dire de l'homme) qui effectue des vérifications manuelles.

Dans le même temps, deux des trois activités proposées reposent sur l'élément humain. Cela montre que la sécurité est de plus en plus perçue comme une question humaine. Mais de toutes les activités proposées, la plus révélatrice est la n° 3, qui identifie le facteur humain dans l'écriture de logiciels protégés dès le départ contre les vulnérabilités. Cela met en évidence un changement vers la gauche - une approche proactive et préventive qui intègre la sécurité dans les logiciels dès le début du cycle de vie du logiciel (SDLC). 

Quelle est la place de la sécurité dans le cycle de développement durable ? 

Lorsqu'on demande aux développeurs et aux responsables du développement où ils considèrent que les pratiques de codage sécurisé s'intègrent dans le cycle de développement durable, les avis divergent. 55 % des responsables pensent que le codage sécurisé est intégré dans l'ensemble du processus de développement, contre seulement 43 % des développeurs. Cette différence pourrait refléter les rôles différents de ces deux groupes au sein du cycle de développement durable. La direction est généralement moins impliquée dans le travail de codage proprement dit et a tendance à avoir une vue d'ensemble, tandis que les développeurs peuvent être plus concernés par les rouages.

Mais du point de vue de la sécurité globale et de la qualité du code, ce qui est alarmant, c'est que seulement 13 % des développeurs et 10 % des responsables affirment que les pratiques de code sécurisé devraient être intégrées dans les étapes de conception - dès le début du cycle de développement durable. Il s'agit là d'une opportunité énorme et inexploitée. Selon une étude d'IBM, il est trente fois plus coûteux de corriger les vulnérabilités d'un code après sa publication que si elles avaient été détectées et corrigées dès le départ.1 Il s'agit là d'une puissante incitation à une nouvelle défense proactive et humaine de la sécurité des logiciels, qui permette aux développeurs de coder de manière plus sûre, dès le départ. La sécurité des logiciels ne peut être résolue en s'appuyant uniquement sur des outils - elle doit tenir compte de l'élément humain. 

L'élément humain est-il prêt ?

97 % des développeurs interrogés estiment avoir reçu une formation suffisante en matière de codage sécurisé, et 95 % reconnaissent que cette formation a été utile à leur carrière. Mais avant d'accepter ces affirmations à leur juste valeur, nous devons nous poser la question suivante : pourquoi les vulnérabilités du code sont-elles encore si répandues ? Les affirmations des développeurs concernant leur expertise en matière de codage sécurisé ne sont-elles qu'une question d'ego humain ? Les faits vont certainement dans ce sens. Plus modestement, plus de 88 % des développeurs interrogés admettent que le codage sécurisé est difficile à apprendre, et 91 % des responsables du développement reconnaissent que les pratiques de codage sécurisé sont difficiles à mettre en œuvre. Lorsqu'on leur demande d'identifier leurs principales préoccupations personnelles concernant la mise en œuvre du codage sécurisé, 28 % des développeurs trouvent le processus d'apprentissage difficile, tandis que 24 % trouvent le processus d'apprentissage ennuyeux. Cela montre que la formation des développeurs doit être améliorée. 

De quoi l'élément humain a-t-il besoin ? 

Pour surmonter le facteur "défi", une formation sécurisée digne de ce nom nécessite un processus d'"échafaudage" qui aide le développeur à acquérir des compétences de codage sécurisé étape par étape. Pour une pertinence maximale et une applicabilité immédiate, cette formation doit se dérouler dans le langage spécifique : le cadre qu'ils utilisent tous les jours.

Pour surmonter le facteur "ennui", la formation au code sécurisé doit être dispensée de manière pratique - il a été prouvé qu'elle est beaucoup plus attrayante pour les développeurs que les modèles obsolètes de salle de classe ou de "visionnage de cette vidéo". Ces méthodes doivent inclure des simulations en direct qui permettent aux développeurs de relever des défis parfois risqués en matière de sécurité dans un environnement sûr. L'objectif devrait être d'enseigner aux développeurs comment trouver et corriger les vulnérabilités dans le code au fur et à mesure qu'ils travaillent et d'intégrer le codage sécurisé dans leur travail quotidien. Un autre facteur clé est le linting et le coaching à l'intérieur de l'IDE, qui aident les développeurs à apprendre et à se perfectionner en permanence au fur et à mesure qu'ils codent, en prévenant et en éliminant les vulnérabilités au fur et à mesure de leur travail.

Si vous souhaitez découvrir comment fournir à vos développeurs ce nouveau niveau d'outils et de formation centrés sur le développeur, réservez une démonstration dès maintenant.

Vous pouvez également télécharger votre exemplaire du livre blanc Passer de la réaction à la prévention : Le nouveau visage de la sécurité des applications.

‍

Dans un monde où les cybermenaces ne cessent de se multiplier, vos codeurs sont-ils à la hauteur ? L'élément humain du codage sécurisé - le très important développeur - est-il prêt à jouer son rôle dans la sécurisation de notre monde connecté ? Pour répondre à cette question, examinons quelques éléments d'une étude récente sur les attitudes des développeurs à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité, menée par Secure Code Warrior avec Evans Data Corp. ‍

Compétences des développeurs en matière de codage sécurisé - perceptions et réalité

Dans l'étude Shifting from reaction to prevention : The changing face of application security, 97 % des développeurs interrogés estiment avoir reçu une formation suffisante en matière de codage sécurisé, et 95 % reconnaissent que cette formation a été utile à leur carrière. Mais avant d'accepter ces affirmations telles quelles, nous devons réfléchir et poser quelques questions importantes. Pourquoi les vulnérabilités du code sont-elles encore si répandues ? Pourquoi, si les développeurs sont si bien formés au codage sécurisé, les mêmes vieilles vulnérabilités réapparaissent-elles, encore et encore et encore - les 10 mêmes vulnérabilités logicielles étant à l'origine de la majorité des failles de sécurité au cours des 20 dernières années et plus ?

Que se passe-t-il vraiment ? 

Les développeurs se disent bien formés en matière de sécurité, mais s'agit-il d'un excès de confiance ? Un élément révélateur est que cette image positive de soiassessment est en contradiction avec l'opinion des développeurs eux-mêmes sur la difficulté du codage sécurisé. Même si la plupart des développeurs affirment avoir reçu une formation valable et suffisante, la plupart des développeurs et des responsables du développement estiment que la mise en œuvre des pratiques de codage sécurisé est plus que difficile. 

• Plus de 91 % des responsables du développement affirment qu'il est difficile de mettre en œuvre des pratiques de codage sécurisées. 
• Plus de 88 % des développeurs estiment qu'il est difficile de coder de manière sécurisée. En tant qu'"élément humain" essentiel du codage sécurisé, les développeurs ne reçoivent pas la formation au codage sécurisé dont ils ont besoin - ce qui montre la nécessité d'une meilleure formation au codage sécurisé et d'un perfectionnement qui fasse de la sécurité un élément intrinsèque de leur mode de pensée. 

Pourquoi la mise en œuvre d'un code sécurisé est-elle si difficile ?

Pour comprendre pourquoi les développeurs et les responsables du développement estiment que la mise en œuvre d'un code sécurisé est difficile, il leur a été demandé d'identifier leurs principales préoccupations concernant cette mise en œuvre.

Cela a révélé que 28 % d'entre eux trouvent le processus d'apprentissage difficile, tandis que 24 % estiment que le processus d'apprentissage est lui-même ennuyeux.

Ces préoccupations majeures ont des implications connexes. Il est nécessaire de proposer des formations plus attrayantes car le processus d'apprentissage est difficile. Il faut également des formations plus pertinentes pour les développeurs, car le processus d'apprentissage est ennuyeux, ce qui souligne la nécessité d'une formation pour adultes axée sur les développeurs.

"Je veux apprendre quelque chose de manière à ce que cela reste gravé dans ma mémoire et que je puisse l'appliquer à d'autres scénarios de manière appropriée. Ce serait Secure Code Warrior."
‍
Ingénieur logiciel senior @ ForgeRock

Le chaînon manquant

En tant que champion du changement en matière de codage sécurisé, Secure Code Warrior adopte une approche humaine qui fait de l'acquisition de compétences en codage sécurisé une expérience positive et gratifiante. Nous incitons les développeurs à s'engager pleinement dans les pratiques de codage sécurisé grâce à une formation 100% pratique, amusante et interactive qui leur permet d'identifier et de résoudre les problèmes de sécurité au fur et à mesure qu'ils codent. Tout cela permet de réduire les coûts et les délais de publication en prévenant les vulnérabilités avant qu'elles ne deviennent les nouvelles de demain. 

Mais ne nous croyez pas sur parole :

"Le portail Secure Code Warrior® est une excellente plateforme pour s'informer sur les vulnérabilités en matière de sécurité dans de multiples technologies. Il est à la fois intéressant et interactif."
‍
Testeur de sécurité, petite entreprise de vente au détail
TVID : 5AC-3CA-F68

"L'utilisation de la gamification parSecure Code Warriornous a aidés à souligner l'importance du codage sécurisé d'une manière rafraîchissante, amusante et engageante."
‍
Ingénieur logiciel, société de services financiers (Global 500)
TVID : B0D-73D-BE3

Et il y en a encore beaucoup d'autres. Si vous souhaitez découvrir de près cette nouvelle approche de la formation au code sécurisé et voir comment elle transforme les développeurs en véritables super-héros de la sécurité, nous serions ravis de vous la présenter.

Les dix mêmes vulnérabilités logicielles ont été à l'origine de plus de violations de la sécurité au cours des vingt dernières années que n'importe quelles autres. Et pourtant, de nombreuses entreprises continuent d'opter pour des mesures correctives après la faille, après l'événement, en se débattant dans les ramifications humaines et commerciales de tout cela. Mais aujourd'hui, une nouvelle étude indique une nouvelle direction, guidée par l'homme.

‍Letexte qui suit présente les conclusions d'une étude menée par Secure Code Warrior en collaboration avec Evans Data Corp, intitulée "Shifting from reaction to prevention : The changing face of application security" (2021) explorant les attitudes des développeurs à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité. Téléchargez le livre blanc ici.

‍‍Dansl'étude qui sera bientôt publiée, les développeurs et les responsables du développement ont été interrogés sur les activités qu'ils associent au codage sécurisé. Les trois réponses les plus fréquentes sont les suivantes :

• Utilisation d'outils d'analyse sur les applications déployées.
• Examiner manuellement le code pour détecter les vulnérabilités.
• La pratique active et continue de l'écriture de logiciels protégés contre les vulnérabilités.
  ‍

Qu'est-ce que cela nous apprend ? Deux des trois premières réponses sont encore axées sur des approches réactives, la première dépendant de l'outillage (scanners) et la seconde du développeur (c'est-à-dire de l'homme) effectuant des vérifications manuelles - dans les deux cas après l' écriture du code. Les vulnérabilités détectées à l'aide de ces méthodes doivent être renvoyées à l'équipe de développement pour être retravaillées, ce qui a des répercussions sur les délais et les coûts du projet.

Dans le même temps, deux des trois activités proposées s'appuient sur l'élément humain, ce qui montre que la sécurité est de plus en plus perçue comme une question humaine. Mais de toutes les activités proposées, la plus révélatrice est la n° 3, qui identifie le facteur humain dans l'écriture de logiciels qui sont protégés contre les vulnérabilités en premier lieu. Cela met en évidence un changement vers la gauche - une approche proactive et préventive qui intègre la sécurité dans le logiciel dès le début du cycle de vie du développement du logiciel. 

Réactif peut être synonyme d'EXPENSIF

Selon une étude d'IBM*, il est trente fois plus coûteux de corriger les vulnérabilités d'un code après sa publication que si elles avaient été détectées et corrigées dès le départ. Il s'agit là d'une puissante incitation à adopter une nouvelle approche proactive et plus humaine de la défense de la sécurité des logiciels, qui permette aux développeurs de coder de manière plus sûre, dès le départ. 

C'est ce que l'on pourrait appeler une défense dirigée par l'homme. Mais pour que les développeurs commencent à se préoccuper de la sécurité, celle-ci doit faire partie de leur façon de penser et de coder au quotidien. Il s'agit d'un appel à de nouvelles approches de la formation qui soient hyper pertinentes par rapport au travail quotidien des développeurs et qui leur donnent envie d'apprendre - ce qui n'est pas le cas des modèles de formation actuels.

Pour créer une culture de sécurité proactive, de nouvelles formations sont nécessaires :

• fait du codage sécurisé une expérience positive et attrayante pour les développeurs qui améliorent leurs compétences en matière de sécurité des logiciels 
• encourage les développeurs à envisager leurs tâches quotidiennes de codage dans une optique de sécurité 
• intégrer le codage sécurisé dans leur flux de travail quotidien
  

Lorsque ces éléments sont réunis, les vulnérabilités sont évitées, ce qui permet aux équipes de livrer un code de qualité plus rapidement et en toute confiance. La bonne nouvelle, c'est qu'il existe déjà un site Learning Platform qui "commence à gauche" dans le processus de développement de logiciels - un site qui donne déjà aux développeurs les compétences et les outils nécessaires pour créer un code de qualité dès le départ.
‍‍

‍

‍

‍

*IBM Software Group ; Minimizing Code Defects to Improve Software Quality and Lower Development Costs (Minimiser les défauts de code pour améliorer la qualité des logiciels et réduire les coûts de développement)
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html