Les équipes de sécurité ont du mal à suivre le raz-de-marée de nouvelles innovations dans le monde DevOps d'aujourd'hui, axé sur le cloud. Il est donc logique qu'elles soient également incapables de suivre le rythme de la myriade de façons dont les attaquants exploitent les faiblesses qui découlent inévitablement d'une telle quantité de code générée en permanence.
Pourtant, malgré l'accélération du rythme des failles de sécurité importantes - depuis la violation des données d'Equifax et l'attaque de la chaîne d'approvisionnement de SolarWinds jusqu'aux incidents de ces dernières années, tels que les attaques réussies contre Change Healthcare, AT&T et d'autres - de nombreuses organisations continuent de se concentrer sur une approche réactive de la sécurité. Elles consacrent la majeure partie de leurs ressources en matière de sécurité à la recherche et à la correction des vulnérabilités, ainsi qu'à la réaction aux incidents au fur et à mesure qu'ils se produisent. Cette approche aurait pu convenir à une autre époque, mais l'évolution rapide des logiciels, des capacités technologiques et de l'infrastructure informatique est trop importante pour que des équipes de sécurité en sous-effectif et surchargées de travail puissent la suivre.
Pour éviter d'être continuellement désavantagées, elles doivent cesser de courir après les menaces de sécurité qui évoluent trop vite pour elles ou d'attendre que le cheval de la violation de données soit sorti de l'écurie. Au lieu de cela, elles doivent s'attaquer au problème en adoptant une approche préventive plutôt que réactive. L'amélioration de la sécurité des applications existantes et des nouvelles applications nécessite une approche "Secure-by-Design", soutenue par une formation efficace des développeurs, afin de garantir que les meilleures pratiques de sécurité sont utilisées dès le début du cycle de développement logiciel (SDLC) et que les vulnérabilités sont corrigées avant qu'elles ne soient mises en production.
Jusqu'à présent, cela s'est avéré beaucoup plus facile à dire qu'à faire.
Les codeurs sécurisés sont rares
L'agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a tenté de faire de la prévention une politique clé avec son initiative Secure-by-Design, qui promeut le codage sécurisé ainsi que d'autres bonnes pratiques - allant de l'authentification multifactorielle à la réduction des catégories de vulnérabilités - et encourage les organisations à prendre l'engagement Secure-by-Design Pledge (Engagement pour la sécurité par la conception). D'autres pays, dont l'Australie, le Canada, l'Allemagne et le Royaume-Uni, ont lancé des programmes similaires. Néanmoins, nos recherches montrent que très peu d'organisations se sont ralliées à ce programme jusqu'à présent.
Si nous combinons tous les développeurs sur Secure Code Warrior's Learning Platform avec ceux des concurrents de SCW travaillant dans la veine Secure-by-Design, il y a entre 500 000 et 1 million de développeurs qui adoptent cette approche. Selon l'estimation la plus généreuse, cela représente environ 3,5 % du nombre total de développeurs dans le monde, qui devrait atteindre 28,7 millions d' ici à la fin de 2024. Cela fait beaucoup de développeurs qui produisent plus de code que jamais auparavant, en particulier avec les programmes d'intelligence artificielle générative qui accélèrent considérablement le rythme de développement, et très peu qui apprennent à commencer par un code sécurisé.
Les ingénieurs en logiciel n'apprennent généralement pas la cybersécurité parce que le modèle traditionnel veut que les développeurs et les professionnels de la sécurité travaillent comme des entités séparées, les équipes de sécurité s'occupant des problèmes de sécurité après la création du logiciel. Mais les professionnels de la sécurité sont terriblement moins nombreux dans l'environnement actuel. Le dernier rapport Building Security in Maturity Model ( BSIMM14) montre qu'il y a, en moyenne, 3,87 professionnels de l'AppSec pour 100 développeurs dans le monde. Avoir moins de quatre spécialistes formés qui tentent de sécuriser la production de 100 développeurs travaillant à une vitesse vertigineuse n'est pas une recette pour un code sécurisé.
La négligence de la sécurité des applications est tout aussi évidente lorsque l'on compare la taille de son marché à celle d'autres secteurs de la sécurité. Les éléments qui composent une approche Secure-by-Design relèvent du marché de la sécurité des applications, qui devrait passer de 6,08 milliards de dollars en 2023 à 17,51 milliards de dollars d'ici à 2031. Cela ressemble à une croissance rapide, mais c'est bien peu comparé à l'argent dépensé pour la sécurité des réseaux, qui devrait passer de 23,57 milliards de dollars en 2023 à 67,33 milliards de dollars d'ici 2032, ou pour la sécurité des technologies opérationnelles, qui devrait passer de 18,03 milliards de dollars en 2023 à 57,51 milliards de dollars d'ici 2031.
Compte tenu de l'importance croissante de la sécurité du code et des applications, ce domaine est sous-financé. En fait, si les entreprises investissent davantage dans la sécurité des applications et dans une approche "Secure-by-Design", elles peuvent être en mesure d'économiser dans d'autres domaines de la sécurité.
Un certain nombre d'autres facteurs contribuent à l'idée que la sécurité préventive est plus difficile à mettre en œuvre, et donc plus difficile à vendre aux cadres supérieurs. D'une part, les entreprises qui existent depuis longtemps, comme celles du secteur des services financiers, sont encombrées de vieux systèmes, dont certains datent du milieu du siècle dernier, lorsque le COBOL était le langage de programmation de prédilection.
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Construire une culture de la prévention
La transition vers une approche préventive de la sécurité démarre peut-être lentement, mais la pression en faveur de l'adoption de pratiques de conception sécurisée (Secure-by-Design) ne faiblit pas, car le besoin pressant d'une telle approche dans l'environnement actuel des cybermenaces ne disparaît pas non plus. L'industrie automobile serait critiquée si elle décidait d'investir dans un plus grand nombre d'ambulances et de secouristes au lieu de rendre les voitures plus sûres, mais de nombreuses organisations suivent ce modèle en matière de cybersécurité.
Les organisations doivent adopter une approche préventive et proactive pour réduire les risques. Elles doivent mettre en place des programmes pour former les développeurs à l'écriture de codes sécurisés et à la correction des erreurs (telles que celles introduites par les assistants d'IA ou les codes tiers) dès le début du cycle de développement durable. Ces programmes devraient inclure des programmes de formation agiles et interactifs qui s'adaptent aux horaires des développeurs et peuvent être adaptés à leurs environnements de travail et aux langages de programmation qu'ils utilisent. La formation continue devrait comprendre une formation pratique qui aborde des problèmes du monde réel.
Il est important qu'il comprenne un moyen de mesurer leurs progrès pour s'assurer qu'ils ont fait des meilleures pratiques de sécurité une partie vitale de leurs routines quotidiennes. Un outil tel que le Trust Score de SCW utilise des points de référence pour évaluer les progrès réalisés en interne et par rapport aux normes du secteur, tout en identifiant les domaines qui doivent être améliorés.
Une approche "Secure-by-Design" serait holistique, reflétant un état d'esprit axé sur la sécurité au sein de l'organisation, où la sécurité est une priorité pour l'entreprise. La réaction et la récupération sont des éléments essentiels de la posture de sécurité globale d'une organisation, certes. Mais en se concentrant sur la prévention, les entreprises peuvent faire de grands progrès dans la réduction des risques et peut-être éviter le type de violations majeures qui peuvent menacer la viabilité d'une entreprise.
Découvrez comment Secure Code Warrior peut vous aider à mettre en œuvre une initiative Secure-by-Design viable dès aujourd'hui.