Le Trust Score évalue l'importance des initiatives de formation continue axées sur la sécurité dès la conception.
Une méthode efficace pour améliorer la sécurité de votre entreprise consiste à former les développeurs aux meilleures pratiques en matière de programmation sécurisée. Ces méthodes sont fournies dans un cadre comprenant des références et des repères afin d'offrir aux développeurs les parcours d'apprentissage spécifiques dont ils ont besoin. Cependant, le codage sécurisé n'est pas une solution ponctuelle : il doit devenir un mode de vie ancré dans l'ADN d'une entreprise. Les développeurs doivent non seulement se tourner vers la gauche ou commencer par la gauche, mais aussi rester à gauche.
Il ne suffit pas de proposer des formations. Les entreprises doivent s'assurer que les développeurs ont suivi l'intégralité de leur formation et qu'ils appliquent les meilleures pratiques dès le début du cycle de développement logiciel (SDLC) dans le cadre de leurs routines quotidiennes. Elles doivent suivre les performances des développeurs et mesurer leurs progrès à l'aune des normes internes et des normes du secteur. Cela vous permettra de mesurer efficacement le retour sur investissement généré par les investissements dans la formation.
Code Warriors sécurise la confiance en offrant un aperçu des performances individuelles des développeurs et en agrégeant les données afin de permettre une évaluation des performances globales de votre entreprise. Il démontre l'efficacité des programmes de formation continue tout en identifiant les domaines nécessitant des améliorations. De plus, il contribue à garantir la conformité aux nombreuses exigences réglementaires, qu'elles proviennent du Règlement général sur la protection des données (RGPD), de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), de la loi californienne sur la protection des consommateurs (CCPA) ou d'autres réglementations.
Nos recherches ont démontré que la formation sécurisée au codage est efficace. Trust Score utilise un algorithme basé sur plus de 20 millions de points de données d'apprentissage provenant du travail de plus de 250 000 apprenants dans plus de 600 organisations. Il démontre l'efficacité de la correction des failles de sécurité et indique comment rendre l'initiative encore plus efficace.
Les formations améliorent la sécurité — lorsque les développeurs en bénéficient
Pendant de nombreuses années, il semblait particulièrement souhaitable dans le secteur des logiciels d'utiliser des méthodes de sécurité éprouvées dès le début du cycle de vie du développement logiciel (SDLC). Il serait formidable de les avoir un jour, mais ce n'est plus une priorité aujourd'hui. Cependant, l'accélération constante du développement logiciel et la multiplication des cybermenaces sophistiquées et destructrices, souvent basées sur l'exploitation des vulnérabilités logicielles, ont rendu le codage sécurisé indispensable. L'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) place le code sécurisé au centre de ses préoccupations avec son initiative « Secure by Design », qui est devenue un mouvement international.
Nos recherches l'ont démontré : le lien entre une approche « Secure by Design » et la réduction des vulnérabilités logicielles est évident. Nous avons analysé les données relatives à la réduction des failles de sécurité de 26 % des clients SCW et avons constaté que les formations des développeurs ont permis de réduire le nombre de vulnérabilités logicielles de 22 à 84 %. Cette fourchette résulte de variables telles que la taille des entreprises concernées (les petites entreprises comptant relativement peu de développeurs ont obtenu des résultats plus spectaculaires) et le fait qu'un groupe d'apprentissage se soit concentré sur un problème spécifique. Dans ce cas, un pourcentage plus élevé d'erreurs a été corrigé.
Les résultats obtenus auprès des grandes entreprises ont été assez cohérents. Les entreprises comptant 7 000 développeurs ou plus peuvent s'attendre à une réduction de 47 à 53 % des failles de sécurité grâce aux progrès réalisés par les développeurs dans le domaine de la sécurité. Par exemple, une entreprise statistiquement moyenne comptant plus de 10 000 développeurs, qui n'est ni en tête du classement ni parmi les meilleures en termes de référence, a enregistré une baisse de 53 % des failles de sécurité.
Bien entendu, la formation la plus efficace ne nécessite pas une approche globale qui convienne à tous. Elle doit être adaptée à l'environnement de travail des développeurs et au type de développement qu'ils effectuent.
Les entreprises devraient commencer par développer les compétences fondamentales dont les développeurs ont besoin pour rendre l'écriture de code sécurisé aussi naturelle que l'écriture de code simple. Les programmes de formation continue devraient comprendre des formations pratiques et agiles dans des scénarios réels qui correspondent à la nature de leur travail et aux langages qu'ils utilisent. De plus, ils devraient être suffisamment flexibles pour pouvoir être intégrés dans leur planning de travail.
Pour les développeurs, les compétences ne se limitent pas à l'écriture de code. Ils doivent être capables de vérifier les logiciels créés par des assistants d'intelligence artificielle et des tiers, par exemple des référentiels open source. Les développeurs ont largement utilisé les modèles d'IA générative et ont généralement salué leurs avantages, car ils leur permettent de créer plus de code plus rapidement. Bien que 76 % des personnes interrogées dans le cadre d'une enquête menée par Snyk aient déclaré que le code généré par l'IA était plus sûr que celui créé par des humains, 56,4 % ont tout de même indiqué que l'IA causait parfois ou souvent des erreurs. Le même sondage a révélé que 80 % des développeurs ignorent les directives de sécurité relatives au code IA, ce qui suggère que les problèmes de code dans le code IA ne sont pas corrigés.
Dans le cadre d'une approche Secure by Design, les développeurs, en collaboration avec les équipes de sécurité et non séparément de celles-ci, traiteront ces problèmes dès le début du cycle de vie du développement logiciel (SDLC) et identifieront et corrigeront les erreurs avant que le code ne soit mis en production.
Le Trust Score évalue la performance des individus et des entreprises.
Il est également essentiel que la formation soit continue. Les entreprises doivent instaurer une culture qui accorde la priorité à la sécurité, applicable à tous les niveaux, depuis la direction jusqu'aux échelons inférieurs. Elle doit se concentrer sur l'amélioration continue et l'application des meilleures pratiques de sécurité tout au long du cycle de vie du développement logiciel (SDLC). La technologie et les cybercriminels ne cessent d'évoluer, tout comme la cybersécurité. Pour les entreprises qui produisent des logiciels, il est essentiel de disposer de développeurs formés à la sécurité.
Il est donc tout aussi important de démontrer que la formation a été mise en œuvre de manière efficace que la formation elle-même. Trust Score offre non seulement un aperçu des performances des développeurs individuels et de l'entreprise dans son ensemble, mais permet également aux entreprises d'analyser en détail les données de performance afin de se concentrer sur des langages, des équipes de développeurs ou des catégories de logiciels spécifiques. Les données issues des résultats de performance individuels et agrégés aident également à identifier les domaines dans lesquels la formation doit être améliorée, par exemple lorsqu'elle n'a pas l'effet souhaité sur les performances quotidiennes des développeurs.
Trust Score a permis aux entreprises d'évaluer les performances des développeurs et de vérifier s'ils ont acquis et utilisent les compétences nécessaires en matière de sécurité afin de s'assurer qu'ils ont obtenu leur licence de programmation. Il permet aux entreprises d'accorder en toute confiance à des développeurs qualifiés l'accès à leurs données les plus sensibles et à leurs projets logiciels critiques, tout en refusant cet accès à ceux qui utilisent les outils mais ne sont pas encore tout à fait prêts.
Preuve d'une évolution de la culture de la sécurité
La cybersécurité n'est plus seulement un problème de sécurité. Il s'agit d'un problème commercial qui affecte l'intégrité du capital le plus précieux de nombreuses entreprises : leurs données. Une violation grave peut nuire aux opérations, à la réputation et éventuellement à la rentabilité d'une entreprise. L'importance de la cybersécurité n'a pas échappé aux autorités de régulation. Elles ont mis en place des réglementations de plus en plus strictes et se sont montrées disposées à poursuivre les RSSI et éventuellement d'autres membres de la direction, allant jusqu'à déposer des plaintes pénales, comme dans les affaires Uber et SolarWinds.
La mise en place d'une culture de la sécurité à l'échelle de l'entreprise est essentielle dans l'environnement actuel. Et comme une grande partie de la valeur d'une entreprise réside dans ses données, ses applications et ses services, le codage sécurisé est un élément central de cette culture. Des formations ciblées et des qualifications supplémentaires, intégrées dans une approche culturelle, ainsi que la démonstration que les formations ont contribué à changer la culture d'entreprise, peuvent aider les entreprises à renforcer leurs mesures de sécurité.
Les programmes de sécurité axés sur les développeurs sont précieux. La preuve en est la confiance qu'ils inspirent.
Nos recherches ont démontré que la formation sécurisée au codage est efficace. Trust Score utilise un algorithme basé sur plus de 20 millions de points de données d'apprentissage provenant du travail de plus de 250 000 apprenants dans plus de 600 organisations. Il démontre l'efficacité de la correction des failles de sécurité et indique comment rendre l'initiative encore plus efficace.
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
Une méthode efficace pour améliorer la sécurité de votre entreprise consiste à former les développeurs aux meilleures pratiques en matière de programmation sécurisée. Ces méthodes sont fournies dans un cadre comprenant des références et des repères afin d'offrir aux développeurs les parcours d'apprentissage spécifiques dont ils ont besoin. Cependant, le codage sécurisé n'est pas une solution ponctuelle : il doit devenir un mode de vie ancré dans l'ADN d'une entreprise. Les développeurs doivent non seulement se tourner vers la gauche ou commencer par la gauche, mais aussi rester à gauche.
Il ne suffit pas de proposer des formations. Les entreprises doivent s'assurer que les développeurs ont suivi l'intégralité de leur formation et qu'ils appliquent les meilleures pratiques dès le début du cycle de développement logiciel (SDLC) dans le cadre de leurs routines quotidiennes. Elles doivent suivre les performances des développeurs et mesurer leurs progrès à l'aune des normes internes et des normes du secteur. Cela vous permettra de mesurer efficacement le retour sur investissement généré par les investissements dans la formation.
Code Warriors sécurise la confiance en offrant un aperçu des performances individuelles des développeurs et en agrégeant les données afin de permettre une évaluation des performances globales de votre entreprise. Il démontre l'efficacité des programmes de formation continue tout en identifiant les domaines nécessitant des améliorations. De plus, il contribue à garantir la conformité aux nombreuses exigences réglementaires, qu'elles proviennent du Règlement général sur la protection des données (RGPD), de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), de la loi californienne sur la protection des consommateurs (CCPA) ou d'autres réglementations.
Nos recherches ont démontré que la formation sécurisée au codage est efficace. Trust Score utilise un algorithme basé sur plus de 20 millions de points de données d'apprentissage provenant du travail de plus de 250 000 apprenants dans plus de 600 organisations. Il démontre l'efficacité de la correction des failles de sécurité et indique comment rendre l'initiative encore plus efficace.
Les formations améliorent la sécurité — lorsque les développeurs en bénéficient
Pendant de nombreuses années, il semblait particulièrement souhaitable dans le secteur des logiciels d'utiliser des méthodes de sécurité éprouvées dès le début du cycle de vie du développement logiciel (SDLC). Il serait formidable de les avoir un jour, mais ce n'est plus une priorité aujourd'hui. Cependant, l'accélération constante du développement logiciel et la multiplication des cybermenaces sophistiquées et destructrices, souvent basées sur l'exploitation des vulnérabilités logicielles, ont rendu le codage sécurisé indispensable. L'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) place le code sécurisé au centre de ses préoccupations avec son initiative « Secure by Design », qui est devenue un mouvement international.
Nos recherches l'ont démontré : le lien entre une approche « Secure by Design » et la réduction des vulnérabilités logicielles est évident. Nous avons analysé les données relatives à la réduction des failles de sécurité de 26 % des clients SCW et avons constaté que les formations des développeurs ont permis de réduire le nombre de vulnérabilités logicielles de 22 à 84 %. Cette fourchette résulte de variables telles que la taille des entreprises concernées (les petites entreprises comptant relativement peu de développeurs ont obtenu des résultats plus spectaculaires) et le fait qu'un groupe d'apprentissage se soit concentré sur un problème spécifique. Dans ce cas, un pourcentage plus élevé d'erreurs a été corrigé.
Les résultats obtenus auprès des grandes entreprises ont été assez cohérents. Les entreprises comptant 7 000 développeurs ou plus peuvent s'attendre à une réduction de 47 à 53 % des failles de sécurité grâce aux progrès réalisés par les développeurs dans le domaine de la sécurité. Par exemple, une entreprise statistiquement moyenne comptant plus de 10 000 développeurs, qui n'est ni en tête du classement ni parmi les meilleures en termes de référence, a enregistré une baisse de 53 % des failles de sécurité.
Bien entendu, la formation la plus efficace ne nécessite pas une approche globale qui convienne à tous. Elle doit être adaptée à l'environnement de travail des développeurs et au type de développement qu'ils effectuent.
Les entreprises devraient commencer par développer les compétences fondamentales dont les développeurs ont besoin pour rendre l'écriture de code sécurisé aussi naturelle que l'écriture de code simple. Les programmes de formation continue devraient comprendre des formations pratiques et agiles dans des scénarios réels qui correspondent à la nature de leur travail et aux langages qu'ils utilisent. De plus, ils devraient être suffisamment flexibles pour pouvoir être intégrés dans leur planning de travail.
Pour les développeurs, les compétences ne se limitent pas à l'écriture de code. Ils doivent être capables de vérifier les logiciels créés par des assistants d'intelligence artificielle et des tiers, par exemple des référentiels open source. Les développeurs ont largement utilisé les modèles d'IA générative et ont généralement salué leurs avantages, car ils leur permettent de créer plus de code plus rapidement. Bien que 76 % des personnes interrogées dans le cadre d'une enquête menée par Snyk aient déclaré que le code généré par l'IA était plus sûr que celui créé par des humains, 56,4 % ont tout de même indiqué que l'IA causait parfois ou souvent des erreurs. Le même sondage a révélé que 80 % des développeurs ignorent les directives de sécurité relatives au code IA, ce qui suggère que les problèmes de code dans le code IA ne sont pas corrigés.
Dans le cadre d'une approche Secure by Design, les développeurs, en collaboration avec les équipes de sécurité et non séparément de celles-ci, traiteront ces problèmes dès le début du cycle de vie du développement logiciel (SDLC) et identifieront et corrigeront les erreurs avant que le code ne soit mis en production.
Le Trust Score évalue la performance des individus et des entreprises.
Il est également essentiel que la formation soit continue. Les entreprises doivent instaurer une culture qui accorde la priorité à la sécurité, applicable à tous les niveaux, depuis la direction jusqu'aux échelons inférieurs. Elle doit se concentrer sur l'amélioration continue et l'application des meilleures pratiques de sécurité tout au long du cycle de vie du développement logiciel (SDLC). La technologie et les cybercriminels ne cessent d'évoluer, tout comme la cybersécurité. Pour les entreprises qui produisent des logiciels, il est essentiel de disposer de développeurs formés à la sécurité.
Il est donc tout aussi important de démontrer que la formation a été mise en œuvre de manière efficace que la formation elle-même. Trust Score offre non seulement un aperçu des performances des développeurs individuels et de l'entreprise dans son ensemble, mais permet également aux entreprises d'analyser en détail les données de performance afin de se concentrer sur des langages, des équipes de développeurs ou des catégories de logiciels spécifiques. Les données issues des résultats de performance individuels et agrégés aident également à identifier les domaines dans lesquels la formation doit être améliorée, par exemple lorsqu'elle n'a pas l'effet souhaité sur les performances quotidiennes des développeurs.
Trust Score a permis aux entreprises d'évaluer les performances des développeurs et de vérifier s'ils ont acquis et utilisent les compétences nécessaires en matière de sécurité afin de s'assurer qu'ils ont obtenu leur licence de programmation. Il permet aux entreprises d'accorder en toute confiance à des développeurs qualifiés l'accès à leurs données les plus sensibles et à leurs projets logiciels critiques, tout en refusant cet accès à ceux qui utilisent les outils mais ne sont pas encore tout à fait prêts.
Preuve d'une évolution de la culture de la sécurité
La cybersécurité n'est plus seulement un problème de sécurité. Il s'agit d'un problème commercial qui affecte l'intégrité du capital le plus précieux de nombreuses entreprises : leurs données. Une violation grave peut nuire aux opérations, à la réputation et éventuellement à la rentabilité d'une entreprise. L'importance de la cybersécurité n'a pas échappé aux autorités de régulation. Elles ont mis en place des réglementations de plus en plus strictes et se sont montrées disposées à poursuivre les RSSI et éventuellement d'autres membres de la direction, allant jusqu'à déposer des plaintes pénales, comme dans les affaires Uber et SolarWinds.
La mise en place d'une culture de la sécurité à l'échelle de l'entreprise est essentielle dans l'environnement actuel. Et comme une grande partie de la valeur d'une entreprise réside dans ses données, ses applications et ses services, le codage sécurisé est un élément central de cette culture. Des formations ciblées et des qualifications supplémentaires, intégrées dans une approche culturelle, ainsi que la démonstration que les formations ont contribué à changer la culture d'entreprise, peuvent aider les entreprises à renforcer leurs mesures de sécurité.
Les programmes de sécurité axés sur les développeurs sont précieux. La preuve en est la confiance qu'ils inspirent.
Une méthode efficace pour améliorer la sécurité de votre entreprise consiste à former les développeurs aux meilleures pratiques en matière de programmation sécurisée. Ces méthodes sont fournies dans un cadre comprenant des références et des repères afin d'offrir aux développeurs les parcours d'apprentissage spécifiques dont ils ont besoin. Cependant, le codage sécurisé n'est pas une solution ponctuelle : il doit devenir un mode de vie ancré dans l'ADN d'une entreprise. Les développeurs doivent non seulement se tourner vers la gauche ou commencer par la gauche, mais aussi rester à gauche.
Il ne suffit pas de proposer des formations. Les entreprises doivent s'assurer que les développeurs ont suivi l'intégralité de leur formation et qu'ils appliquent les meilleures pratiques dès le début du cycle de développement logiciel (SDLC) dans le cadre de leurs routines quotidiennes. Elles doivent suivre les performances des développeurs et mesurer leurs progrès à l'aune des normes internes et des normes du secteur. Cela vous permettra de mesurer efficacement le retour sur investissement généré par les investissements dans la formation.
Code Warriors sécurise la confiance en offrant un aperçu des performances individuelles des développeurs et en agrégeant les données afin de permettre une évaluation des performances globales de votre entreprise. Il démontre l'efficacité des programmes de formation continue tout en identifiant les domaines nécessitant des améliorations. De plus, il contribue à garantir la conformité aux nombreuses exigences réglementaires, qu'elles proviennent du Règlement général sur la protection des données (RGPD), de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), de la loi californienne sur la protection des consommateurs (CCPA) ou d'autres réglementations.
Nos recherches ont démontré que la formation sécurisée au codage est efficace. Trust Score utilise un algorithme basé sur plus de 20 millions de points de données d'apprentissage provenant du travail de plus de 250 000 apprenants dans plus de 600 organisations. Il démontre l'efficacité de la correction des failles de sécurité et indique comment rendre l'initiative encore plus efficace.
Les formations améliorent la sécurité — lorsque les développeurs en bénéficient
Pendant de nombreuses années, il semblait particulièrement souhaitable dans le secteur des logiciels d'utiliser des méthodes de sécurité éprouvées dès le début du cycle de vie du développement logiciel (SDLC). Il serait formidable de les avoir un jour, mais ce n'est plus une priorité aujourd'hui. Cependant, l'accélération constante du développement logiciel et la multiplication des cybermenaces sophistiquées et destructrices, souvent basées sur l'exploitation des vulnérabilités logicielles, ont rendu le codage sécurisé indispensable. L'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) place le code sécurisé au centre de ses préoccupations avec son initiative « Secure by Design », qui est devenue un mouvement international.
Nos recherches l'ont démontré : le lien entre une approche « Secure by Design » et la réduction des vulnérabilités logicielles est évident. Nous avons analysé les données relatives à la réduction des failles de sécurité de 26 % des clients SCW et avons constaté que les formations des développeurs ont permis de réduire le nombre de vulnérabilités logicielles de 22 à 84 %. Cette fourchette résulte de variables telles que la taille des entreprises concernées (les petites entreprises comptant relativement peu de développeurs ont obtenu des résultats plus spectaculaires) et le fait qu'un groupe d'apprentissage se soit concentré sur un problème spécifique. Dans ce cas, un pourcentage plus élevé d'erreurs a été corrigé.
Les résultats obtenus auprès des grandes entreprises ont été assez cohérents. Les entreprises comptant 7 000 développeurs ou plus peuvent s'attendre à une réduction de 47 à 53 % des failles de sécurité grâce aux progrès réalisés par les développeurs dans le domaine de la sécurité. Par exemple, une entreprise statistiquement moyenne comptant plus de 10 000 développeurs, qui n'est ni en tête du classement ni parmi les meilleures en termes de référence, a enregistré une baisse de 53 % des failles de sécurité.
Bien entendu, la formation la plus efficace ne nécessite pas une approche globale qui convienne à tous. Elle doit être adaptée à l'environnement de travail des développeurs et au type de développement qu'ils effectuent.
Les entreprises devraient commencer par développer les compétences fondamentales dont les développeurs ont besoin pour rendre l'écriture de code sécurisé aussi naturelle que l'écriture de code simple. Les programmes de formation continue devraient comprendre des formations pratiques et agiles dans des scénarios réels qui correspondent à la nature de leur travail et aux langages qu'ils utilisent. De plus, ils devraient être suffisamment flexibles pour pouvoir être intégrés dans leur planning de travail.
Pour les développeurs, les compétences ne se limitent pas à l'écriture de code. Ils doivent être capables de vérifier les logiciels créés par des assistants d'intelligence artificielle et des tiers, par exemple des référentiels open source. Les développeurs ont largement utilisé les modèles d'IA générative et ont généralement salué leurs avantages, car ils leur permettent de créer plus de code plus rapidement. Bien que 76 % des personnes interrogées dans le cadre d'une enquête menée par Snyk aient déclaré que le code généré par l'IA était plus sûr que celui créé par des humains, 56,4 % ont tout de même indiqué que l'IA causait parfois ou souvent des erreurs. Le même sondage a révélé que 80 % des développeurs ignorent les directives de sécurité relatives au code IA, ce qui suggère que les problèmes de code dans le code IA ne sont pas corrigés.
Dans le cadre d'une approche Secure by Design, les développeurs, en collaboration avec les équipes de sécurité et non séparément de celles-ci, traiteront ces problèmes dès le début du cycle de vie du développement logiciel (SDLC) et identifieront et corrigeront les erreurs avant que le code ne soit mis en production.
Le Trust Score évalue la performance des individus et des entreprises.
Il est également essentiel que la formation soit continue. Les entreprises doivent instaurer une culture qui accorde la priorité à la sécurité, applicable à tous les niveaux, depuis la direction jusqu'aux échelons inférieurs. Elle doit se concentrer sur l'amélioration continue et l'application des meilleures pratiques de sécurité tout au long du cycle de vie du développement logiciel (SDLC). La technologie et les cybercriminels ne cessent d'évoluer, tout comme la cybersécurité. Pour les entreprises qui produisent des logiciels, il est essentiel de disposer de développeurs formés à la sécurité.
Il est donc tout aussi important de démontrer que la formation a été mise en œuvre de manière efficace que la formation elle-même. Trust Score offre non seulement un aperçu des performances des développeurs individuels et de l'entreprise dans son ensemble, mais permet également aux entreprises d'analyser en détail les données de performance afin de se concentrer sur des langages, des équipes de développeurs ou des catégories de logiciels spécifiques. Les données issues des résultats de performance individuels et agrégés aident également à identifier les domaines dans lesquels la formation doit être améliorée, par exemple lorsqu'elle n'a pas l'effet souhaité sur les performances quotidiennes des développeurs.
Trust Score a permis aux entreprises d'évaluer les performances des développeurs et de vérifier s'ils ont acquis et utilisent les compétences nécessaires en matière de sécurité afin de s'assurer qu'ils ont obtenu leur licence de programmation. Il permet aux entreprises d'accorder en toute confiance à des développeurs qualifiés l'accès à leurs données les plus sensibles et à leurs projets logiciels critiques, tout en refusant cet accès à ceux qui utilisent les outils mais ne sont pas encore tout à fait prêts.
Preuve d'une évolution de la culture de la sécurité
La cybersécurité n'est plus seulement un problème de sécurité. Il s'agit d'un problème commercial qui affecte l'intégrité du capital le plus précieux de nombreuses entreprises : leurs données. Une violation grave peut nuire aux opérations, à la réputation et éventuellement à la rentabilité d'une entreprise. L'importance de la cybersécurité n'a pas échappé aux autorités de régulation. Elles ont mis en place des réglementations de plus en plus strictes et se sont montrées disposées à poursuivre les RSSI et éventuellement d'autres membres de la direction, allant jusqu'à déposer des plaintes pénales, comme dans les affaires Uber et SolarWinds.
La mise en place d'une culture de la sécurité à l'échelle de l'entreprise est essentielle dans l'environnement actuel. Et comme une grande partie de la valeur d'une entreprise réside dans ses données, ses applications et ses services, le codage sécurisé est un élément central de cette culture. Des formations ciblées et des qualifications supplémentaires, intégrées dans une approche culturelle, ainsi que la démonstration que les formations ont contribué à changer la culture d'entreprise, peuvent aider les entreprises à renforcer leurs mesures de sécurité.
Les programmes de sécurité axés sur les développeurs sont précieux. La preuve en est la confiance qu'ils inspirent.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
Une méthode efficace pour améliorer la sécurité de votre entreprise consiste à former les développeurs aux meilleures pratiques en matière de programmation sécurisée. Ces méthodes sont fournies dans un cadre comprenant des références et des repères afin d'offrir aux développeurs les parcours d'apprentissage spécifiques dont ils ont besoin. Cependant, le codage sécurisé n'est pas une solution ponctuelle : il doit devenir un mode de vie ancré dans l'ADN d'une entreprise. Les développeurs doivent non seulement se tourner vers la gauche ou commencer par la gauche, mais aussi rester à gauche.
Il ne suffit pas de proposer des formations. Les entreprises doivent s'assurer que les développeurs ont suivi l'intégralité de leur formation et qu'ils appliquent les meilleures pratiques dès le début du cycle de développement logiciel (SDLC) dans le cadre de leurs routines quotidiennes. Elles doivent suivre les performances des développeurs et mesurer leurs progrès à l'aune des normes internes et des normes du secteur. Cela vous permettra de mesurer efficacement le retour sur investissement généré par les investissements dans la formation.
Code Warriors sécurise la confiance en offrant un aperçu des performances individuelles des développeurs et en agrégeant les données afin de permettre une évaluation des performances globales de votre entreprise. Il démontre l'efficacité des programmes de formation continue tout en identifiant les domaines nécessitant des améliorations. De plus, il contribue à garantir la conformité aux nombreuses exigences réglementaires, qu'elles proviennent du Règlement général sur la protection des données (RGPD), de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), de la loi californienne sur la protection des consommateurs (CCPA) ou d'autres réglementations.
Nos recherches ont démontré que la formation sécurisée au codage est efficace. Trust Score utilise un algorithme basé sur plus de 20 millions de points de données d'apprentissage provenant du travail de plus de 250 000 apprenants dans plus de 600 organisations. Il démontre l'efficacité de la correction des failles de sécurité et indique comment rendre l'initiative encore plus efficace.
Les formations améliorent la sécurité — lorsque les développeurs en bénéficient
Pendant de nombreuses années, il semblait particulièrement souhaitable dans le secteur des logiciels d'utiliser des méthodes de sécurité éprouvées dès le début du cycle de vie du développement logiciel (SDLC). Il serait formidable de les avoir un jour, mais ce n'est plus une priorité aujourd'hui. Cependant, l'accélération constante du développement logiciel et la multiplication des cybermenaces sophistiquées et destructrices, souvent basées sur l'exploitation des vulnérabilités logicielles, ont rendu le codage sécurisé indispensable. L'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) place le code sécurisé au centre de ses préoccupations avec son initiative « Secure by Design », qui est devenue un mouvement international.
Nos recherches l'ont démontré : le lien entre une approche « Secure by Design » et la réduction des vulnérabilités logicielles est évident. Nous avons analysé les données relatives à la réduction des failles de sécurité de 26 % des clients SCW et avons constaté que les formations des développeurs ont permis de réduire le nombre de vulnérabilités logicielles de 22 à 84 %. Cette fourchette résulte de variables telles que la taille des entreprises concernées (les petites entreprises comptant relativement peu de développeurs ont obtenu des résultats plus spectaculaires) et le fait qu'un groupe d'apprentissage se soit concentré sur un problème spécifique. Dans ce cas, un pourcentage plus élevé d'erreurs a été corrigé.
Les résultats obtenus auprès des grandes entreprises ont été assez cohérents. Les entreprises comptant 7 000 développeurs ou plus peuvent s'attendre à une réduction de 47 à 53 % des failles de sécurité grâce aux progrès réalisés par les développeurs dans le domaine de la sécurité. Par exemple, une entreprise statistiquement moyenne comptant plus de 10 000 développeurs, qui n'est ni en tête du classement ni parmi les meilleures en termes de référence, a enregistré une baisse de 53 % des failles de sécurité.
Bien entendu, la formation la plus efficace ne nécessite pas une approche globale qui convienne à tous. Elle doit être adaptée à l'environnement de travail des développeurs et au type de développement qu'ils effectuent.
Les entreprises devraient commencer par développer les compétences fondamentales dont les développeurs ont besoin pour rendre l'écriture de code sécurisé aussi naturelle que l'écriture de code simple. Les programmes de formation continue devraient comprendre des formations pratiques et agiles dans des scénarios réels qui correspondent à la nature de leur travail et aux langages qu'ils utilisent. De plus, ils devraient être suffisamment flexibles pour pouvoir être intégrés dans leur planning de travail.
Pour les développeurs, les compétences ne se limitent pas à l'écriture de code. Ils doivent être capables de vérifier les logiciels créés par des assistants d'intelligence artificielle et des tiers, par exemple des référentiels open source. Les développeurs ont largement utilisé les modèles d'IA générative et ont généralement salué leurs avantages, car ils leur permettent de créer plus de code plus rapidement. Bien que 76 % des personnes interrogées dans le cadre d'une enquête menée par Snyk aient déclaré que le code généré par l'IA était plus sûr que celui créé par des humains, 56,4 % ont tout de même indiqué que l'IA causait parfois ou souvent des erreurs. Le même sondage a révélé que 80 % des développeurs ignorent les directives de sécurité relatives au code IA, ce qui suggère que les problèmes de code dans le code IA ne sont pas corrigés.
Dans le cadre d'une approche Secure by Design, les développeurs, en collaboration avec les équipes de sécurité et non séparément de celles-ci, traiteront ces problèmes dès le début du cycle de vie du développement logiciel (SDLC) et identifieront et corrigeront les erreurs avant que le code ne soit mis en production.
Le Trust Score évalue la performance des individus et des entreprises.
Il est également essentiel que la formation soit continue. Les entreprises doivent instaurer une culture qui accorde la priorité à la sécurité, applicable à tous les niveaux, depuis la direction jusqu'aux échelons inférieurs. Elle doit se concentrer sur l'amélioration continue et l'application des meilleures pratiques de sécurité tout au long du cycle de vie du développement logiciel (SDLC). La technologie et les cybercriminels ne cessent d'évoluer, tout comme la cybersécurité. Pour les entreprises qui produisent des logiciels, il est essentiel de disposer de développeurs formés à la sécurité.
Il est donc tout aussi important de démontrer que la formation a été mise en œuvre de manière efficace que la formation elle-même. Trust Score offre non seulement un aperçu des performances des développeurs individuels et de l'entreprise dans son ensemble, mais permet également aux entreprises d'analyser en détail les données de performance afin de se concentrer sur des langages, des équipes de développeurs ou des catégories de logiciels spécifiques. Les données issues des résultats de performance individuels et agrégés aident également à identifier les domaines dans lesquels la formation doit être améliorée, par exemple lorsqu'elle n'a pas l'effet souhaité sur les performances quotidiennes des développeurs.
Trust Score a permis aux entreprises d'évaluer les performances des développeurs et de vérifier s'ils ont acquis et utilisent les compétences nécessaires en matière de sécurité afin de s'assurer qu'ils ont obtenu leur licence de programmation. Il permet aux entreprises d'accorder en toute confiance à des développeurs qualifiés l'accès à leurs données les plus sensibles et à leurs projets logiciels critiques, tout en refusant cet accès à ceux qui utilisent les outils mais ne sont pas encore tout à fait prêts.
Preuve d'une évolution de la culture de la sécurité
La cybersécurité n'est plus seulement un problème de sécurité. Il s'agit d'un problème commercial qui affecte l'intégrité du capital le plus précieux de nombreuses entreprises : leurs données. Une violation grave peut nuire aux opérations, à la réputation et éventuellement à la rentabilité d'une entreprise. L'importance de la cybersécurité n'a pas échappé aux autorités de régulation. Elles ont mis en place des réglementations de plus en plus strictes et se sont montrées disposées à poursuivre les RSSI et éventuellement d'autres membres de la direction, allant jusqu'à déposer des plaintes pénales, comme dans les affaires Uber et SolarWinds.
La mise en place d'une culture de la sécurité à l'échelle de l'entreprise est essentielle dans l'environnement actuel. Et comme une grande partie de la valeur d'une entreprise réside dans ses données, ses applications et ses services, le codage sécurisé est un élément central de cette culture. Des formations ciblées et des qualifications supplémentaires, intégrées dans une approche culturelle, ainsi que la démonstration que les formations ont contribué à changer la culture d'entreprise, peuvent aider les entreprises à renforcer leurs mesures de sécurité.
Les programmes de sécurité axés sur les développeurs sont précieux. La preuve en est la confiance qu'ils inspirent.
Table des matières
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
La puissance de la sécurité des applications OpenText + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.