Une version de cet article a été publiée sur Boulevard de la sécurité. Elle a été mise à jour et publiée ici.

Au début de l'année, le Conseil des normes de sécurité PCI a dévoilé la version 4.0 de sa norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Bien que les organisations ne devront pas être entièrement conformes à la version 4.0 avant mars 2025, cette mise à jour est la plus transformatrice à ce jour et exigera de la plupart des entreprises qu'elles évaluent (et probablement mettent à niveau) des processus de sécurité complexes et des éléments de leur pile technologique. Cela s'ajoute à la mise en œuvre d'une formation de sensibilisation à la sécurité basée sur les rôles et d'une formation régulière au codage sécurisé pour les développeurs.

Il s'agit là d'une occasion en or pour les entreprises du secteur BFSI d'améliorer sérieusement leurs programmes de sécurité et d'entrer dans une nouvelle ère de cyber-résilience axée sur les personnes. 

Quels sont les plus grands défis à relever pour se préparer à la norme PCI DSS 4.0 ?

Tout comme le programme de sécurité d'une organisation est global, avec des subtilités propres aux besoins de l'entreprise et aux ressources disponibles, les nouvelles normes PCI DSS couvrent beaucoup de terrain. Toutefois, elles révèlent une évolution marquée vers la flexibilité dans les approches visant à satisfaire aux exigences de sécurité, ce qui est important dans un secteur où les outils, les menaces, la stratégie et les mesures de conformité peuvent changer en un instant.

La norme PCI DSS 4.0 adopte le concept selon lequel il existe de nombreuses façons d'atteindre le même objectif de meilleures pratiques de sécurité étanches. C'est vrai, mais cela semble mieux convenir aux organisations ayant une maturité de sécurité avancée et laisse beaucoup de place à l'erreur, en particulier pour celles qui n'ont pas été réalistes dans leur assessment de leur véritable maturité de sécurité interne. En fin de compte, les entreprises doivent être prêtes à s'engager dans la sécurité comme un processus continu et évolutif, et non comme un exercice ponctuel "à mettre en place et à oublier". Une forte culture de la sécurité est indispensable, avec un engagement à l'échelle de l'organisation en faveur de la sensibilisation à la sécurité. 

Quant aux outils au niveau du code - la cohorte de développement - ils doivent être en mesure de fournir des logiciels conformes et sécurisés dans n'importe quel environnement commercial traitant des actifs et des transactions numériques. 

Vos développeurs sont-ils prêts à fournir des logiciels conformes ?

Les développeurs font partie intégrante de l'atteinte d'un état d'excellence en matière de sécurité des logiciels, et cela est particulièrement pertinent pour aller au-delà de la simple conformité symbolique à la norme PCI DSS. Il est essentiel que les développeurs comprennent l'image plus large de PCI DSS 4.0 en termes de ce qu'ils peuvent contrôler et intégrer dans leur approche par défaut de la création d'un logiciel. 

Les changements les plus importants pour l'équipe de développement se situent dans trois domaines clés, qui peuvent être décomposés comme suit :

• Authentification : Un plan viable de contrôle d'accès a toujours été un élément clé de la conformité PCI, mais la version 4.0 donne un coup d'accélérateur qui nécessitera une mise en œuvre minutieuse, tant en interne qu'en externe. L'authentification multifactorielle (MFA) deviendra la norme, tout comme les règles renforcées concernant la complexité des mots de passe et les délais d'attente.
  
  Les problèmes de sécurité liés à l'authentification et au contrôle d'accès étant désormais les plus courants auxquels le développeur moyen est susceptible d'être confronté, il est impératif qu'une formation précise soit mise en place pour l'aider à identifier et à résoudre ces problèmes dans le code réel.
  
  
• Chiffrement et gestion des clés : Nous vivons dans un monde où nous pouvons accéder à certaines de nos informations les plus sensibles via de multiples points d'accès, comme nos services bancaires en ligne. Ces données de grande valeur étant menacées, le cryptage et des pratiques de cryptographie rigoureuses sont indispensables. Les développeurs doivent s'assurer qu'ils disposent de connaissances actualisées sur les lieux de transmission des informations, sur la manière dont les utilisateurs peuvent y accéder et, même dans le cas où elles se retrouveraient entre de mauvaises mains, s'assurer qu'elles sont illisibles pour les acteurs de la menace.
  
  
• Logiciels malveillants : dans les lignes directrices précédentes, les contrôles de sécurité relatifs à la protection des logiciels contre les codes malveillants étaient appelés "logiciels antivirus", mais cela simplifie à l'excès ce qui devrait être une approche multicouche protégeant contre bien plus que les seuls virus. Les solutions anti-programmes malveillants doivent être appliquées partout où cela est nécessaire, et la journalisation et la surveillance continues sont obligatoires.
  
  Il est également essentiel que les développeurs aient des parcours d'apprentissage qui couvrent l'identification des composants vulnérables, en particulier avec la plupart des bases de code qui reposent au moins en partie sur du code tiers.

Qu'est-ce qui constitue une formation "suffisante" pour les développeurs ?  

Comme les recommandations précédentes, la norme PCI DSS 4.0 propose que les développeurs soient formés "au moins" une fois par an. Cependant, si l'on considère qu'une fois par an est un point de contact suffisant pour la création de logiciels sécurisés, on est loin du compte et il est peu probable que l'on obtienne des logiciels plus sûrs et conformes. 

La formation des développeurs devrait commencer par une formation de base au Top 10 de l'OWASP, ainsi qu'à toutes les autres vulnérabilités qui sont pertinentes pour le langage et critiques pour l'entreprise. Cela devrait faire partie d'un programme continu, dans le but de continuer à développer ces compétences et d'intégrer la sécurité non seulement dans le développement de logiciels dès le départ, mais aussi dans leur état d'esprit et leur approche de leur rôle. En outre, les rôles et les responsabilités doivent être parfaitement clairs pour la cohorte de développeurs et leurs responsables. La sécurité doit être une responsabilité partagée, mais il n'est que juste de documenter les attentes et de s'assurer qu'elles peuvent être satisfaites correctement.

Avec le temps disponible pour se préparer à la conformité PCI DSS 4.0, il est possible de faire des progrès significatifs dans l'amélioration de la culture de la sécurité à l'échelle de l'organisation, ce qui constitue un terrain fertile pour développer la cohorte de développement la plus sensibilisée à la sécurité que vous n'ayez jamais eue.

‍

Le temps, c'est de l'argent - alors pourquoi le gaspiller ? 

Responsables de l'ingénierie - il est temps de passer aux choses sérieuses. Combien d'heures vos développeurs passent-ils à coder ? Non, nous ne cherchons pas à leur faire admettre qu'ils passent leurs journées en pyjama à manger des chips et à regarder Netflix. Posez-vous plutôt la question suivante : combien d'heures par jour vos équipes consacrent-elles à un travail utile ?

Maintenant, regardez le temps que vos développeurs passent à coder par semaine. Quelle part de ce temps est consacrée à la refonte du code existant, à la recherche et à la correction de bogues ou au traitement de la dette technique ? Probablement beaucoup.

Nous connaissons ce sentiment. Les développeurs se sentent souvent frustrés par leur incapacité à progresser alors qu'ils sont confrontés à des défis et des lacunes insurmontables dans le cycle de vie du développement logiciel actuel. 

• En moyenne, une équipe de développement de logiciels retravaille environ 26 % de son code avant la publication. 
• Un développeur consacre en moyenne 13,5 heures par semaine à la seule dette technique. Cela représente plus de 700 heures par an passées à réparer les erreurs du passé. 
• Les développeurs passent quatre heures par semaine à travailler sur du "mauvais code". Sur une année, cela représente 85 milliards de dollars de coûts d'opportunité perdus.
• 41% des développeurs déclarent que la fonctionnalité et la sécurité ont la même importance dans leur organisation.
• 63 % des développeurs estiment qu'il est très difficile d'écrire un code sécurisé exempt de vulnérabilités. 

Source : Stripe Report, le coefficient développeur; Enquête sur l'état de la sécurité pilotée par les développeurs 2022

Pensez à la dernière fois que votre équipe AppSec a identifié un code non sécurisé lors d'une revue de code. Pensez à l'arrêt brutal auquel votre équipe a dû faire face lorsqu'elle a dû corriger ces vulnérabilités. Il est plus probable qu'improbable qu'elle ait dû s'enfoncer dans un trou de lapin pour trouver une solution viable au problème, puis qu'elle ait dû prendre du temps pour retrouver l'endroit où elle s'était arrêtée avant de devoir résoudre le problème. 

Source : Stripe Report, The Developer Coefficient Stripe Report, The Developer Coefficient

Ce cycle sans fin d'arrêts et de reprises n'est pas seulement perturbateur, il est aussi destructeur de productivité et démoralisant.

Il existe une meilleure façon de coder en toute sécurité - et de gagner du temps par la même occasion. 

Nous aimerions tous avoir plus d'heures dans la journée pour accomplir nos tâches. Mais parfois, nous devons simplement trouver un moyen de travailler plus intelligemment, et non plus durement, avec les heures dont nous disposons. 

Au lieu de perdre du temps à vous creuser la tête pour trouver des solutions, de passer des heures et des heures à passer au peigne fin un code qui n'est peut-être même pas le vôtre pour y déceler des défauts et des vulnérabilités, ne serait-il pas plus simple de mieux écrire le code dès le départ ? 

La technologie est aujourd'hui dans une impasse, les responsables de l'ingénierie cherchant à réduire les coûts par tous les moyens possibles. Les licences de logiciels, les dépenses discrétionnaires et même les salaires sont tous sur la sellette. Mais que se passerait-il si l'on n'en arrivait pas là ? Les inefficacités dans le processus de développement de logiciels sont plus difficiles à quantifier, mais en fin de compte plus coûteuses et plus difficiles à résoudre.

Grâce à la sécurité pilotée par les développeurs, ces derniers peuvent accroître leur efficacité et leur productivité dans le cadre du cycle de développement durable en s'appropriant la sécurité à chaque étape du processus. 

Diminuer le temps passé à retravailler un code vulnérable est plus qu'une simple mesure d'économie : c'est l'occasion de réinvestir dans votre service. Le temps perdu peut être utilisé pour créer de nouvelles fonctionnalités innovantes ou apporter des améliorations significatives à votre application. Les développeurs qui étaient auparavant frustrés par leur incapacité à progresser seront motivés par la possibilité d'apporter une valeur ajoutée.

Les développeurs estiment que les impacts négatifs les plus importants sur leur charge de travail sont dus à la surcharge de travail, aux changements de priorités qui entraînent l'abandon de code ou une perte de temps, et au manque de temps pour corriger un code de mauvaise qualité. Si l'on ajoute à cela un manque de connaissances et des solutions disparates pour remédier aux vulnérabilités, vous risquez de perdre encore plus de temps et de voir vos coûts exploser. 

Source : Enquête sur l'état de la sécurité pilotée par les développeurs, 2022

La technologie évolue à la vitesse de l'éclair, il est donc important de donner à vos développeurs les outils nécessaires pour suivre le mouvement et ne pas être distancés. En dotant les développeurs des connaissances nécessaires pour coder en toute sécurité dès le départ et corriger rapidement les vulnérabilités, vous donnerez à votre équipe un avantage lorsqu'il s'agira de retravailler le code et de s'attaquer à la dette technique à long terme. 

Les entreprises doivent mieux mobiliser leurs développeurs actuels si elles veulent avancer plus vite, rester agiles et exploiter les tendances nouvelles et émergentes. Motiver vos développeurs à se concentrer davantage sur la sécurité ne doit pas être uniquement une question de coûts et de résultats. L'amélioration des compétences et l'intégration de la sécurité à chaque étape du cycle de développement durable ne sont pas seulement bénéfiques pour l'équipe, mais aussi pour les développeurs individuels. Les développeurs qui possèdent les compétences nécessaires pour coder en toute sécurité seront très appréciés dans les années à venir, car coder en toute sécurité signifie qu'ils auront moins de problèmes à résoudre par la suite.

Partir à gauche ne signifie pas seulement aller vite, mais aussi permettre aux développeurs de partager la responsabilité de la sécurité sans sacrifier la rapidité. Lorsque cela est bien fait, les développeurs compétents en matière de sécurité améliorent la productivité en réduisant les vulnérabilités qui entraînent des reprises, maintiennent la vitesse de sortie des logiciels et garantissent un code de qualité sans entraver l'innovation.

Un codage plus intelligent, plus rapide et plus sûr

Secure Code Warrior crée une culture de développeurs axés sur la sécurité en leur donnant les compétences nécessaires pour coder de manière sécurisée. Notre programme phare Plateforme D'apprentissage propose des parcours pertinents basés sur les compétences, des exercices pratiques missions et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé. 

Chez Secure Code Warrior, nous innovons constamment pour aider les développeurs et les organisations à acquérir les compétences nécessaires pour relever les défis actuels en matière de sécurité, en constante évolution. Pour ce faire, nous mettons en place des programmes de validation des codes sécurisés très attrayants, flexibles et faciles à gérer. 

Tout le monde veut un bon retour sur investissement lorsqu'il s'agit d'investir dans sa pile technologique ou dans des programmes de formation supplémentaires. En matière de sécurité, cependant, vous devez jouer sur le long terme. En investissant dans une sécurité axée sur les développeurs, vous réduirez non seulement le risque de violations coûteuses, la perte de productivité et la dette technologique accumulée, mais vous créerez également une stratégie proactive et rentable pour rester à l'avant-garde du paysage actuel des menaces. 

Au cours du dernier trimestre, Secure Core Warriors a mis en œuvre de nouvelles méthodes d'apprentissage avec Coding Labs, qui est maintenant disponible pour tous les clients de Secure Code Warrior . Nous sommes ravis d'annoncer les améliorations apportées à la gestion de la participation et aux versions de cours, et nous avons créé de nouvelles activités de cours telles que Guidelines ! 

Plongeons dans l'histoire pour en savoir plus !

Élargir la portée et la profondeur de la plate-forme SCW 

Secure Code WarriorL'expansion continue de notre contenu nous aide à maintenir nos modules pertinents, opportuns et adaptés à ce que vous devez savoir dans le paysage de la cybersécurité d'aujourd'hui. Grâce à l'étendue et à la profondeur de plus de 55 langages, il est facile de construire et d'étendre un programme pour former les développeurs dans un grand nombre de langages et de frameworks. 

Lignes directrices pour le codage disponibles en Courses 

L'ajout de lignes directrices offre aux développeurs un apprentissage contextuel et à leur rythme qui couvre principalement l'atténuation de la sécurité. Les lignes directrices sont plus approfondies que les vidéos et se concentrent sur un langage ou un cadre spécifique. D'autres activités offensives telles que les défis, Missions et les Walkthroughs exigent déjà des développeurs qu'ils comprennent la vulnérabilité. Nous avons créé les lignes directrices pour compléter ces activités d'un point de vue défensif.  

Les développeurs peuvent lire les lignes directrices sur Courses, et les administrateurs peuvent les utiliser dans les modèles de cours. Les lignes directrices couvrent les vulnérabilités répertoriées dans le Top 10 2021 de l'OWASP et contiennent des extraits de code en C#, Java, JavaScript, Python, Pseudocode et PHP. 

Nouveau contenu du défi

Secure Code Warrior met régulièrement à jour et crée de nouveaux défis qui sont pertinents, opportuns et adaptés aux besoins de votre organisation. Nous sommes heureux d'annoncer l'élargissement des défis disponibles en : 

• Dart : Flutter - un langage mobile pour construire des applications multiplateformes fluides sur Android et iOS
• Terraform : GCP - un langage de développement d'infrastructure en tant que code pour Google Cloud Provide. 

Les développeurs peuvent analyser le code, trouver la vulnérabilité et faire preuve d'esprit critique pour choisir la meilleure mise en œuvre de la sécurité afin de prévenir les vulnérabilités répertoriées.

Prochainement : nouveau contenu pour les développeurs frontaux 

Les développeurs frontaux ont eux aussi besoin d'un code sécurisé ! C'est pourquoi nous publierons des vulnérabilités frontales supplémentaires sur Missions et Walkthroughs. Les développeurs frontaux pourront également accéder à Missions à l'adresse Courses. 

Ces mises à jour s'efforcent de couvrir l'ensemble des vulnérabilités spécifiques au front-end, qu'il s'agisse de vulnérabilités courantes telles que le XSS basé sur le DOM ou de vulnérabilités moins fréquemment rencontrées telles que l'injection CSS. 

Des descriptions étape par étape fourniront aux développeurs frontaux des conseils fiables sur la manière dont les vulnérabilités sont exploitées. Les développeurs avancés pourront également tester leurs compétences sur le site Missions à l'adresse Tournaments. 

Simplifier l'expérience des administrateurs et des développeurs

La configuration d'un programme d'éducation au code sécurisé évolutif et engageant est désormais plus facile que jamais grâce à des améliorations clés de la convivialité de la plateforme. 

‍

Version des cours, archivage et gestion de la participation 

Désormais, vous pouvez suivre l'évolution constante des besoins du programme d'une organisation grâce à de nouvelles méthodes de modification des programmes existants. La gestion des versions de cours permet aux administrateurs de modifier leurs Courses existants sans avoir à créer un tout nouveau cours. Les administrateurs peuvent également supprimer les tests Courses ou les Courses non pertinents auxquels aucun développeur n'est inscrit, ce qui leur permet de désencombrer leurs archives. 

En outre, la possibilité d'appliquer des filtres supplémentaires sur la page de gestion des cours permettra aux administrateurs de filtrer plus facilement les cours sur lesquels ils souhaitent travailler. Courses peut être filtré en fonction d'un certain nombre d'attributs tels que le statut du cours, la date de fin et les équipes inscrites. Par exemple, les administrateurs peuvent facilement localiser tous les Courses avec une limite de temps, avec une fin de cours assessment attachée, ou si le cours est en projet ou en aperçu.

En plus du versionnage et du filtrage pour Courses, les administrateurs sont maintenant en mesure de réinviter les participants aux cours en masse, ainsi que de les retirer d'un cours si nécessaire. Les administrateurs disposent ainsi d'une solution en un clic pour réinviter les développeurs "invités", ce qui leur permet d'économiser du temps et de l'énergie pour leur rappeler de revenir sur la plateforme et de commencer à apprendre !

‍

Voilà pour les nouvelles fonctionnalités de ce trimestre ! Suivez Secure Code Warrior sur Twitter pour être tenu au courant des dernières versions et améliorations.

Vous souhaitez essayer Secure Code Warrior mais vous n'avez pas encore de compte ? Créez un compte d'essai gratuit dès aujourd'hui pour commencer.

Parlons de la dette 

Tout le monde sait aujourd'hui que la cybercriminalité est devenue un problème majeur pour l'économie mondiale. En 2022, le coût moyen d'une violation de données aux États-Unis s'élevait à 9,44 millions de dollars, contre 9,05 millions de dollars l'année précédente. Il est important de ne pas ignorer le coût du code non sécurisé et de la dette technique accumulée. Selon le rapport 2022 du Consortium for Information and Software Quality : The Cost of Poor Software Quality report, on estime que le coût de la mauvaise qualité des logiciels aux États-Unis s'élève à 2,41 billions de dollars et que la dette technique accumulée s'élève à 1,52 billions de dollars. 

Les coûts croissants du traitement des codes non sécurisés et de leur dette technique sont devenus le principal obstacle à toute modification des bases de code existantes, les laissant ainsi vulnérables à l'exploitation et aux menaces extérieures. L'état de la sécurité des logiciels est confronté à une crise existentielle - nous savons que nous devons améliorer notre posture de sécurité et nous attaquer à la dette technique accumulée, mais les obstacles sont énormes : 

• On estime à 300 000 le nombre de postes de développeurs de logiciels et d'emplois liés à l'informatique non pourvus aux États-Unis, avec un taux de croissance prévu de 15 %. 
• On prévoit que d'ici 2025, 40 % des budgets informatiques seront consacrés à la simple maintenance de la dette technologique.
• 1/3 des heures hebdomadaires des développeurs sont en moyenne consacrées au traitement de la dette technologique

Les solutions rapides sont risquées - et plus coûteuses à long terme 

Qu'est-ce que la dette technique et pourquoi est-elle si importante ? La dette technique s'accumule lorsque les décideurs optent pour une solution à court terme à un problème de développement logiciel - au lieu d'une solution plus exhaustive et à long terme. Cela s'accompagne d'un coût caché substantiel que les organisations doivent payer plus tard. À l'instar d'une carte de crédit épuisée, la dette technique se compose de deux éléments principaux :

• Principal - se réfère au coût total du remaniement ou de la correction d'un logiciel afin qu'il atteigne le niveau souhaité de maintenabilité et de sécurité.
• Intérêt - l'effort supplémentaire que les développeurs consacrent à ces changements pour remédier à la seule dette technique, et non à de nouvelles fonctionnalités. Chaque minute passée sur un code qui n'est pas tout à fait correct ajoute de l'intérêt à la dette.

On peut finir par atteindre un état de "faillite technique" lorsque le coût des nouvelles fonctionnalités, des corrections de bogues et de la maintenance dépasse le budget du projet, ce qui réduit considérablement la valeur de l'application logicielle. 

Cependant, une certaine accumulation de dettes, comme dans la vie, est normale et, dans la plupart des cas, quelque peu attendue. 

Idéalement, tous les développeurs de logiciels devraient réduire les bogues autant que possible avant de livrer le code. Cependant, ils sont confrontés à un compromis difficile : pour être compétitive, une organisation peut vouloir livrer des fonctionnalités ou des produits à ses clients rapidement et à un coût minimum. En conséquence, la qualité de l'application en pâtit, car les indicateurs clés de performance des développeurs sont basés sur la rapidité de la livraison et le coût initial de la construction. Ce qui manque dans le tableau, ce sont les lacunes accumulées et les vulnérabilités potentielles intégrées dans le code. Celui-ci est donc mûr pour des bogues ou des vulnérabilités de sécurité en aval ou, pire, pour une exploitation par des acteurs malveillants. 

Mais c'est là que réside l'énigme : existe-t-il un autre moyen de livrer des produits rapidement sans accumuler une dette technique massive ? 

Le coût de la détection et de la correction des lacunes et des vulnérabilités est la dépense la plus importante du cycle de développement des logiciels. Plus les problèmes sont détectés tôt dans le cycle de développement, plus la livraison globale sera rentable. 

La dette technique peut se transformer en dette de sécurité

De nombreux développeurs tentent de contourner ce compromis en utilisant un code source ouvert qui leur permet d'avancer rapidement et, dans l'idéal, d'utiliser une solution déjà validée. Toutefois, le fait de s'appuyer fortement sur des logiciels à code source ouvert présente souvent ses propres risques: 

• 82% des composants open source se sont révélés obsolètes (c'est-à-dire non corrigés ou mal pris en charge). 
• 75 % des bases de code contenaient des vulnérabilités (contre 60 % en 2018), et 49 % contenaient des vulnérabilités à haut risque. 
• En moyenne, 82 vulnérabilités ont été identifiées par base de code. 

Cette situation entraîne la prolifération d'un sous-ensemble de la dette technique : la dette de sécurité. La dette de sécurité est l'accumulation de vulnérabilités dans une application logicielle qui rend plus difficile, voire impossible, la protection des données et des systèmes contre une attaque.

L'un des exemples les plus notoires est celui d'Equifax, le géant de l'information sur le crédit qui a été victime d'une brèche en 2017 parce qu'il n'avait pas corrigé une vulnérabilité connue dans Apache Struts, un cadre d'application web open-source populaire. Le correctif était disponible depuis des mois, mais la brèche a compromis les données personnelles cruciales de plus de 147 millions de personnes.

Il convient donc d'accorder une plus grande attention aux pratiques de codage sécurisées, car de nombreuses applications ont atteint une masse critique non seulement en termes de dette technique, mais aussi de densité de faiblesses et de vulnérabilités en matière de sécurité dans l'application elle-même.

Cela peut entraîner des pertes considérables, qui peuvent être matérielles ou immatérielles : 

Atteinte à la réputation : La perte de la confiance des clients peut avoir un impact extrêmement négatif à long terme. Il peut s'agir d'une atteinte à la marque, d'une perte de chiffre d'affaires et de problèmes juridiques coûteux à la suite d'une violation. 

Impact sur la réglementation et la conformité : Si une faille de sécurité peut amener une entreprise à ne pas respecter un délai et/ou des obligations contractuelles, l'entreprise peut avoir des problèmes avec les autorités de régulation, ce qui entraîne des amendes importantes. Le non-respect d'un accord de niveau de service peut entraîner des problèmes avec les autorités de réglementation et des amendes importantes. 

Coûts de remise en état : Des travaux supplémentaires sont souvent nécessaires à la suite d'une panne ou d'un arrêt pour compenser la perte de productivité.

Prévenir la dette technique et de sécurité dans le cycle de développement durable (SDLC)

De nombreuses organisations ont déjà réorienté leur budget pour renforcer leur dispositif de sécurité. L'année dernière, Google s'est engagé à verser 10 milliards de dollars sur cinq ans pour financer un programme de renforcement de la cybersécurité. L'administration Biden a également demandé 2,1 milliards de dollars dans le budget discrétionnaire de 2022 pour l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA). 

Fournir davantage de ressources et de formations pour soutenir la croissance professionnelle et les connaissances de vos développeurs peut être la première étape dans l'établissement de normes de qualité pour tous les codes livrés en production. 

Le coût de la détection et de la correction d'une vulnérabilité ou d'un défaut augmente de manière exponentielle plus la détection et la correction sont tardives dans le cycle de développement du logiciel. Et comme nous l'avons vu, en consacrant tant de temps à la résolution de la dette technique et de sécurité, les organisations créent leurs propres pertes en renonçant à l'innovation et au temps consacré à de nouvelles fonctionnalités ou à de nouveaux produits. 

En 2022, une majorité d'équipes de développeurs ont déclaré que DevOps ou DevSecOps était leur méthodologie de choix, et ce n'est pas une surprise. DevSecOps intègre la sécurité à chaque étape du cycle de vie du développement logiciel afin de fournir des applications de meilleure qualité et plus sûres. Les équipes de sécurité et de développement continuent de travailler en silos et de connaître des tensions, mais il est clair que cela doit changer pour aider les entreprises à réussir. DevOps fait partie de la manière dont les organisations tentent de faire tomber les barrières et de remodeler la culture. L'objectif fondamental de DevSecOps est de renforcer la collaboration entre l'AppSec/la sécurité et les développeurs dès le début du cycle de vie du développement logiciel.

La mise en œuvre d'une nouvelle façon de penser la dette technique et la sécurité ne doit pas nécessairement être un exploit monumental. L'instauration d'un état d'esprit proactif par le biais de la formation est essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Une solide formation au codage sécurisé pour les développeurs garantit que l'apprentissage est continu, interactif, pertinent et contextuel. Une approche véritablement holistique doit prendre en compte ce qui est nécessaire pour favoriser une véritable culture de la sécurité menée par les développeurs. Cela peut nécessiter un changement d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.

Créer un changement de culture n'est pas facile, mais Secure Code Warrior vous aide à identifier vos champions de la sécurité et à doter les développeurs et les organisations des compétences adéquates pour relever les défis actuels de la sécurité en constante évolution. 

Le lancement d'un programme de code sécurisé engageant et évolutif est un investissement valable en raison de l'approche préventive à long terme de la sécurité, au lieu de l'approche réactive du passé. En fin de compte, cela permet d'atténuer les risques coûteux d'une violation, d'enseigner aux développeurs comment trouver et corriger rapidement les vulnérabilités, et de faciliter une approche plus agile du développement de produits et une mise sur le marché plus rapide.

Coding Labs : Formation pratique au code sécurisé pour les développeurs 

La formation continue est un défi sans l'apprentissage interactif 

Dans une récente enquête sectorielle(The State of Developer-Driven Security Report 2022), 40 % des développeurs ont déclaré que leur formation n'était pas assez pratique. Les entreprises investissent dans la sécurité et la formation au code sécurisé, mais les résultats sont peu probants, c'est-à-dire qu'elles constatent une réduction du code non sécurisé et une réduction de la refonte du code. Le plus souvent, les modules de formation au code sécurisé, ennuyeux et statiques, désengagent les développeurs et ne donnent que des résultats médiocres.

Les développeurs n'auront pas d'impact positif sur la réduction des vulnérabilités sans une compréhension fondamentale des concepts clés, ainsi que des stratégies offensives et défensives. Au lieu de cela, ils sont souvent confrontés à une approche unilatérale et statique qui se contente d'expliquer "comment réparer" le code en question. Pour vraiment saisir les concepts de sécurité essentiels, les développeurs doivent savoir comment fonctionnent les vulnérabilités, comprendre leur impact, illustrer les modèles qui les provoquent et se voir montrer comment les corriger dans un contexte qui a du sens pour eux. 

De nombreux développeurs sont motivés pour apprendre mais n'ont pas le temps d'investir dans un programme de formation au code sécurisé - ils se sentent souvent frustrés par le manque d'expérience pratique. Ils ont besoin d'une source de référence qui prenne en charge leurs différents styles d'apprentissage et propose une formation réaliste dans un environnement qui leur est familier. Cependant, la plupart des formations nécessitent une longue installation de bureau virtuel ou manquent de contenu et de scénarios adaptés à leur expérience.

Il n'est pas juste de mesurer leurs performances ou de centrer les indicateurs de performance des développeurs pour mettre l'accent sur le codage sécurisé alors qu'ils n'ont pas les compétences acquises grâce à des opportunités d'apprentissage interactives et pertinentes. Cependant, l'importance du développement de logiciels sécurisés ne peut être surestimée, et il est crucial d'obtenir l'adhésion des développeurs. 

Coding Labs apporte une formation de haut niveau au codage sécurisé axé sur les développeurs grâce à des modules interactifs, le tout dans un IDE pratique intégré au navigateur. 

Fournir la formation pratique que les développeurs recherchent  

Coding Labs fait partie de l'approche flexible et échelonnée de Secure Code Warriorpour l'apprentissage et l'amélioration de la maturité des développeurs en matière de sécurité. Les développeurs peuvent commencer par des visites guidées et des vidéos plus simples, puis passer à Missions et à nos nouveaux Coding Labs. 

Au lieu d'être confrontés à des conseils peu clairs et frustrants du type "c'est bien ou c'est mal", les développeurs peuvent être sûrs qu'ils apprennent de la bonne manière et améliorer leur compréhension grâce à un retour d'information contextuel en temps réel. 

Les développeurs peuvent choisir entre des parcours d'apprentissage à leur rythme ou tester leurs compétences sur le site courses assigné par l'administrateur de leur programme. Coding Labs est comme un entraîneur personnel, avec des modules interactifs et pratiques avec un codage réel et un retour d'information intuitif, les développeurs peuvent passer de l'apprentissage à la pratique plus rapidement et améliorer leurs compétences en codage sécurisé.
‍

Laboratoires de codage : 

• Fournit un retour d'information intuitif et des indications contextuelles pour s'assurer que les développeurs savent "pourquoi c'est important" en plus de "comment résoudre le problème".
• Facilite l'apprentissage grâce à des laboratoires de courte durée qui maximisent les résultats de l'apprentissage sans nuire à la productivité.
• Il n'est pas nécessaire d'installer des bureaux virtuels ou des configurations, et il est facile de les déployer pour tous les développeurs
  ‍
  

Développez des compétences solides et pratiquez le codage sécurisé en temps réel 

Coding Labs permet aux développeurs d'apprendre dans un environnement de type IDE qui simule la façon dont ils travaillent, les aidant à affiner leurs compétences en s'engageant mieux dans le sujet sans distraction. Les développeurs apprendront au fur et à mesure qu'ils codent, grâce à des conseils intuitifs qui fournissent un contexte sur les tenants et les aboutissants de la prévention des vulnérabilités en matière de sécurité.

Dans le cadre de la plateforme SCW, cette nouvelle expérience apporte une nouvelle perspective à la formation des développeurs. Les développeurs peuvent s'entraîner grâce à une variété de types de formation basés sur l'apprentissage par niveaux - des vidéos d'explication aux défis pratiques, allant du plus facile au plus difficile. 

Les administrateurs du programme peuvent choisir entre l'apprentissage à son propre rythme ou la création de programmes personnalisés avec les laboratoires de codage comme activité d'apprentissage. Les développeurs renforceront leurs compétences au fil du temps - en commençant par des fondations solides en reconnaissant les principes de base et en améliorant leurs connaissances au fil du temps avec une pratique réelle de l'écriture de code sécurisé. 

Coding Labs est comme un coach personnel pour les développeurs qui travaillent sur une nouvelle vulnérabilité avec une formation abordable et guidée, pour finalement passer à une expérience plus stimulante et plus pratique. Les dirigeants peuvent être sûrs que les développeurs trouveront la formation plus attrayante, plus facile à retenir et qu'ils l'appliqueront finalement à la base de code afin de réduire les vulnérabilités et le travail de révision.

Curieux d'en savoir plus ? Réservez une démonstration 

Essayez Secure Code Warrior gratuitement

‍

Cette semaine, nous célébrons officiellement les huit ans de Secure Code Warrior. D'une part, cela représente 350 fois la durée de la mission Apollo 11, ainsi que l'équivalent de 45 000 parties de football ou de 5696 fois Super Mario Odyssey jusqu'à la fin. D'autre part, cela ne représente qu'un trentième de la durée de vie d'une tortue géante (250 ans, si vous vous posez la question). Dans le monde d'une startup à forte croissance, cela représente un voyage plein de rebondissements, de leçons et d'accomplissements, dont beaucoup étaient inimaginables lorsque nous avons commencé à signer notre plan d'affaires. 

Entre la menace omniprésente de la récession, les conflits militaires et certaines des violations de données les plus perturbantes que nous ayons connues à ce jour, 2022 n'a pas été l'année la plus positive pour beaucoup, y compris pour moi. Il serait malhonnête de ma part de dire que l'année n'a pas été de tout repos, mais je reste fier de notre résilience face aux défis mondiaux actuels. Nous disposons d'une équipe exceptionnelle et chacun d'entre nous se consacre véritablement à la réussite des programmes de sécurité des entreprises, en plaçant les développeurs au cœur d'une approche transformationnelle et défensive de problèmes qui existent depuis très longtemps. Bien que nous ne soyons peut-être pas la seule option de formation à la cybersécurité "gamifiée" sur la planète, une chose est sûre : personne d'autre n'a notre vision, notre persévérance ou notre équipe fondatrice, et nous avons traversé beaucoup d'épreuves ensemble.
‍

Nos anniversaires sont souvent l'occasion de revenir sur les événements marquants de l'année écoulée, mais cette fois-ci, je tiens à souligner à quel point il est exceptionnel que nous ayons connu une telle croissance tout en conservant les six personnes que nous avions entassées dans un minuscule bureau le premier jour.

Nous avons trouvé notre place et travaillons ensemble chaque jour pour mettre en œuvre une vision qui, nous en sommes convaincus, changera la façon dont les développeurs perçoivent leur rôle en matière de sécurité. C'est un travail considérable, mais nous n'avons pas oublié nos racines et l'importance de notre lien.

‍

La route est encore longue, mais avec ce noyau et une équipe croissante de personnes enthousiastes, empathiques et dévouées, je crois vraiment que nous pouvons contribuer à changer le statu quo en matière de sécurité dans le développement de logiciels. 

Et vous savez ce qui me rend si confiant ? Dès le début, nous avons mis l'accent sur la diversité et l'avons considérée comme un pilier de la force de l'équipe. Les meilleures organisations se construisent grâce aux contributions de personnes issues de milieux, de cultures et d'horizons différents. Nous avons ajouté plus de cent nouvelles personnes à l'équipe au cours de l'année écoulée, et je suis fier de dire que nous sommes un creuset d'approches qui aboutissent à un groupe formidable et talentueux d'êtres humains qui peuvent nous propulser dans la stratosphère proverbiale. 

Si ces trois dernières années nous ont appris quelque chose, c'est qu'il faut s'attendre à l'inattendu, mais la constante sur laquelle je peux compter, c'est que nous nous soutenons mutuellement et que, lentement mais sûrement, nous contribuons à rendre les logiciels plus sûrs. Et nous le faisons sans perdre notre sens de l'aventure.

Sur Secure Code Warrior, nous innovons constamment pour aider les développeurs et les organisations à acquérir les compétences nécessaires pour relever les défis actuels en matière de sécurité, qui sont en constante évolution. 

Nous avons compilé les principales fonctionnalités et mises à jour de notre plateforme, ainsi que les ressources et les lignes directrices publiées cette année, afin d'aider votre organisation à sécuriser vos logiciels grâce à une sécurité pilotée par les développeurs dès le début du cycle de développement des logiciels.

Faits marquants de 2022

2022 a été une grande année pour l'apprentissage du code sécurisé. Voici quelques indicateurs que nous avons obtenus de nos utilisateurs pour montrer la portée et l'ampleur de notre Plateforme D'apprentissage.
‍

‍

2022 a été une grande année de construction, passons en revue quelques-uns des faits marquants !

Principales publications en 2022

Bientôt disponible : Laboratoires de codage

Avec Coding Labs, les développeurs peuvent améliorer leurs compétences en matière de codage sécurisé grâce à une expérience d'apprentissage pratique dans un environnement de développement intégré (IDE) unique en son genre. En se formant dans un environnement familier, il est plus facile que jamais de passer de l'apprentissage de nouvelles compétences à leur application au code réel et à la prévention des vulnérabilités avant qu'elles ne soient introduites.

Coding Labs est actuellement disponible en avant-première pour les clients, contactez votre représentant SCW pour en savoir plus sur l'accès si vous ne l'avez pas encore fait.

Intégration SCORM LMS

SCORM est la norme internationale pour l'e-courses. Si votre cours est publié dans le format SCORM, vous pouvez être sûr que presque tous les systèmes de gestion de l'apprentissage (LMS) le reconnaîtront.

L'intégration SCORM LMS permet aux administrateurs de gérer facilement leur programme de formation au code sécurisé ainsi que leurs autres plateformes de formation en un seul endroit, ce qui vous fait gagner du temps et vous permet de vous concentrer sur les choses importantes, comme les moyens les plus efficaces d'améliorer vos programmes de formation. 

Secure Code Warrior Connecteur pour les flux de travail Okta 

Cette intégration permet d'empêcher l'introduction de code non sécurisé dans votre base de code grâce à la puissance d'un contrôle de sécurité qui peut être intégré à votre flux. 

Lorsque vous travaillez sur des bases de code, par exemple dans un dépôt GitHub, vous pouvez définir des leçons et des évaluations obligatoires comme critères de qualification pour coder dans la base. Cela permet à vos responsables de s'assurer que chaque développeur est prêt à travailler dans la base de code concernée, ce qui contribue à améliorer la posture de sécurité de l'ensemble de l'organisation. 

En savoir plus sur Okta + SCW 

Voir la démo ici 

Apprenez-en plus et assistez à une démonstration en direct de Coding Labs lors de ce webinaire sur la productivité et l'habilitation des développeurs.

Découvrez les nouveautés de notre blog

Découvrez la démo Okta et nos autres intégrations dans l'un de nos ProductTalks. 

Les vulnérabilités dans l'actualité 

Secure Code Warrior offre une réponse rapide aux principales vulnérabilités afin de s'assurer que vous êtes conscient de la situation et de ce qu'il faut faire. De plus, dans la mesure du possible, nous créerons même une simulation qui vous permettra d'acquérir une expérience pratique des mécanismes et de mieux protéger votre application contre les menaces futures. 

L'année 2022 a été riche en événements en ce qui concerne les vulnérabilités et les attaques. Qu'il s'agisse d'une vulnérabilité de log4j mettant en péril des millions d'applications ou d'un chemin de traversée de tar en python qui a mis près de 15 ans à être corrigé, Secure Code Warrior propose des lignes directrices et un test gratuit missions pour vous préparer à ce type de vulnérabilités. 

• Vulnérabilité de Log4J
• Source du cheval de Troie
• Vulnérabilité du printemps
• Vulnérabilité du service d'appel de procédure à distance NGINX et Microsoft Windows SMB
• Informations d'identification codées en dur
• Bogue de traversée de chemin Python

Communiqués et mises à jour supplémentaires 

Chez Secure Code Warrior, nous sommes très attachés à une formation évolutive et attrayante qui répond aux besoins des développeurs là où ils se trouvent, quel que soit leur niveau. En juin, nous avons donné le coup d'envoi de notre série trimestrielle de webinaires ProductTalk, qui couvre toutes les nouveautés passionnantes que nous proposons à nos clients.

En 2022, de nombreux ajouts ont été apportés aux langues et au contenu disponibles au SCW, des améliorations essentielles ont été apportées à l'expérience de l'administrateur et des incursions ont été faites dans la production de rapports plus détaillés. 

Une éducation flexible et diversifiée

Secure Code Warrior contient du contenu de formation dans plus de 63 langages différents (et ce n'est pas fini), des plus populaires(Java et C++) aux étoiles montantes comme GO et Typescript. En 2022, nous avons ajouté encore plus de contenu et de langues à notre répertoire. 

• NOUVEAUX modèles de cours OWASP pour aider à développer les connaissances de base et la sensibilisation à la sécurité de vos développeurs.
• Nouveau langage - SAP:ABAP Les langages de niche tels que SAP:ABAP bénéficient du traitement SCW avec un contenu de formation délivré dans le format préféré des développeurs - extraits de code et échantillons.

Configuration et administration simplifiées

Nous savons à quel point il est important de faciliter le déploiement et la maintenance de programmes de codage sécurisés. En 2022, nous avons fait beaucoup d'améliorations intentionnelles pour faciliter le travail de nos administrateurs et créer une expérience sans maux de tête et intuitive.

• Vue tabulaire des cours - Il est maintenant encore plus facile pour vous de créer rapidement courses pour différentes équipes de développement.
• Edition et version des cours - Les administrateurs peuvent éditer leurs cours existants ( courses ) et créer des versions de base des cours sans avoir à créer un tout nouveau cours.
• Actions en bloc - Faites-en plus avec moins de clics et apportez des modifications à courses à partir d'un seul endroit au lieu de les appliquer à toutes les langues.
• Bouton "Continuer " - L'accès à Courses depuis l'écran d'accueil avec un bouton "Continuer" vers la nouvelle page d'accueil affiche une liste de fiches d'activités pour aider les utilisateurs à reprendre rapidement les modules qu'ils ont déjà commencés.

Rapports et analyses

Pour les administrateurs d'entreprise et les chefs d'équipe, la nécessité de surveiller l'activité à travers l'organisation est cruciale pour comprendre l'engagement de vos développeurs et mesurer le succès de votre programme de formation. En accédant à des mesures clés telles que le nombre de courses complétés et le temps passé sur courses - que ce soit au niveau de l'équipe ou de l'individu, des décisions encore plus stratégiques peuvent être prises pour construire des programmes de formation plus riches.

• Mesures de formation - Rendez compte des progrès et de la réussite de votre programme de sécurité des applications à l'aide de mesures qui indiquent la progression d'un développeur dans sa formation plutôt que le temps qu'il a passé sur la plateforme.

• Assessment Téléchargements CSV - Comprenez rapidement les forces et les faiblesses de vos développeurs afin d'évaluer votre stratégie et votre maturité, grâce aux téléchargements CSV qui incluent toutes les versions du site assessment plutôt qu'une seule.

Intégration des technologies

Secure Code WarriorL'approche de l'intégration adoptée par le Centre garantit que votre programme SCW est directement intégré à vos produits préférés et aux flux de travail des développeurs afin d'améliorer l'expérience des utilisateurs et de permettre une remédiation juste à temps, ainsi que des résultats d'apprentissage plus probants. 

• Secure Code Warrior pour GitHub - Permet une formation contextuelle dans les flux de travail GitHub en ajoutant du matériel de formation à la sécurité des applications aux fichiers SARIF ou directement dans les problèmes et les demandes d'extraction, permettant aux développeurs d'accéder aux connaissances lorsqu'ils en ont le plus besoin afin de vous aider à livrer un code de qualité plus rapidement.

En savoir plus sur SCW+GitHub 

• Secure Code Warrior pour GitLab - Incorporez des liens de formation Secure Code Warrior très pertinents dans la section Vulnerability Details des rapports de vulnérabilité dans GitLab. Cela permet de réduire le délai entre l'apprentissage et l'application des connaissances afin de garantir une utilisation future.

Voir la démo

En savoir plus sur SCW+GitLab  

• Intégration de Synopsys Seeker - Lien Secure Code Warrior ressources, vidéos et liens de formation pour les découvertes de vulnérabilités dans Seeker. Le micro-apprentissage dans Synopsys Seeker aide à identifier et à résoudre les vulnérabilités grâce à des conseils de formation facilement accessibles dans Seeker. 

En savoir plus sur Synopsys + SCW

Devlympics 2022

Secure Code Warrior a organisé sa deuxième compétition annuelle de codage sécurisé Devlympics le 19 octobre 2022. Nous sommes fiers de vous annoncer que les Devlympics 2022 ont été encore plus importants que l'année dernière ! L'événement de cette année a compté 2910 inscriptions avec près de 800 joueurs dans les arènes Champion ou Ultimate Warrior, et s'est avéré être un énorme succès en aidant les développeurs de tous les niveaux d'expérience à améliorer leurs compétences en matière de codage sécurisé. 

Pendant les 24 heures de tournament, des développeurs du monde entier ont participé à des défis de codage offensifs et défensifs dans les langages de programmation de leur choix. Les développeurs ont eu l'occasion de se mesurer à leurs pairs dans un large éventail de compétences, des amateurs aux professionnels des langages choisis.

Parallèlement, les experts en sécurité ont été invités à se rendre sur le canal Discord du Secure Code Forum pour jouer en direct et partager leurs commentaires, échanger des blagues et des mèmes, et en apprendre davantage sur Secure Code Warrior. 

Des ressources pour vous aider à réussir 

Secure Code Warrior est l'une des quatre entreprises figurant dans le rapport Gartner® Cool Vendors™ in Software Engineering : Enhancing Developer Productivity. En plus d'offrir des solutions innovantes qui aident les organisations à stimuler la productivité des développeurs et à atténuer les risques de sécurité, Secure Code Warrior a publié un certain nombre de ressources et de recherches sur l'importance de la sécurité pilotée par les développeurs. 

Que vous soyez un responsable AppSec luttant pour obtenir l'engagement et la contribution de vos équipes de développeurs, ou que vous soyez un responsable de l'ingénierie travaillant à améliorer la position de sécurité de vos équipes, nous vous fournissons les guides et les outils dont vous avez besoin pour plaider en faveur d'une sécurité axée sur les développeurs au sein de votre organisation. 

• Secure Code Coach - un centre de ressources pour les développeurs afin d'apprendre et de s'engager avec les membres de leur communauté pour en savoir plus sur le codage sécurisé ‍
• Livre blanc : L'état de la sécurité pilotée par les développeurs‍
• Livre blanc : Les défis à relever pour améliorer la sécurité des logiciels ‍
• Le plan de formation au code sécurisé‍
• Étapes vers la maturité de l'équipe de développement en matière de sécurité‍
• La matrice de maturité de la sécurité des développeurs
• L'importance de la maturité en matière de sécurité dans les équipes de développeurs‍
• Quiz sur la maturité de la sécurité 
• Votre manuel sur la sécurité pilotée par les développeurs 

Vous souhaitez essayer Secure Code Warrior mais vous n'avez pas encore de compte ? Créez un compte d'essai gratuit dès aujourd'hui pour commencer.

Contactez le service des ventes pour en savoir plus. 

Suivez Secure Code Warrior sur Twitter pour obtenir des informations sur les dernières versions et améliorations.

C'est tout pour l'instant, rendez-vous en 2023 !

‍

‍

Le coût d'un mauvais code 

Grâce aux progrès technologiques, les développeurs peuvent désormais livrer leur code plus rapidement que jamais. Cela peut être stimulant pour l'innovation, mais décourageant lorsqu'il s'agit d'augmenter la qualité et la sécurité des logiciels. Justifier les coûts des outils supplémentaires, des programmes de formation et de l'investissement dans la mise à niveau des développeurs peut sembler être un bienfait plutôt qu'une fonction essentielle de l'entreprise si la vitesse du code livré est maintenue.  

L'envoi de code plus rapide est peut-être devenu plus facile, mais malheureusement l'envoi de code sécurisé ne l'est pas, ce qui laisse les organisations vulnérables à plus de menaces que jamais. Le coût de la cybercriminalité est stupéfiant dans le monde entier, et il augmente rapidement. En fait, en 2020, le coût de la cybercriminalité s'élevait à environ 1 000 milliards de dollars. En moyenne, le coût d'une violation de données s'élève à 4,35 millions de dollars, répartis entre la perte de clientèle actuelle et potentielle, ainsi que les ressources consacrées à la détection, à l'escalade et à la reprise du travail. 

Malgré ces coûts astronomiques, plus de la moitié des entreprises n'exigent pas des développeurs qu'ils suivent chaque année une formation formelle sur le code sécurisé.

Les professionnels de la sécurité savent tous que la recherche et la correction des vulnérabilités peuvent s'apparenter à un jeu de bonneteau. Même si vous disposez déjà d'un programme de sécurité assorti d'une stratégie de remédiation, il y a toujours une possibilité d'amélioration. La plupart des organisations constatent que lorsque leur capacité de sauvegarde ou de reprise après sinistre est mise à l'épreuve, leur approche de la sécurité n'est pas aussi solide qu'elles le pensaient. Si le renforcement de la résilience de votre organisation face aux cyberattaques est l'une de vos principales priorités, le changement de perspective laissé à vos développeurs devrait faire partie de vos plans pour continuer à améliorer votre posture de sécurité. Une équipe de développeurs compétents et responsabilisés, qui conçoivent des codes sécurisés dès le départ et qui sont suffisamment informés pour localiser et corriger rapidement les vulnérabilités, est votre moyen le plus rentable d'atténuer les risques.   

Une idée fausse en matière de formation des développeurs est qu'il s'agit simplement d'un coût pour l'entreprise ou même d'une police d'assurance. Selon Klaus Klinger, DevSec Awareness Evangelist chez Allianz, "Tout doit commencer dans la tête de la direction. Investir dans la formation des développeurs n'est pas un investissement perdu, mais un investissement dans la qualité, la productivité et la réputation de l'entreprise".

Le retour sur investissement est souvent difficile à quantifier dans ce domaine, mais en fin de compte, les entreprises devraient se demander comment leur dispositif de sécurité les aide à réduire les risques, à rationaliser leur approche et à faire gagner du temps et de la productivité à leurs équipes de développeurs. 

Comment quantifier le retour sur investissement des coûts de cybersécurité ?

Lorsqu'il s'agit de retour sur investissement, il est important de l'envisager sous deux angles différents : les économies réalisées grâce à la réduction des risques et l'impact de votre formation en matière de sécurité.

Prenons cet exemple trop courant : une vulnérabilité ou une brèche entraîne la mise hors ligne d'un site de commerce électronique pendant plusieurs jours, le temps que ses équipes recherchent le problème et la manière de le résoudre. Le coût de l'absence de remédiation peut être quantifié en termes de perte de revenus pendant la panne, d'impact du vol d'informations d'identification, de perte de confiance des clients (entraînant une réduction des ventes à long terme) et de perte de productivité globale pendant la résolution du problème. 

Il s'agit en fait d'une analyse coûts/bénéfices. Les domaines clés que vous voudrez évaluer sont le niveau de maturité de votre entreprise en matière de sécurité, les niveaux d'acceptation des risques de votre entreprise et les domaines de votre code qui doivent être maintenus ou améliorés.

Les gens se concentrent souvent sur les mauvaises mesures pour déterminer le succès et la valeur. Peut-être devrions-nous moins nous préoccuper du retour sur l'investissement initial du programme et plutôt mesurer l'impact du programme lui-même. 

Mesurer pour prouver l'impact

Afin d'établir le retour sur investissement, vous devez créer des objectifs mesurables. Cela commence par l'évaluation des connaissances de vos développeurs en matière de codage sécurisé et par la compréhension des domaines dans lesquels ils ont besoin d'améliorer leurs compétences. 

Un point de départ serait de mesurer l'engagement pour vous aider à prendre des décisions stratégiques sur la manière d'élaborer des programmes de formation plus riches. Plus important encore, mesurez l'impact. Commencez par examiner le nombre de faiblesses détectées dans le cycle de vie du développement logiciel par le biais de l'analyse du code, de la chasse aux bogues ou de tests de vulnérabilité classiques avant de lancer le programme dans chaque équipe. L'un des moyens les plus simples de savoir si votre programme de formation produit les résultats escomptés est de mesurer la diminution des vulnérabilités introduites dans votre base de code en général.

‍

Principales questions pour évaluer le retour sur investissement :‍

1. Rationalisons-nous notre approche ?

‍Est-ceque vous ajoutez des outils au problème ou est-ce que vous le résolvez à la racine ? L'ajout d'outils à votre pile technologique crée une approche de type "swiss cheese" pour trouver et corriger les vulnérabilités. Ils augmentent également les coûts opérationnels sans avoir d'impact sur la source de nombreuses vulnérabilités, à savoir le code. Bien que les outils d'analyse et de pentesting doivent absolument faire partie de votre arsenal, ils ne doivent pas être votre dernière ligne de défense. ‍

2. Améliorons-nous l'efficacité et la productivité ?

Le temps consacré à des revues de code exhaustives et à des remaniements du code renvoyé par l'AppSec peut entraîner une perte de productivité importante. Réduire les exercices d'évacuation en donnant aux équipes de développeurs les moyens de mettre la main à la pâte dans le cadre de leur formation au code sécurisé devrait constituer un bon point de référence pour évaluer l'impact positif de votre programme de sécurité. ‍

3. réduisons-nous les risques ?

Trouver et corriger une vulnérabilité peut s'apparenter à la résolution d'un grand puzzle, qui peut parfois prendre des jours, des semaines, voire des mois avant d'être complété par une solution solide. En donnant aux développeurs les moyens de prendre en charge la remédiation à la source, l'AppSec peut se concentrer sur la surveillance des risques et le renforcement de la posture de sécurité de l'organisation.

4. Augmentons-nous la vitesse (tout en maintenant la qualité) ?

Livrer du code rapidement n'est pas toujours une bonne chose. Couper les coins ronds et introduire des vulnérabilités dans le code peut créer de nombreux maux de tête à l'avenir et accumuler de la dette technique. La réflexion à court terme n'est pas la solution. Il est possible d'atténuer les risques en sécurisant le code dès le départ, afin d'éviter que le problème ne s'aggrave à l'avenir.
‍

Mesures recommandées pour le suivi :  

• Engagement - combien de temps consacrez-vous à la formation et comment les développeurs s'engagent-ils ? Remplissent-ils courses, font-ils des évaluations et participent-ils à tournaments? 
• Compétences - quels sont vos points forts ? Quels sont les domaines que vous avez identifiés comme devant être améliorés ? 
• Réduction des vulnérabilités - avez-vous remarqué une diminution mesurable des vulnérabilités lors de l'examen du code ? Voyez-vous moins de travaux de reprise de la part de l'AppSec ? 
• Productivité - combien de temps faut-il pour remédier à un problème ? Avez-vous remarqué une augmentation de la productivité ou de la vélocité grâce à la réduction de la vulnérabilité ? 

Créer de la valeur en passant à gauche

Les failles et les vulnérabilités augmentent rapidement chaque année. Il est important de commencer à élaborer de manière proactive une approche holistique de la sécurité, en commençant d'abord par votre code. Cela vous aidera à 

• Réduire la complexité en investissant dans vos ressources les plus précieuses - vos collaborateurs - au lieu de dépenser de l'argent dans des outils qui ne résolvent qu'une partie du problème. 
• Améliorer l'efficience et l'efficacité globale en limitant les reprises ou les corrections qui seraient normalement identifiées par l'AppSec après le déploiement du code. 
• Atténuez les risques et respectez la conformité, en évitant les amendes coûteuses, la perte de confiance des clients ou, pire encore, le coût d'une violation de données. 

Évitez les réflexions à court terme et les solutions rapides. Elles ne peuvent qu'entraîner une dette technique et des coûts supplémentaires à terme. Planifiez à long terme en exploitant la puissance de la formation continue et en permettant à vos développeurs d'être votre meilleure ligne de défense contre les vulnérabilités et la cybercriminalité, et constatez par vous-même l'impact et les économies réalisées.

‍

En réponse à des failles de sécurité majeures telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, les efforts de sécurité menés par les développeurs se font de plus en plus pressants. Les organisations de toutes tailles commencent à remettre en question leur "chaîne d'approvisionnement en logiciels" et à exiger que les développeurs de leurs logiciels aient des compétences et des connaissances vérifiées en matière de sécurité.

Même le gouvernement des États-Unis appelle à de meilleures pratiques de sécurité dirigées par les développeurs et à un renforcement de la chaîne d'approvisionnement en logiciels. Ces concepts sont un élément clé du décret sur l'amélioration de la cybersécurité de la nation publié par le président Biden.

Dans l'ensemble, la communauté des développeurs s'est montrée réceptive à l'idée d'intégrer la sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC) grâce à des programmes et des mouvements tels que DevSecOps.

Les vulnérabilités des logiciels continuent d'être exploitées, et même les développeurs admettent qu'ils laissent parfois des failles dans leur code.

Pourquoi ?

L'enquête a confirmé que l'écriture d'un code de qualité était une priorité absolue pour la communauté des développeurs. Cependant, l'enquête a également identifié plusieurs raisons pour lesquelles la formation dispensée aux développeurs, bien qu'elle soit considérée comme utile, ne permet pas d'atteindre l'objectif de sécurisation de la chaîne d'approvisionnement en logiciels. 33 % ont déclaré qu'ils laissaient encore des vulnérabilités dans leur code parce que, même après la formation dispensée, ils ne savaient toujours pas comment identifier ou corriger les vulnérabilités connues. Par ailleurs, 92 % des personnes interrogées ont déclaré qu'elles avaient besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 50 % d'entre elles ont déclaré qu'elles avaient besoin de beaucoup plus de formation.

Il est clair que la communauté des développeurs apprécie la formation qui leur est dispensée. Toutefois, lorsqu'on les interroge sur les obstacles à l'adoption de pratiques de codage sécurisées, le manque de temps est cité comme la première raison, suivi par un cinquième des répondants qui citent l'absence d'une approche cohérente comme coupable. La formation est davantage considérée comme un événement ponctuel que comme un élément d'un effort stratégique continu visant à intégrer la sécurité dans les flux de travail des développeurs et à l'utiliser au quotidien.

Ainsi, les développeurs ne sont pas en mesure d'acquérir et de conserver des compétences en matière de codage sécurisé dans le cadre d'un programme cohérent et continu au sein de leur organisation. Nous pouvons également conclure que la formation actuellement reçue n'est pas particulièrement efficace ou complète, étant donné que de nombreux développeurs affirment qu'ils ne peuvent toujours pas identifier et corriger les vulnérabilités courantes.

92 % des développeurs ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 92 % ont déclaré qu'une formation beaucoup plus poussée était nécessaire.

Que peuvent faire les organisations pour remédier à la situation ?

Il est intéressant de noter que les développeurs ont massivement déclaré qu'ils avaient besoin d'une formation plus poussée en matière de sécurité. Bien qu'ils apprécient la formation qu'ils ont reçue, il s'agit peut-être d'une situation où ils se contentent de ce qu'ils peuvent obtenir.

Lorsqu'on leur a demandé de commenter les moyens d'améliorer leur formation, leurs véritables idées sur la question ont commencé à faire surface. En général, la plupart des formations reçues par les développeurs étaient limitées, non interactives, ne ciblaient que partiellement leurs responsabilités professionnelles et ne faisaient pas partie d'un plan global ou continu visant à améliorer les compétences et la sensibilisation de leur organisation en matière de sécurité.Selon les développeurs interrogés, si les organisations souhaitent améliorer l'efficacité des formations proposées, celles-ci devraient être présentées comme faisant partie d'une approche globale visant à promouvoir une plus grande importance de la sécurité tout au long du cycle de vie du logiciel. En outre, les développeurs ont formulé des demandes spécifiques pour rendre leur formation plus utile. L'une des suggestions les plus populaires était d'inclure davantage de cas d'utilisation et d'exemples pratiques de situations qu'ils sont susceptibles de rencontrer du point de vue de la sécurité. Une autre réponse populaire pour améliorer l'efficacité était que la formation couvre éventuellement des scénarios de plus en plus complexes ou difficiles - ce qui nécessiterait probablement une approche plus cohérente et un plan à long terme pour l'apprentissage continu et le développement des compétences.Les développeurs ont également souligné le besoin de plus d'interactivité et peut-être même d'ajouter un élément de compétition. En général, les formations où les utilisateurs se contentent de regarder une vidéo ou d'écouter un cours magistral sans possibilité d'apprentissage pratique et contextuel ne sont pas considérées comme efficaces ou particulièrement utiles lorsqu'il s'agit d'enseigner une compétence complexe et (perçue comme) difficile telle que le codage sécurisé.

Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même de l'ajout d'un élément compétitif.

Quels sont les autres éléments importants dans l'adoption d'une approche cohésive de la sécurité ?

La formation est évidemment essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Il est indispensable de veiller à ce que l'apprentissage soit continu, interactif, pertinent et contextuel. Mais une approche véritablement cohérente de la sensibilisation à la sécurité va encore plus loin.

Une approche véritablement cohérente doit prendre en compte ce qui est nécessaire pour favoriser une véritable culture de la sécurité dirigée par les développeurs. Cela peut nécessiter un changement d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs. Par exemple, les développeurs ont toujours été évalués en fonction de leur rapidité à coder. Mais une approche cohésive de la sécurité pourrait impliquer de modifier ces mesures et valeurs de longue date. Au lieu de récompenser la vitesse brute, les évaluations pourraient mettre l'accent sur les développeurs capables de créer un code de qualité qui soit également sûr, c'est-à-dire dépourvu de vulnérabilités.

La communauté des développeurs pourrait également participer à cet effort. Au lieu de simplement imposer la sécurité aux développeurs, envisagez de créer ou de nommer des champions de la sécurité au sein de la communauté. Il s'agirait de développeurs talentueux et sensibilisés à la sécurité qui se distinguent soit dans le cadre de la formation, soit dans le cadre des évaluations de mesures nouvellement ciblées. Ils devraient également être disposés à aider d'autres développeurs à améliorer leurs compétences, améliorant ainsi la communauté de développement de l'intérieur.

Une approche véritablement cohérente doit prendre en compte ce qui est nécessaire pour favoriser une véritable culture de la sécurité dirigée par les développeurs. Cela peut nécessiter un changement d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.

Pour en savoir plus

Livre blanc : Les défis (et les opportunités) pour améliorer la sécurité des logiciels

Livre blanc : L'approche préventive de la sécurité des logiciels axée sur les développeurs

Livre blanc : Le DevSecOps Superbowl : Comment les champions de la sécurité peuvent aider votre équipe à remporter la victoire contre les vulnérabilités tardives.

Rapport : L'état de la sécurité pilotée par les développeurs 2022