Aperçu des codes sécurisés

Le développement assisté par l'IA a introduit une toute nouvelle catégorie de risques logiciels. L'injection de prompt, la manipulation RAG et les autorisations massives des agents ne sont plus des préoccupations théoriques, mais une réalité quotidienne dans les applications modernes.

Les développeurs doivent être exposés à ces nouveaux modèles de menaces dans des environnements qui reflètent la complexité réelle. C'est pourquoi nous avons Secure Code Warrior les missions AI/LLM Boss de Cybermon 2025, qui étaient initialement une expérience événementielle limitée, en une collection de quêtes thématiques prêtes à l'emploi dans Secure Code Warrior . Vous trouverez la collection Cybermon 2025 : Beat the Boss dans la section Concepts spécifiques sous Concepts de sécurité lorsque vous créez une nouvelle quête.

Cybermon 2025 : Assiégez le Boss permet aux entreprises d'intégrer à tout moment ces exigences de sécurité IA hautement complexes dans leurs programmes de codage sécurisés.

Qu'est-ce que Beat the Boss ?

Beat the Boss rassemble quatre défis avancés en matière d'IA/LLM, destinés à évaluer les compétences en matière de développement d'une IA sécurisée dans le monde réel.

Chaque thème comprend une courte vidéo d'introduction et un guide, une phase d'échauffement guidée et la mission originale du boss avec un niveau de difficulté élevé de Cybermon 2025. Ces scénarios immersifs se concentrent sur les cours pratiques consacrés aux vulnérabilités de l'IA. Le développeur doit comprendre si ses applications compatibles avec l'IA sont à la pointe de la technologie.

Les quatre missions de boss ciblent chacune une zone à risque spécifique de l'IA et simulent des modèles de menaces réels dans les systèmes basés sur l'IA :

• Bypassaur — Injection immédiate directe
• Keykraken — Injection indirecte immédiate
• Promptgeist — Faiblesses en matière de vecteurs et d'intégration
• Proxysurfing — Capacité d'action accrue

Veuillez considérer cela comme votre art.

Nous recommandons de mettre chaque responsable sous les feux de la rampe afin de mettre en évidence chaque point faible et de lui accorder l'attention qu'il mérite. De nombreuses organisations choisissent de mettre en œuvre :

• Un responsable par semaine dans le cadre d'un sprint ciblé sur la sécurité de l'IA
• Ou une par mois dans le cadre de l'initiative « Vulnérabilité du mois ».

Un guide structuré pour l'introduction et le téléchargement des ressources de personnalisation de marque est disponible dans la base de connaissances pour les administrateurs, la configuration des événements internes :
Cybermon 2025 : Organisez votre propre événement Beat the Boss

Mise en œuvre opérationnelle de la préparation à la sécurité de l'IA

Le développement accéléré par l'IA modifie le paysage des risques logiciels. Les nouvelles catégories de vulnérabilités nécessitent plus qu'une simple prise de conscience — elles requièrent une expérience pratique.

Beat the Boss permet aux entreprises de transformer les modèles de menaces IA émergents en compétences pratiques pour les développeurs.

Les développeurs peuvent relever des défis individuels, puis consulter les solutions complètes proposées, afin de renforcer leur réflexion sur les stratégies d'attaque et de défense. Des vidéos présentant des solutions complètes sont disponibles, ce qui leur permet de se perfectionner après avoir relevé le défi.

De nombreuses équipes enrichissent leur expérience grâce à des réunions internes consacrées au partage des connaissances, ce qui permet de passer d'un apprentissage axé sur la compétition à un apprentissage collaboratif. La sécurité et le développement sont des activités qui requièrent un travail d'équipe. Les entreprises sont mieux protégées lorsque les développeurs, les responsables de la sécurité et les équipes d'ingénieurs travaillent ensemble pour comprendre et contrer la surface d'attaque croissante de l'IA. Les défis individuels et les compétences collectives comprennent des recommandations assignées, des vérifications de solutions partagées et des discussions entre équipes.

En intégrant Beat the Boss à vos initiatives de programmation sécurisée, vous encouragez l'adoption d'une IA sécurisée tout en développant un niveau de maturité mesurable en matière de sécurité de l'IA au sein de vos équipes de développement.

Veuillez commencer

Vous trouverez Cybermon 2025 : Collection Beat the Boss dans la section Concepts spécifiques sous Concepts de sécurité lorsque vous créez une nouvelle quête. Veuillez vous connecter à votre Secure Code Warrior pour configurer votre déploiement et renforcer le développement sécurisé de l'IA au sein de vos équipes.

La loi sur la cyber-résilience devient de plus en plus une priorité stratégique, non seulement pour les entreprises basées dans l'UE, mais aussi pour toutes les entreprises qui commercialisent des produits numériques sur le marché européen. Les délais de mise en conformité avec la réglementation s'étendent jusqu'en 2027, mais les équipes d'ingénieurs et de sécurité se posent déjà des questions cruciales sur les méthodes de sécurité, les lacunes en matière de sécurité et les capacités de développement.

Contrairement à de nombreuses réglementations qui se concentrent sur la documentation et les audits, la CRA place la conception et le développement de logiciels sécurisés au cœur de la conformité. Les entreprises qui investissent tôt dans des fonctions de sécurité se conformeront plus rapidement aux réglementations et se démarqueront sur un marché où la sécurité des produits est un facteur déterminant dans la décision d'achat.

Quelles sont les exigences de la loi sur la cyber-résilience ?

La loi sur la cyber-résilience (Cyber Resilience Act, CRA) introduit des exigences de base en matière de cybersécurité pour la plupart des produits comportant des composants numériques qui sont commercialisés sur le marché européen, notamment les logiciels, les systèmes d'exploitation, les appareils connectés et les systèmes embarqués.

Il est encore plus important de noter que la responsabilité est transférée.

La sécurité n'est plus seulement un problème de fonctionnement ou d'exploitation. L'obligation de conception et de développement de la CRA comprend l'architecture, la mise en œuvre, la maintenance et l'accès avec des lacunes de sécurité.

Pour les cadres dans les domaines de la technologie et de la sécurité, cela signifie :

• Les produits doivent être conçus selon les principes de la sécurité dès la conception.
• Les failles de sécurité connues doivent être évitées dans la mesure du possible et traitées efficacement.
• Les entreprises doivent démontrer qu'elles ont mis en place des pratiques de développement sécurisées.

En résumé : la conformité est indissociable de l'art et de la conception, tout comme l'écriture et la gestion du code par les développeurs.

Pour lorsque vous faites appel à l'ARC

Bien que le CRA ait été introduit par l'UE, il s'applique à toute organisation dans le monde qui commercialise des produits numériques sur le marché européen, notamment :

• Fournisseurs de logiciels et fournisseurs SaaS dont les services servent de composants de traitement de données à distance pour les produits couverts
• Fabricant de produits numériques ou connectés
• Importateurs, distributeurs et détaillants
• Organisations, les composants numériques des fournisseurs tiers

Pour les entreprises internationales, la préparation au CRA constitue un élément essentiel du développement transfrontalier, et non une procédure de conformité régionale.

Pourquoi les organisations devraient commencer dès maintenant

Étapes importantes :

• Septembre 2026 — Début des contractions pour le message de sécurité lücken beginnen
• Décembre 2027 — Une réserve complète est requise.

Ce calendrier peut être clairement observé sur le papier. En réalité, la transformation dans le développement ne se produit pas tous les trimestres, mais s'étend sur plusieurs années.

Secure by Design n'est pas une simple mise à jour des directives. Il implique :

• Qualification de milliers de développeurs dans différents langages et équipes
• Intégration des attentes relatives à la conception sécurisée dans les processus de travail quotidiens
• Transition de la correction réactive des failles de sécurité vers la prévention
• Création de preuves mesurables démontrant que des pratiques de développement sécurisées sont systématiquement appliquées

Ces changements concernent les paramètres, l'intégration, les décisions architecturales, les processus SDLC et la culture d'ingénierie. Les entreprises qui attendent jusqu'à fin 2026 tenteront de mettre à niveau leurs capacités sous la pression réglementaire, ce qui s'avérera être une approche beaucoup plus coûteuse et perturbatrice.

La mise en œuvre comporte également un risque financier considérable. Conformément à l'article 64, l'Agence de notation peut infliger des amendes pouvant atteindre 15 millions d'euros en cas de violation des exigences fondamentales en matière de cybersécurité. Ces amendes peuvent s'élever à 2,5 % du chiffre d'affaires annuel mondial.

Attendre jusqu'à fin 2026 serait tout simplement trop tard.

CRA représente en fin de compte un défi pour les compétences des développeurs.

De nombreuses réglementations se concentrent sur les directives et la documentation. La CRA va plus loin en associant la conformité réglementaire aux pratiques réelles utilisées dans le développement et la création de logiciels. Elle suscite des attentes en matière de développement sécurisé en tant que discipline opérationnelle et non pas seulement en tant qu'exigence réglementaire.

Pour les responsables techniques, cela signifie que la conformité aux réglementations dépend de l'application systématique de procédures sécurisées par les équipes de développement, notamment :

• Comprendre les catégories générales de vulnérabilités
• Application de principes de conception et d'architecture sécurisés
• Éviter un modèle d'implémentation non sécurisé
• Gestion responsable des composants tiers et open source

Les outils de sécurité jouent un rôle important dans la détection des problèmes. Cependant, ces outils identifient les vulnérabilités après que le code a été écrit. La sécurité dès la conception exige que les développeurs préviennent les failles de sécurité dès le départ, et ce de manière cohérente dans toutes les équipes, tous les langages et tous les produits.

Les outils seuls ne peuvent y parvenir. Les résultats, qui sont fondamentalement sûrs, dépendent des capacités humaines.

Comment Secure Code Warrior la préparation de l'ARC

Secure Code Warrior des parcours d'apprentissage axés sur le CRA qui combinent :

• EIN CRA Standard Quest attribué aux exigences techniques de sécurité de l'annexe I, partie I
• Collection conceptuelle EIN Secure by Design
• Apprentissage pratique et spécifique à la langue des vulnérabilités

Veuillez consulter notre guide d'une page présentant tous les contenus pédagogiques axés sur la CRA dans SCW. SCW ne certifie pas la conformité aux réglementations. Nous soutenons la préparation des agences de notation grâce à un apprentissage structuré et à une amélioration mesurable des compétences, conformément aux principes du règlement sur le développement durable.

Commencez dès maintenant à mettre en place la préparation CRA

Le CRA reflète la direction que prend le secteur : la sécurité par la technologie de construction en tant que maintenance standard. Les entreprises qui investissent actuellement dans les compétences de leurs développeurs sont mieux à même de garantir la conformité aux réglementations et, à long terme, de développer des logiciels robustes et moins risqués.

Pour plus d'informations sur la manière dont Secure Code Warrior peut Secure Code Warrior aider à respecter les réglementations, veuillez consulter notre base de connaissances : Comment Secure Code Warrior peut Secure Code Warrior aider à respecter les réglementations.

Nous commençons notre exploration approfondie des 10 facteurs clés de réussite par l'étape fondamentale du facteur 1 : des critères de réussite définis et mesurables. Si un programme de codage sécurisé est un voyage, la première étape, et la plus importante, consiste à savoir exactement où vous allez. C'est l'essence même du premier facteur.

Lien entre les critères de réussite et les résultats commerciaux

La mise en place d'un programme efficace pour un codage sécurisé nécessite des objectifs clairs, liés aux services de l'entreprise. Le catalyseur 1 a répondu aux questions fondamentales suivantes : « Concrètement et de manière mesurable, quel est le problème ou le point faible que nous essayons de résoudre avec notre programme de codage sécurisé ? »

Peut-être que votre organisation cherche à répondre à des exigences de conformité ou à éviter les failles de sécurité et les cyberattaques. Ou peut-être que vous souhaitez vous lancer en tant qu'organisation, réduire les coûts et le temps consacré à la formation de nos développeurs dès le début et dans les écoles, en toute sécurité jusqu'à la programmation.

Indépendamment de vos motivations, la situation actuelle de votre entreprise, voire la plateforme de formation à la sécurité que vous avez choisie, dépend de la définition d'objectifs clairs liés aux objectifs commerciaux afin de gagner en acceptation et de garantir un succès durable.

Tenez compte des principales parties prenantes de votre programme lorsque vous déterminez les critères de réussite. Connaître vos sponsors exécutifs et leurs objectifs commerciaux vous aidera à favoriser une adoption plus large dans tous les services.

Rendre le succès tangible et mesurable

Ces objectifs doivent bien sûr être spécifiques à votre entreprise. Cependant, veuillez examiner ces objectifs commerciaux typiques et réfléchir à la manière dont ils pourraient vous inspirer d'autres idées :

Réduction des risques : atténuez les risques liés aux développeurs et réduisez les vulnérabilités introduites par les failles de codage. Cela inclut l'identification des risques et la réduction de la surface d'attaque des applications.

Les programmes visent souvent des indicateurs tels que la réduction et la prévention de la densité des vulnérabilités ou du taux d'injection de vulnérabilités.

Vitesse opérationnelle : optimisez la vitesse de livraison des produits, réduisez la frustration et l'attrition des développeurs, et diminuez le temps consacré aux retouches. La formation au code sécurisé constitue une incitation importante pour les développeurs, car elle leur permet d'éviter les retouches fastidieuses du code bogué identifié plus tard dans le cycle de vie du développement logiciel.

Les programmes visent souvent à réduire le temps moyen de correction (MTTR) des vulnérabilités par les développeurs.

Conformité réglementaire : Assurez la conformité externe, par exemple en respectant des normes telles que PCI-DSS (qui impose une formation à tous les développeurs travaillant sur des systèmes de paiement).

Talent et confiance : Renforcez l'engagement et la sensibilisation à la sécurité et aux vulnérabilités au sein de l'organisation des développeurs, tout en maintenant et en renforçant la confiance des clients. Pour certaines entreprises, les développeurs sensibilisés à la sécurité contribuent à établir une différenciation sur le marché.

Les programmes établissent souvent des exigences minimales en matière de compétences pour les développeurs ou créent même des programmes spécialisés de champions de la sécurité.

Documentation des résultats dans un plan de réussite commun

Une fois quevous avez défini vos critères de réussite, l'étape suivante consiste à les intégrer dans un plan de réussite commun. Ce plan est basé sur un plan croisé fonctionnel, et tous les acteurs importants sont impliqués dans votre programme, y compris le soutien externe de votre plateforme scolaire CSM.

Le plan de réussite comprend :

1. Facteurs de valeur: Il s'agit des objectifs organisationnels ambitieux liés à l'amélioration de la sécurité des codes et à la justification de votre programme.
2. Statut actuel: Cela justifie la question « Où en sommes-nous actuellement ? » (par exemple, compétences actuelles en matière de programmation sécurisée ou programmes de formation existants).
3. État futur (souhaité): Ensuite, vous documentez « Où souhaitons-nous être ? » et déterminez comment combler les lacunes en matière de compétences en programmation sécurisée.
4. Indicateurs clés de performance/mesures: il s'agit des indicateurs, du succès et des résultats qui, avec la mise en œuvre du programme, réduisent l'écart entre la situation actuelle et la situation future.

Nous recommandons de commencer par 1 ou 2 indicateurs spécifiques et d'élargir ensuite si nécessaire. Ces KPI/mesures doivent respecter le principe S.M.A.R.T. (spécifique, mesurable, accessible, pertinent, limité dans le temps). Ils doivent être faciles à suivre et ne doivent pas pouvoir être interprétés de manière arbitraire. Pour mettre le plan en œuvre, une responsabilité mutuelle est nécessaire de la part de toutes les parties, la valeur et le retour sur investissement étant vérifiés régulièrement, selon des conditions convenues avec la direction.

Votre programme consiste en une programmation sécurisée via un site web économique afin de vérifier les résultats commerciaux importants — une première étape nécessaire pour que le programme arrive à maturité.

Ensuite, nous nous plongerons dans Enabler 2 : Sponsoring durch Führung um die Schlüsselrolle zu lesen, le guide pour la mise en place réussie d'un programme de codage sécurisé.

Avez-vous d'autres questions ? Les clients peuvent contacter l'équipe chargée des comptes ou support@securecodewarrior.com. Les clients potentiels peuvent s'adresser à un membre de notre équipe commerciale en nous contactant ici.

Une personne qui décide de se lancer dans une start-up peut être qualifiée de différentes manières, du titre ambitieux d'« entrepreneur » à celui, nettement moins flatteur, de « fou ». Après onze ans à la tête de Secure Code Warrior, je me situe volontiers quelque part entre les deux. 

Les cinq dernières années ont été une leçon de résilience pour beaucoup, avec des imprévus, économiques et autres, que même les personnes les plus brillantes de la planète n'avaient pas su prévoir. On pourrait penser ici à la « loi du plus fort », mais je préfère cette citation :

Ce ne sont pas les espèces les plus robustes qui survivent, ni les plus intelligentes, mais celles qui s'adaptent le mieux au changement.

(Cette citation est souvent attribuée à tort à Charles Darwin, mais elle a en réalité été prononcée par le professeur Leon C. Megginson, qui résumait l'ouvrage de Darwin, L'Origine des espèces. Nous espérons que cela vous permettra de remporter un prix lors d'un quiz dans un pub à l'avenir.)

À l'heure actuelle, quel meilleur exemple de changement et d'adaptabilité existe-t-il dans notre monde que l'intelligence artificielle ? Plus de trois ans après l'annonce de la bombe LLM, nous nous efforçons toujours de comprendre ce qu'est cette itération, ce qu'elle peut accomplir et comment elle peut nous servir au mieux dans pratiquement tous les rôles qui existent aujourd'hui. Quoi qu'il en soit, elle est là pour rester, et en tant que professionnels de la cybersécurité en particulier, nous devons garder une longueur d'avance pour la protéger, même en l'absence de garde-fous et de réglementations officiels.

2025 a été une année importante pour l'IA, la cybersécurité et SCW. J'aborde 2026 avec une confiance sereine et l'optimisme que seul le travail acharné peut apporter. 

Nous avons franchi plusieurs étapes importantes, notamment notre incursion dans la sécurisation du développement de logiciels basés sur l'intelligence artificielle. Nous avons :

• Publié Trust Agent : IA en phase de test bêta : les dernières recherches de la CCIA confirmant que l'IA générative est la technologie qui a connu l'adoption la plus rapide de l'histoire, il n'est pas surprenant de constater l'engouement des développeurs pour les agents et assistants de codage IA, y compris les déploiements précipités au niveau des entreprises qui avancent plus vite que leurs programmes de sécurité.
  
  Notre dernière technologie, Trust Agent : AI, apporte la visibilité et la gouvernance qui faisaient défaut au code généré par l'IA. Elle offre aux responsables de la sécurité des entreprises l'observabilité et le contrôle approfondis dont ils ont besoin pour gérer en toute confiance l'adoption de l'IA dans leur cycle de vie de développement logiciel (SDLC) sans sacrifier la sécurité.
• Nous avons dépassé notre dernier objectif majeur en matière de chiffre d'affaires : le dépassement de notre objectif de chiffre d'affaires témoigne de la ténacité et de l'esprit d'innovation de toute Secure Code Warrior . Lorsque nous nous sommes lancés dans cette aventure, notre mission était d'aller au-delà de l'approche « checklist » en matière de sécurité et de donner aux développeurs les moyens d'écrire du code sécurisé dès la première ligne.
  
  Le fait que cette vision trouve un écho auprès d'un si grand nombre d'entreprises internationales prouve que le secteur se tourne enfin vers une sécurité centrée sur les développeurs, et je suis extrêmement fier de la manière dont nos Warriors se sont investis pour rendre les logiciels plus sûrs pour tous.
• Intégrations expertes avec des partenaires stratégiques : nos partenariats avec des entreprises de renom telles qu'Aikido, OpenText et Black Duck représentent une avancée significative dans notre mission visant à créer un écosystème de sécurité transparent et centré sur les développeurs. En comblant le fossé entre l'identification des vulnérabilités et la fourniture des compétences spécifiques nécessaires pour les corriger, nous bouclons efficacement la boucle en matière de risques logiciels liés aux développeurs.
  
  Je suis extrêmement fier de ce partenariat, qui marque un changement stratégique, passant d'outils fragmentés à une expérience unifiée où la sécurité est le prolongement naturel du processus de développement.

Alors que nous nous apprêtons à vivre une nouvelle année importante, je tiens à remercier nos nombreux supporters, en particulier ceux de la communauté cybernétique au sens large, qui continuent à lutter contre les vulnérabilités récurrentes, le manque de sensibilisation à la sécurité et la mauvaise qualité des codes produits. En adoptant une nouvelle norme plus sûre, nous pouvons commencer à constater de réelles améliorations dans la sécurité de nos logiciels, services et technologies. 

Nous investissons pleinement dans un avenir où l'IA écrira la majorité du code, sous la supervision d'humains qualifiés. Notre SCW Learning évolue rapidement pour répondre aux exigences de ce nouveau monde, et notre SCW Trust Agent : AI sera disponible dans les trois prochains mois pour soutenir le fonctionnement sécurisé des LLM, MCP et autres dans le SDLC. Nous sommes également sur le point d'annoncer très prochainement un nouveau partenariat passionnant avec un acteur majeur du marché.

Restez à l'écoute !

Une version de cet article a été publiée dans SC Magazine. Il a été modifié et syndiqué ici.


Si vous avez déjà été victime d'un cambriolage chez vous, vous comprendrez ce sentiment initial que quelque chose ne va pas, suivi de la prise de conscience que vous avez effectivement été volé et blessé. Cela s'accompagne généralement de plaintes persistantes, qui ne s'apaisent qu'après la mise en place de mesures de sécurité dignes de Fort Knox.

Imaginez que votre domicile soit cambriolé parce que les voleurs ont fabriqué une clé. Ils se déplacent discrètement, vont et viennent à leur guise, mais veillent à ne pas être découverts. Puis, un jour, vous vous rendez compte trop tard que les bijoux que vous aviez cachés dans le congélateur ont disparu, que votre coffre-fort a été vidé et que vos effets personnels ont été pillés. C'est la réalité équivalente, avec une entreprise impliquée, si elle propose des cyberattaques Zero-Day. En 2020, une étude du Ponemon Institute a révélé que 80 % des violations de la vie privée réussies étaient le résultat d'exploits Zero-Day, et la plupart des entreprises sont malheureusement mal équipées pour améliorer significativement ces statistiques.

Par définition, les attaques zero-day ne laissent pas le temps aux développeurs de détecter et de corriger les failles de sécurité existantes qui pourraient être exploitées, car l'auteur de la menace a déjà pénétré le système. Les dommages sont causés, ce qui entraîne des conséquences considérables, tant pour le logiciel que pour la réputation de l'entreprise. Les attaquants ont toujours un avantage, et il est essentiel de réduire cet avantage autant que possible.

Le cadeau de Noël dont personne ne souhaitait faire l'objet — Log4Shell — est actuellement en train de perturber l'Internet. Environ un milliard d'appareils seraient affectés par cette faille de sécurité Java catastrophique. Cela s'annonce comme la pire attaque 0-day de tous les temps, et nous n'en sommes qu'au début. Malgré certains rapports indiquant que les exploits ont commencé quelques jours avant la publication, une présentation lors de la Black Hat Conference en 2016 suggère que ce problème est connu depuis un certain temps. Cela est préoccupant. Pire encore, cette faille est extrêmement facile à exploiter, et tous les pirates informatiques et acteurs malveillants de la planète s'y intéressent.

Quelle est donc la meilleure façon de se protéger contre une menace insidieuse et obscure, sans parler des failles de sécurité qui ont été négligées dans le processus de développement logiciel ? Examinons cela de plus près.

Les attaques zero-day contre des cibles importantes sont rares (et coûteuses).

Le Dark Web abrite un vaste marché pour les exploits, et les zero-days coûtent généralement une somme considérable. À titre d'exemple , au moment de la rédaction de cet article, ils étaient cotés à 2,5 millions de dollars. Il s'agit d'un exploit d'Apple iOS, et il n'est pas surprenant que le prix demandé par le chercheur en sécurité soit exorbitant. Après tout, cela pourrait permettre de compromettre des millions d'appareils, de collecter des milliards d'enregistrements de données sensibles et de le faire aussi longtemps que possible avant d'être découvert et corrigé.

Cependant, qui dispose d'une telle somme d'argent ? En règle générale, les syndicats organisés de cybercriminels renoncent à l'argent lorsqu'ils le jugent nécessaire, en particulier dans le cas des attaques par ransomware, très répandues. Les gouvernements et les autorités de défense du monde entier comptent toutefois parmi les clients des exploits, qu'ils peuvent utiliser pour obtenir des informations sur les menaces. Dans les cas positifs, les entreprises pourraient elles-mêmes être les exploits zero-day potentiels permettant d'éviter des catastrophes.

En 2021, des records ont été battus en matière de découverte en direct d'exploits zero-day, et ce sont les grandes organisations, les autorités gouvernementales et les infrastructures, qui sont les plus exposées, qui sont testées pour détecter leurs vulnérabilités. Il n'existe aucun moyen de se protéger complètement contre les attaques zero-day, mais vous pouvez « jouer le jeu » dans une certaine mesure en proposant un programme de prime aux bogues généreux et bien structuré. Au lieu d'attendre que quelqu'un vous offre la clé de votre château logiciel sur un marché du Dark Web, invitez des passionnés de sécurité légitimes sur votre page et offrez-leur des récompenses pertinentes pour leurs révélations éthiques et leurs corrections éventuelles.

Et si une menace de type « zero-day » venait à se présenter, vous pouvez être certain que vous devrez émettre plus d'une carte-cadeau Amazon (et cela en vaudra la peine).

Vos outils pourraient constituer une charge pour votre personnel de sécurité.

Les outils de sécurité permanents constituent depuis longtemps un défi, le responsable de la sécurité des systèmes d'information (RSSI) moyen gérant entre 55 et 75 outils dans son arsenal de sécurité. Outre le fait qu'il s'agit du couteau suisse le plus déroutant (au sens figuré) au monde, 53 % des entreprises ne sont même pas convaincues de son efficacité, selon une étude du Ponemon Institute. Une autre étude a révélé que seuls 17 % des RSSI estimaient que leur pile de sécurité était « totalement efficace ».

Dans un domaine réputé pour son épuisement professionnel, le manque de spécialistes en sécurité pour répondre à la demande et le besoin d'agilité, il est difficile de contraindre les experts en sécurité à travailler avec un flux d'informations sous forme de données, de rapports et d'outils de surveillance volumineux. C'est précisément le type de scénario qui peut les amener à négliger une alerte critique, ce qui a été le cas lorsqu'il s'agissait d'examiner correctement les faiblesses de Log4j.

La sécurité préventive devrait inclure une modélisation des menaces axée sur les développeurs.

Les développeurs ont souvent recours à des failles de sécurité au niveau du code et ont besoin d'instructions précises et d'un parcours d'apprentissage régulier pour acquérir des connaissances en matière de programmation sécurisée. Les développeurs de sécurité de niveau supérieur ont la possibilité d'apprendre et de s'exercer dans le cadre de leur processus de développement logiciel.
‍
Il n'est pas surprenant que les personnes qui connaissent le mieux leur logiciel soient les développeurs qui l'ont créé et développé. Ils possèdent une connaissance approfondie de la manière dont les utilisateurs interagissent avec le logiciel, des domaines dans lesquels les fonctionnalités sont utilisées et, s'ils sont suffisamment sensibilisés à la sécurité, des scénarios potentiels dans lesquels le logiciel pourrait être compromis ou exploité.

En revenant à l'exploit Log4Shell, nous observons un scénario dans lequel une faille de sécurité catastrophique n'a pas été détectée par les experts et les outils complexes. Cependant, elle n'aurait peut-être pas eu lieu si la bibliothèque avait été configurée pour agréger les entrées utilisateur. Cette décision semble avoir été motivée par des raisons pratiques, mais elle a rendu l'exploitation extrêmement facile (pensez au niveau d'injection SQL, ce qui n'est certainement pas très ingénieux). Si la modélisation des menaces avait été réalisée par un groupe de développeurs passionnés et soucieux de la sécurité, ce scénario aurait très probablement été théorisé et mis en pratique.

Un programme de sécurité efficace comporte une composante émotionnelle, dans laquelle l'intervention humaine et les nuances sont au cœur de la résolution des problèmes causés par les personnes. La modélisation des menaces nécessite de l'empathie et de l'expérience pour être efficace, tout comme le codage et la configuration sécurisés des logiciels et des applications au niveau de l'architecture. Les développeurs ne doivent pas travailler de nuit, mais il est préférable qu'ils indiquent clairement qu'ils peuvent confier cette tâche importante à l'équipe de sécurité (ce qui permet également de créer une excellente relation entre les deux équipes).

Les jours nuls conduisent à des jours N.

La phase suivante du processus avec un Zero-Day consiste à fournir des correctifs aussi rapidement que possible, dans l'espoir que chaque utilisateur du logiciel vulnérable les installe aussi rapidement que possible, et dans tous les cas, avant le fournisseur. Log4Shell pourrait éclipser Heartbleed en termes de persistance et de puissance, étant donné qu'il est intégré à des millions d'appareils et qu'il crée des dépendances complexes au sein d'une version logicielle.

D'un point de vue réaliste, il n'existe aucun moyen d'empêcher complètement ce type d'attaques furtives. Cependant, si nous nous engageons à exploiter toutes les possibilités pour développer des logiciels de haute qualité et sécurisés, et si nous abordons le développement avec la même approche que celle utilisée pour les infrastructures critiques, nous pouvons tous avoir une chance réelle.

Le développement assisté par l'IA (ou, dans sa version plus tendance, le « vibe coding ») a un effet transformateur considérable sur la création de code. Les développeurs confirmés utilisent ces outils en grand nombre, et ceux d'entre nous qui ont toujours souhaité développer leurs propres logiciels, mais qui ne disposaient pas de l'expérience nécessaire, les utilisent également pour développer des ressources qui auraient auparavant été coûteuses et chronophages. Si cette technologie promet d'ouvrir une nouvelle ère d'innovation, elle s'accompagne également d'une série de nouvelles failles de sécurité et de profils de risque que les responsables de la sécurité ont du mal à contrer.

Une récente découverte d'InvariantLabs a révélé une faille de sécurité critique dans le Model Context Protocol (MCP), un cadre similaire à une API qui permet à des outils d'IA puissants d'interagir de manière autonome avec d'autres logiciels et bases de données. Cela rend possible ce que l'on appelle les « attaques par empoisonnement d'outils », une nouvelle catégorie de vulnérabilités qui pourrait s'avérer particulièrement préjudiciable pour les entreprises. Les grands outils d'IA tels que Windsurf et Cursor ne sont pas à l'abri, et avec des millions d'utilisateurs, la sensibilisation et la capacité à faire face à ce problème de sécurité émergent sont d'une importance capitale.

Il semble que les performances de ces outils ne soient pas suffisamment fiables pour être considérées comme adaptées à une utilisation en entreprise, comme le souligne une étude récente menée par les chercheurs en sécurité d'AWS et d'Intuit, Vineeth Sai Narajala et Idan Habler :« Les systèmes d'IA devenant de plus en plus autonomes et interagissant directement avec des outils externes et des données en temps réel via des éléments tels que le MCP, il est absolument nécessaire de garantir la sécurité de ces interactions. »

Systèmes d'intelligence artificielle agentique et profil de risque du protocole Model Context Protocol

Le Model Context Protocol est un logiciel pratique développé par Anthropic qui permet une intégration plus efficace et plus fluide entre les agents IA des modèles linguistiques à grande échelle (LLM) et d'autres outils. Il s'agit d'un cas d'utilisation puissant qui ouvre un monde de possibilités entre les applications propriétaires et les outils SaaS critiques pour l'entreprise, tels que GitHub, qui interagissent avec des solutions d'IA de pointe. Il suffit de créer un serveur MCP et de définir les directives relatives à son fonctionnement et à son objectif.

Les effets de la technologie MCP sur la sécurité sont en effet majoritairement positifs. La promesse d'une intégration plus simple entre les LLM et la pile technologique utilisée par les experts en sécurité est trop séduisante pour être ignorée. Elle offre la possibilité d'automatiser avec précision les tâches de sécurité à un niveau qui était auparavant impossible, du moins sans écrire et déployer du code personnalisé, généralement pour chaque tâche. L'interopérabilité améliorée des LLM offerte par le MCP est une perspective intéressante pour la sécurité des entreprises, car une transparence et une connectivité étendues entre les données, les outils et le personnel sont essentielles pour une défense et une planification efficaces en matière de sécurité.

Cependant, l'utilisation du MCP peut entraîner d'autres vecteurs de menaces potentiels et élargir considérablement la surface d'attaque de l'entreprise si elle n'est pas gérée avec soin. Comme l'a souligné Invariante Labore, les attaques par empoisonnement d'outils constituent une nouvelle catégorie de vulnérabilités qui peuvent conduire à l'exfiltration de données sensibles et à des actions non autorisées par des modèles d'IA. À partir de là, les implications en matière de sécurité peuvent rapidement devenir très préoccupantes.

InvariantLabs souligne qu'une attaque par empoisonnement d'outil est possible lorsque des instructions malveillantes sont intégrées dans les descriptions d'outils MCP, qui ne sont pas visibles pour les utilisateurs, mais qui sont entièrement lisibles (et exécutables) par les modèles d'IA. Cela incite l'outil à effectuer des actions malveillantes non autorisées à l'insu de l'utilisateur. Le problème réside dans l'hypothèse du MCP selon laquelle toutes les descriptions d'outils sont fiables. Cela constitue une opportunité pour un acteur malveillant.

Vous constatez les conséquences possibles suivantes d'un outil compromis :

• Autoriser les modèles d'IA à accéder à des fichiers confidentiels (tels que les clés SSH, les fichiers de configuration, les bases de données, etc.) ;
• Demander à l'IA d'extraire et de transférer ces données dans un environnement où ces actions malveillantes sont intrinsèquement dissimulées à l'utilisateur non averti ;
• Veuillez établir une distinction entre ce que l'utilisateur perçoit et les actions du modèle d'IA en dissimulant les représentations d'interface utilisateur apparemment simples des outils et des résultats.

Il s'agit d'une nouvelle catégorie de vulnérabilités préoccupante, que nous verrons certainement se multiplier à mesure que l'utilisation des MCP continuera inévitablement d'augmenter. À mesure que les programmes de sécurité des entreprises évoluent, celles-ci prendront des mesures rigoureuses pour détecter et contrer cette menace. Il est donc essentiel de préparer adéquatement les développeurs à faire partie de la solution.

Pourquoi seuls les développeurs expérimentés en matière de sécurité devraient utiliser des outils d'IA agentielle

Les outils de codage IA d'Agentic sont considérés comme la prochaine évolution du codage assisté par IA et contribuent à leur capacité à offrir plus d'efficacité, de productivité et de flexibilité dans le développement de logiciels. Leur capacité améliorée à comprendre le contexte et l'intention les rend particulièrement utiles, mais ils ne sont pas à l'abri de menaces telles que l'injection rapide, l'hallucination ou la manipulation du comportement par des attaquants.

Les développeurs constituent la ligne de défense entre les bonnes et les mauvaises validations de code, et il sera essentiel à l'avenir du développement logiciel sécurisé de maintenir à jour leurs compétences en matière de sécurité et leur esprit critique.

Les résultats de l'IA ne doivent jamais être mis en œuvre avec une confiance aveugle, et seuls les développeurs expérimentés en matière de sécurité, qui font preuve d'un esprit critique et contextuel, peuvent exploiter en toute sécurité les gains de productivité offerts par cette technologie. Il doit néanmoins s'agir d'un environnement de programmation en binôme, dans lequel l'expert humain est en mesure d'évaluer, de remettre en question et, finalement, d'approuver le travail effectué par l'outil.

Découvrez comment les développeurs peuvent améliorer leurs compétences grâce à l'IA et augmenter leur productivité ici.

Techniques pratiques pour limiter les dommages et informations complémentaires dans notre dernier document de recherche.

Les outils de codage KI et la technologie MCP constitueront un facteur important pour l'avenir de la cybersécurité, mais il est essentiel de ne pas se lancer sans avoir préalablement évalué la situation.

Le document de Narajala et Habler décrit des stratégies complètes de réduction des risques pour la mise en œuvre du MCP au niveau de l'entreprise et la gestion continue des risques associés. En fin de compte, il s'agit de principes de défense approfondis et de confiance zéro qui visent explicitement le profil de risque unique que cet nouvel écosystème apporte à un environnement d'entreprise. Il est particulièrement important pour les développeurs de combler leurs lacunes dans les domaines suivants :

• Authentification et contrôle d'accès: les outils d'IA agents résolvent des problèmes et prennent des décisions autonomes afin d'atteindre les objectifs qui leur sont fixés, de la même manière qu'un être humain aborderait des tâches techniques. Cependant, comme nous l'avons constaté, la supervision humaine experte de ces processus ne peut être ignorée, et les développeurs qui utilisent ces outils dans leurs flux de travail doivent comprendre précisément quel accès ils ont, quelles données ils récupèrent ou peuvent éventuellement rendre disponibles, et où celles-ci pourraient être partagées.
• Détection et prévention générales des menaces: comme pour la plupart des processus d'IA, l'utilisateur doit maîtriser la tâche lui-même afin de détecter les erreurs et imprécisions potentielles dans les résultats fournis par l'outil. Les développeurs doivent être formés en continu et leurs compétences doivent être évaluées afin de pouvoir vérifier efficacement les processus de sécurité et contrôler le code généré par l'IA avec précision et autorité en matière de sécurité.
• Conformité avec la politique de sécurité et la gouvernance de l'IA: les développeurs doivent être informés des outils approuvés et avoir la possibilité de se former et d'y avoir accès. Les développeurs et les outils doivent être soumis à une évaluation comparative de la sécurité avant que les commits ne soient considérés comme fiables.

Nous avons récemment publié un document de recherche sur l'émergence du vibe coding et du codage assisté par l'IA, ainsi que sur les mesures que les entreprises doivent prendre pour former la prochaine génération d'ingénieurs logiciels spécialisés dans l'IA. Nous vous invitons à le consulter et à nous contacter dès aujourd'hui pour renforcer votre équipe de développement.

Une version de cet article a été publiée à l'origine dans DZone. Elle a été mise à jour et syndiquée ici.

La version 4.0 de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) changera presque tout en matière de sécurité pour toute entreprise ou organisation qui accepte les paiements électroniques, ce qui est le cas de la grande majorité d'entre elles. Ne vous y trompez pas, cette mise à jour va transformer la plupart des entreprises, les obligeant à mettre à jour nombre de leurs processus de sécurité et potentiellement à déployer de nouvelles protections en matière de cryptage, d'authentification, de contrôle d'accès, de gestion des clés et d'autres domaines qu'elles ont peut-être été lentes à adopter jusqu'à présent.

En raison de la complexité des nouvelles exigences, les organisations ont eu jusqu'à mars 2025 pour se mettre en conformité. Mais cette date butoir arrivera plus tôt que la plupart des gens ne le pensent. En fait, de nombreuses entreprises tournées vers l'avenir prennent dès à présent des mesures pour permettre à leurs développeurs de naviguer dans le paysage de la conformité à venir. 

Aller au-delà de la formation "check-the-box

Les développeurs d'une organisation écrivent le code sur lequel repose une grande partie de leur infrastructure. Il est donc logique qu'ils soient un bon point de départ lorsqu'il s'agit de mettre en œuvre les nouvelles exigences de la norme PCI DSS 4.0. Cependant, la plupart des développeurs auront besoin d'un soutien stratégique pour se perfectionner dans le cadre d'un programme de sensibilisation à la sécurité actualisé. Ceci afin de s'assurer qu'ils ont l'expérience nécessaire pour mettre en œuvre et maintenir les niveaux de sécurité plus élevés exigés par la nouvelle norme. 

En fait, l'exigence 12.6.2 de la norme PCI DSS 4.0 demande aux organisations de mettre en œuvre un programme de sécurité formel et de le tenir à jour avec les dernières informations sur les menaces et les techniques de défense. Avec l'ancienne norme, les programmes de sécurité de base ou même les formations annuelles de conformité de type "check-the-box" répondaient à l'objectif. La nouvelle norme exige beaucoup plus, allant même jusqu'à exiger que les programmes de formation à la sécurité traitent des menaces et des vulnérabilités spécifiques à l'environnement de l'entreprise. Par exemple, si l'usurpation d'identité est un problème majeur pour une organisation, la formation doit en tenir compte.

Il est clair qu'une formation minimale ne suffira plus, que ce soit d'un point de vue pratique ou pour se conformer à la nouvelle norme. Au lieu de cela, les organisations doivent fournir aux développeurs des parcours d'apprentissage complets et agiles qui leur apprennent à appliquer les meilleures pratiques de sécurité dans leur travail réel et quotidien. En allant au-delà des efforts de conformité minimum et en fournissant aux développeurs les ressources dont ils ont besoin pour vraiment comprendre la sécurité, les organisations peuvent permettre à leurs développeurs de prendre de meilleures décisions en matière de sécurité tout en se conformant à la norme PCI DSS 4.0.

La bonne nouvelle, c'est que bon nombre des nouvelles exigences de la norme PCI DSS 4.0 concernent des domaines que la plupart des développeurs connaissent déjà, comme l'authentification, le cryptage, le contrôle d'accès, la gestion des clés, etc. Lorsque les développeurs disposent de ressources adaptées, pertinentes et familières pour développer leurs compétences, les organisations peuvent plus facilement les préparer aux nouvelles normes et aux responsabilités accrues que la norme PCI DSS 4.0 exigera.

Utiliser PCI DSS 4.0 pour améliorer la sécurité en général

S'il est vrai que répondre aux besoins des développeurs par une bonne formation à la sécurité sera essentiel pour se conformer à la nouvelle norme PCI DSS 4.0, l'effort d'évolution d'une organisation vers une meilleure cybersécurité ne doit pas s'arrêter là. Certes, les exigences sont rigoureuses, mais comme la plupart des organisations devront travailler pour s'y conformer, il n'y a aucune raison de ne pas utiliser cet effort comme tremplin pour lancer une meilleure sensibilisation et une meilleure formation à la sécurité en général. Cela aidera non seulement une organisation à satisfaire aux exigences de conformité, mais commencera également à favoriser une culture de sécurité positive qui donne la priorité aux meilleures pratiques et garantit que tous les membres de l'organisation travaillent dans le même but, celui de la sécurité d'abord. 

Il y a une courbe d'apprentissage, c'est certain, mais les développeurs seront probablement d'accord avec un tel effort. Dans une enquête d' Evans Data menée auprès de plus de 1 200 développeurs professionnels travaillant activement dans le monde entier, l'écrasante majorité d'entre eux a déclaré soutenir le concept de création de code sécurisé et d'établissement d'une meilleure culture de la sécurité au sein de leur entreprise. Il est clair que la plupart des développeurs sont favorables à un changement stratégique et soutenu en faveur d'un codage sécurisé et à une redéfinition des priorités en matière de sécurité dans le cadre du processus de développement. 

Les améliorations de la sécurité imposées par la norme PCI DSS 4.0 constituent une excuse parfaite pour que les entreprises investissent dans l'amélioration des meilleures pratiques et de la formation en matière de sécurité, et qu'elles adoptent une meilleure culture générale de la sécurité au sein de leur organisation.

Les développeurs peuvent plus facilement atteindre des niveaux plus élevés de maturité en matière de sécurité si leurs entreprises investissent dans un programme qui leur permet d'intégrer leurs compétences en matière de codage sécurisé avec des outils et une formation appropriés. Cela peut, à son tour, contribuer à créer une culture de la sécurité dans laquelle les développeurs sont davantage habilités à prendre de meilleures décisions qui améliorent la posture de sécurité globale de leur organisation bien au-delà des nouvelles normes rigoureuses PCI DSS 4.0.
‍

Après seulement quelques minutes passées à parcourir les actualités techniques, on se rend rapidement compte à quel point le paysage des menaces devient dangereux. Chaque jour semble apporter son lot de rapports faisant état d'une violation grave, d'une nouvelle faille de sécurité ou d'un risque sérieux d'exploitation active par des cybercriminels et des pirates informatiques. Presque tous les indicateurs et rapports sectoriels montrent une augmentation préoccupante du nombre de cybermenaces, et la plupart des experts prévoient que cette tendance se poursuivra dans les années à venir.

Face à ces nouvelles menaces, on observe une ligne de front épuisée et en sous-effectif composée de spécialistes de la sécurité informatique. Bien qu'ils perçoivent des salaires élevés et soient pratiquement indispensables à toute entreprise ou organisation, il n'y a jamais suffisamment de personnel de sécurité pour répondre aux besoins de tous. Dans une enquête récente menée par le Center for Strategic and International Studies, 82 % des décideurs informatiques ont déclaré que leur entreprise souffrait d'un manque de compétences en matière de cybersécurité, et 71 % ont indiqué que ce manque avait entraîné des dommages directs et mesurables pour leur entreprise. Rien qu'aux États-Unis, le rapport a constaté qu'il y avait plus de 520 000 postes vacants dans le domaine de la cybersécurité, alors que ce secteur n'emploie qu'environ 940 000 personnes.

Il existe actuellement environ 3,5 millions d'emplois vacants dans le domaine de la cybersécurité à l'échelle mondiale, ce qui signifie que même les entreprises disposées à investir des sommes considérables pour recruter et fidéliser des spécialistes de haut niveau rencontrent des difficultés pour trouver des candidats adéquats. En moyenne, il faut environ 21 % plus de temps pour pourvoir un poste dans le domaine de la cybersécurité que pour tout autre poste, si tant est qu'il puisse être pourvu.

L'activation par les développeurs a été négligée pendant trop longtemps.

Nous avons mentionné dans de nombreux articles précédents que les développeurs peuvent être sollicités pour combler certaines de ces lacunes critiques dans la défense de la cybersécurité. Cependant, les développeurs n'ont traditionnellement jamais reçu de formation en matière de cybersécurité. Leur rendement dépendait presque exclusivement de la vitesse et du temps de déploiement. La sécurité était quant à elle la responsabilité des équipes AppSec.

Malheureusement, il ne suffit pas de changer de cap et de demander aux développeurs de commencer soudainement à sécuriser leurs applications et leurs programmes. Même s'ils sont prêts à apporter ces modifications, et des enquêtes ont montré que beaucoup d'entre eux le sont, ils doivent néanmoins être formés pour y parvenir. Ils ont également besoin d'être encouragés et soutenus par la direction, mais un apprentissage significatif est le premier obstacle, et souvent le plus important.

Il existe une raison pour laquelle des millions de postes hautement rémunérés et très sécurisés dans le domaine de la sécurité informatique restent vacants à travers le monde. Si c'était un travail facile, tout le monde se lancerait dans ce domaine. Il est difficile d'apprendre à lutter contre les menaces et à éliminer les failles de sécurité dans le code, et le paysage des menaces est en constante évolution. Tenter d'enseigner la cybersécurité même à des développeurs techniquement compétents ne peut se faire efficacement à l'aide de formations statiques, rapides à suivre, peu mémorables et dont l'impact positif sera minime, en particulier si ces exigences s'ajoutent à leurs emplois du temps déjà surchargés.

Construisez un échafaudage pour atteindre les zones en hauteur.

Enseigner les compétences en cybersécurité à l'aide de méthodes traditionnelles revient à tenter de construire un gratte-ciel sans jamais quitter le sol. Cela n'est pas possible, car les étudiants ne disposent pas des bases nécessaires pour maîtriser les nombreux concepts généraux d'un domaine complexe tel que la cybersécurité. Pour pallier cela, le concept d'apprentissage sur échafaudage peut être utilisé.

Lorsque la formation continue utilise une structure ou une approche « multicouche », les thèmes plus vastes sont généralement divisés en expériences d'apprentissage ou concepts individuels. Cela permet de s'assurer que les étudiants sont en mesure de maîtriser chaque concept à l'aide d'exercices et d'instructions appropriés, et offre tout le soutien nécessaire pour chaque composante. Les concepts plus récents et plus avancés s'ajoutent à ceux déjà appris, tout comme un échafaudage physique est construit à mesure qu'un bâtiment s'élève. De cette manière, les étudiants sont en mesure d'atteindre un niveau de compréhension et de compétences plus élevé qu'ils ne pourraient le faire sans soutien.

Tout comme pour les échafaudages physiques, ce soutien est progressivement retiré lorsqu'il n'est plus nécessaire, de sorte que les élèves assument davantage de responsabilités à mesure qu'ils deviennent plus compétents.

L'apprentissage par étapes est principalement utilisé pour réduire les émotions négatives et la perception de soi que les élèves peuvent ressentir lorsqu'ils sont frustrés, intimidés ou découragés lorsqu'ils doivent résoudre une tâche difficile sans aide. Cependant, cela peut également s'avérer très utile lorsqu'il s'agit d'aborder un concept extrêmement complexe tel que la cybersécurité moderne. Loin de traiter les développeurs comme des enfants, il est extrêmement utile que leur expérience avec l'équipe de sécurité puisse avoir le même effet, à savoir frustrant et décourageant, surtout lorsque leur travail acharné est repoussé par des corrections de bogues et une nouvelle série de critiques.

Lorsque les développeurs disposent d'outils leur permettant de comprendre les principes fondamentaux du codage sécurisé (généralement à partir du Top 10 de l'OWASP), ils peuvent constater par eux-mêmes comment les failles de sécurité apparaissent, pourquoi elles sont dangereuses et comment les corriger avant qu'elles n'atteignent la phase de production. À partir de là, ils peuvent approfondir leurs connaissances en s'attaquant à des failles de sécurité plus complexes et en acquérant une expérience pratique dans l'application de correctifs efficaces. Les niveaux progressent petit à petit, et lorsqu'il s'agit ensuite de problèmes de sécurité avancés tels que l'architecture logicielle non sécurisée ou la création de modèles de menaces, ces étapes ne semblent plus aussi intimidantes et peuvent être abordées avec précision.

En tant que secteur, nous ne devrions jamais attendre des développeurs qu'ils deviennent des experts en sécurité, mais les entreprises peuvent introduire de nouvelles normes pour aider les développeurs à créer des logiciels de meilleure qualité. En outre, pour les entreprises qui possèdent des compétences techniques et qui se forment, chaque étape franchie ou chaque niveau atteint au cours de l'apprentissage se traduira directement par une meilleure cybersécurité. Il n'est pas nécessaire d'attendre la fin d'un cours pour constater des résultats.

Il est difficile d'acquérir des connaissances en matière de cybersécurité, et sans une aide et des conseils appropriés, il est presque impossible de la maîtriser. La mise en place d'un programme de sécurité avec des structures d'apprentissage peut aider à en tirer le meilleur parti, les avantages étant presque immédiatement évidents. Les améliorations sont visibles presque immédiatement et s'améliorent avec le temps.

Rejoignez-nous pour former des développeurs soucieux de la sécurité. Découvrez :

Cours
Missions
Formation pour développeurs

... et bien plus encore !

Nous avons récemment eu le plaisir de voir la première contribution du comité technologique de Forbes de notre président-directeur général, Pieter Danhieux, être publiée en direct. Cet article expliquait en détail comment la formation continue des développeurs à la création de codes plus sécurisés est essentielle pour prévenir les cyberattaques et les violations de données. Il montrait également comment ces mêmes développeurs sensibilisés à la sécurité peuvent contribuer à fournir des codes de meilleure qualité et plus sécurisés plus rapidement que ne le pensent de nombreux services informatiques. La nécessité de cette approche est indéniable. Une étude récente a révélé qu'une cyberattaque se produit désormais toutes les 39 secondes, et nous avons tous constaté les perturbations causées par une seule attaque réussie par ransomware contre le pipeline Colonial, qui n'a finalement pas été aussi destructrice que le piratage de SolarWinds.

‍

De nombreuses failles de sécurité courantes persistent, car personne n'a pris la peine de montrer aux développeurs comment remplacer les mauvais modèles de codage par une méthode plus efficace permettant d'exécuter les mêmes fonctions de manière plus sûre et plus sécurisée. De plus, les conséquences de la réparation d'un logiciel à un stade avancé de son développement sont extrêmement coûteuses, tant en termes d'heures de travail que de retards dans la mise à disposition. La correction du code après le déploiement, en particulier après qu'un pirate informatique a exploité une faille de sécurité jusque-là inconnue, peut parfois coûter des millions de dollars. Et cela sans même tenir compte de l'atteinte à la réputation d'une entreprise après une violation grave.

Les développeurs formés à la sécurité deviennent naturellement de meilleurs programmeurs. Bien entendu, les RSSI ne doivent pas abandonner trop rapidement leurs outils de sécurité, mais en adoptant une approche inclusive et préventive de la sécurité, ils peuvent tirer parti de la plus grande ressource de leur entreprise, à savoir le facteur humain, en particulier lorsqu'il s'agit de coder de manière sécurisée dès le début du cycle de développement logiciel.

À cette fin, voici les trois stratégies principales que vous devriez prendre en considération.

1. Soyez proactif, non réactif

Les entreprises tombent souvent dans le piège de la réactivité, par exemple en réagissant aux activités de leurs concurrents au lieu de développer et de poursuivre une vision unique. Beaucoup adoptent également cette approche lorsqu'il s'agit de failles de sécurité dans le code et ne prennent la cybersécurité au sérieux que lorsqu'elles y sont contraintes à la suite d'une violation réussie. Malheureusement, le mal est déjà fait. Les amendes, les coûts de restauration, la perte de clients et la restauration de la marque ont tous un impact négatif sur les résultats financiers. Une autre forme de réaction plutôt que d'action consiste à s'appuyer sur l'analyse automatique ou manuelle du code pour trouver les vulnérabilités dans le code existant, plutôt que de se concentrer sur la création d'un code sécurisé. Malheureusement, l'analyse du code n'est pas une solution parfaite. En effet, plus le code contient de failles de sécurité, plus il y a de chances que certaines d'entre elles passent inaperçues.

Ce n'est qu'en adoptant une approche proactive et en collaborant avec les développeurs pour les aider dès le début à créer un code sécurisé que vous pourrez mettre en place un cycle de développement logiciel qui réduira considérablement le risque que des vulnérabilités de codage soient exposées aux utilisateurs.

2. Améliorer ses qualifications, sans exagérer

Une fois que vous avez décidé de fournir aux développeurs les connaissances nécessaires pour créer un code sécurisé, choisissez votre approche avec soin. Les ateliers de formation internes qui interrompent le processus de programmation peuvent être source de frustration tant pour les développeurs que pour les responsables. Les cours hors site, qui doivent être suivis le soir ou le week-end, sont encore moins appréciés. La meilleure approche consiste à développer progressivement les compétences en programmation. Fournissez des informations pertinentes étape par étape pendant le processus de codage, essentiellement sous forme de formation continue, sans trop distraire les développeurs ni ralentir le processus de développement.

3. Créer des incitations, ne pas présumer

Les développeurs ne devraient pas considérer les améliorations en matière de sécurité comme une sanction ou une corvée. Les responsables doivent inspirer les développeurs en leur expliquant le rôle important que joue un code sécurisé dans la réussite de l'entreprise. Il est également essentiel de faire comprendre que les programmeurs qui veillent à la sécurité sont plus précieux pour l'entreprise et bénéficieront à l'avenir de meilleures opportunités de carrière.

L'administration Biden est la bienvenue Le décret exécutif a mis davantage l'accent sur la cybersécurité et la nécessité « d'inclure des critères d'évaluation des pratiques de sécurité des développeurs et des fournisseurs eux-mêmes et d'identifier des outils ou des méthodes innovants pour vérifier la conformité aux pratiques de sécurité ». Les outils sont certes indispensables, mais ils ne suffisent pas. Aucun outil ne pourra jamais empêcher complètement une personne d'ignorer, de mal comprendre, d'utiliser à mauvais escient ou de contourner d'une manière ou d'une autre les systèmes et outils mis en place. Afin de maximiser la sécurité de leurs entreprises, les RSSI doivent tirer parti du facteur humain et encourager les développeurs à devenir des défenseurs et des praticiens volontaires dans le domaine de la sécurité.