Les meilleures pratiques en matière de cybersécurité sont un sujet brûlant depuis plus d'une décennie, fréquemment débattu au niveau gouvernemental dans la plupart des régions du monde. Les cyberattaques sont essentiellement une réalité quotidienne, et toute entité stockant des données privées précieuses en ligne est une cible potentielle. Rien qu'en Allemagne, le ministère fédéral de l'éducation et de la recherche estime que 96 % des petites et moyennes entreprises ont déjà subi un incident de sécurité informatique . Le même rapport souligne le besoin urgent de recherche, de législation et de sensibilisation en matière de cybersécurité, en insistant sur l'importance d'une formation plus solide en matière de sécurité dans les domaines de l'informatique et des technologies de l'information.
Avec l'arrivée du GDPR , ainsi qu'une stratégie révisée suite à une attaque en plusieurs étapes qui a exposé les données sensibles de nombreuses personnalités publiques - ainsi que des serveurs du gouvernement fédéral allemand - il est clair que la sensibilisation et l'action en matière de cybersécurité sont au premier plan des préoccupations des dirigeants de la région DACH. Le piratage de la fin de l'année 2018 a été réalisé par un étudiant de 20 ans relativement peu qualifié, dont le principal point d'accès à des informations très sensibles a été obtenu en devinant simplement des mots de passe. Bien qu'il s'agisse d'un exploit d'authentification extrêmement préoccupant, il a mis en évidence la nécessité d'une bien meilleure sensibilisation à la sécurité au niveau des gouvernements, des entreprises et de la société. Un rapport de 2019 a souligné que l 'Allemagne était à la traîne en termes d'initiatives de défense de la cybersécurité , s'appuyant sur la législation comme principale tactique. Cependant, avec l'arrivée de DevSecOps en tant que méthodologie de développement idéale, de nombreuses entreprises ont reconnu la nécessité d'une formation pratique, de la création de logiciels sécurisés dès la conception et de programmes de sensibilisation à la sécurité à l'échelle de l'entreprise.
Le cœur de la sécurité des logiciels dans le DACH Des organisations comme OWASP et MITRE publient des classements vérifiés des vulnérabilités les plus fréquentes. Dans tous les langages, l'injection SQL occupe la première place et, bien qu'elle date de plusieurs décennies, il s'agit d'une faille courante, souvent exploitée avec des conséquences désastreuses.
Le logiciel bancaire suisse BPC, SmartVista, a été alerté d'une vulnérabilité SQLi par SwissCERT, mais il est resté sans correctif pendant des mois malgré son potentiel à exposer les données sensibles des clients, y compris les numéros de cartes de crédit. L'injection SQL peut conduire et conduit effectivement à des violations dangereuses, à l'instar de la violation en 2017 de plusieurs ministères et universités aux États-Unis et au Royaume-Uni. Nombre de ces incidents sont dus à des processus de validation d'entrée laxistes, qui permettent à un pirate d'insérer un code malveillant à partir de la partie frontale d'une application. Une autre source de vulnérabilité courante est l'utilisation d'un code fournisseur non sécurisé qui n'est pas vérifié pour les bogues de sécurité, et des failles sont ainsi introduites dans un environnement de production précédemment analysé et nettoyé. Aucun de ces points d'accès n'est spécifique à la région DACH, il s'agit plutôt d'exemples globaux de mauvaises pratiques de sécurité qui ne peuvent perdurer alors que le monde produit de plus en plus de code.
Il est impératif de corriger les problèmes dès qu'ils sont découverts, et la décision de SmartVista de traîner les pieds aurait pu être un désastre. Bien que DACH ait connu sa part de violations, des lignes directrices et un soutien plus ciblés en matière de sensibilisation et de formation à la sécurité pourraient empêcher les problèmes potentiels au niveau organisationnel de devenir incontrôlables, et cela nécessitera une législation beaucoup plus spécifique en matière d'évaluation de la formation pour les développeurs.
Toutes les formations au codage sécurisé ne sont pas équivalentes. De nombreuses directives sur la cybersécurité dans le monde sont de plus en plus complètes, mais elles restent peu précises lorsqu'il s'agit de définir une formation efficace en matière de sécurité. La directive NIS de l'UE prévoit bien la nécessité de "sensibiliser, former et éduquer" au niveau national, mais se précipiter sur une solution de formation peut ne pas avoir le résultat escompté, à savoir une réduction tangible des risques, s'il manque des éléments clés qui stimulent les développeurs de compétences et les changements organisationnels.
Les solutions de formation varient, et la formation doit être spécifique au travail quotidien du développeur (y compris la possibilité d'apprendre dans son langage et son cadre préférés), tout en restant attrayante et mesurable au fil du temps.
Les solutions de formation statiques, telles que les formations vidéo sur ordinateur, sont souvent trop génériques et rarement revues ou évaluées quant à leur capacité à sensibiliser les développeurs et à leur permettre d'empêcher les vulnérabilités de pénétrer dans le code en cours d'écriture. La formation dynamique , en revanche, est essentielle pour renforcer les compétences des développeurs à l'aide d'exemples contextuels, en plus de fournir des mesures qui influencent les processus d'atténuation de l'activité. Elle est fréquemment mise à jour, favorise un niveau élevé de rétention des connaissances et fait partie de la construction de développeurs sensibilisés à la sécurité qui contribuent à une culture positive de la sécurité sur leur lieu de travail.
Secure Code Warrior points de données des projets pilotes DACH : Secure Code WarriorEma Rimeike, directrice des ventes (MSc en cybersécurité), travaille en étroite collaboration avec des organisations de la région DACH, menant des programmes pilotes pour les développeurs afin d'évaluer leurs compétences internes en matière de codage sécurisé, leur engagement envers les meilleures pratiques de sécurité, ainsi que la culture générale de sécurité de l'entreprise. Grâce à une formation dynamique et ludique au codage sécurisé, ses principales conclusions révèlent un avenir prometteur lorsque les développeurs reçoivent les connaissances et les outils qui favorisent une réduction réussie des vulnérabilités dès le début du cycle de développement durable.
Au cours de ses programmes pilotes, elle a recueilli des statistiques basées sur une moyenne de 90 minutes passées par chaque utilisateur sur la plateforme Secure Code Warrior (SCW) , au cours desquelles ils ont joué à 15 défis de codage sécurisés (leçons de taille réduite, ludiques et autodidactes ) :
Les pilotes DACH en chiffres Les utilisateurs ont passé en moyenne 5,5 minutes à relever un défi, contre 3 minutes en moyenne pour les autres projets pilotes mondiaux de SCW.
Précision et confiance : Les pilotes DACH ont enregistré un pourcentage moyen de 88 à 92 % de confiance dans leurs réponses aux défis, alors que la précision de ces réponses se situait entre 53 et 66 %. Plus de 75 % des participants à l'enquête préfèrent les méthodes de formation dynamiques, par opposition aux approches statiques telles que la formation assistée par ordinateur (FAO). Parmi les vulnérabilités les plus fréquentes, nous avons constaté des failles d'injection , une mauvaise configuration de la sécurité , des scripts intersites (XSS), une mauvaise utilisation de la plate-forme , un contrôle d'accès , une authentification , une corruption de la mémoire , une falsification des requêtes intersites , une protection insuffisante de la couche de transport et des redirections et des renvois non validés. Ce n'est un secret pour personne que, de manière générale, une forte éthique de travail et l'accent mis sur la précision sont appréciés par de nombreuses personnes dans la région DACH, et les développeurs qui tentent le programme pilote ne font pas exception à la règle. Ces données témoignent de leur méconnaissance de ce type d'entraînement, mais aussi de leur désir de continuer à jouer, d'améliorer leur score et d'éviter d'utiliser la fonction "indice" disponible. Leur désir d'apprendre et de s'améliorer est évident, mais il montre aussi qu'il reste du travail à faire pour mettre en œuvre une formation et une sensibilisation efficaces au sein de l'organisation elle-même.
Une formation de qualité qui réduit les risques et déjoue les vulnérabilités n'est pas un exercice ponctuel, et c'est plus qu'une question de conformité. Les responsables et le personnel AppSec doivent s'efforcer de mettre en place un programme de sensibilisation à la sécurité avec une stratégie et un soutien qui reflètent les principaux objectifs de sécurité et cherchent à les maintenir à long terme. C'est en fait l'épine dorsale d'un processus DevSecOps réussi avec des développeurs sensibilisés à la sécurité.
Que révèle un programme pilote pour une organisation ? Secure Code WarriorLes programmes pilotes de la Commission européenne sont un outil extrêmement précieux qui donne aux entreprises un aperçu de leur niveau de sécurité actuel (généralement entre 65 et 75 %), ainsi que des domaines dans lesquels des améliorations immédiates sont nécessaires. Ils révèlent
La clarté sur les vulnérabilités qui doivent être traitées en priorité, ainsi que la question de savoir si cette orientation doit s'appliquer à une équipe, à une unité opérationnelle ou à un langage de programmation en particulier. une connaissance précise et plus large des facteurs de risque en matière de cybersécurité dans le cadre du cycle de développement des logiciels, qui englobe le facteur humain du développement des logiciels. En tirant parti de la plateforme SCW, les organisations peuvent prévoir les résultats potentiels des tests d'intrusion et avoir la possibilité d'atténuer ces risques en amont, en préparant les équipes avant même qu'elles ne soient affectées à un projet spécifique. Dans les organisations qui ont commencé à déployer des programmes de sécurité complets et efficaces, une heure à une heure et demie par semaine de développement professionnel est approuvée au niveau de la direction, afin d'aider les développeurs à améliorer leurs connaissances en matière de codage sécurisé. Cependant, nous remarquons que les organisations s'éloignent du "temps passé sur la plateforme" pour se concentrer sur "les équipes de développement de logiciels qui présentent le risque le plus élevé et le risque le plus faible pour l'entreprise". Cette évolution est étroitement liée à une certification formalisée, à la découverte de champions de la sécurité et à des programmes de mentorat pour obtenir les meilleurs résultats. L'allocation de temps, ainsi que le site assessment constructif et positif, sont absolument essentiels pour créer des développeurs sensibilisés à la sécurité qui non seulement aiment la sécurité, mais réduisent de manière mesurable les risques pour l'entreprise.
Comment les organisations utilisent-elles déjà Secure Code Warrior? Plusieurs entreprises utilisent déjà le site Secure Code Warrior pour sensibiliser le public, renforcer les compétences des développeurs et développer une culture de la sécurité positive.
Par exemple, dans un cas d'utilisation, une équipe en formation sur la plateforme a utilisé le SCW pour révéler ses forces et faiblesses en matière de sécurité :
Action des développeurs : Les développeurs ont pu voir leurs propres résultats, indiquant les domaines sur lesquels ils devraient se concentrer et leur permettant de s'autogérer, et de suivre la formation pour atténuer les vulnérabilités spécifiques ou les lacunes en matière de connaissances qui les aideront dans les futurs développements de logiciels.
Action de la direction : Ils ont analysé les forces et les faiblesses globales de l'équipe et ont pu prescrire une approche ludique qui répond aux domaines spécifiques de préoccupation. Cela a créé un parcours éducatif à double sens qui permet d'acquérir rapidement des connaissances pertinentes.
Résultat : Une fois le pentesting effectué au niveau de l'équipe, toutes les vulnérabilités sont visibles, et la comparaison des résultats précédents a permis de valider facilement si la formation avait été efficace pour réduire les bogues de sécurité courants.
Cela nous ramène aux étapes initiales du développement de logiciels, où la formation préalable des équipes aux objectifs d'amélioration continue et l'introduction des meilleures pratiques de sécurité dès le départ peuvent être efficaces, faciles à mettre en œuvre et faire gagner du temps à l'ensemble du développement.
Équipes de projet DevSecOps Dans un environnement DevSecOps idéal, plusieurs unités opérationnelles sont représentées au sein d'une équipe de projet afin de décider et d'obtenir des résultats essentiels, dont les meilleures pratiques en matière de sécurité. En termes de recherche et de planification pré-projet, la plateforme SCW peut évaluer les compétences en matière de sécurité de l'équipe de développement proposée avant qu'elle ne commence à travailler, en prédisant les résultats éventuels du pentesting et les retards liés à la sécurité dans le SDLC avec plus de temps qu'il n'en faut pour s'y préparer de manière adéquate. Une formation spécifique au code et à la structure du projet peut être créée pour l'équipe, y compris un processus de certification assessment qui vérifie les compétences générales en matière de sensibilisation à la sécurité, exigeant une note de passage prédéfinie avant que l'équipe ne soit libre de travailler sur les produits livrables du projet.
Cette approche présente une immense valeur commerciale en réduisant le coût de la correction des vulnérabilités, en atténuant les risques de sécurité, en gagnant du temps dans les tests de pénétration, en réduisant le coût des programmes de primes coûteux et en améliorant les compétences de la cohorte de développement d'une manière centralisée, durable, évolutive et unifiée.
Conclusion : Les entreprises subissent une pression accrue pour donner la priorité à la sécurité, assurer la protection de nos données et se conformer à des réglementations de plus en plus strictes à l'échelle mondiale, mais surtout pour les organisations qui exercent des activités commerciales dans l'UE dans le cadre des directives strictes du GDPR.
Pour les entreprises de la région DACH, il est clair qu'elles créent des parcours de sécurité viables en reliant les efforts et les résultats de la formation à des activités réelles liées à la prévention des risques, y compris la réduction des vulnérabilités courantes dans le code qu'elles produisent.
Pour construire un dossier commercial réellement quantifiable en vue d'augmenter les budgets de sécurité, la sensibilisation et la conformité globale, la formation doit être attrayante pour les développeurs, cohérente, adaptable et mesurable. Le suivi des niveaux actuels de capacité pour adapter la bonne formation, la découverte des champions de la sécurité et la mesure des performances de l'équipe au fil du temps sont autant d'initiatives vitales, et de nombreuses entreprises avant-gardistes à travers le DACH en réalisent les avantages à la suite d'un projet pilote SCW complet.
De nombreuses entreprises se débattent avec des mesures de performance en matière de sécurité qui sont trop génériques. Avec une utilisation cohérente et à long terme de la plateforme SCW, les entreprises pourraient utiliser des évaluations de précision, courses, et des mesures de gestion pour découvrir :
Réduction des vulnérabilités au fil du temps Réduction du coût de la correction des vulnérabilités au fil du temps Développement des compétences individuelles et collectives au fil du temps Réduction des coûts et des délais au stade du pentesting Quelles sont les mesures actuellement suivies par votre organisation, à quelle fréquence sont-elles réévaluées et ont-elles montré une nette amélioration au fil du temps ? Dans quelle mesure vos initiatives de formation sont-elles intégrées dans le flux de travail existant des développeurs ?
L'approche dynamique, ludique et globale du SCW est considérée comme un élément essentiel du cycle de vie du développement de logiciels sécurisés. Les entreprises dotent leurs développeurs des outils et de la formation appropriés, et intègrent le SCW dans leur flux de travail SSDLC.