Nous sommes ravis de poursuivre la conversation sur la nouvelle amélioration de la plateforme SCW - SCW Trust Score. Cette fonctionnalité révolutionnaire a été officiellement lancée en mai et représente une avancée cruciale dans notre mission qui consiste à donner aux développeurs et aux organisations les outils dont ils ont besoin pour écrire du code sécurisé.

À la base, le score de confiance SCW offre des informations inestimables sur la posture de sécurité de votre organisation et sur l'efficacité de vos pratiques de codage sécurisé. Passons en revue les principaux avantages et bénéfices du SCW Trust Score.

• Visibilité : Des aptitudes et des compétences diverses apparaissent au sein des équipes grâce aux programmes d'apprentissage et d'éducation, dont la réussite repose sur différents facteurs. Bien qu'elles aient suivi des programmes de code sécurisé identiques, les équipes produisent souvent un spectre d'expertise, englobant les plus performants, les moyens et ceux qui ont besoin d'un soutien supplémentaire. Le score de confiance SCW fournit aux organisations une mesure de l'efficacité de leur programme d'apprentissage de la sécurité basée sur des données, en agrégeant la posture de sécurité des développeurs individuels lorsqu'ils utilisent Secure Code Warrior.
  
  
• Mesures d'étalonnage : Les entreprises ont besoin d'un point de référence pour définir la courbe en cloche de la position de leurs développeurs en matière de sécurité et mettre le doigt sur les domaines à optimiser pour créer une équipe logicielle réellement prête pour la sécurité, performante et productive. Avec le score de confiance SCW, les entreprises ont la possibilité d'évaluer leur position en matière de sécurité par rapport aux références et aux meilleures pratiques de l'industrie. Grâce à cette mesure complète, les parties prenantes peuvent identifier les points forts et les possibilités d'amélioration avec une précision inégalée.
  
  
• Une puissance de données : Le score de confiance SCW exploite la puissance de 20 millions de points de données d'apprentissage provenant de plus de 600 entreprises et 250 000 développeurs. En analysant toutes les activités d'apprentissage réalisées sur notre plateforme, notre algorithme génère un score complet. Ce score prend en compte des facteurs tels que l'étendue et la profondeur des activités d'apprentissage, la compréhension de l'activité, la récurrence de l'apprentissage, la description du poste, le cycle de vie de l'intégration et le nombre total de développeurs formés.
  
  

Nous sommes fiers d'avoir poursuivi nos conversations avec les clients et les prospects récemment au RSAC, où elles ont suscité un intérêt considérable de la part des clients, des partenaires et des leaders de l'industrie.

Nous avons le plaisir de vous annoncer que nous organiserons un webinaire le 12 juin, au cours duquel notre directeur de la technologie et cofondateur Matias Madou présentera une vue d'ensemble du score de confiance SCW et de ses applications pratiques dans des scénarios du monde réel. Nous nous réjouissons de vous y rencontrer.

Enfin, nous remercions tous les membres de la communauté des clients et des partenaires qui ont contribué au développement et à l'amélioration du score de confiance SCW. Ensemble, nous nous lançons dans un voyage qui nous permettra de comprendre à quoi ressemble une bonne posture de sécurité au sein des organisations

Les développeurs sont confrontés à des défis constants pour maintenir leurs compétences à jour et rester à la pointe de la technologie. La technologie progressant rapidement et de nouveaux outils et cadres apparaissant régulièrement, la nécessité d'une formation continue n'a jamais été aussi cruciale. À l'ère du numérique, où l'information est facilement accessible du bout des doigts, les développeurs peuvent exploiter la puissance du contenu d'apprentissage à la demande pour faire avancer leur carrière et rester pertinents dans le domaine compétitif du développement de logiciels.

L'apprentissage de contenu à la demande offre aux développeurs plusieurs avantages clés. Les ressources à la demande offrent une flexibilité et une commodité inégalées, permettant aux développeurs d'apprendre à leur propre rythme et d'adapter la formation à leur emploi du temps chargé et à leurs préférences personnelles. En outre, les plateformes agiles proposent souvent des parcours d'apprentissage ciblés, adaptés aux objectifs et aux niveaux de compétences individuels, ce qui maximise l'efficacité de l'apprentissage et garantit que les développeurs acquièrent les compétences nécessaires à l'avancement de leur carrière. En fin de compte, l'apprentissage à la demande favorise une culture de développement continu des compétences, permettant aux développeurs de rester agiles et résistants face aux changements technologiques et garantissant leur succès à long terme dans le domaine du développement de logiciels.

‍

Sur Secure Code Warrior, nous nous engageons à fournir aux développeurs le contenu le plus complet et le plus solide qui soit. Notre objectif n'est pas seulement d'offrir des ressources d'apprentissage et de développement de qualité supérieure, mais aussi de les fournir au bon moment, avec des informations qui répondent aux besoins actuels des développeurs. Cet engagement s'incarne dans notre onglet Explore, une bibliothèque de contenu au sein de la plateforme SCW conçue pour relever le défi de la dispersion des ressources. Explore regroupe tous les contenus de formation en un seul endroit centralisé, offrant aux utilisateurs une vue d'ensemble des types de contenus disponibles, sans effort. Que les apprenants cherchent à maîtriser un nouveau langage de programmation ou à explorer des concepts complexes, Explore les couvre. Notre catalogue de contenu méticuleusement sélectionné répond à un large éventail d'intérêts et de niveaux de compétence, garantissant ainsi que chacun y trouve son compte. Avec Explore, les apprenants découvriront une multitude de tutoriels interactifs, d'exercices pratiques et de scénarios du monde réel, tous conçus pour améliorer l'expérience d'apprentissage et permettre aux développeurs d'exceller.

‍

‍

Les écosystèmes technologiques d'aujourd'hui sont caractérisés par une innovation et une perturbation constantes, de sorte que le besoin de plateformes d'apprentissage agiles est devenu de plus en plus critique. Les méthodes traditionnelles d'apprentissage et de développement des compétences ne suffisent plus à suivre le rythme des progrès rapides de la technologie et des exigences dynamiques de l'industrie. Par conséquent, les organisations se tournent vers les plateformes d'apprentissage agiles pour fournir aux développeurs les outils et les ressources dont ils ont besoin pour s'adapter et prospérer dans cet environnement en évolution rapide où la sécurité pilotée par les développeurs est essentielle.

L'une des principales raisons pour lesquelles les plates-formes d'apprentissage agiles sont essentielles est leur capacité à fournir un contenu d'apprentissage opportun et pertinent. Les plateformes d'apprentissage agiles s'appuient sur des mécanismes de fourniture de contenu dynamique, tels que les modules de microapprentissage et les ressources juste à temps, pour fournir aux développeurs les connaissances dont ils ont besoin, au moment précis où ils en ont besoin. Un autre aspect concerne leur capacité à offrir flexibilité et personnalisation, ce qui permet aux développeurs d'adapter leurs expériences d'apprentissage à leurs besoins et préférences individuels. Qu'ils préfèrent les tutoriels interactifs, les laboratoires pratiques ou le contenu vidéo, les développeurs peuvent choisir le format qui convient le mieux à leur style d'apprentissage et à leur emploi du temps.

Dans l'ensemble, les plateformes d'apprentissage agiles jouent un rôle crucial en permettant aux développeurs de s'épanouir dans le paysage technologique actuel, qui évolue rapidement et constamment. En offrant des expériences d'apprentissage opportunes, pertinentes et personnalisées, ces plateformes permettent aux développeurs d'acquérir de nouvelles compétences, de rester à la pointe des tendances du secteur et de stimuler l'innovation au sein de leur organisation. À l'adresse Secure Code Warrior, les développeurs sont au cœur de nos préoccupations, car nous améliorons constamment notre plateforme. Conscients du rôle essentiel que jouent les développeurs dans la création de logiciels sécurisés, nous veillons à ce que nos améliorations ne se limitent pas à relever les défis actuels, mais qu'elles permettent également aux développeurs de créer des codes résistants en toute confiance. Voici quelques-unes des améliorations que nous avons récemment apportées à notre plateforme pour renforcer notre engagement envers les développeurs.

Nous pensons que nous pouvons être plus efficaces pour engager vos développeurs grâce à des canaux de communication modernes tels que Microsoft Teams. Notre intégration avec Microsoft Teams est notre première étape vers des communications utilisateur de nouvelle génération au sein de la plateforme SCW. Invitez-les à de nouvelles activités d'apprentissage et envoyez-leur des rappels personnalisés sur les activités d'apprentissage du cours. Vous pouvez également utiliser Teams comme canal de diffusion pour les Nudges, où vous pouvez inciter les participants à terminer leur cours par le biais d'une notification Teams.

‍

L'onglet Explore vient s'ajouter à l'innovation de nos produits axés sur les développeurs. Que les utilisateurs cherchent à améliorer leurs compétences ou à se plonger dans de nouveaux domaines, Explore garantit une expérience transparente et enrichissante pour les développeurs en fournissant un centre complet pour la formation à son propre rythme et l'expansion des connaissances. Avec plus de 7 000 activités disponibles dans 64 langues, Explore permet aux utilisateurs de découvrir, de jouer et de rejouer sans effort des activités d'apprentissage adaptées à leurs préférences. Cliquez ici pour en savoir plus sur Explore et sur l'importance du contenu à la demande.

‍

Enfin, les rapports sont essentiels pour que la formation des développeurs reste efficace et attrayante. Ils permettent non seulement de suivre les progrès et de garantir la conformité aux normes de sécurité, mais aussi d'identifier les lacunes dans lesquelles les développeurs peuvent s'améliorer. Ces informations permettent d'organiser des formations sur mesure qui renforcent les défenses de sécurité et maintiennent la pertinence et le ciblage de l'apprentissage. Les rapports permettent également de justifier l'investissement dans la formation en démontrant son impact, ce qui garantit un soutien continu aux initiatives de sécurité. Dans l'ensemble, les rapports sont des outils essentiels pour améliorer à la fois la conformité et l'engagement des développeurs, en gardant tout le monde sur la bonne voie et en les engageant dans leur parcours de formation. Soyez à l'affût des nouvelles passionnantes concernant les rapports SCW qui arriveront bientôt !

‍

Pour en savoir plus sur les nouvelles fonctionnalités, consultez notre dernier webinaire sur les produits ou contactez-nous dès aujourd'hui !

‍

Les institutions de services financiers ont de bonnes raisons de s'assurer que le code logiciel qu'elles utilisent est sécurisé. Une motivation évidente, bien sûr, est la nécessité de protéger leurs données contre une violation, qui peut être coûteuse en termes de fuites d'informations personnelles, de frais de nettoyage, d'amendes et de dédommagements, et d'atteinte à la réputation d'une organisation. Une autre raison permanente est la nécessité de rester en conformité avec toute une série de réglementations sectorielles et gouvernementales.

Parce qu'ils traitent une grande quantité d'informations sensibles, personnelles et financières, ainsi que l'argent des gens, les services financiers sont un secteur très réglementé. Selon les services qu'elles fournissent, les entreprises doivent se conformer à un ensemble de règles et d'exigences.

La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est bien connue pour ses règles de protection des données des titulaires de cartes, par exemple. Les exigences de la loi Sarbanes-Oxely régissent la gestion des documents financiers. Les entreprises qui opèrent à l'échelle internationale connaissent le Digital Operational Resilience Act (DORA), qui est un cadre contraignant de gestion des risques, et les normes mondiales pour les transferts de fonds établies par la Society for Worldwide Interbank Financial Telecommunication, connue sous le nom de Swift.

Et des lois telles que le California Consumer Privacy Act (CCPA) et le Règlement général sur la protection des données (RGPD) de l'UE fixent des exigences en matière de protection de la vie privée et des informations personnelles des clients. Il en existe d'autres, comme les réglementations établies par l'Office of the Comptroller of the Currency (OCC) des États-Unis et la Banque centrale européenne (BCE).

Si cela ne suffit pas, la stratégie nationale de cybersécurité stipule, entre autres, que les fabricants de logiciels devraient être tenus pour responsables de l'inefficacité de la sécurité des logiciels. L'Agence pour la cybersécurité et la sécurité des infrastructures (CISA), en collaboration avec 17 partenaires américains et internationaux, a publié des orientations sur les principes de la sécurité par la conception pour le développement de logiciels. 

Pour les entreprises de services financiers, la sécurité du code est un élément essentiel pour atteindre les objectifs de ces réglementations et faciliter la démonstration de leur conformité. Cela souligne également pourquoi les développeurs ont besoin de formation et de perfectionnement pour s'assurer que la sécurité est appliquée au code dès le début du processus de développement.

Pour illustrer ce fonctionnement, examinons la dernière version de la norme PCI DSS.

Le codage sécurisé (et la formation des développeurs) est au cœur de la norme PCI DSS 4.0

La norme PCI DSS 4.0, qui est devenue obligatoire à partir du 1er avril 2024, comprend plusieurs mises à jour substantielles de la norme PCI DSS 3.2.1, dont la moindre n'est pas l'accent mis sur le rôle que jouent les développeurs dans la sécurisation du code logiciel.

La norme PCI reconnaît depuis longtemps l'importance des logiciels sécurisés. La version 2.0, qui a été publiée en 2017, comprenait des conseils pour les développeurs sur la garantie de transactions sécurisées sur les appareils mobiles. Les orientations de la version 4.0 mettent désormais l'accent sur l'application des meilleures pratiques de sécurité au développement de logiciels et comprennent certaines orientations spécifiques sur la formation des développeurs. 

Les exigences sont souvent énoncées de manière générale, mais les entreprises peuvent souhaiter mettre en œuvre une approche plus approfondie.

Par exemple, l'une des exigences de la version 4.0 stipule que "les processus et les mécanismes de développement et de maintenance de systèmes et de logiciels sécurisés sont définis et compris". Un bon moyen de s'assurer que cela est vrai est que les développeurs reçoivent une formation précise dans les langages de programmation et les cadres qu'ils utilisent afin de combler toute lacune dans leurs connaissances.

Une autre exigence stipule que les développeurs travaillant sur des logiciels sur mesure et personnalisés doivent recevoir une formation au moins une fois tous les 12 mois :

• la sécurité des logiciels en rapport avec leur fonction et les langages de développement.
• Techniques de conception et de codage de logiciels sécurisés. 
• Comment utiliser les outils de test de sécurité - s'ils sont utilisés - pour détecter les vulnérabilités dans les logiciels.

En réalité, une fois par an n'est pas assez fréquente pour aborder les questions de sécurité essentielles et rompre avec les mauvaises habitudes de codage. La formation doit être continue et mesurée, avec un processus de vérification des compétences pour s'assurer qu'elle est utilisée à bon escient.

La norme PCI DSS 4.0 comprend plus d'une demi-douzaine d'autres exigences portant sur des domaines tels que la prévention et l'atténuation de divers types d'attaques, la documentation des composants logiciels tiers, l'identification et la gestion des vulnérabilités, ainsi que d'autres mesures de sécurité. Dans tous les cas, les organisations seraient bien avisées de mettre en œuvre ces mesures de manière approfondie. Les formations sur les vecteurs d'attaque devraient être fréquentes, plutôt qu'annuelles. Les composants tiers, qui sont souvent une source de vulnérabilité, devraient être soigneusement inventoriés dans le cadre d'un programme de nomenclature des logiciels (SBOM). Enfin, les organisations devraient s'assurer que les rôles sont clairement définis pour la gestion des vulnérabilités.

La nouvelle version donne également aux organisations une certaine flexibilité pour répondre à ses exigences, en se concentrant sur les résultats plutôt que sur les cases à cocher, tout en ajoutant de nouvelles exigences pour les contrôles d'authentification, la longueur des mots de passe, les comptes partagés et d'autres facteurs. 

La conformité commence dès le début du cycle de développement durable (SDLC)

Le point commun de ces réglementations est qu'elles tentent de fixer des normes élevées pour la protection des données et des transactions dans le secteur des services financiers. Et, comme dans le cas de la dernière version de la norme PCI DSS, elles mettent de plus en plus l'accent sur l'importance d'un code sécurisé dès le début du cycle de développement des logiciels (SDLC). La stratégie nationale de cybersécurité et les principes Secure by Design de la CISA confient également la responsabilité de la sécurité aux fabricants de logiciels - avant leur livraison - de sorte que même les entreprises qui ne sont pas directement régies par les réglementations relatives aux services financiers doivent s'y conformer.

Les organisations doivent combler le fossé qui existe entre les équipes DevOps (qui se concentrent sur la vitesse de développement) et les équipes AppSec (qui se dépêchent d'intégrer la sécurité dans le processus) en formant les développeurs à rendre la sécurité inhérente à leur approche. Cependant, cela nécessite un ensemble complexe de compétences qui vont au-delà des sessions de formation annuelles ou des programmes éducatifs standards et stagnants. La formation doit être continue et agile, conçue pour impliquer les apprenants dans des scénarios actifs et réels, et dispensée en petites sessions adaptées à leur emploi du temps.

Les entreprises de services financiers doivent garantir la sécurité pour se protéger contre les violations et rester en conformité avec des réglementations de plus en plus strictes. Les coûts de la non-conformité peuvent être aussi préjudiciables qu'une violation en termes d'impact sur la réputation d'une entreprise et de coûts monétaires. Le rapport 2023 d'IBM sur le coût d'une violation de données (Cost of a Data Breach Report 2023), par exemple, a révélé que les organisations ayant un niveau élevé de non-conformité s'exposaient, en moyenne, à des amendes et à d'autres coûts totalisant 5,05 millions de dollars, soit un demi-million de dollars de plus que le coût moyen d'une véritable violation de données.

La croissance continue des environnements basés sur le cloud et des transactions numériques a rendu la sécurité des logiciels dans le secteur des services financiers d'une importance capitale, ce que des réglementations telles que PCI DSS reconnaissent. La meilleure façon de garantir la sécurité des logiciels est de sécuriser le codage dès le début du cycle de développement durable. Et le moyen d'y parvenir est de former efficacement les développeurs aux pratiques de codage sécurisé. 

Pour un aperçu complet de la manière dont le codage sécurisé peut contribuer à assurer le succès, la sécurité et les profits des entreprises de services financiers, vous pouvez lire l'e-book Secure Code Warrior qui vient de paraître : Le guide ultime des tendances en matière de sécurité dans les services financiers.

Consultez les pages du Secure Code Warrior pour en savoir plus sur la cybersécurité, sur les menaces de plus en plus dangereuses et sur la manière dont vous pouvez utiliser des technologies et des formations innovantes pour mieux protéger votre organisation et vos clients.

‍

Le secteur de la cybersécurité a une fois de plus été placé en état d'alerte après la découverte d'une compromission insidieuse de la chaîne d'approvisionnement en logiciels. La vulnérabilité, qui affecte la bibliothèque de compression de données XZ Utils fournie avec les principales distributions Linux, est enregistrée sous la référence CVE-2024-3094 et se résume à une porte dérobée délibérément insérée par un mainteneur de système bénévole autrefois digne de confiance. Permettant l'exécution de code à distance (RCE) dans certains cas s'il est exploité avec succès, il s'agit d'un problème de haute sévérité pouvant causer de sérieux dommages dans les processus de construction de logiciels établis.

Heureusement, un autre mainteneur a découvert cette menace avant que le code malveillant n'entre dans les versions stables de Linux, mais cela pose toujours un problème pour ceux qui ont commencé à utiliser les versions 5.6.0. et 5.6.1. de XZ Utils dans le cadre de Fedora Rawhide, et les organisations sont invitées à le patcher en priorité d'urgence. Si cette découverte n'était pas faite à temps, le profil de risque en ferait l'une des attaques de la chaîne d'approvisionnement les plus dévastatrices jamais enregistrées, éclipsant peut-être même SolarWinds.

La dépendance à l'égard des bénévoles de la communauté pour la maintenance des systèmes critiques est largement documentée, mais rarement discutée jusqu'à ce que des problèmes à fort impact tels que cet incident remontent à la surface. Bien que leur travail infatigable soit essentiel à la maintenance des logiciels libres, cet incident souligne la nécessité de mettre sérieusement l'accent sur les compétences et la sensibilisation à la sécurité au niveau des développeurs, sans parler des contrôles d'accès renforcés autour des dépôts de logiciels.

Qu'est-ce que la porte dérobée XZ Utils, et comment l'atténuer ?

Le 29 mars, Red Hat a publié une alerte de sécurité urgente pour informer les utilisateurs de Fedora Linux 40 et Fedora Rawhide que les dernières versions des outils et bibliothèques de compression "XZ" contiennent un code malveillant qui semble avoir été conçu pour faciliter l'accès de tiers non autorisés. La manière dont ce code malveillant a été injecté fera probablement l'objet d'une étude approfondie à l'avenir, mais il s'agit d'un exercice d'ingénierie sociale sophistiqué, patient et long de plusieurs années de la part de l'acteur de la menace, un attaquant pseudonyme appelé "Jia Tan". Cet individu a passé d'innombrables heures à gagner la confiance d'autres mainteneurs, apportant des contributions légitimes au projet XZ Utils et à la communauté pendant plus de deux ans, finissant par obtenir le statut de "mainteneur de confiance" après que de multiples comptes sockpuppet aient érodé la confiance dans le propriétaire bénévole du projet, Lasse Collin :

‍

‍

Ce scénario inhabituel est l'exemple même d'une personne hautement technique qui est victime de tactiques généralement réservées à des personnes moins averties, ce qui montre la nécessité d'une formation de sensibilisation à la sécurité précise et axée sur les rôles. Ce n'est que grâce à la curiosité et à la rapidité d'esprit d'Andres Freund, ingénieur logiciel chez Microsoft et responsable de PostgreSQL, que la porte dérobée a été découverte et que les versions ont été retirées, mettant ainsi un terme à ce qui aurait pu être l'attaque de la chaîne d'approvisionnement la plus dévastatrice de l'histoire récente.

La porte dérobée elle-même est officiellement répertoriée comme une vulnérabilité de la plus haute gravité possible dans le registre du NIST. Initialement considérée comme permettant le contournement de l'authentification SSH, une enquête plus approfondie a révélé qu'elle permettait l'exécution de code à distance non authentifié sur les systèmes Linux vulnérables, y compris Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed et certaines versions de Debian.

Jia Tan semble s'être donné beaucoup de mal pour obscurcir le paquet malveillant qui, lorsqu'il se construit au cours du processus de construction, entrave l'authentification dans SSHd par l'intermédiaire de systemd.Comme l'a expliqué Red Hat, dans les bonnes circonstances, cette interférence pourrait potentiellement permettre à un attaquant de rompre l'authentification SSHd et d'obtenir un accès distant non autorisé à l'ensemble du système.

‍

Microsoft, entre autres, a publié des conseils complets sur l'analyse des systèmes à la recherche d'instances de l'exploit et sur l'atténuation de ses effets. L'action immédiate recommandée par la CISA est que les développeurs et les utilisateurs concernés rétrogradent XZ Utils vers une version non compromise, comme XZ Utils 5.4.6 Stable.

Il est incroyablement difficile de prévenir ce type d'attaque - en particulier lors de l'utilisation de composants open-source dans les logiciels - car il y a très peu d'assurance et de transparence sur la sécurité de la chaîne d'approvisionnement. Nous avons déjà combattu les failles accidentelles dans la chaîne d'approvisionnement des logiciels, mais ce risque s'est accru pour inclure les bogues de sécurité délibérément mis en place avec malveillance pour compromettre la sécurité des logiciels libres.

La plupart des développeurs ne seront pas en mesure d'arrêter une attaque de cette nature s'ils ne sont pas très sensibilisés à la sécurité, s'ils n'ont pas de bonnes connaissances en la matière et s'ils n'ont pas une bonne dose de paranoïa. Il s'agit presque d'un cas où il faut avoir l'état d'esprit d'un acteur de la menace. Cependant, une considération principale devrait toujours être centrée sur les dépôts de code source qui sont contrôlés en interne (c'est-à-dire qui ne sont pas des sources ouvertes). Ils ne devraient être accessibles qu'aux personnes ayant des compétences vérifiées et pertinentes en matière de sécurité. Les professionnels de l'AppSec peuvent envisager une configuration telle que des contrôles de sécurité au niveau de la branche, permettant uniquement aux développeurs qualifiés en matière de sécurité d'apporter des modifications à la branche principale finale.

Les mainteneurs bénévoles sont des héros, mais il faut un village pour assurer la sécurité des logiciels.

Pour ceux qui n'appartiennent pas au domaine de l'ingénierie logicielle, l'idée qu'une communauté de bénévoles enthousiastes maintienne minutieusement des systèmes critiques pendant leur temps libre est un concept difficile à saisir, mais c'est la nature du développement open-source, et il continue d'être un domaine de risque critique pour les professionnels de la sécurité qui protègent la chaîne d'approvisionnement.

Les logiciels libres sont un élément essentiel de l'écosystème numérique de pratiquement toutes les entreprises, et les mainteneurs de confiance (dont la plupart agissent de bonne foi) sont vraiment héroïques dans leur poursuite désintéressée du progrès technologique et de l'intégrité, mais il est absurde de les laisser livrer en vase clos. En ces temps centrés sur DevSecOps, la sécurité est une responsabilité partagée, et chaque développeur doit être armé des connaissances et des outils adéquats pour naviguer dans les problèmes de sécurité qu'il est susceptible de rencontrer au cours de sa journée de travail. La sensibilisation à la sécurité et les compétences pratiques devraient être non négociables dans le processus de développement logiciel, et il appartient aux responsables de la sécurité d'influencer le changement au niveau de l'entreprise.
‍

‍Construisezdès aujourd'hui une culture de la sécurité florissante au sein de votre organisation grâce à une formation approfondie. Courses de Secure Code Warrior.

Les développeurs de logiciels ont montré qu'ils étaient prêts et désireux d'utiliser l'intelligence artificielle générative (IA) pour écrire du code, et ils ont généralement obtenu des résultats favorables. Mais de nombreux signes indiquent également qu'ils pourraient jouer un jeu dangereux.

Selon une enquête récente de GitHub, plus de 90 % des développeurs américains utilisent des outils de codage de l'IA, citant des avantages tels que des délais d'exécution plus courts, une résolution rapide des incidents et un environnement plus collaboratif, ce qu'ils considèrent comme important. L'utilisation d'outils d'IA permet aux développeurs de se décharger des tâches routinières, ce qui leur permet de se consacrer à des travaux plus créatifs qui profitent à leur entreprise et, non sans raison, réduisent les risques d'épuisement professionnel.

Toutefois, des études ont également montré que les outils d'IA ont tendance à introduire des failles lors de l'écriture du code. Une enquête menée par Snyk a révélé que, bien que 75,8 % des personnes interrogées affirment que le code de l'IA est plus sûr que le code humain, 56,4 % admettent que l'IA introduit parfois des problèmes de codage. Fait alarmant, 80 % des personnes interrogées ont déclaré qu'elles contournaient les politiques de sécurité du code de l'IA au cours du développement.

Depuis le lancement du ChatGPT d'OpenAI en novembre 2022, l'utilisation de modèles d'IA générative s'est répandue à la vitesse de l'éclair dans le processus de développement du code dans les services financiers, comme dans de nombreux autres domaines. L'émergence rapide d'autres modèles, tels que GitHub Copilot, OpenAI Codex et une liste croissante d 'autres modèles, suggère que nous n'avons fait qu'effleurer la surface de ce que l'IA générative peut faire et de l'impact qu'elle peut avoir. Mais pour que cet impact soit positif, nous devons nous assurer que le code qu'elle génère est sécurisé.

Les bogues de codage peuvent se propager rapidement

Qu'il soit créé par des développeurs humains ou des modèles d'IA, le code contiendra toujours des erreurs. L'IA contribuant à accélérer le développement du code pour répondre aux demandes sans cesse croissantes dans les environnements informatiques hautement distribués et basés sur le cloud, les risques de propagation à grande échelle d'un mauvais code avant qu'il ne soit détecté pourraient augmenter. 

Les modèles d'IA formés à l'écriture de code ingèrent des milliers d'exemples de code qui exécutent diverses tâches, puis ils peuvent s'inspirer de ces exemples pour créer leur propre code. Mais si les échantillons à partir desquels il travaille contiennent des failles ou des vulnérabilités - qu'ils aient été créés à l'origine par un humain ou une autre IA - le modèle pourrait transférer ces failles dans un nouvel environnement. 

La recherche ayant montré que les modèles d'IA ne sont pas capables de reconnaître de manière fiable les failles dans le code qu'ils utilisent, il n'y a guère de défense intégrée contre la propagation des failles et des vulnérabilités. Non seulement l'IA commettra des erreurs de codage, mais elle répétera ses propres erreurs et celles d'autres sources jusqu'à ce que la vulnérabilité soit identifiée quelque part, peut-être sous la forme d'une violation réussie d'une entreprise utilisant le logiciel qu'elle a créé.

La véritable défense contre la prolifération des failles de codage réside dans la collaboration entre les humains et les modèles d'IA. Les développeurs humains devraient superviser la rédaction du code de l'IA et servir de garde-fou contre les pratiques de codage non sécurisées et le code vulnérable. Mais pour cela, les développeurs doivent être parfaitement formés aux meilleures pratiques de rédaction de code sécurisé afin de pouvoir identifier les erreurs de codage qu'une IA pourrait commettre et les corriger rapidement.

Les défis de la création de code d'IA et de la remédiation

L'explosion soudaine des grands modèles de langage (LLM) tels que ChatGPT a été une sorte d'épée à double tranchant. D'un côté, les entreprises et les utilisateurs quotidiens ont constaté des gains de productivité considérables grâce à l'utilisation de l'IA pour effectuer des tâches fastidieuses, onéreuses ou difficiles. D'un autre côté, de nombreux exemples montrent ce qui peut se passer lorsqu'on fait aveuglément confiance à l'IA pour effectuer le travail.

Les modèles d'IA ont commis des erreurs flagrantes, fait preuve de partialité et produit de véritables hallucinations. Dans de nombreux cas, les données d'entraînement inadéquates ou irresponsables étaient à l'origine du problème. La qualité d'un modèle d'IA dépend des données sur lesquelles il est entraîné. Il est donc essentiel que les données d'entraînement soient complètes et soigneusement vérifiées. Il est donc essentiel que les données d'entraînement soient complètes et soigneusement vérifiées. Mais même dans ce cas, certaines erreurs seront commises.

L'utilisation de l'IA pour le codage se heurte à de nombreux obstacles similaires. Il a été démontré que le code généré par l'IA contient une série de failles, telles que des vulnérabilités au cross-site scripting et à l'injection de code, ainsi que des attaques spécifiques à l'IA et à l'apprentissage machine (ML), telles que l'injection d'invite. Les modèles d'IA fonctionnent également comme une boîte noire car leurs processus ne sont pas transparents, ce qui empêche une équipe de sécurité ou de développement de voir comment l'IA parvient à ses conclusions. Par conséquent, le modèle peut répéter les mêmes erreurs à l'infini. Les mêmes lacunes qui peuvent affecter l'écriture du code s'appliquent également à l'utilisation de l'IA pour la remédiation du code et le respect des exigences de conformité. 

Le risque que des failles soient créées ou répétées par des modèles d'IA s'est accru au point que les LLM ont désormais leur propre liste des dix principales vulnérabilités de l'Open Web Application Security Project (OWASP).

Les développeurs et l'IA peuvent travailler ensemble pour créer du code sécurisé

Les inquiétudes concernant les failles potentielles du code généré par l'IA peuvent faire réfléchir certaines organisations, ne serait-ce que brièvement, avant d'aller de l'avant avec cette technologie. Mais les avantages potentiels sont trop importants pour être ignorés, d'autant plus que les développeurs d'IA continuent d'innover et d'améliorer leurs modèles. Il est peu probable que le secteur des services financiers, par exemple, remette le génie dans la bouteille. Les banques et les sociétés de services financiers sont déjà axées sur la technologie, et elles opèrent dans un domaine où elles sont toujours à la recherche d'un avantage concurrentiel. 

L'essentiel est de mettre en œuvre les modèles d'IA de manière à minimiser les risques. Cela signifie que les développeurs doivent être sensibilisés à la sécurité et formés de manière approfondie aux meilleures pratiques de codage sécurisé, afin qu'ils puissent écrire eux-mêmes du code sécurisé et surveiller de près le code produit par les modèles d'IA. En faisant travailler les moteurs d'IA et les développeurs humains dans un partenariat étroit, les développeurs ayant le dernier mot, les entreprises peuvent récolter les fruits d'une productivité et d'une efficacité accrues tout en améliorant la sécurité, en limitant les risques et en garantissant la conformité. 

Pour un aperçu complet de la manière dont le codage sécurisé peut contribuer à garantir le succès, la sécurité et les profits des entreprises de services financiers, vous pouvez lire le guide Secure Code Warrior qui vient de paraître : Le guide ultime des tendances en matière de sécurité dans les services financiers.

‍

‍

Consultez les pages du Secure Code Warrior pour en savoir plus sur la cybersécurité, sur les menaces de plus en plus dangereuses et sur la manière dont vous pouvez utiliser des technologies et des formations innovantes pour mieux protéger votre organisation et vos clients.

‍

Récemment, j'ai eu le privilège d'animer un webinaire au cours duquel notre directeur technique Matias Madou et Sharon Kochevsky de Mednd.ioont abordé la question de la prise en charge des alertes de vulnérabilité. Au cours de la session, ils ont exploré à la fois les défis et les solutions dans la gestion des alertes de vulnérabilité de sécurité. Au cas où vous auriez manqué le webinaire, voici quelques éléments clés de leur conversation. Bien entendu, le webinaire est également disponible à la demande ici pour obtenir tous les détails. 

Impact de l'IA sur la sécurité

Matias a utilisé l'analogie des voitures autonomes pour expliquer l'état actuel de l'IA dans la création de logiciels sécurisés. Bien que les voitures autonomes puissent techniquement se conduire elles-mêmes, elles sont toujours confrontées à des problèmes sur la route. Par exemple, il a fait référence à une situation où les voitures auto-conduites ont rencontré un problème sur la route qu'elles n'avaient jamais rencontré auparavant et se sont cassées en fantôme à cause de cela. Les problèmes surviendront, et ce sont les techniciens humains qui doivent les résoudre. De même, si les développeurs suivent aveuglément l'IA, des erreurs dans le code et des vulnérabilités pourraient entrer en jeu.  

Pour que l'IA produise de meilleurs résultats, Matias a souligné le besoin de régularité et de nombreux bons exemples de code pour former les développeurs aux modèles d'IA. Si l'IA fonctionne actuellement bien sur les cadres génériques, elle n'est pas à la hauteur des applications du monde réel qui fonctionnent sur des millions de lignes de code.

Il a également expliqué que les développeurs chevronnés pouvaient profiter des avantages de l'IA générative pour accélérer le codage, mais que ceux qui n'étaient pas formés pouvaient représenter une menace car ils pouvaient reproduire et coller des codes défectueux à un rythme rapide. 

Passer à la proactivité

L'un des sujets qui a animé la discussion a été le passage à des actions proactives. Plutôt que de surveiller les problèmes de sécurité, Sharon Kochevsky préconise que les entreprises et les programmes AppSec adoptent une approche plus proactive avec des correctifs de code réels plutôt qu'une approche réactive axée sur les rapports de sécurité. Comme Matias, il souligne la nécessité de dépasser les pratiques purement administratives et de se concentrer sur les résultats conséquents. Le panel a également discuté des principaux domaines de création de rapports ainsi que de l'utilisation de produits de sécurité incorporés avec des tableaux de bord en temps réel et le suivi des problèmes. 

Combler le fossé 

Sharon et Matias ont également identifié un problème crucial qui devrait être résolu : la déconnexion entre les développeurs et les responsables de la sécurité. Les organisations et les entreprises ajoutent maintenant des champions de la sécurité pour aider à combler ce fossé. Il s'agit de professionnels de la sécurité qui font partie de l'équipe d'ingénieurs et qui contribuent à promouvoir des mesures de sécurité proactives.

Il va sans dire que nous n'avons fait qu'effleurer ce sujet et que la conversation s'étend au-delà de ces webinaires ; la discussion et l'engagement continus sont essentiels dans notre secteur en constante évolution. Si vous souhaitez en savoir plus ou revoir la session, elle est désormais disponible à la demande.

‍

Chez Secure Code Warriornotre mantra a toujours été de fournir une expérience d'apprentissage agile pratique pour les développeurs - en offrant une formation pratique et concrète en matière de sécurité dans le cadre de leur expérience professionnelle quotidienne. Nous aimons appeler cela "apprendre en faisant". 

Nous savons qu'une formation ciblée sur ce sur quoi les développeurs travaillent en ce moment même est une expérience enrichissante qui permet d'obtenir des résultats encore plus significatifs pour les entreprises - des versions de code plus rapides qui sont testées, dont la qualité est contrôlée et qui sont prêtes à être mises sur le marché dans les délais impartis. Quelle entreprise n'aime pas cela ?  

Nous améliorons cette expérience grâce à une nouvelle intégration passionnante avec Apiiro, une plateforme leader de gestion de la posture de sécurité des applications (ASPM) qui donne aux équipes AppSec et aux leaders la visibilité dont ils ont besoin pour prioriser, réparer, prévenir et gérer les risques applicatifs qui comptent. En réunissant nos deux plateformes, notre intégration offre un contexte hyper pertinent et une formation à la sécurité en temps réel aux développeurs pendant qu'ils remédient aux risques de sécurité, afin qu'ils puissent apprendre sans changer de contexte ou quitter les environnements familiers des outils de développement qu'ils utilisent tous les jours.  

Comment cette magie s'opère-t-elle ? Apiiro met en correspondance les découvertes en matière de sécurité des applications - détectées par Apiiro ou ingérées par des outils de sécurité tiers - avec la formation pertinente par type et par langue sur Secure Code Warrior, puis les fait apparaître par le biais de tickets, de problèmes ou de messages au développeur ou à l'équipe concernés. L'intégration entre Apiiro et Secure Code Warrior minimise les perturbations du cycle de vie du développement logiciel en éliminant la nécessité de prendre des mesures dans un outil distinct à un moment différent. C'est une autre façon pour nous d'aider les entreprises à produire plus rapidement un code de qualité tout en améliorant l'efficacité des développeurs.

Pour en savoir plus sur cette nouvelle intégration et ce nouveau partenariat, consultez le blog d'Apiiro ici.

‍

Vous vous demandez ce que nous avons fait dernièrement dans le domaine de l'innovation des nouveaux produits ? Nous avons récemment organisé une session de discussion sur les produits, au cours de laquelle nous avons abordé de nombreux détails. Ne manquez pas d'y jeter un coup d'œil, mais pour piquer votre curiosité, voici un bref aperçu. Nous vous donnons ici un aperçu de nos versions les plus récentes et de notre feuille de route visionnaire pour 2025.

Plus de possibilités de personnaliser vos parcours éducatifs

Nous vous avons écouté et entendu. Nous avons apporté des améliorations dédiées à l'expérience du développeur, révolutionnant la façon dont les utilisateurs peuvent personnaliser leurs parcours éducatifs. Les défis ont été revus, assurant une étape de fixation transparente tout en adhérant aux normes d'accessibilité, et le menu Explore offre un éventail diversifié d'activités, favorisant l'apprentissage autonome et interactif.

Renforcer l'expérience de l'entreprise

En outre, nous nous penchons sur les améliorations axées sur l'entreprise qui mettent l'accent sur le reporting, l'analyse, l'intégration SCIM et les fonctions d'administration améliorées. Les rapports rationalisés fournissent aux administrateurs des informations complètes, tandis que SCIM automatise le provisionnement des utilisateurs, ce qui simplifie l'intégration et la désintoxication. L'ajout de "nudges" par e-mail et Microsoft Teams complète l'expérience d'administration globale. 

Ce qui se profile à l'horizon

Enfin, découvrez la vision de Secure Code Warriorpour 2024, où nous dévoilons six initiatives essentielles :

• Les rapports de référence sur la valeur exécutive et les rapports complets sur les programmes fournissent des informations approfondies sur les performances de l'entreprise.
• L'autonomisation des développeurs se concentre sur l'amélioration des expériences d'apprentissage autonome.
• Développement accru du contenu L'investissement dans le développement du contenu permet de disposer d'une bibliothèque de contenu solide.
• L'intégration profonde avec les référentiels de code offre une vision inégalée des activités des développeurs.
• L'amélioration de la productivité des administrateurs rationalise les canaux de communication.

Pour approfondir ces développements passionnants, écoutez l'enregistrement complet et apprenez comment participer à l'élaboration de l'avenir des futures innovations de Secure Code Warrior.

‍