Cette interview a été publiée à l'origine dans CyberNews.
Malgré la prévalence des outils et des services de sécurité, les entreprises ont encore du mal à suivre l'évolution constante du paysage des menaces.
Cela peut être attribué au manque de sensibilisation et de formation à la sécurité parmi les développeurs, ce qui peut conduire à la publication de code risqué et à son exploitation par des acteurs malveillants. Si les mesures de sécurité telles que les logiciels antivirus ou les solutions d'analyse des vulnérabilités peuvent ajouter une couche de sécurité, notre invité d'aujourd'hui explique que tout commence par une équipe de développement axée sur la sécurité.
Pour discuter de la façon dont les développeurs peuvent être formés à l'identification et à l'atténuation des menaces de sécurité, l'équipe de CyberNews s'est entretenue avec Pieter Danhieux, PDG et cofondateur de Secure Code Warriorune société qui propose un site learning platform et une suite d'outils axés sur les développeurs qui aident les équipes de développement à identifier les vulnérabilités en matière de sécurité.
Comment s'est déroulé votre parcours ? Comment est née l'idée de Secure Code Warrior ?
Jeune intello, j'étais fasciné par l'idée de démonter la technologie pour découvrir ce qu'elle contenait et comment elle fonctionnait. Au grand soulagement de ma famille et de nos appareils communs, j'ai fini par adopter la même approche avec le matériel et les logiciels, en cherchant des moyens de les percer et de les briser. Une passion pour la sécurité est née et, pendant de nombreuses années, je me suis attaché à partager mes compétences en matière de "casse" avec des étudiants, des collègues et la communauté de la sécurité, en montrant comment trouver, utiliser et abuser des erreurs dans les logiciels. Plus tard, je me suis recentré sur le renforcement des compétences des défenseurs, en enseignant aux développeurs des modèles de codage sûrs et efficaces dans un environnement scolaire, et en les aidant à comprendre les vulnérabilités courantes et la manière de les éviter. J'ai également travaillé dans le domaine du conseil, où j'ai conseillé de grandes entreprises sur la manière dont elles pouvaient améliorer leurs programmes de sécurité, en particulier en ce qui concerne l'implication des développeurs. C'est à cette époque que j'ai rencontré l'équipe fondatrice de Secure Code Warrior. Ensemble, nous avons compris les problèmes auxquels les équipes de sécurité et de développement étaient confrontées lorsqu'il s'agissait de vulnérabilités au niveau du code, ainsi que les problèmes que posaient la plupart des solutions de formation destinées à améliorer les compétences des développeurs en matière de sécurité. Nous avons commencé à travailler sur notre vision d'un site learning platform qui pourrait être mis à l'échelle de l'entreprise, tout en restant amusant et engageant pour les développeurs. En fin de compte, nous voulions créer une suite d'outils adaptés à l'environnement de travail des développeurs, moins perturbants et les aidant à développer un état d'esprit axé sur la sécurité. Et nous nous sommes efforcés de rendre cette suite aussi flexible que possible en termes de langage et de contenu.
Pouvez-vous nous présenter ce que vous faites ? Quels sont les principaux défis que vous aidez à relever ?
En fin de compte, nous aidons les entreprises à accélérer le développement de leurs logiciels en éliminant les problèmes de sécurité et les retards souvent dus à l'utilisation de mauvais modèles de sécurité dans le code. Nous avons créé un site learning platform et une suite d'outils destinés aux développeurs qui aident les équipes de développement à naviguer dans les vulnérabilités de sécurité courantes, dont beaucoup existent depuis des décennies et continuent aujourd'hui d'exposer les entreprises à des risques cybernétiques. La raison pour laquelle elles persistent est que les développeurs n'ont pas la formation et les compétences nécessaires pour remédier à ces problèmes au niveau du code, et qu'ils les introduisent souvent en premier lieu par l'utilisation continue de modèles et de techniques de codage médiocres. On ne leur enseigne pas le codage sécurisé au niveau tertiaire, et la plupart des programmes de formation sur le lieu de travail sont inefficaces pour fournir un contenu pertinent pour leur travail quotidien, en plus d'être trop peu fréquents pour avoir un véritable impact sur la qualité du code et la sécurité au fil du temps. Nos solutions visent à fournir un développement des compétences attrayant et pertinent qui modifie les comportements de codage et les aide à mettre la sécurité au premier plan dans le monde réel. Nous nous intégrons de plus en plus aux environnements les plus familiers des développeurs, et l'accent que nous mettons sur l'apprentissage contextuel donne aux utilisateurs les meilleures chances de retenir les résultats clés de l'éducation. Nous nous efforçons également de le faire d'une manière qui aide les développeurs à voir la sécurité sous un jour positif et amusant qui récompense le succès et construit la communauté.
L'apprentissage du codage sécurisé pouvant sembler fastidieux à certains, comment faites-vous pour que votre formation soit à la fois efficace et divertissante ?
Notre produit phare, learning platform , a été conçu en tenant compte de l'engagement des développeurs. L'une des fonctions les plus populaires est le mode Tournament , qui permet aux participants de tester les connaissances acquises au cours de la formation par rapport à leurs pairs. Des points sont attribués pour chaque bonne réponse et un tableau de classement en direct est mis à jour tout au long de la session tournament . Nous avons organisé ces sessions lors d'événements communautaires et de conférences, et certains de nos clients ont mis en place des thèmes incroyablement complexes où tout le monde est venu déguisé. En outre, notre contenu en général est disponible dans plus de soixante cadres de programmation, en utilisant des extraits de code réels qu'ils verront dans leur travail quotidien. Il est tellement plus facile de rester engagé lorsque le contenu est hyper pertinent et aide à résoudre des problèmes réels, plutôt que de regarder des vidéos ou un examen de conformité annuel.
Quels sont, selon vous, les principaux défis auxquels les développeurs sont confrontés aujourd'hui ?
Je pense qu'il est important d'établir que les développeurs veulent bien faire, mais qu'ils n'ont pas été suffisamment sensibilisés à la sécurité au cours de leur formation ou de leur carrière, ce qui est à l'origine de nombreux problèmes qu'ils rencontrent du point de vue de la sécurité. Ils ont également tendance à considérer que la sécurité n'entre pas dans le champ de leurs responsabilités et, dans la grande majorité des organisations, leurs indicateurs clés de performance n'incluent rien qui soit lié aux résultats en matière de codage sécurisé. Cependant, les développeurs ont besoin d'un soutien et d'outils adéquats pour être à l'origine du changement que nous voulons voir, et le défi consiste à les habiliter efficacement, à leur donner le temps de se former et à investir dans ce perfectionnement aujourd'hui afin d'atteindre la sécurité à la vitesse grand V plus tard.
Comment les récents événements mondiaux ont-ils affecté votre domaine de travail ?
Alors que toutes les entreprises ont sans aucun doute ressenti les effets du climat mondial actuel sur leurs objectifs, leurs projections et leurs budgets, nous avons eu la chance de résister à la tempête jusqu'à présent. La cybersécurité est un élément non négociable pour la plupart des entreprises, et nous nous efforçons de continuer à participer à cette conversation avec nos clients et nos prospects.
Quelles sont les meilleures pratiques que les organisations devraient suivre lorsqu'elles développent des logiciels ou des applications ?
Chaque organisation a ses propres nuances, mais en général, les entreprises qui appliquent les meilleures pratiques de sécurité sont prêtes à sortir des sentiers battus et à essayer différentes approches. Elles n'oublient pas le pouvoir des personnes pour faire une différence positive dans les résultats en matière de sécurité. Cependant, face à la pénurie mondiale de compétences en matière de sécurité qui ne sera probablement pas comblée de sitôt, les développeurs qui s'intéressent à la sécurité peuvent contribuer à réduire les risques et à assurer la conformité du point de vue de la création de logiciels. Ils peuvent avoir un impact au stade le plus précoce et le moins coûteux possible du processus.
Outre les outils de codage sécurisés, quelles sont les autres mesures ou pratiques qui, selon vous, peuvent non seulement améliorer mais aussi sécuriser les opérations commerciales ?
Chaque entreprise devrait disposer d'une sorte de formation à la sécurité basée sur les rôles. Il existe une pléthore de menaces qui existent en dehors des exploits au niveau du code que les acteurs de la menace cherchent à exploiter, de sorte que chaque personne dans l'organisation doit avoir des bases régulières dans les principes de sécurité tels qu'ils s'appliquent à leur travail.En ce sens, tout le monde, du chef de bureau à l'équipe de comptabilité, devrait comprendre et embrasser le rôle qu'il joue dans l'action et la sensibilisation en matière de cybersécurité.
Compte tenu du climat économique actuel, les RSSI sont soumis à une forte pression pour assurer la sécurité des entreprises au moindre coût.
Dans ce contexte, les RSSI doivent faire preuve de créativité, d'autant plus que la législation en matière de cybersécurité devient de plus en plus exigeante et que, dans certains cas, les RSSI sont tenus personnellement responsables en cas de violation. Ajoutez à cela les licenciements et vous obtenez une situation où moins d'ingénieurs devront assumer plus de responsabilités tout en écrivant le même volume de logiciels. Les RSSI peuvent aider les entreprises à réussir en s'attaquant à l'un des principaux obstacles qui les ralentissent : la sécurité.
L'étape la moins coûteuse pour remédier aux vulnérabilités de sécurité au niveau du code et aux erreurs de configuration est de loin celle qui précède la livraison du logiciel, ce qui place naturellement le développeur dans une position privilégiée pour réduire ce risque. Cependant, ils ont besoin d'un soutien adapté pour y parvenir. La sécurité à grande vitesse est possible si l'on fournit à la cohorte d'ingénieurs des outils axés sur le développement, en tenant compte de leur flux de travail et de leur pile technologique actuels. Ils ont besoin d'être soutenus pour atteindre la précision en matière de sécurité à grande vitesse, et la meilleure façon d'y parvenir est de leur montrer comment utiliser des modèles de codage sécurisés et corriger les problèmes plus rapidement.
Pour le coût d'une formation complète des développeurs, vous pouvez essentiellement travailler à l'élimination des vulnérabilités à la source, ce qui permet d'économiser du temps et de l'argent plus tard dans le cycle de vie du développement logiciel (SDLC). Compte tenu de la fréquence des attaques à grande échelle et de la responsabilité accrue des RSSI, nous devons cesser d'accuser la pénurie de compétences en cybersécurité d'être à l'origine de notre retard. Donnez la priorité aux pratiques de sécurité défensives et renforcez le personnel qui se trouve déjà devant vous.
Que réserve l'avenir à Secure Code Warrior?
Nous voulons continuer à innover, en mettant l'accent sur les développeurs dans les solutions que nous mettons sur le marché. Nous nous efforçons de leur permettre d'assurer la sécurité sans compromettre la rapidité de livraison des fonctionnalités, ni leur santé mentale lorsqu'ils jonglent avec de multiples priorités.
Notre objectif est d'aider les organisations à révolutionner leur programme de sécurité défensive, et nous voulons que les développeurs en charge de la sécurité soient les héros de cette histoire. Surveillez cet espace.