Ici, à Secure Code Warrior, nous innovons constamment pour aider les développeurs et les organisations à acquérir les bonnes compétences pour relever les défis de sécurité en constante évolution d'aujourd'hui. Nous y parvenons grâce à notre site agile Plateforme D'apprentissage pour le codage sécurisé qui permet aux développeurs d'apprendre comme ils le souhaitent, avec le contenu sur les vulnérabilités le plus complet et le plus fiable du secteur aujourd'hui.  

Au cours du trimestre écoulé, Secure Code Warrior a mis en œuvre de nouvelles méthodes permettant aux administrateurs d'entreprise d'étendre tournaments à plusieurs marques et entités, tout en gérant plus simplement leurs utilisateurs par le biais du provisionnement SCIM. Nous sommes également ravis d'annoncer que de nouvelles directives de codage sont disponibles dans Jira, ainsi que des rapports d'aperçu des performances et de nouveaux flux de travail de programme disponibles en avant-première. 

Plongeons dans l'histoire pour en savoir plus !

Élargir la portée et la profondeur de la plateforme SCW 

Secure Code WarriorL'expansion continue de notre contenu nous aide à maintenir nos modules pertinents, opportuns et adaptés à ce que vous devez savoir dans le paysage de la cybersécurité d'aujourd'hui. Avec une largeur et une profondeur de plus de 60 langues, il est facile de construire et d'étendre un programme d'apprentissage agile pour les développeurs dans un grand nombre de langues et de cadres. 

Maintenant disponible : Directives de codage dans Jira 

L'ajout de lignes directrices à notre intégration Jira offre aux développeurs un apprentissage contextuel qui couvre l'atténuation de la sécurité. Les directives sont plus approfondies que les vidéos, se concentrent sur un langage ou un cadre spécifique et proposent des extraits de code pour aider les développeurs à résoudre un problème encore plus rapidement. En plus d'accéder aux vidéos et aux défis, les développeurs peuvent désormais lire les directives de codage directement dans un problème Jira pour accéder à des conseils de remédiation approfondis.

Disponible dès maintenant : Nouveau contenu pour les développeurs frontaux 

Les développeurs frontaux ont eux aussi besoin d'un code sécurisé ! C'est pourquoi nous avons publié des vulnérabilités frontales supplémentaires sur Missions et Walkthroughs. Les développeurs frontaux pourront également accéder à Missions à partir de Courses. 

Ces mises à jour s'efforcent de couvrir de manière exhaustive les vulnérabilités spécifiques au front-end, qu'il s'agisse de vulnérabilités courantes telles que le XSS basé sur DOM ou de vulnérabilités moins fréquemment rencontrées telles que l'injection CSS. Les Walkthroughs étape par étape fournissent aux développeurs frontaux des conseils fiables sur la façon dont les vulnérabilités sont exploitées, tandis que les développeurs plus avancés peuvent également tester leurs compétences en matière de front-end Missions dans Tournaments. 

De nouveaux moyens passionnants pour développer votre culture de la sécurité 

Disponible dès maintenant : Multi-entreprises Tournaments 

‍

Le site Tournaments peut être créé pour permettre une compétition amicale entre les développeurs de plusieurs entités commerciales, de filiales, de partenaires et d'autres entreprises. Cela permet de s'assurer qu'une culture de codage sécurisée peut s'étendre à l'ensemble d'une organisation et à ses différentes marques.  

Vous souhaitez participer à l'ultime événement multi-entreprises Tournament? Inscrivez-vous aux 3e Devlympics annuels - le site mondial tournament de SCW pour le mois de la sensibilisation à la cybersécurité ! Si vous êtes déjà client, vous pouvez vous inscrire via la plateforme. 

Simplifier l'expérience des administrateurs et des développeurs

Maintenant disponible : Filtrage des cours 

La possibilité d'appliquer des filtres supplémentaires sur la page de gestion des cours permet aux administrateurs de filtrer plus facilement les cours sur lesquels ils souhaitent travailler. Courses peut être filtré par plusieurs attributs tels que le statut, la date de fin et les équipes inscrites.

Disponible dès maintenant : Gérez vos licences SCW avec SCIM 

Désormais, les responsables de programmes et les administrateurs d'entreprises peuvent gérer les développeurs de manière programmatique à grande échelle et avoir la certitude que les contrôles d'accès sont toujours à jour.

Le provisionnement SCIM utilise votre fournisseur d'identité pour synchroniser l'accès à Secure Code Warrior. L'automatisation de ces tâches garantit l'exactitude, la sécurité et la conformité afin d'économiser du temps et des ressources lors du provisionnement des utilisateurs. Actuellement, le SCW prend en charge le provisionnement SCIM au niveau de l'utilisateur uniquement et pas encore pour les groupes SCIM.

Disponible en avant-première : Flux de travail des programmes

 La configuration d'un programme de formation au code sécurisé évolutif et attrayant est désormais plus facile que jamais grâce à des améliorations clés de la convivialité de la plateforme. Les programmes ont été créés pour mieux guider les apprenants grâce à l'enchaînement des sites courses et des évaluations dans des programmes à plusieurs niveaux. Les flux de travail automatisés des programmes sont désormais disponibles pour les clients qui ont activé la prévisualisation dans la plateforme. Les flux de travail des programmes garantissent que les développeurs savent par où commencer, qu'ils peuvent naviguer jusqu'à la prochaine étape et passer facilement d'un niveau à l'autre dans un programme d'apprentissage du code sécurisé. Cela permet également aux administrateurs de l'entreprise de passer moins de temps à mettre en place, à gérer leur programme et à inciter les développeurs à terminer leur prochaine activité d'apprentissage. 

Vous avez besoin de conseils pour lancer l'apprentissage du code sécurisé au sein de votre organisation ? Lisez notre manuel sur la façon de structurer votre programme pour atteindre vos objectifs de sécurité. 

Rapports et informations sur les programmes

Disponible en avant-première : Aperçu des performances 

En tant qu'administrateur d'entreprise, la nécessité de surveiller l'activité au sein de votre organisation est cruciale pour comprendre la participation des développeurs et mesurer le succès de votre programme d'apprentissage du code sécurisé. Nous avons conçu une interface de reporting améliorée qui garantit que les administrateurs d'entreprise tirent les informations les plus exploitables de leurs rapports.

La vue d'ensemble des performances donne un aperçu des cours de développeur et de l'achèvement du site assessment , ainsi que de la précision moyenne au fil du temps. Le rapport génère également un benchmark de l'industrie qui permet de comparer votre programme au score moyen de votre industrie assessment pour votre sélection assessment. 

Ce rapport simple, mais puissant, marque le début de la série d'analyses et de mesures prévues pour 2024 sur le site Secure Code Warrior. 

Vous souhaitez essayer Secure Code Warrior mais vous n'avez pas encore de compte ? Réservez une démonstration pour en savoir plus dès aujourd'hui. 

Voilà pour les nouvelles fonctionnalités de ce trimestre ! Suivez Secure Code Warrior sur LinkedIn et X (anciennement Twitter) pour obtenir des informations sur les dernières versions et améliorations.

‍

‍

Les cyberattaques contre la chaîne d'approvisionnement des logiciels sont de plus en plus fréquentes, suscitant une vague de changements législatifs au niveau du gouvernement américain, tandis que les entreprises s'efforcent d'atténuer leur profil de risque étendu et d'améliorer rapidement la qualité de leurs logiciels. Rien que cette année, trois vulnérabilités de type "zero-day" ont été liées à des services de partage de fichiers, la plus importante et la plus destructrice étant l'exploit de masse MOVEit.

Mené par le groupe de ransomware CL0P, l'incident MOVEit domine l'actualité de la cybersécurité depuis un certain temps, avec plus de 1 000 organisations touchées. Ce nombre devrait continuer à augmenter, ce qui en fait l'une des attaques les plus puissantes contre la chaîne d'approvisionnement en logiciels depuis Solarwinds en 2021.

Le catalyseur de cette violation généralisée a été un groupe de vulnérabilités d'injection SQL, qui ont reçu un score de gravité de 9,8 sur 10 de la part de MITRE. L'injection SQL est la bête noire des professionnels de la sécurité depuis la fin des années 90 et, bien qu'elle soit assez simple à corriger, elle continue à se frayer un chemin dans les logiciels modernes et à offrir aux acteurs de la menace un tapis rouge vers les données sensibles. 

Le scénario MOVEit est un peu différent de ce que de nombreux développeurs et professionnels de l'AppSec ont pu connaître auparavant, et vous pouvez tester vos compétences de tueur de SQLi dans une simulation en direct ici :

>>> PLAY THE MOVEit MISSION (Jouez la mission MOVEit)

La vulnérabilité : Injection SQL

Comment l'injection SQL a-t-elle été utilisée pour exploiter l'application de transfert de fichiers MOVEit de Progress Software ?

Le groupe de ransomware CL0P a réussi à exploiter la vulnérabilité CVE-2023-34362 d'injection SQL, ce qui lui a permis d'accéder sans restriction et sans autorisation à la base de données de MOVEit. À partir de là, ils ont pu installer LEMURLOOT, un shell web qui leur a permis d'exécuter plusieurs processus critiques à haut risque, tels que la récupération des paramètres du système, l'énumération de la base de données SQL, la récupération de fichiers à partir du système de transfert MOVEit et la création d'un nouveau compte avec des privilèges d'administration complets.

Il va sans dire que ce vecteur d'attaque peut être le résultat d'une erreur relativement simple - que l'on pourrait mettre sur le compte de l'utilisation perpétuelle de mauvais modèles de codage - mais son potentiel à causer des problèmes continus au niveau de l'entreprise est immense. 

Comparable à l'exploit MOVEit, jetons un coup d'œil à cet explicatif SQLi, qui simule la méthode d'injection et d'exécution d'un code SQL malveillant :
‍

Chaîne de requête et variable :
‍

string emailAddress ="contact@scw.com";

var query = $"SELECT u.UserName From Users as u WHERE u.Email = '{emailAddress}'";

aboutira à la requête suivante :
‍

var query = $"SELECT u.UserName From Users as u WHERE u.Email = 'contact@scw.com'" ;
‍

... et avec une entrée malveillante :
‍

string emailAddress = "contact@scw.com' ; DELETE FROM Invoices WHERE Id = 2;--" ;

var query = $"SELECT u.UserName From Users as u WHERE u.Email = '{emailAddress}'";
‍

il deviendra :
‍

var query = $"SELECT u.UserName From Users as u WHERE u.Email = 'contact@scw.com' ; DELETE FROM Invoices WHERE Id = 2;--'" ;
‍

Comment cela se présente-t-il en vol ?

Notez qu'en raison de la concaténation de chaînes, l'entrée est interprétée comme une syntaxe SQL. Tout d'abord, un guillemet simple est ajouté pour s'assurer que l'instruction SELECT est une syntaxe SQL valide. Ensuite, un point-virgule est ajouté pour terminer la première instruction. 

Une fois que cela est en place, une instruction DELETE valide est ajoutée, suivie de deux traits d'union pour commenter les caractères de fin (le guillemet simple). Une instruction UPDATE pourrait tout aussi bien être ajoutée, par exemple, si le code SQL malveillant consistait à mettre à jour les rôles ou les mots de passe des utilisateurs.
‍

Essayez-le vous-même dans cette mission jouable :
‍

>>> JOUER LA MISSION MOVEit
‍

Bien que relativement simple, SQLi reste un vecteur d'attaque puissant et bien trop courant. Dans le cas de MOVEit, cet exploit a permis l'installation d'une porte dérobée préjudiciable et d'un groupe d'autres attaques de gravité similaire.

Comment réduire le risque d'injection SQL ?

Les entreprises qui utilisent MOVEit dans le cadre de leurs activités doivent impérativement suivre les conseils de Progress Software en matière de remédiation. Cela inclut, sans s'y limiter, l'application des correctifs de sécurité en tant que priorité de niveau d'urgence.

Pour l'injection SQL en général, consultez notre guide complet.

Vous voulez en savoir plus sur la façon d'écrire du code sécurisé et de réduire les risques ? Essayez gratuitement notre défi d'injection SQL.

Si vous souhaitez obtenir d'autres conseils de codage gratuits, consultez Secure Code Coach pour vous aider à rester au fait des meilleures pratiques en matière de codage sécurisé.

Tout juste après l'annonce de notre financement de série C, j'ai le plaisir de vous annoncer une nouvelle étape dans le parcours de notre entreprise. Synopsys, leader de l'industrie de la sécurité, a accueilli un nouveau produit passionnant dans sa gamme de produits : Synopsys Developer Security Training, powered by Secure Code Warrior. Vous pouvez lire le communiqué de presse complet ici.

Cette extension de leur portefeuille de solutions de sécurité des applications, leader sur le marché, représente un pas positif dans la bonne direction pour les programmes de sécurité des entreprises, leur permettant d'adopter les méthodologies DevSecOps les plus performantes - en particulier celles relatives à la responsabilité partagée en matière de sécurité. En d'autres termes, cette intégration augmentera la base mondiale de développeurs compétents en matière de sécurité, et c'est une excellente occasion pour chaque organisation de soutenir la réduction des vulnérabilités au niveau du code grâce à l'habilitation des développeurs à un codage sécurisé. 

Aux États-Unis, la CISA a publié cette année ses lignes directrices sur la sécurité par conception et par défaut, dans lesquelles elle recommande que la responsabilité finale des résultats en matière de cybersécurité incombe au fournisseur plutôt qu'à l'utilisateur final. Pour de nombreux éditeurs de logiciels, cela nécessitera une révision importante de leurs pratiques de sécurité internes, faute de quoi ils s'exposeront à de lourdes amendes. Cela deviendra rapidement un élément non négociable dans le monde entier, et toute excuse liée à une pénurie de compétences en cybersécurité ne tiendra pas : nous avons besoin de développeurs sensibilisés à la sécurité pour jouer leur rôle vital dans la création de logiciels plus sûrs, et nous avons besoin d'eux maintenant.

Des solutions d'apprentissage agiles, flexibles et personnalisables sont un antidote puissant aux mauvais modèles de codage, en plus de l'expérience négative que de nombreux développeurs ont eue avec les initiatives AppSec jusqu'à présent. Il faut les convaincre, les accommoder et leur offrir des parcours d'apprentissage qui s'intègrent à leur flux de travail afin de leur fournir les bonnes informations au bon moment. L'intégration de Synopsys à notre plateforme est une solution viable, leader sur le marché, à ce problème et peut fondamentalement changer la relation des développeurs avec la sécurité pour le meilleur.

La cybercriminalité devrait coûter aux entreprises du monde entier environ 10 500 milliards de dollars par an d'ici à 2025, soit une augmentation constante par rapport aux 3 000 milliards de dollars de 2015. Cybersecurity Ventures indique également que la cybercriminalité représente le "plus grand transfert de richesse économique de l'histoire". Il ne s'agit pas d'un exercice ; en tant qu'industrie collective, nous devons commencer à donner la priorité à l'éducation au codage sécurisé pour chaque personne qui écrit du code, et établir une nouvelle référence pour la sécurité en tant que mesure de la qualité des logiciels. Grâce à la gamme complète d'outils de Synopsys, qui comprend désormais une formation agile pratique pour les développeurs, engageante et hyper pertinente, il n'y a jamais eu de meilleur moment pour passer de manière significative à des programmes de sécurité préventive dirigés par les développeurs.

L'apprentissage agile pour un code sécurisé dans le cycle de développement durable porte ses fruits 

Il s'agit du troisième article d'une série de blogs en trois parties traitant des attributs et des avantages d'un site Agile Plateforme D'apprentissage pour un code sécurisé. Dans la première partie, nous avons présenté le concept d'apprentissage agile et expliqué comment la plateforme Secure Code Warriorillustre plusieurs principes agiles. Dans la deuxième partie, nous avons exploré la manière dont une Plateforme D'apprentissage agile remplace la formation traditionnelle à la sécurité axée sur la conformité.  

Un site agile Plateforme D'apprentissage offre une expérience d'apprentissage qui permet à l'apprenant d'intérioriser et d'utiliser de nouvelles compétences plus efficacement, grâce à une combinaison de formation pratique, en contexte, qui est véritablement intégrée dans leur travail quotidien, comme faisant partie de leur travail. Cette approche de l'apprentissage, telle que SCW l'a appliquée aux développeurs qui acquièrent des compétences en matière de codage sécurisé, distingue SCW des modalités d'apprentissage traditionnelles et nous met à part. Dans ce troisième et dernier blog de la série, nous vous présentons le retour sur investissement que les organisations peuvent attendre d'un site agile Plateforme D'apprentissage pour le code sécurisé et comment modéliser les chiffres pour votre organisation.

Impact sur les entreprises

Les organisations qui adoptent une approche agile pour l'apprentissage du code sécurisé constatent un impact commercial de 2 à 3 fois grâce à deux leviers : la capacité à corriger les vulnérabilités plus rapidement et l'évitement des coûts de remaniement. 

‍

‍

Plus les vulnérabilités sont traitées tôt dans le cycle de développement durable, moins elles peuvent causer de dommages et moins il est coûteux d'y remédier. Selon l'expert en sécurité Jim Routh, qui a été responsable de la sécurité chez Aetna et RSSI chez MassMutual, le coût par défaut au cours des phases du cycle de développement durable s'élève à plus de 14 000 dollars s'il est corrigé en mode maintenance après la mise en production du logiciel. Les coûts peuvent être réduits de moitié si les défauts sont corrigés pendant les tests et ils peuvent être 14 fois moins élevés s'ils sont corrigés pendant la phase de codage.  

‍

‍

Plus les développeurs sont bien équipés pour corriger les vulnérabilités rapidement ou pour les éviter complètement, moins les coûts et les risques qu'une organisation doit accepter dans ses produits logiciels et ses applications internes sont élevés. Les organisations qui souhaitent investir dans la prévention des vulnérabilités et la qualité des logiciels fournissent aux développeurs un site agile Plateforme D'apprentissage qui leur offre des expériences flexibles et de multiples voies d'apprentissage, spécifiquement conçues pour un impact commercial immédiat.

‍

Les recherches menées par le NIST indiquent que le nombre d'heures nécessaires pour corriger une vulnérabilité varie, mais les estimations figurant dans le tableau ci-dessous ont été identifiées dans des scénarios réels avec de grandes entreprises clientes.

‍

‍

Une fois que les équipes ont acquis de nouvelles compétences en matière de codage sécurisé, les clients de SCW ont constaté que leurs développeurs corrigent les vulnérabilités de 50 à 60 % plus rapidement et réduisent de 50 % les vulnérabilités à haut risque dans le code de production. L'expérience varie d'une organisation à l'autre, mais ces résultats ont été observés dans de grandes entreprises comptant plus de 5 000 développeurs. L'augmentation de la productivité des développeurs a eu un impact sur les résultats.

Réduction des coûts opérationnels : corriger les vulnérabilités plus rapidement

Pour comprendre l'impact financier d'un processus de développement logiciel plus sûr et la manière dont un investissement dans un site agile Plateforme D'apprentissage aide les développeurs à corriger les vulnérabilités plus rapidement, utilisez le modèle ci-dessous et remplacez les variables en bleu par vos propres chiffres :

 Base de référence :

‍

Bénéfice supposé de l'approche agile Plateforme D'apprentissage sur le MTTR (Mean Time To Remediate)

‍

Valeur de prévention : évitement des coûts de reprise

Un site agile Plateforme D'apprentissage aide les développeurs à écrire un code sécurisé dès le départ. Le modèle permettant de déterminer cet impact financier est présenté ci-dessous.

‍

L'approche agile de l'apprentissage fait la différence

L'approche agile de SCW Plateforme D'apprentissage pour un code sécurisé est supérieure aux autres approches de formation à la sécurité des développeurs. Les clients du SCW ont obtenu des résultats exceptionnels, qui varient bien sûr en fonction des coûts individuels et des mesures de vulnérabilité de leur situation unique. Une grande société de services financiers, Envestnet, a constaté que les développeurs formés par SCW corrigeaient 2,7 fois plus de vulnérabilités que leurs homologues. En outre, un groupe de 1 200 développeurs formés au SCW a augmenté de 120 % les taux de correction dans leur file d'attente.   

Comme pour tout investissement dans une solution d'entreprise, il est important d'évaluer votre situation particulière. Notre équipe peut vous accompagner sur le site assessment pour évaluer votre situation actuelle et développer une analyse de rentabilité personnalisée. Si vous souhaitez évaluer l'impact par vous-même, utilisez les modèles décrits dans ce blog et jetez un coup d'œil à un récent webinaire client avec Sage, l'entreprise britannique de logiciels de comptabilité et d'ERP d'une valeur de 2 milliards de dollars, qui discute d'une réduction de 82 % du MTTR pour les vulnérabilités dans le cadre d'un programme solide visant à construire une culture de la sécurité.

A propos de Secure Code Warrior

Secure Code Warrior donne à vos développeurs les compétences nécessaires pour écrire du code sécurisé. Notre site Plateforme D'apprentissage est la solution de codage sécurisé la plus efficace car il utilise des méthodes d'apprentissage agiles pour que les développeurs apprennent, appliquent et retiennent les principes de sécurité des logiciels. Plus de 600 entreprises font confiance à Secure Code Warrior pour mettre en œuvre des programmes de sécurité par apprentissage agile, fournir rapidement des logiciels sécurisés et créer une culture de la sécurité axée sur les développeurs. Vous souhaitez en savoir plus ? Demandez une démonstration. 

L'apprentissage intégré et agile est l'avenir 

Dans un blog précédent, nous avons présenté le concept d'apprentissage agile et la manière dont la plateforme Secure Code Warriorpour le code sécurisé illustre plusieurs principes agiles. Dans ce deuxième article d'une série de trois blogs, nous continuons à explorer la manière dont une plate-forme agile Plateforme D'apprentissage pour le code sécurisé peut remplacer la formation traditionnelle à la sécurité axée sur la conformité à laquelle la plupart des organisations sont habituées.

L'approche traditionnelle de l'apprentissage du codage sécurisé, axée sur la conformité, est une formation statique, ponctuelle, mise en œuvre sur une base trimestrielle ou annuelle. Le problème de ce format est qu'il n'incite pas les développeurs à apprendre le codage sécurisé et qu'il ne les aide pas à acquérir de nouvelles compétences et à les utiliser dans leur travail. Personne n'aime passer des heures à bûcher sur une formation à la conformité lorsque cela vous éloigne d'un travail important, vous obligeant à rattraper les heures de productivité perdues. 

Selon Gartner, l'approche de l'apprentissage agile reconnaît que les gens apprennent le mieux au moment où ils en ont besoin, et lorsque la formation se déroule en petites unités appelées "microbursts", intégrées dans les activités professionnelles quotidiennes^.1

Secure Code Warrior est le seul site agile Plateforme D'apprentissage qui combine plusieurs formats d'apprentissage par micro-éclairs afin que les développeurs puissent apprendre, tester et appliquer leurs connaissances rapidement, dans le contexte du travail réel qu'ils effectuent déjà, dans le format de leur choix. L'apprentissage agile pour le code sécurisé ne préserve pas seulement des heures de productivité, mais il fournit aux développeurs un chemin pour passer facilement de l'apprentissage à la pratique.   

‍

¹ Source : Manifeste de l'apprentissage agile Gartner

Flux de la fourniture de valeur et de l'apprentissage vers le gain

Les systèmes d'apprentissage agiles sont efficaces parce qu'ils intègrent les possibilités d'apprentissage dans le flux de la fourniture de valeur, où ils peuvent voir un impact direct sur leur travail, et lient l'apprentissage à la rémunération (comme le dit Gartner). La formation ponctuelle à la conformité ne s'inscrit pas dans la durée et ne permet pas aux développeurs d'acquérir des compétences - elle ne les incite pas non plus à apprendre dans le cadre de leur travail. L'apprentissage agile fait de l'apprentissage une partie intégrante du travail, et non pas un temps d'absence du travail.

Secure Code WarriorLa plateforme d'AzureBoards fournit du contenu en flux tendu dans le flux de travail quotidien des développeurs, éliminant le changement de contexte et le rendant pratique pour eux dans les outils de développement qu'ils utilisent tous les jours, tels que GitLab, GitHub, AzureBoards, et Jira. Ils restent ainsi connectés à leur travail tout en apprenant.

‍L'amplification socialeet le regroupement des communautés

Les développeurs ont un sens aigu de la communauté - nous le constatons dans des espaces tels que GitHub où les connaissances sont partagées et consommées par des millions de développeurs à travers le monde. Les principes d'apprentissage agile reconnaissent que les gens apprennent davantage au sein d'un groupe que seuls. Les communautés sociales sont un moyen utile de renforcer les nouvelles compétences et d'accroître les avantages de l'enseignement d'un code sécurisé grâce à l'amplification sociale.

Parce que le contenu de sécurité de Secure Code Warriorest facilement accessible et consommable avec une amplification sociale intégrée via tournaments et un système de points interne, la plateforme SCW agit comme un multiplicateur de motivation qui renforce la confiance de développeurs individuels et leur donne envie d'apprendre. Tournaments La plateforme SCW permet de rehausser publiquement le profil des compétences en codage sécurisé au sein de l'entreprise et incite fortement les développeurs à développer des compétences en codage sécurisé.

‍Passerde la formation à l'apprentissage agile

Passer d'une approche de formation à la sécurité à une approche d'apprentissage agile pour un code sécurisé est un moyen efficace d'habiliter votre personnel de développement, de récupérer les heures de travail perdues par les développeurs et d'utiliser ce temps pour des projets plus productifs. Commencez votre voyage avec une solution d'apprentissage construite sur les principes agiles. Le SCW Agile Plateforme D'apprentissage est la solution d'apprentissage la plus efficace pour le code sécurisé parce qu'elle donne aux développeurs le choix de la manière dont ils acquièrent de nouvelles compétences. L'intégration de méthodes d'apprentissage agiles améliore considérablement la capacité du développeur à acquérir de nouvelles compétences, à les intérioriser et à les appliquer dans son travail. Plus de 600 entreprises font confiance à Secure Code Warrior pour mettre en œuvre des programmes de sécurité par apprentissage agile, fournir rapidement des logiciels sécurisés et créer une culture de la sécurité axée sur les développeurs. Prêt à voir un Plateforme D'apprentissage agile en action ? Demandez une démonstration.

Le 13 juillet, nous avons annoncé la clôture de notre tour de table de série C, qui a permis de lever 50 millions de dollars pour la prochaine phase de notre mission : aider davantage d'organisations pionnières à exploiter la puissance de leur cohorte de développement pour déjouer les vulnérabilités les plus courantes. 

Notre suite d'outils d'apprentissage agile, leader sur le marché, est construite avec un objectif inébranlable d'améliorer les compétences de codage sécurisé des développeurs, mais aussi de les satisfaire à mi-chemin en ce qui concerne la façon dont ils travaillent, apprennent et s'engagent dans des opportunités de perfectionnement. Ce financement permettra de poursuivre le travail de notre incroyable équipe, avec de nouvelles étapes passionnantes à franchir sur la feuille de route de notre produit.

Alors que les réglementations gouvernementales signalent la nécessité d'un changement radical de la culture de la sécurité pour la plupart des organisations, à quoi ressemble l'avenir pour les entreprises qui commencent à former leurs développeurs le plus tôt possible ?

Rester flexible face aux menaces grâce à l'apprentissage agile

L'une des citations les plus célèbres du légendaire philosophe chinois Confucius est la suivante : "Le roseau vert qui plie sous le vent est plus fort que le chêne puissant qui se brise dans la tempête." À l'ère moderne où la technologie évolue à un rythme effréné - et où les cybermenaces insidieuses sont à peine en retard - les organisations ne peuvent pas se permettre de perdre du temps avec des solutions éducatives statiques. Il n'est pas rare que les manuels de cybersécurité soient périmés avant même d'avoir été imprimés, et les formations rigides en salle de classe ( courses ) ne sont tout simplement pas conçues pour pivoter afin de présenter les meilleures techniques et approches des problèmes de sécurité au fur et à mesure qu'ils apparaissent. 

Secure Code Warrior reste un leader sur le marché de la formation à la sécurité des développeurs, en utilisant une approche agile de l'habilitation des développeurs pour leur permettre d'acquérir les compétences nécessaires pour devenir les ingénieurs de demain. Notre site Plateforme D'apprentissage et nos outils axés sur les développeurs nous permettent d'être beaucoup plus dynamiques, de rester en phase avec les menaces actuelles et les solutions les plus efficaces pour résoudre ces problèmes au fur et à mesure qu'ils se présentent. Si les racines de votre solution d'éducation sont ancrées dans un seul endroit, il est peu probable que vous puissiez "vous plier au vent" lors de la formation continue des développeurs, ce qui entraînera des frustrations à la fois pour l'éducateur et pour l'étudiant, et beaucoup moins de succès dans la remédiation des vulnérabilités. 

Selon Gartner, d'ici 2025, 70 % des grandes entreprises adopteront des approches d'apprentissage agiles. Ce passage au microapprentissage, à l'amélioration continue et à l'acquisition de connaissances clés pouvant être exploitées pour atteindre les objectifs commerciaux et les résultats en matière de sécurité les plus pertinents est extrêmement prometteur. Toutefois, il faut pour cela remettre en question le statu quo. Les entreprises doivent s'engager à aligner les besoins éducatifs sur les tâches professionnelles quotidiennes, plutôt que de les considérer comme un ajout supplémentaire et monolithique qui semble augmenter le niveau de stress plutôt que les compétences. 

Développer nos capacités et notre leadership pour offrir un apprentissage agile de premier ordre

Dans le cadre de notre quête pour fournir les meilleurs outils d'apprentissage agile pour les entreprises clientes de demain, nous sommes fiers d'annoncer que notre équipe de direction s'est récemment élargie. Nous avons nommé Nanhi Singh, Chief Customer Officer d'Imperva, à notre conseil d'administration, ainsi que Patrick Collins en tant que Chief Product and Technology Officer. 

Les entreprises intelligentes sont parfaitement conscientes qu'il n'existe pas d'approche unique en matière d'apprentissage pratique axé sur la cybersécurité, et cherchent à offrir à leurs équipes de développement de multiples voies d'apprentissage. C'est ce que nous permettons chaque jour grâce à notre site agile Plateforme D'apprentissage et à un flux constant d'améliorations et d'expériences, y compris notre option de retour d'information en temps réel avec les Coding Labs, afin de créer les environnements d'apprentissage les plus attrayants et les plus étendus possibles. Notre méthode "juste à temps" garantit qu'aucun temps n'est perdu sur des modules non pertinents ou sur courses, en fournissant la bonne information au moment où elle est le plus nécessaire. 

Cette réalité ne serait pas possible sans l'engagement inébranlable des membres de notre équipe et la confiance continue de nos investisseurs. Les possibilités d'apprentissage agile sont infinies, et je suis très heureux d'accueillir Nanhi et Patrick, qui apporteront sans aucun doute une contribution inestimable dans les mois à venir.

Une version de cet article a été publiée dans Lecture sombre. Elle a été mise à jour et publiée ici.

‍

Dès les premiers bruits de couloir concernant les derniers outils d'IA qui bouleversent la culture, les développeurs et les curieux du codage les ont utilisés pour générer du code en appuyant sur un bouton. Les experts en sécurité ont rapidement souligné que, dans de nombreux cas, le code produit était de mauvaise qualité et vulnérable, et qu'entre les mains de personnes peu sensibilisées à la sécurité, il pouvait provoquer une avalanche d'applications et de développements web non sécurisés pour des consommateurs peu méfiants.

Et puis, il y a ceux qui ont suffisamment de connaissances en matière de sécurité pour les utiliser à des fins malveillantes. Pour chaque exploit époustouflant de l'IA, il semble qu'il y ait un contre-pied à l'utilisation de la même technologie à des fins malveillantes. L'hameçonnage, les fausses vidéos d'escroquerie, la création de logiciels malveillants, les manigances de script en général... ces activités perturbatrices sont réalisables beaucoup plus rapidement, avec des barrières à l'entrée plus faibles.

Il y a certainement beaucoup d'appâts à clics qui vantent cet outil comme étant révolutionnaire, ou du moins comme étant le meilleur lorsqu'il est comparé à des compétences humaines "moyennes". S'il semble inévitable que la technologie de l'IA de type LLM changera la façon dont nous abordons de nombreux aspects du travail - et pas seulement le développement de logiciels -, nous devons prendre du recul et considérer les risques au-delà des gros titres. 

Et en tant que compagnon de codage, ses défauts sont peut-être son attribut le plus "humain".

Les mauvais schémas de codage dominent les solutions proposées.

Avec ChatGPT formé sur des décennies de code existant et de bases de connaissances, il n'est pas surprenant qu'en dépit de toutes ses merveilles et de son mystère, il souffre également des mêmes pièges communs auxquels les gens sont confrontés lorsqu'ils naviguent dans le code. Les mauvais modèles de codage sont monnaie courante, et il faut encore un pilote conscient de la sécurité pour générer des exemples de codage sûrs en posant les bonnes questions et en fournissant les bonnes techniques d'intervention. 

Même dans ce cas, rien ne garantit que les extraits de code fournis sont exacts et fonctionnels du point de vue de la sécurité ; la technologie est sujette à des hallucinations, allant jusqu'à inventer des bibliothèques inexistantes lorsqu'on lui demande d'effectuer certaines opérations JSON spécifiques, comme l'a découvert Mike Shema. Cela pourrait conduire à un "squattage de l'hallucination" par les acteurs de la menace, qui ne seraient que trop heureux de créer un logiciel malveillant déguisé en la bibliothèque fabriquée recommandée en toute confiance par ChatGPT.

En fin de compte, nous devons nous rendre à l'évidence : en général, nous n'avons pas attendu des développeurs qu'ils soient suffisamment sensibilisés à la sécurité, et nous ne les avons pas non plus, en tant qu'industrie, suffisamment préparés à écrire du code sécurisé par défaut. Cela sera évident dans l'énorme quantité de données de formation introduites dans ChatGPT, et nous pouvons nous attendre à des résultats similaires en matière de sécurité, au moins dans un premier temps. Les développeurs devraient être en mesure d'identifier les bogues de sécurité et de les corriger eux-mêmes ou de concevoir de meilleurs messages-guides pour obtenir un résultat plus robuste.

La première étude à grande échelle menée par des chercheurs de l'université de Stanford sur la manière dont les utilisateurs interagissent avec un assistant de codage IA pour résoudre diverses fonctions liées à la sécurité vient étayer cette idée, avec une conclusion :

"Nous avons observé que les participants qui avaient accès à l'assistant d'intelligence artificielle étaient plus susceptibles d'introduire des failles de sécurité pour la majorité des tâches de programmation, mais aussi plus susceptibles d'évaluer leurs réponses non sécurisées comme étant sécurisées par rapport à ceux de notre groupe de contrôle."

Cela témoigne d'un niveau de confiance par défaut dans les résultats des outils de codage de l'IA comme produisant un code qui est toujours intrinsèquement sûr, alors qu'en fait il ne l'est pas.

Entre cela et les inévitables menaces liées à l'IA qui imprégneront notre avenir, les développeurs doivent plus que jamais perfectionner leurs compétences en matière de sécurité et relever la barre de la qualité du code, quelle qu'en soit l'origine.

Le chemin qui mène au désastre d'une violation de données est pavé de bonnes intentions

Il n'est pas surprenant que les compagnons de codage de l'IA soient populaires, en particulier parce que les développeurs sont confrontés à des responsabilités croissantes, à des délais plus serrés et aux ambitions d'innovation d'une entreprise qui reposent sur leurs épaules. Cependant, même avec les meilleures intentions, un manque de sensibilisation à la sécurité lors de l'utilisation de l'IA pour le codage conduira inévitablement à des problèmes de sécurité flagrants. Tous les développeurs utilisant des outils d'IA/ML produiront davantage de code, dont le niveau de risque de sécurité dépendra de leur niveau de compétence. Les organisations doivent être parfaitement conscientes du fait que les personnes non formées généreront certainement du code plus rapidement, mais qu'elles augmenteront également la vitesse de la dette de sécurité technique.

Même notre test préliminaire (avril 2023) avec ChatGPT a révélé qu'il génère des erreurs très élémentaires qui pourraient avoir des conséquences dévastatrices. Lorsque nous lui avons demandé de créer une routine de connexion en PHP à l'aide d'une base de données MySQL, le code fonctionnel a été généré rapidement. Cependant, il a choisi par défaut de stocker les mots de passe en clair dans une base de données, de stocker les identifiants de connexion à la base de données dans le code et d'utiliser un modèle de codage qui pourrait entraîner une injection SQL (bien qu'il ait effectué un certain niveau de filtrage sur les paramètres d'entrée et qu'il ait recraché les erreurs de la base de données). Des erreurs de débutants à tout point de vue :
‍

‍
Des rappels à l'ordre ont permis de corriger les erreurs, mais il faut des connaissances approfondies en matière de sécurité pour rectifier le tir. L'utilisation généralisée et non contrôlée de ces outils revient à lâcher des développeurs débutants sur vos projets, et si ce code construit des infrastructures sensibles ou traite des données personnelles, nous sommes face à une bombe à retardement.

Bien sûr, tout comme les développeurs débutants augmentent sans aucun doute leurs compétences avec le temps, nous nous attendons à ce que les capacités de l'IA/ML s'améliorent. Dans un an, elle ne commettra peut-être pas des erreurs de sécurité aussi évidentes et aussi simples. Toutefois, cela aura pour effet d'augmenter considérablement les compétences en matière de sécurité nécessaires pour traquer les erreurs de sécurité plus graves, cachées et non triviales qu'elle risque encore de produire.

Nous restons mal préparés à trouver et à corriger les failles de sécurité, et l'IA creuse l'écart.

Bien que l'on parle beaucoup du "glissement à gauche" depuis de nombreuses années, il n'en reste pas moins que, pour la plupart des organisations, la cohorte des développeurs manque cruellement de connaissances pratiques en matière de sécurité, et nous devons redoubler d'efforts pour leur fournir les outils et la formation adéquats afin de les aider à progresser.

Dans l'état actuel des choses, nous ne sommes pas préparés aux bogues de sécurité que nous avons l'habitude de rencontrer, sans parler des nouveaux problèmes liés à l'IA, tels que l'injection rapide et le squat des hallucinations, qui représentent des vecteurs d'attaque entièrement nouveaux et qui sont prêts à prendre leur essor comme une traînée de poudre. Les outils de codage de l'IA représentent l'avenir de l'arsenal de codage d'un développeur, mais c'est maintenant qu'il faut apprendre à manier ces armes de productivité en toute sécurité.

‍

Il est temps d'appliquer les principes agiles à la formation au code sécurisé

L'approche traditionnelle de la formation au code sécurisé dans la plupart des organisations la traite comme un exercice ponctuel avec un début et une fin discrets. À l'ère du numérique, les entreprises évoluent de plus en plus vite et cette approche ne suffit plus. Les organisations de toutes sortes doivent adopter une stratégie d'apprentissage continu intégrée au travail quotidien des développeurs. L'embauche de nouvelles compétences en matière de sécurité est une solution, mais ces talents sont rares et l'approche n'est pas évolutive. Tout comme les pratiques agiles ont dépassé l'approche en cascade dans le développement de logiciels, l'agile révolutionne maintenant la formation des développeurs en matière de sécurité. L'avantage de l'approche agile dans le domaine des logiciels était de diviser le travail en petits morceaux, en superposant un sprint sur le suivant pour garantir une livraison réussie à grande vitesse dans un cycle continu et itératif. De la même manière, l'apprentissage agile pour le code sécurisé est divisé en petits morceaux consommables, progressivement superposés et étroitement intégrés dans le flux de travail du développeur de manière itérative. Avec la méthode agile, les développeurs apprennent plus efficacement, intériorisent plus rapidement les compétences en matière de sécurité et écrivent un code plus sûr presque immédiatement.  

Formation traditionnelle à la sécurité contre une formation Agile Plateforme D'apprentissage pour un code sécurisé

L'apprentissage agile est un ensemble de valeurs et de principes qui encadrent la manière dont les gens intériorisent les connaissances plus rapidement et plus efficacement. Dans son Manifeste de l'apprentissage agile (représenté dans la figure 1 ci-dessous), Gartner définit quatre valeurs et huit principes.

Les quatre valeurs représentent un nouvel état d'esprit sur la manière d'envisager la formation des employés. L'apprentissage en tant que partie intégrante du travail valorise les résultats de l'entreprise, l'état d'esprit de croissance, la formation intégrée en temps réel et l'enrichissement de la communauté. Ces valeurs servent d'étoile polaire aux initiatives d'apprentissage et de cadre aux huit principes que nous décrivons brièvement ici.

1. Apprendre pour gagner : Lier les objectifs financiers et les besoins en compétences de l'entreprise à l'évolution des compétences du développeur. 
2. Multiplicateur de motivation : L'accès à une plateforme efficace de développement des compétences en matière de sécurité, que les développeurs peuvent appliquer à leur carrière pour progresser, les motive à en apprendre davantage.
3. Des micro-coupures juste à temps : De petits morceaux de contenu d'apprentissage d'une durée de 2 à 25 minutes, apparaissant au moment opportun, donnent un contexte, aidant les développeurs à acquérir des compétences pertinentes et utilisables.
4. Des parcours dynamiques : Le contenu relatif à la sécurité peut être présenté sous différents formats et les développeurs peuvent utiliser le mode qui convient le mieux à leur style d'apprentissage.
5. Une mise en place progressive : La maîtrise des concepts fondamentaux du code sécurisé est suivie de connaissances et de pratiques plus avancées.
6. Flux de livraison de la valeur : Les concepts de code sécurisé sont intégrés dans les outils et les espaces que les développeurs utilisent déjà, de sorte qu'ils n'ont pas besoin de quitter leur travail pour accéder à la formation.
7. Axé sur les données, basé sur l'IA : La technologie adapte dynamiquement les leçons et personnalise l'apprentissage pour maintenir les développeurs sur la bonne voie, en leur offrant une expérience personnalisée qu'ils ne pourraient jamais obtenir dans une salle de classe. 
8. Amplification sociale : L'instauration d'une culture d'apprentissage où les compétences en matière de codage sécurisé sont célébrées et où les développeurs participent à une compétition amicale ainsi qu'à un partage des connaissances a des effets bénéfiques sur l'ensemble de l'entreprise.

Présentation de la méthode agile Plateforme D'apprentissage pour un code sécurisé 

Au cours de la dernière décennie, Secure Code Warrior a intégré les principes agiles dans la conception de son site Plateforme D'apprentissage. Nous avons brisé le moule de la formation traditionnelle à la sécurité avec une expérience d'apprentissage flexible et axée sur les développeurs qui a apporté à nos clients une valeur commerciale de 2 à 3 fois supérieure dans plusieurs domaines, allant de la réduction des risques et des coûts à l'augmentation de la productivité des développeurs. Mais qu'est-ce qui définit une formation agile Plateforme D'apprentissage? Comment un Plateforme D'apprentissage agile pour le code sécurisé permet-il aux développeurs d'internaliser rapidement de nouvelles compétences et de les mettre en œuvre immédiatement ? Qu'est-ce qui rend l'apprentissage agile du code sécurisé meilleur que la formation traditionnelle à la sécurité ? Dans ce premier article d'une série de blogs, nous verrons comment le SCW Agile Plateforme D'apprentissage illustre plusieurs valeurs et principes agiles.

Des parcours dynamiques et des micro-coupures en flux tendu intégrés dans le flux de livraison de la valeur. 

Un site agile Plateforme D'apprentissage pour le code sécurisé offre à l'apprenant différentes façons de consommer du contenu, de faire progresser ses connaissances et d'intérioriser de nouvelles compétences. Elle offre aux développeurs des voies dynamiques pour trouver ce qui leur convient le mieux dans de petits micro-éclats de contenu consommables juste à temps, au moment où ils en ont besoin. Les utilisateurs peuvent choisir la forme d'apprentissage qui leur convient le mieux sur notre plateforme. Ils se familiarisent avec les concepts de sécurité grâce à des vidéos, des lignes directrices et des guides qui sont présentés sous forme de microréactions. Ces fonctionnalités fournissent les concepts fondamentaux - le "quoi" et le "comment" d'une vulnérabilité spécifique. Comme ce contenu est fourni dans les outils de développement qu'ils utilisent tous les jours, comme Jira, les concepts s'intègrent mieux et ont plus de sens, de sorte qu'ils peuvent être internalisés.

La plateforme SCW illustre le principe agile de la stratification progressive. Après s'être familiarisés avec les concepts du code de sécurité, les développeurs peuvent passer à des modules interactifs pratiques tels que les défis, missionset des laboratoires de codage où ils mettent en pratique les concepts fondamentaux introduits précédemment. Ces modules s'adaptent à différents niveaux de compétences et styles d'apprentissage, donnant aux développeurs le choix de la méthode d'apprentissage - des parcours dynamiques. 

‍

Passez de la formation à l'apprentissage agile

Passer d'une approche de formation à la sécurité à une approche d'apprentissage agile pour un code sécurisé est un moyen efficace d'habiliter votre personnel de développement, de récupérer les heures de travail perdues par les développeurs et d'utiliser ce temps pour des projets plus productifs. Dans ce billet, nous avons passé en revue quelques-unes des capacités de la plateforme Secure Code Warrioret la manière dont elles illustrent les principes d'une stratégie d'apprentissage agile. Dans le prochain article, nous démontrerons le bien-fondé de l'apprentissage sécurisé du code et présenterons d'autres fonctionnalités de la plateforme inspirées de la méthode agile.

A propos de Secure Code Warrior

Secure Code Warrior donne à vos développeurs les compétences nécessaires pour écrire du code sécurisé. Notre site Plateforme D'apprentissage est la solution de codage sécurisé la plus efficace car il utilise des méthodes d'apprentissage agiles pour que les développeurs apprennent, appliquent et retiennent les principes de sécurité des logiciels. Plus de 600 entreprises font confiance à Secure Code Warrior pour mettre en œuvre des programmes de sécurité par apprentissage agile, fournir rapidement des logiciels sécurisés et créer une culture de la sécurité axée sur les développeurs. Vous souhaitez en savoir plus ? Demandez une démonstration.

Cet article a été publié à l'origine dans le cadre du Forbes Technology Council. Il a été mis à jour et publié ici.

‍

Selon vous, combien d'enregistrements de données ont été compromis en 2022 ? Vous seriez sur la bonne voie si vous deviniez environ un demi-milliard. D'après les données publiques sur les atteintes à la vie privée, environ 480 014 323 enregistrements ont été volés rien que l'année dernière, mais ce chiffre est probablement beaucoup plus élevé. Quoi qu'il en soit, il s'agit d'une statistique qui donne à réfléchir au citoyen moyen et qui est très préoccupante pour tout professionnel de la sécurité en entreprise.

Nous sommes arrivés à un point où la plupart des habitants des pays développés ont probablement vu au moins une partie de leurs données personnelles tomber entre les mains de criminels à la suite d'une cyberattaque réussie ; il est donc tout à fait naturel que les gouvernements du monde entier cherchent des solutions pour endiguer ce flux perturbateur d'activités criminelles en ligne. La dernière initiative en date émane de l'administration Biden et prend la forme d'une stratégie nationale de cybersécurité, que j'observe avec un vif intérêt. Cette stratégie comprend des directives sur l'un de mes sujets préférés en ce moment : la responsabilité en matière de sécurité.

Cette stratégie, publiée à la suite d'une présentation décisive de Jen Easterly, directrice de la cybersécurité et de la sécurité des infrastructures à la CISA, a, à juste titre, suscité des divisions au sein de la communauté de la sécurité. Cependant, je pense qu'elle représente la meilleure chance que nous ayons d'améliorer les normes logicielles dans tous les domaines et, enfin, d'inaugurer une nouvelle ère de développeurs compétents en matière de sécurité.

Les fournisseurs auraient toujours dû être tenus responsables des logiciels non sécurisés.

Cela fait des décennies qu'en matière de sécurité des logiciels, la responsabilité est une patate chaude avec laquelle aucune équipe ne cherche à jongler. Les cadres et les équipes ont tendance à ne pas être d'accord sur la responsabilité finale de la sécurité des logiciels. Un rapport de Venafi révèle que 97 % des cadres supérieurs de l'informatique reconnaissent que les processus de création de logiciels ne sont pas suffisamment sûrs, mais qu'il existe une divergence sur la responsabilité finale de la mise en œuvre des meilleures pratiques en matière de sécurité. 61 % des cadres ont déclaré que les équipes de sécurité informatique devraient assumer la responsabilité de la sécurité des logiciels, tandis que 31 % ont déclaré que c'était à l'équipe de développement d'assumer cette responsabilité. Et ce n'est qu'une partie de l'équation : la question des composants commerciaux open-source et tiers dans les logiciels est une expansion constante de la surface d'attaque. Même entre les équipes AppSec et de sécurité, il y a rarement un "propriétaire" évident malgré la nécessité d'une vigilance continue dans la mise à jour, la surveillance et les tests.

Cette même enquête a également mis en lumière que - malgré un conflit interne sur qui devrait être responsable de la sécurité et de l'intégrité des logiciels - 94% des cadres estiment qu'il devrait y avoir des pénalités pour les fournisseurs de logiciels qui ne protègent pas leurs pipelines de construction contre les acteurs de la menace, et mettent les clients et les utilisateurs finaux en danger. 

Avec les récentes poursuites engagées contre le RSSI d'Uber pour sa mauvaise gestion d'une cyberattaque dévastatrice en 2016, ainsi que les initiatives réglementaires telles que le GDPR, nous voyons peu à peu les enjeux s'élever pour les fournisseurs qui jouent avec le feu en privant la sécurité de sa priorité. Cependant, cela ne suffit tout simplement pas. Nous sommes en train de perdre la bataille contre les cybercriminels, et bien que la pilule soit difficile à avaler, ce sont les pratiques laxistes des éditeurs de logiciels qui leur offrent des opportunités illimitées de prospérer. 

La stratégie nationale de cybersécurité cherche à tracer une ligne dans le sable et à mettre fin au jeu des reproches circulaires en attribuant la pleine responsabilité des logiciels non sécurisés au vendeur.

Jetons un coup d'œil :

Objectif stratégique 3.3 - Déplacer la responsabilité des produits et services logiciels non sécurisés :

"Trop de fournisseurs "ignorent les meilleures pratiques en matière de développement sécurisé, livrent des produits dont les configurations par défaut ne sont pas sûres ou dont les vulnérabilités sont connues, et intègrent des logiciels tiers dont la provenance n'est pas vérifiée ou inconnue.

Nous devons commencer à faire porter la responsabilité sur les entités qui ne prennent pas de précautions raisonnables pour sécuriser leurs logiciels, tout en reconnaissant que même les programmes de sécurité logicielle les plus avancés ne peuvent pas prévenir toutes les vulnérabilités".

Cela a, à juste titre, froissé certaines personnes. Mais, comme pour d'autres moments décisifs dans l'élaboration de normes et de réglementations dans la plupart des secteurs, c'est la douleur à moyen terme qui garantit un meilleur résultat à long terme. En tant qu'éditeur de logiciels, il est logique que la responsabilité nous incombe en matière de sécurité. Il s'agit de notre pipeline de construction, de nos processus et de notre contrôle de la qualité, et si nous commettons une erreur, il est de notre responsabilité d'y remédier.

En outre, nous devrions être dans une situation où nous cherchons à créer des logiciels de la plus haute qualité possible, et le codage sécurisé doit faire partie des paramètres qui définissent un résultat réussi. Il s'agit là d'une tâche ardue dans un monde qui privilégie la rapidité à tout prix, mais il incombe aux responsables de la sécurité qui guident notre avenir de veiller à ce que tous les acteurs du processus de création de logiciels, et en particulier les développeurs, reçoivent une formation adéquate leur permettant d'appliquer les meilleures pratiques en matière de sécurité dans le cadre de leur rôle. 

Nous manquons encore d'indications sur les meilleures pratiques à long terme.

L'objectif stratégique 3.3 fait référence au cadre bien établi de développement de logiciels sécurisés du NIST comme base de ses meilleures pratiques générales, et il s'agit de lignes directrices complètes et globales. Elles précisent la nécessité de "veiller à ce que le personnel, les processus et la technologie de l'organisation soient prêts à assurer le développement de logiciels sécurisés au niveau de l'organisation", mais ne sont pas particulièrement prescriptives sur les facteurs que, par exemple, un responsable de la sensibilisation à la sécurité devrait connaître lorsqu'il choisit des solutions d'habilitation.

Pour que l'approche soit réellement transformatrice, les développeurs doivent être considérés comme faisant partie intégrante du programme de sécurité et se voir offrir toutes les possibilités d'améliorer leurs compétences et de partager la responsabilité de la détection et de l'éradication des vulnérabilités. Ils ne peuvent y parvenir de manière mesurable sans un apprentissage et des outils hyper pertinents et contextuels, ni si cela est considéré comme un exercice de conformité annuel au lieu d'un parcours de développement continu des compétences. 

Les développeurs sont une pièce importante du puzzle lorsqu'il s'agit de résoudre l'énigme de la sécurité, et une équipe de développeurs compétents en matière de sécurité est essentiellement l'ingrédient manquant dans la plupart des organisations. Ils permettent d'accélérer la sécurité, mais uniquement lorsque du temps et des ressources sont consacrés à cette tâche au sein de l'équipe. En attendant, toutes les lignes directrices générales sur les meilleures pratiques du monde ne parviendront pas à faire bouger l'aiguille.

Le long chemin vers le nirvana de la sécurité des logiciels.

L'administration Biden s'est engagée à financer la CISA à hauteur de 3 milliards de dollars, dans le but d'assurer une résilience rapide des infrastructures critiques. Si le financement et le soutien des plus hauts niveaux de gouvernement sont essentiels, pour que nous ayons une chance de contrecarrer les acteurs de la menace, il faudra un effort mondial pour réécrire l'histoire de la culture de la sécurité.

La route est longue, mais elle commence avec chaque éditeur de logiciels qui fait le premier pas courageux vers la responsabilisation en matière de sécurité au niveau de l'organisation.