Le Trust Score évalue l'importance des initiatives de formation continue axées sur la sécurité dès la conception.
Une méthode efficace pour améliorer la sécurité de votre entreprise consiste à former les développeurs aux meilleures pratiques en matière de programmation sécurisée. Ces méthodes sont fournies dans un cadre comprenant des références et des repères afin d'offrir aux développeurs les parcours d'apprentissage spécifiques dont ils ont besoin. Cependant, le codage sécurisé n'est pas une solution ponctuelle : il doit devenir un mode de vie ancré dans l'ADN d'une entreprise. Les développeurs doivent non seulement se tourner vers la gauche ou commencer par la gauche, mais aussi rester à gauche.
Il ne suffit pas de proposer des formations. Les entreprises doivent s'assurer que les développeurs ont suivi l'intégralité de leur formation et qu'ils appliquent les meilleures pratiques dès le début du cycle de développement logiciel (SDLC) dans le cadre de leurs routines quotidiennes. Elles doivent suivre les performances des développeurs et mesurer leurs progrès à l'aune des normes internes et des normes du secteur. Cela vous permettra de mesurer efficacement le retour sur investissement généré par les investissements dans la formation.
Code Warriors sécurise la confiance en offrant un aperçu des performances individuelles des développeurs et en agrégeant les données afin de permettre une évaluation des performances globales de votre entreprise. Il démontre l'efficacité des programmes de formation continue tout en identifiant les domaines nécessitant des améliorations. De plus, il contribue à garantir la conformité aux nombreuses exigences réglementaires, qu'elles proviennent du Règlement général sur la protection des données (RGPD), de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), de la loi californienne sur la protection des consommateurs (CCPA) ou d'autres réglementations.
Nos recherches ont démontré que la formation sécurisée au codage est efficace. Trust Score utilise un algorithme basé sur plus de 20 millions de points de données d'apprentissage provenant du travail de plus de 250 000 apprenants dans plus de 600 organisations. Il démontre l'efficacité de la correction des failles de sécurité et indique comment rendre l'initiative encore plus efficace.
Les formations améliorent la sécurité — lorsque les développeurs en bénéficient
Pendant de nombreuses années, il semblait particulièrement souhaitable dans le secteur des logiciels d'utiliser des méthodes de sécurité éprouvées dès le début du cycle de vie du développement logiciel (SDLC). Il serait formidable de les avoir un jour, mais ce n'est plus une priorité aujourd'hui. Cependant, l'accélération constante du développement logiciel et la multiplication des cybermenaces sophistiquées et destructrices, souvent basées sur l'exploitation des vulnérabilités logicielles, ont rendu le codage sécurisé indispensable. L'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) place le code sécurisé au centre de ses préoccupations avec son initiative « Secure by Design », qui est devenue un mouvement international.
Nos recherches l'ont démontré : le lien entre une approche « Secure by Design » et la réduction des vulnérabilités logicielles est évident. Nous avons analysé les données relatives à la réduction des failles de sécurité de 26 % des clients SCW et avons constaté que les formations des développeurs ont permis de réduire le nombre de vulnérabilités logicielles de 22 à 84 %. Cette fourchette résulte de variables telles que la taille des entreprises concernées (les petites entreprises comptant relativement peu de développeurs ont obtenu des résultats plus spectaculaires) et le fait qu'un groupe d'apprentissage se soit concentré sur un problème spécifique. Dans ce cas, un pourcentage plus élevé d'erreurs a été corrigé.
Les résultats obtenus auprès des grandes entreprises ont été assez cohérents. Les entreprises comptant 7 000 développeurs ou plus peuvent s'attendre à une réduction de 47 à 53 % des failles de sécurité grâce aux progrès réalisés par les développeurs dans le domaine de la sécurité. Par exemple, une entreprise statistiquement moyenne comptant plus de 10 000 développeurs, qui n'est ni en tête du classement ni parmi les meilleures en termes de référence, a enregistré une baisse de 53 % des failles de sécurité.
Bien entendu, la formation la plus efficace ne nécessite pas une approche globale qui convienne à tous. Elle doit être adaptée à l'environnement de travail des développeurs et au type de développement qu'ils effectuent.
Les entreprises devraient commencer par développer les compétences fondamentales dont les développeurs ont besoin pour rendre l'écriture de code sécurisé aussi naturelle que l'écriture de code simple. Les programmes de formation continue devraient comprendre des formations pratiques et agiles dans des scénarios réels qui correspondent à la nature de leur travail et aux langages qu'ils utilisent. De plus, ils devraient être suffisamment flexibles pour pouvoir être intégrés dans leur planning de travail.
Pour les développeurs, les compétences ne se limitent pas à l'écriture de code. Ils doivent être capables de vérifier les logiciels créés par des assistants d'intelligence artificielle et des tiers, par exemple des référentiels open source. Les développeurs ont largement utilisé les modèles d'IA générative et ont généralement salué leurs avantages, car ils leur permettent de créer plus de code plus rapidement. Bien que 76 % des personnes interrogées dans le cadre d'une enquête menée par Snyk aient déclaré que le code généré par l'IA était plus sûr que celui créé par des humains, 56,4 % ont tout de même indiqué que l'IA causait parfois ou souvent des erreurs. Le même sondage a révélé que 80 % des développeurs ignorent les directives de sécurité relatives au code IA, ce qui suggère que les problèmes de code dans le code IA ne sont pas corrigés.
Dans le cadre d'une approche Secure by Design, les développeurs, en collaboration avec les équipes de sécurité et non séparément de celles-ci, traiteront ces problèmes dès le début du cycle de vie du développement logiciel (SDLC) et identifieront et corrigeront les erreurs avant que le code ne soit mis en production.
Le Trust Score évalue la performance des individus et des entreprises.
Il est également essentiel que la formation soit continue. Les entreprises doivent instaurer une culture qui accorde la priorité à la sécurité, applicable à tous les niveaux, depuis la direction jusqu'aux échelons inférieurs. Elle doit se concentrer sur l'amélioration continue et l'application des meilleures pratiques de sécurité tout au long du cycle de vie du développement logiciel (SDLC). La technologie et les cybercriminels ne cessent d'évoluer, tout comme la cybersécurité. Pour les entreprises qui produisent des logiciels, il est essentiel de disposer de développeurs formés à la sécurité.
Il est donc tout aussi important de démontrer que la formation a été mise en œuvre de manière efficace que la formation elle-même. Trust Score offre non seulement un aperçu des performances des développeurs individuels et de l'entreprise dans son ensemble, mais permet également aux entreprises d'analyser en détail les données de performance afin de se concentrer sur des langages, des équipes de développeurs ou des catégories de logiciels spécifiques. Les données issues des résultats de performance individuels et agrégés aident également à identifier les domaines dans lesquels la formation doit être améliorée, par exemple lorsqu'elle n'a pas l'effet souhaité sur les performances quotidiennes des développeurs.
Trust Score a permis aux entreprises d'évaluer les performances des développeurs et de vérifier s'ils ont acquis et utilisent les compétences nécessaires en matière de sécurité afin de s'assurer qu'ils ont obtenu leur licence de programmation. Il permet aux entreprises d'accorder en toute confiance à des développeurs qualifiés l'accès à leurs données les plus sensibles et à leurs projets logiciels critiques, tout en refusant cet accès à ceux qui utilisent les outils mais ne sont pas encore tout à fait prêts.
Preuve d'une évolution de la culture de la sécurité
La cybersécurité n'est plus seulement un problème de sécurité. Il s'agit d'un problème commercial qui affecte l'intégrité du capital le plus précieux de nombreuses entreprises : leurs données. Une violation grave peut nuire aux opérations, à la réputation et éventuellement à la rentabilité d'une entreprise. L'importance de la cybersécurité n'a pas échappé aux autorités de régulation. Elles ont mis en place des réglementations de plus en plus strictes et se sont montrées disposées à poursuivre les RSSI et éventuellement d'autres membres de la direction, allant jusqu'à déposer des plaintes pénales, comme dans les affaires Uber et SolarWinds.
La mise en place d'une culture de la sécurité à l'échelle de l'entreprise est essentielle dans l'environnement actuel. Et comme une grande partie de la valeur d'une entreprise réside dans ses données, ses applications et ses services, le codage sécurisé est un élément central de cette culture. Des formations ciblées et des qualifications supplémentaires, intégrées dans une approche culturelle, ainsi que la démonstration que les formations ont contribué à changer la culture d'entreprise, peuvent aider les entreprises à renforcer leurs mesures de sécurité.
Les programmes de sécurité axés sur les développeurs sont précieux. La preuve en est la confiance qu'ils inspirent.
Nos recherches ont démontré que la formation sécurisée au codage est efficace. Trust Score utilise un algorithme basé sur plus de 20 millions de points de données d'apprentissage provenant du travail de plus de 250 000 apprenants dans plus de 600 organisations. Il démontre l'efficacité de la correction des failles de sécurité et indique comment rendre l'initiative encore plus efficace.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Une méthode efficace pour améliorer la sécurité de votre entreprise consiste à former les développeurs aux meilleures pratiques en matière de programmation sécurisée. Ces méthodes sont fournies dans un cadre comprenant des références et des repères afin d'offrir aux développeurs les parcours d'apprentissage spécifiques dont ils ont besoin. Cependant, le codage sécurisé n'est pas une solution ponctuelle : il doit devenir un mode de vie ancré dans l'ADN d'une entreprise. Les développeurs doivent non seulement se tourner vers la gauche ou commencer par la gauche, mais aussi rester à gauche.
Il ne suffit pas de proposer des formations. Les entreprises doivent s'assurer que les développeurs ont suivi l'intégralité de leur formation et qu'ils appliquent les meilleures pratiques dès le début du cycle de développement logiciel (SDLC) dans le cadre de leurs routines quotidiennes. Elles doivent suivre les performances des développeurs et mesurer leurs progrès à l'aune des normes internes et des normes du secteur. Cela vous permettra de mesurer efficacement le retour sur investissement généré par les investissements dans la formation.
Code Warriors sécurise la confiance en offrant un aperçu des performances individuelles des développeurs et en agrégeant les données afin de permettre une évaluation des performances globales de votre entreprise. Il démontre l'efficacité des programmes de formation continue tout en identifiant les domaines nécessitant des améliorations. De plus, il contribue à garantir la conformité aux nombreuses exigences réglementaires, qu'elles proviennent du Règlement général sur la protection des données (RGPD), de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), de la loi californienne sur la protection des consommateurs (CCPA) ou d'autres réglementations.
Nos recherches ont démontré que la formation sécurisée au codage est efficace. Trust Score utilise un algorithme basé sur plus de 20 millions de points de données d'apprentissage provenant du travail de plus de 250 000 apprenants dans plus de 600 organisations. Il démontre l'efficacité de la correction des failles de sécurité et indique comment rendre l'initiative encore plus efficace.
Les formations améliorent la sécurité — lorsque les développeurs en bénéficient
Pendant de nombreuses années, il semblait particulièrement souhaitable dans le secteur des logiciels d'utiliser des méthodes de sécurité éprouvées dès le début du cycle de vie du développement logiciel (SDLC). Il serait formidable de les avoir un jour, mais ce n'est plus une priorité aujourd'hui. Cependant, l'accélération constante du développement logiciel et la multiplication des cybermenaces sophistiquées et destructrices, souvent basées sur l'exploitation des vulnérabilités logicielles, ont rendu le codage sécurisé indispensable. L'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) place le code sécurisé au centre de ses préoccupations avec son initiative « Secure by Design », qui est devenue un mouvement international.
Nos recherches l'ont démontré : le lien entre une approche « Secure by Design » et la réduction des vulnérabilités logicielles est évident. Nous avons analysé les données relatives à la réduction des failles de sécurité de 26 % des clients SCW et avons constaté que les formations des développeurs ont permis de réduire le nombre de vulnérabilités logicielles de 22 à 84 %. Cette fourchette résulte de variables telles que la taille des entreprises concernées (les petites entreprises comptant relativement peu de développeurs ont obtenu des résultats plus spectaculaires) et le fait qu'un groupe d'apprentissage se soit concentré sur un problème spécifique. Dans ce cas, un pourcentage plus élevé d'erreurs a été corrigé.
Les résultats obtenus auprès des grandes entreprises ont été assez cohérents. Les entreprises comptant 7 000 développeurs ou plus peuvent s'attendre à une réduction de 47 à 53 % des failles de sécurité grâce aux progrès réalisés par les développeurs dans le domaine de la sécurité. Par exemple, une entreprise statistiquement moyenne comptant plus de 10 000 développeurs, qui n'est ni en tête du classement ni parmi les meilleures en termes de référence, a enregistré une baisse de 53 % des failles de sécurité.
Bien entendu, la formation la plus efficace ne nécessite pas une approche globale qui convienne à tous. Elle doit être adaptée à l'environnement de travail des développeurs et au type de développement qu'ils effectuent.
Les entreprises devraient commencer par développer les compétences fondamentales dont les développeurs ont besoin pour rendre l'écriture de code sécurisé aussi naturelle que l'écriture de code simple. Les programmes de formation continue devraient comprendre des formations pratiques et agiles dans des scénarios réels qui correspondent à la nature de leur travail et aux langages qu'ils utilisent. De plus, ils devraient être suffisamment flexibles pour pouvoir être intégrés dans leur planning de travail.
Pour les développeurs, les compétences ne se limitent pas à l'écriture de code. Ils doivent être capables de vérifier les logiciels créés par des assistants d'intelligence artificielle et des tiers, par exemple des référentiels open source. Les développeurs ont largement utilisé les modèles d'IA générative et ont généralement salué leurs avantages, car ils leur permettent de créer plus de code plus rapidement. Bien que 76 % des personnes interrogées dans le cadre d'une enquête menée par Snyk aient déclaré que le code généré par l'IA était plus sûr que celui créé par des humains, 56,4 % ont tout de même indiqué que l'IA causait parfois ou souvent des erreurs. Le même sondage a révélé que 80 % des développeurs ignorent les directives de sécurité relatives au code IA, ce qui suggère que les problèmes de code dans le code IA ne sont pas corrigés.
Dans le cadre d'une approche Secure by Design, les développeurs, en collaboration avec les équipes de sécurité et non séparément de celles-ci, traiteront ces problèmes dès le début du cycle de vie du développement logiciel (SDLC) et identifieront et corrigeront les erreurs avant que le code ne soit mis en production.
Le Trust Score évalue la performance des individus et des entreprises.
Il est également essentiel que la formation soit continue. Les entreprises doivent instaurer une culture qui accorde la priorité à la sécurité, applicable à tous les niveaux, depuis la direction jusqu'aux échelons inférieurs. Elle doit se concentrer sur l'amélioration continue et l'application des meilleures pratiques de sécurité tout au long du cycle de vie du développement logiciel (SDLC). La technologie et les cybercriminels ne cessent d'évoluer, tout comme la cybersécurité. Pour les entreprises qui produisent des logiciels, il est essentiel de disposer de développeurs formés à la sécurité.
Il est donc tout aussi important de démontrer que la formation a été mise en œuvre de manière efficace que la formation elle-même. Trust Score offre non seulement un aperçu des performances des développeurs individuels et de l'entreprise dans son ensemble, mais permet également aux entreprises d'analyser en détail les données de performance afin de se concentrer sur des langages, des équipes de développeurs ou des catégories de logiciels spécifiques. Les données issues des résultats de performance individuels et agrégés aident également à identifier les domaines dans lesquels la formation doit être améliorée, par exemple lorsqu'elle n'a pas l'effet souhaité sur les performances quotidiennes des développeurs.
Trust Score a permis aux entreprises d'évaluer les performances des développeurs et de vérifier s'ils ont acquis et utilisent les compétences nécessaires en matière de sécurité afin de s'assurer qu'ils ont obtenu leur licence de programmation. Il permet aux entreprises d'accorder en toute confiance à des développeurs qualifiés l'accès à leurs données les plus sensibles et à leurs projets logiciels critiques, tout en refusant cet accès à ceux qui utilisent les outils mais ne sont pas encore tout à fait prêts.
Preuve d'une évolution de la culture de la sécurité
La cybersécurité n'est plus seulement un problème de sécurité. Il s'agit d'un problème commercial qui affecte l'intégrité du capital le plus précieux de nombreuses entreprises : leurs données. Une violation grave peut nuire aux opérations, à la réputation et éventuellement à la rentabilité d'une entreprise. L'importance de la cybersécurité n'a pas échappé aux autorités de régulation. Elles ont mis en place des réglementations de plus en plus strictes et se sont montrées disposées à poursuivre les RSSI et éventuellement d'autres membres de la direction, allant jusqu'à déposer des plaintes pénales, comme dans les affaires Uber et SolarWinds.
La mise en place d'une culture de la sécurité à l'échelle de l'entreprise est essentielle dans l'environnement actuel. Et comme une grande partie de la valeur d'une entreprise réside dans ses données, ses applications et ses services, le codage sécurisé est un élément central de cette culture. Des formations ciblées et des qualifications supplémentaires, intégrées dans une approche culturelle, ainsi que la démonstration que les formations ont contribué à changer la culture d'entreprise, peuvent aider les entreprises à renforcer leurs mesures de sécurité.
Les programmes de sécurité axés sur les développeurs sont précieux. La preuve en est la confiance qu'ils inspirent.
Une méthode efficace pour améliorer la sécurité de votre entreprise consiste à former les développeurs aux meilleures pratiques en matière de programmation sécurisée. Ces méthodes sont fournies dans un cadre comprenant des références et des repères afin d'offrir aux développeurs les parcours d'apprentissage spécifiques dont ils ont besoin. Cependant, le codage sécurisé n'est pas une solution ponctuelle : il doit devenir un mode de vie ancré dans l'ADN d'une entreprise. Les développeurs doivent non seulement se tourner vers la gauche ou commencer par la gauche, mais aussi rester à gauche.
Il ne suffit pas de proposer des formations. Les entreprises doivent s'assurer que les développeurs ont suivi l'intégralité de leur formation et qu'ils appliquent les meilleures pratiques dès le début du cycle de développement logiciel (SDLC) dans le cadre de leurs routines quotidiennes. Elles doivent suivre les performances des développeurs et mesurer leurs progrès à l'aune des normes internes et des normes du secteur. Cela vous permettra de mesurer efficacement le retour sur investissement généré par les investissements dans la formation.
Code Warriors sécurise la confiance en offrant un aperçu des performances individuelles des développeurs et en agrégeant les données afin de permettre une évaluation des performances globales de votre entreprise. Il démontre l'efficacité des programmes de formation continue tout en identifiant les domaines nécessitant des améliorations. De plus, il contribue à garantir la conformité aux nombreuses exigences réglementaires, qu'elles proviennent du Règlement général sur la protection des données (RGPD), de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), de la loi californienne sur la protection des consommateurs (CCPA) ou d'autres réglementations.
Nos recherches ont démontré que la formation sécurisée au codage est efficace. Trust Score utilise un algorithme basé sur plus de 20 millions de points de données d'apprentissage provenant du travail de plus de 250 000 apprenants dans plus de 600 organisations. Il démontre l'efficacité de la correction des failles de sécurité et indique comment rendre l'initiative encore plus efficace.
Les formations améliorent la sécurité — lorsque les développeurs en bénéficient
Pendant de nombreuses années, il semblait particulièrement souhaitable dans le secteur des logiciels d'utiliser des méthodes de sécurité éprouvées dès le début du cycle de vie du développement logiciel (SDLC). Il serait formidable de les avoir un jour, mais ce n'est plus une priorité aujourd'hui. Cependant, l'accélération constante du développement logiciel et la multiplication des cybermenaces sophistiquées et destructrices, souvent basées sur l'exploitation des vulnérabilités logicielles, ont rendu le codage sécurisé indispensable. L'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) place le code sécurisé au centre de ses préoccupations avec son initiative « Secure by Design », qui est devenue un mouvement international.
Nos recherches l'ont démontré : le lien entre une approche « Secure by Design » et la réduction des vulnérabilités logicielles est évident. Nous avons analysé les données relatives à la réduction des failles de sécurité de 26 % des clients SCW et avons constaté que les formations des développeurs ont permis de réduire le nombre de vulnérabilités logicielles de 22 à 84 %. Cette fourchette résulte de variables telles que la taille des entreprises concernées (les petites entreprises comptant relativement peu de développeurs ont obtenu des résultats plus spectaculaires) et le fait qu'un groupe d'apprentissage se soit concentré sur un problème spécifique. Dans ce cas, un pourcentage plus élevé d'erreurs a été corrigé.
Les résultats obtenus auprès des grandes entreprises ont été assez cohérents. Les entreprises comptant 7 000 développeurs ou plus peuvent s'attendre à une réduction de 47 à 53 % des failles de sécurité grâce aux progrès réalisés par les développeurs dans le domaine de la sécurité. Par exemple, une entreprise statistiquement moyenne comptant plus de 10 000 développeurs, qui n'est ni en tête du classement ni parmi les meilleures en termes de référence, a enregistré une baisse de 53 % des failles de sécurité.
Bien entendu, la formation la plus efficace ne nécessite pas une approche globale qui convienne à tous. Elle doit être adaptée à l'environnement de travail des développeurs et au type de développement qu'ils effectuent.
Les entreprises devraient commencer par développer les compétences fondamentales dont les développeurs ont besoin pour rendre l'écriture de code sécurisé aussi naturelle que l'écriture de code simple. Les programmes de formation continue devraient comprendre des formations pratiques et agiles dans des scénarios réels qui correspondent à la nature de leur travail et aux langages qu'ils utilisent. De plus, ils devraient être suffisamment flexibles pour pouvoir être intégrés dans leur planning de travail.
Pour les développeurs, les compétences ne se limitent pas à l'écriture de code. Ils doivent être capables de vérifier les logiciels créés par des assistants d'intelligence artificielle et des tiers, par exemple des référentiels open source. Les développeurs ont largement utilisé les modèles d'IA générative et ont généralement salué leurs avantages, car ils leur permettent de créer plus de code plus rapidement. Bien que 76 % des personnes interrogées dans le cadre d'une enquête menée par Snyk aient déclaré que le code généré par l'IA était plus sûr que celui créé par des humains, 56,4 % ont tout de même indiqué que l'IA causait parfois ou souvent des erreurs. Le même sondage a révélé que 80 % des développeurs ignorent les directives de sécurité relatives au code IA, ce qui suggère que les problèmes de code dans le code IA ne sont pas corrigés.
Dans le cadre d'une approche Secure by Design, les développeurs, en collaboration avec les équipes de sécurité et non séparément de celles-ci, traiteront ces problèmes dès le début du cycle de vie du développement logiciel (SDLC) et identifieront et corrigeront les erreurs avant que le code ne soit mis en production.
Le Trust Score évalue la performance des individus et des entreprises.
Il est également essentiel que la formation soit continue. Les entreprises doivent instaurer une culture qui accorde la priorité à la sécurité, applicable à tous les niveaux, depuis la direction jusqu'aux échelons inférieurs. Elle doit se concentrer sur l'amélioration continue et l'application des meilleures pratiques de sécurité tout au long du cycle de vie du développement logiciel (SDLC). La technologie et les cybercriminels ne cessent d'évoluer, tout comme la cybersécurité. Pour les entreprises qui produisent des logiciels, il est essentiel de disposer de développeurs formés à la sécurité.
Il est donc tout aussi important de démontrer que la formation a été mise en œuvre de manière efficace que la formation elle-même. Trust Score offre non seulement un aperçu des performances des développeurs individuels et de l'entreprise dans son ensemble, mais permet également aux entreprises d'analyser en détail les données de performance afin de se concentrer sur des langages, des équipes de développeurs ou des catégories de logiciels spécifiques. Les données issues des résultats de performance individuels et agrégés aident également à identifier les domaines dans lesquels la formation doit être améliorée, par exemple lorsqu'elle n'a pas l'effet souhaité sur les performances quotidiennes des développeurs.
Trust Score a permis aux entreprises d'évaluer les performances des développeurs et de vérifier s'ils ont acquis et utilisent les compétences nécessaires en matière de sécurité afin de s'assurer qu'ils ont obtenu leur licence de programmation. Il permet aux entreprises d'accorder en toute confiance à des développeurs qualifiés l'accès à leurs données les plus sensibles et à leurs projets logiciels critiques, tout en refusant cet accès à ceux qui utilisent les outils mais ne sont pas encore tout à fait prêts.
Preuve d'une évolution de la culture de la sécurité
La cybersécurité n'est plus seulement un problème de sécurité. Il s'agit d'un problème commercial qui affecte l'intégrité du capital le plus précieux de nombreuses entreprises : leurs données. Une violation grave peut nuire aux opérations, à la réputation et éventuellement à la rentabilité d'une entreprise. L'importance de la cybersécurité n'a pas échappé aux autorités de régulation. Elles ont mis en place des réglementations de plus en plus strictes et se sont montrées disposées à poursuivre les RSSI et éventuellement d'autres membres de la direction, allant jusqu'à déposer des plaintes pénales, comme dans les affaires Uber et SolarWinds.
La mise en place d'une culture de la sécurité à l'échelle de l'entreprise est essentielle dans l'environnement actuel. Et comme une grande partie de la valeur d'une entreprise réside dans ses données, ses applications et ses services, le codage sécurisé est un élément central de cette culture. Des formations ciblées et des qualifications supplémentaires, intégrées dans une approche culturelle, ainsi que la démonstration que les formations ont contribué à changer la culture d'entreprise, peuvent aider les entreprises à renforcer leurs mesures de sécurité.
Les programmes de sécurité axés sur les développeurs sont précieux. La preuve en est la confiance qu'ils inspirent.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Une méthode efficace pour améliorer la sécurité de votre entreprise consiste à former les développeurs aux meilleures pratiques en matière de programmation sécurisée. Ces méthodes sont fournies dans un cadre comprenant des références et des repères afin d'offrir aux développeurs les parcours d'apprentissage spécifiques dont ils ont besoin. Cependant, le codage sécurisé n'est pas une solution ponctuelle : il doit devenir un mode de vie ancré dans l'ADN d'une entreprise. Les développeurs doivent non seulement se tourner vers la gauche ou commencer par la gauche, mais aussi rester à gauche.
Il ne suffit pas de proposer des formations. Les entreprises doivent s'assurer que les développeurs ont suivi l'intégralité de leur formation et qu'ils appliquent les meilleures pratiques dès le début du cycle de développement logiciel (SDLC) dans le cadre de leurs routines quotidiennes. Elles doivent suivre les performances des développeurs et mesurer leurs progrès à l'aune des normes internes et des normes du secteur. Cela vous permettra de mesurer efficacement le retour sur investissement généré par les investissements dans la formation.
Code Warriors sécurise la confiance en offrant un aperçu des performances individuelles des développeurs et en agrégeant les données afin de permettre une évaluation des performances globales de votre entreprise. Il démontre l'efficacité des programmes de formation continue tout en identifiant les domaines nécessitant des améliorations. De plus, il contribue à garantir la conformité aux nombreuses exigences réglementaires, qu'elles proviennent du Règlement général sur la protection des données (RGPD), de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), de la loi californienne sur la protection des consommateurs (CCPA) ou d'autres réglementations.
Nos recherches ont démontré que la formation sécurisée au codage est efficace. Trust Score utilise un algorithme basé sur plus de 20 millions de points de données d'apprentissage provenant du travail de plus de 250 000 apprenants dans plus de 600 organisations. Il démontre l'efficacité de la correction des failles de sécurité et indique comment rendre l'initiative encore plus efficace.
Les formations améliorent la sécurité — lorsque les développeurs en bénéficient
Pendant de nombreuses années, il semblait particulièrement souhaitable dans le secteur des logiciels d'utiliser des méthodes de sécurité éprouvées dès le début du cycle de vie du développement logiciel (SDLC). Il serait formidable de les avoir un jour, mais ce n'est plus une priorité aujourd'hui. Cependant, l'accélération constante du développement logiciel et la multiplication des cybermenaces sophistiquées et destructrices, souvent basées sur l'exploitation des vulnérabilités logicielles, ont rendu le codage sécurisé indispensable. L'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) place le code sécurisé au centre de ses préoccupations avec son initiative « Secure by Design », qui est devenue un mouvement international.
Nos recherches l'ont démontré : le lien entre une approche « Secure by Design » et la réduction des vulnérabilités logicielles est évident. Nous avons analysé les données relatives à la réduction des failles de sécurité de 26 % des clients SCW et avons constaté que les formations des développeurs ont permis de réduire le nombre de vulnérabilités logicielles de 22 à 84 %. Cette fourchette résulte de variables telles que la taille des entreprises concernées (les petites entreprises comptant relativement peu de développeurs ont obtenu des résultats plus spectaculaires) et le fait qu'un groupe d'apprentissage se soit concentré sur un problème spécifique. Dans ce cas, un pourcentage plus élevé d'erreurs a été corrigé.
Les résultats obtenus auprès des grandes entreprises ont été assez cohérents. Les entreprises comptant 7 000 développeurs ou plus peuvent s'attendre à une réduction de 47 à 53 % des failles de sécurité grâce aux progrès réalisés par les développeurs dans le domaine de la sécurité. Par exemple, une entreprise statistiquement moyenne comptant plus de 10 000 développeurs, qui n'est ni en tête du classement ni parmi les meilleures en termes de référence, a enregistré une baisse de 53 % des failles de sécurité.
Bien entendu, la formation la plus efficace ne nécessite pas une approche globale qui convienne à tous. Elle doit être adaptée à l'environnement de travail des développeurs et au type de développement qu'ils effectuent.
Les entreprises devraient commencer par développer les compétences fondamentales dont les développeurs ont besoin pour rendre l'écriture de code sécurisé aussi naturelle que l'écriture de code simple. Les programmes de formation continue devraient comprendre des formations pratiques et agiles dans des scénarios réels qui correspondent à la nature de leur travail et aux langages qu'ils utilisent. De plus, ils devraient être suffisamment flexibles pour pouvoir être intégrés dans leur planning de travail.
Pour les développeurs, les compétences ne se limitent pas à l'écriture de code. Ils doivent être capables de vérifier les logiciels créés par des assistants d'intelligence artificielle et des tiers, par exemple des référentiels open source. Les développeurs ont largement utilisé les modèles d'IA générative et ont généralement salué leurs avantages, car ils leur permettent de créer plus de code plus rapidement. Bien que 76 % des personnes interrogées dans le cadre d'une enquête menée par Snyk aient déclaré que le code généré par l'IA était plus sûr que celui créé par des humains, 56,4 % ont tout de même indiqué que l'IA causait parfois ou souvent des erreurs. Le même sondage a révélé que 80 % des développeurs ignorent les directives de sécurité relatives au code IA, ce qui suggère que les problèmes de code dans le code IA ne sont pas corrigés.
Dans le cadre d'une approche Secure by Design, les développeurs, en collaboration avec les équipes de sécurité et non séparément de celles-ci, traiteront ces problèmes dès le début du cycle de vie du développement logiciel (SDLC) et identifieront et corrigeront les erreurs avant que le code ne soit mis en production.
Le Trust Score évalue la performance des individus et des entreprises.
Il est également essentiel que la formation soit continue. Les entreprises doivent instaurer une culture qui accorde la priorité à la sécurité, applicable à tous les niveaux, depuis la direction jusqu'aux échelons inférieurs. Elle doit se concentrer sur l'amélioration continue et l'application des meilleures pratiques de sécurité tout au long du cycle de vie du développement logiciel (SDLC). La technologie et les cybercriminels ne cessent d'évoluer, tout comme la cybersécurité. Pour les entreprises qui produisent des logiciels, il est essentiel de disposer de développeurs formés à la sécurité.
Il est donc tout aussi important de démontrer que la formation a été mise en œuvre de manière efficace que la formation elle-même. Trust Score offre non seulement un aperçu des performances des développeurs individuels et de l'entreprise dans son ensemble, mais permet également aux entreprises d'analyser en détail les données de performance afin de se concentrer sur des langages, des équipes de développeurs ou des catégories de logiciels spécifiques. Les données issues des résultats de performance individuels et agrégés aident également à identifier les domaines dans lesquels la formation doit être améliorée, par exemple lorsqu'elle n'a pas l'effet souhaité sur les performances quotidiennes des développeurs.
Trust Score a permis aux entreprises d'évaluer les performances des développeurs et de vérifier s'ils ont acquis et utilisent les compétences nécessaires en matière de sécurité afin de s'assurer qu'ils ont obtenu leur licence de programmation. Il permet aux entreprises d'accorder en toute confiance à des développeurs qualifiés l'accès à leurs données les plus sensibles et à leurs projets logiciels critiques, tout en refusant cet accès à ceux qui utilisent les outils mais ne sont pas encore tout à fait prêts.
Preuve d'une évolution de la culture de la sécurité
La cybersécurité n'est plus seulement un problème de sécurité. Il s'agit d'un problème commercial qui affecte l'intégrité du capital le plus précieux de nombreuses entreprises : leurs données. Une violation grave peut nuire aux opérations, à la réputation et éventuellement à la rentabilité d'une entreprise. L'importance de la cybersécurité n'a pas échappé aux autorités de régulation. Elles ont mis en place des réglementations de plus en plus strictes et se sont montrées disposées à poursuivre les RSSI et éventuellement d'autres membres de la direction, allant jusqu'à déposer des plaintes pénales, comme dans les affaires Uber et SolarWinds.
La mise en place d'une culture de la sécurité à l'échelle de l'entreprise est essentielle dans l'environnement actuel. Et comme une grande partie de la valeur d'une entreprise réside dans ses données, ses applications et ses services, le codage sécurisé est un élément central de cette culture. Des formations ciblées et des qualifications supplémentaires, intégrées dans une approche culturelle, ainsi que la démonstration que les formations ont contribué à changer la culture d'entreprise, peuvent aider les entreprises à renforcer leurs mesures de sécurité.
Les programmes de sécurité axés sur les développeurs sont précieux. La preuve en est la confiance qu'ils inspirent.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.
