Cómo Envestnet adoptó una plataforma de aprendizaje de código ágil y segura y triplicó la eficacia de los desarrolladores en la reducción de vulnerabilidades
Contexte
Envestnet, Inc. est une société fintech cotée en bourse avec 5,3 billions de dollars d'actifs et plus de 18,5 millions de comptes d'investisseurs. La mission d'Envestnet est de donner aux conseillers et aux prestataires de services financiers les moyens de faire du bien-être financier une réalité pour tous, grâce à une technologie, des solutions et une intelligence innovantes. Envestnet s'est imposée comme l'un des leaders du marché de la technologie de gestion de patrimoine avec sa plateforme de conseil phare qui intègre les services et les logiciels utilisés par les conseillers financiers dans la gestion de patrimoine à travers le monde.
L'engagement d'Envestnet envers les meilleures pratiques de gestion des données comprend le contrôle continu de sa plateforme de gestion de patrimoine par le biais de mesures de conformité basées sur le risque qui peuvent rapidement identifier et remédier à tout problème de conformité ou à toute défaillance potentielle. Envestnet ouvre la voie à la protection des données de ses clients en adoptant des mesures de sécurité de classe mondiale dans la prestation de ses services.
Découvrez comment Derek Fisher, responsable de la sécurité des produits chez Envestnet et auteur de "The Application Security Handbook", a travaillé avec Secure Code Warrior pour développer une approche holistique visant à réduire les vulnérabilités grâce à l'activation du code sécurisé agile pour ses équipes de développeurs. Derek travaille dans le domaine de la sécurité des applications depuis plus de dix ans, où il a vu de nombreux succès et échecs en matière de sécurité. Il apporte son expertise unique dans le développement d'un environnement d'apprentissage du code sécurisé pour les développeurs d'Envestnet.
Situation
Lorsque Derek a pris ses fonctions dans le domaine de la sécurité des applications, il souhaitait aller plus loin que le top 10 de l'OWASP et la formation de base en matière de conformité. L'entreprise disposait de certains processus SDLC sécurisés, mais ils étaient largement axés sur la recherche de vulnérabilités, sans nécessairement les traiter à la source.
Selon Derek, "nous connaissons tous assez bien la formation annuelle sur la conformité à laquelle nous sommes tous soumis dans n'importe quelle organisation. C'est généralement ce que j'appelle "la mort par Powerpoint", un tas de diapositives et peut-être une page assessment à la fin... c'est vraiment inefficace et cela prend beaucoup de temps. Nous avions des formations, mais elles étaient basées sur la conformité habituelle, avec quelques formations spécifiques à la sécurité basées sur des diapositives et des enregistrements audio. Nous avons remarqué que les développeurs n'étaient pas très impliqués et qu'ils n'apprenaient pas grand-chose de ce matériel, et nous avons donc dû changer de stratégie".
Cette ancienne stratégie consistant à former simplement les développeurs par le biais d'une formation passive, axée sur la conformité à l'OWASP, était particulièrement pénible pour Derek et son équipe, car ils ne pouvaient pas mesurer l'impact de la formation, de sorte qu'ils se sont retrouvés à consacrer de plus en plus de temps à la gestion des vulnérabilités.
Derek a reconnu qu'il était important d'examiner la source des vulnérabilités - le code non sécurisé envoyé en production par les développeurs - et qu'il ne suffisait pas d'ajouter d'autres outils pour résoudre le problème.
Au lieu de cela, Derek et son équipe se sont concentrés en 2020 sur l'atténuation des vulnérabilités, dans le but d'écrire un code plus sûr dès le départ. Derek et son équipe ont adopté une stratégie de "déplacement vers la gauche" pour traiter les vulnérabilités et y remédier beaucoup plus tôt dans le cycle de développement durable, lorsqu'il est beaucoup moins coûteux d'y remédier.
Mais d'abord, ils devaient s'attaquer au faible engagement historique des développeurs sur les App Sectraining existants. Il voulait éviter d'appliquer une mentalité de "case à cocher" à sa stratégie d'apprentissage du code sécurisé et offrir aux développeurs d'Envestnet une expérience d'apprentissage du code sécurisé plus efficace et plus agile.
"Une fois que j'ai vu SCW et ce qu'il peut faire, j'ai su qu'une approche plus pratique et plus interactive était la bonne pour nous. Je voulais que les ingénieurs et les développeurs sortent de cette formation avec une connaissance plus pratique des problèmes réels. Nous voulions créer une mémoire musculaire : "Voilà quelque chose que j'ai déjà vu en formation, je sais comment aborder ce problème de codage que je vois". La plateforme Secure Code Warrior nous a permis de fournir ce type d'environnement dans lequel les ingénieurs et les développeurs peuvent se mettre au travail et vraiment comprendre quelles sont les bonnes pratiques de codage sécurisé, à quoi ressemblent les mauvaises et comment résoudre rapidement les vulnérabilités."
Derek Fisher, responsable de la sécurité des produits chez Envestnet
Action
Derek tenait particulièrement à mettre en œuvre une stratégie de ceinturage récompensant l'amélioration des compétences en matière de code sécurisé par des certifications. Le programme à quatre niveaux se concentre sur la construction d'une base solide de sensibilisation à la sécurité (niveaux 1 et 2) et ouvre ensuite la voie aux développeurs pour qu'ils deviennent des champions de la sécurité (niveaux 3 et 4). Cela a permis de résoudre le problème de l'impossibilité de mesurer comment les développeurs retenaient les concepts de code sécurisé tout en garantissant que les développeurs sensibilisés à la sécurité disposaient d'un plan de carrière leur permettant d'améliorer leurs compétences en relevant des défis plus complexes en matière de sécurité.
Ils l'ont testé dans le cadre d'un petit projet pilote et ont sollicité les réactions des développeurs concernés. Les réactions ont été très positives. Derek l'a noté,
"Vous n'obtenez pas toujours un retour d'information positif - je ne saurais trop insister sur ce point - chaque fois que vous obtenez un retour d'information positif sur une formation, c'est inhabituel. C'est un bon indicateur que c'est le bon outil".
Envestnet a organisé son premier tournament au printemps 2021 et a noté des résultats plus positifs du point de vue de l'engagement des développeurs. Derek a ensuite lancé une série de courses intégrés dans leur LMS pour les développeurs DB, Front End, API et Cloud. Au moment où Envestnet a organisé son deuxième tournament à l'automne 2021, le nombre total de développeurs participants avait doublé.
Selon Derek, Envestnet a constaté une forte traction avec tournaments parce que,
"Nous savons tous que la compétition est une source de motivation. Nous voulons tous nous assurer que nos pairs reconnaissent nos performances dans certains domaines et cela motive vraiment les gens à participer et à obtenir de bons résultats sur ces sites tournaments. Cela et l'intégration avec nos outils de développement nous ont vraiment montré la valeur de Secure Code Warrior."
Derek et l'équipe ont également travaillé à l'intégration de Secure Code Warrior avec Jira, de sorte que lorsque certaines vulnérabilités apparaissent de manière répétée, le développeur peut accéder à des conseils de remédiation immédiats directement dans son ticket Jira, sans quitter son environnement familier. Les développeurs disposaient ainsi d'un contexte précieux et d'une formation à la demande sur la manière de remédier à cette vulnérabilité, là où c'était nécessaire et au moment de l'impact. L'équipe de Derek a également travaillé avec Secure Code Warrior pour sponsoriser un événement de la Journée de la sécurité, ce qui a permis d'élargir le soutien du PDG et de renforcer l'importance de l'ingénierie et de la sécurité dans le succès d'Envestnet. Grâce à ce type de soutien de la part des dirigeants et des développeurs, Envestnet a pu étendre son programme jusqu'à ce qu'il soit devenu ce qu'il est aujourd'hui. Aujourd'hui, Envestnet a inscrit au programme tous les champions de la sécurité qu'elle a identifiés et 60 % de l'ensemble de l'équipe a obtenu la certification de niveau 1 ou 2.
Résultats
Envestnet a notamment mesuré son succès en examinant les équipes qui avaient suivi l'expérience d'apprentissage du SCW et en déterminant si elles produisaient moins de vulnérabilités et/ou si elles les corrigeaient plus rapidement. Ce qu'ils ont trouvé est impressionnant :
- Les développeurs formés au SCW ont corrigé 2,7 fois plus de vulnérabilités que leurs pairs.
- 100 développeurs formés au SCW ont corrigé 450 vulnérabilités en peu de temps.
- 1 200 développeurs formés par le SCW ont permis à Envestnet d'augmenter la remédiation de 120% dans leur file d'attente respective.
- En un an, sur deux lignes de produits, les développeurs formés au SCW ont résolu les problèmes liés aux vulnérabilités à raison de 4,5 par développeur, contre 1,82 par développeur pour leurs homologues qui n'ont résolu que les vulnérabilités.
- Tous les champions de la sécurité ont suivi leur programme de certification en 2022.
- 60 % des développeurs sensibilisés à la sécurité ont suivi les niveaux 1 et 2.
Principaux enseignements
Derek donne ce conseil à ceux qui commencent leur parcours d'apprentissage du code sécurisé :
"Notre travail en matière de sécurité consiste à réduire les risques au sein de l'organisation. C'est notre vrai nord et c'est ce que nous nous efforçons toujours de faire. Une vulnérabilité critique peut ne pas représenter le risque le plus élevé ou l'impact le plus important pour votre organisation. Il peut s'agir de deux vulnérabilités moyennes, d'une faible et d'une forte, réunies pour créer une chaîne qui a beaucoup plus d'impact. Plus les vulnérabilités s'accumulent au fil du temps, plus le risque augmente. Avec Secure Code Warrior, vous pouvez garder une longueur d'avance et adopter une approche proactive pour atténuer cette chaîne potentielle de vulnérabilités grâce à un apprentissage agile du code sécurisé".
- Ne vous contentez pas de tester les vulnérabilités et d'en rendre compte - cela ne fait que créer du bruit pour vos développeurs.
- Au contraire, l'AppSec doit être un partenaire des développeurs et s'assurer de leur adhésion avant de mettre en œuvre une stratégie d'apprentissage sécurisé du code.
- Rome ne s'est pas construite en un jour. Votre programme devra évoluer en fonction de l'évolution de votre profil de risque, de votre entreprise et de votre technologie et de vos outils
- La stratégie à long terme la plus efficace consiste à améliorer le niveau de sécurité des personnes qui vous entourent afin de réduire le nombre total de vulnérabilités créées.
Descubra cómo Derek Fisher, director de seguridad de productos de Envestnet y autor de «The Application Security Handbook», trabajó con Secure Code Warrior para desarrollar un enfoque holístico para reducir las vulnerabilidades mediante la habilitación ágil de código seguro para sus equipos de desarrolladores.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Contexte
Envestnet, Inc. est une société fintech cotée en bourse avec 5,3 billions de dollars d'actifs et plus de 18,5 millions de comptes d'investisseurs. La mission d'Envestnet est de donner aux conseillers et aux prestataires de services financiers les moyens de faire du bien-être financier une réalité pour tous, grâce à une technologie, des solutions et une intelligence innovantes. Envestnet s'est imposée comme l'un des leaders du marché de la technologie de gestion de patrimoine avec sa plateforme de conseil phare qui intègre les services et les logiciels utilisés par les conseillers financiers dans la gestion de patrimoine à travers le monde.
L'engagement d'Envestnet envers les meilleures pratiques de gestion des données comprend le contrôle continu de sa plateforme de gestion de patrimoine par le biais de mesures de conformité basées sur le risque qui peuvent rapidement identifier et remédier à tout problème de conformité ou à toute défaillance potentielle. Envestnet ouvre la voie à la protection des données de ses clients en adoptant des mesures de sécurité de classe mondiale dans la prestation de ses services.
Découvrez comment Derek Fisher, responsable de la sécurité des produits chez Envestnet et auteur de "The Application Security Handbook", a travaillé avec Secure Code Warrior pour développer une approche holistique visant à réduire les vulnérabilités grâce à l'activation du code sécurisé agile pour ses équipes de développeurs. Derek travaille dans le domaine de la sécurité des applications depuis plus de dix ans, où il a vu de nombreux succès et échecs en matière de sécurité. Il apporte son expertise unique dans le développement d'un environnement d'apprentissage du code sécurisé pour les développeurs d'Envestnet.
Situation
Lorsque Derek a pris ses fonctions dans le domaine de la sécurité des applications, il souhaitait aller plus loin que le top 10 de l'OWASP et la formation de base en matière de conformité. L'entreprise disposait de certains processus SDLC sécurisés, mais ils étaient largement axés sur la recherche de vulnérabilités, sans nécessairement les traiter à la source.
Selon Derek, "nous connaissons tous assez bien la formation annuelle sur la conformité à laquelle nous sommes tous soumis dans n'importe quelle organisation. C'est généralement ce que j'appelle "la mort par Powerpoint", un tas de diapositives et peut-être une page assessment à la fin... c'est vraiment inefficace et cela prend beaucoup de temps. Nous avions des formations, mais elles étaient basées sur la conformité habituelle, avec quelques formations spécifiques à la sécurité basées sur des diapositives et des enregistrements audio. Nous avons remarqué que les développeurs n'étaient pas très impliqués et qu'ils n'apprenaient pas grand-chose de ce matériel, et nous avons donc dû changer de stratégie".
Cette ancienne stratégie consistant à former simplement les développeurs par le biais d'une formation passive, axée sur la conformité à l'OWASP, était particulièrement pénible pour Derek et son équipe, car ils ne pouvaient pas mesurer l'impact de la formation, de sorte qu'ils se sont retrouvés à consacrer de plus en plus de temps à la gestion des vulnérabilités.
Derek a reconnu qu'il était important d'examiner la source des vulnérabilités - le code non sécurisé envoyé en production par les développeurs - et qu'il ne suffisait pas d'ajouter d'autres outils pour résoudre le problème.
Au lieu de cela, Derek et son équipe se sont concentrés en 2020 sur l'atténuation des vulnérabilités, dans le but d'écrire un code plus sûr dès le départ. Derek et son équipe ont adopté une stratégie de "déplacement vers la gauche" pour traiter les vulnérabilités et y remédier beaucoup plus tôt dans le cycle de développement durable, lorsqu'il est beaucoup moins coûteux d'y remédier.
Mais d'abord, ils devaient s'attaquer au faible engagement historique des développeurs sur les App Sectraining existants. Il voulait éviter d'appliquer une mentalité de "case à cocher" à sa stratégie d'apprentissage du code sécurisé et offrir aux développeurs d'Envestnet une expérience d'apprentissage du code sécurisé plus efficace et plus agile.
"Une fois que j'ai vu SCW et ce qu'il peut faire, j'ai su qu'une approche plus pratique et plus interactive était la bonne pour nous. Je voulais que les ingénieurs et les développeurs sortent de cette formation avec une connaissance plus pratique des problèmes réels. Nous voulions créer une mémoire musculaire : "Voilà quelque chose que j'ai déjà vu en formation, je sais comment aborder ce problème de codage que je vois". La plateforme Secure Code Warrior nous a permis de fournir ce type d'environnement dans lequel les ingénieurs et les développeurs peuvent se mettre au travail et vraiment comprendre quelles sont les bonnes pratiques de codage sécurisé, à quoi ressemblent les mauvaises et comment résoudre rapidement les vulnérabilités."
Derek Fisher, responsable de la sécurité des produits chez Envestnet
Action
Derek tenait particulièrement à mettre en œuvre une stratégie de ceinturage récompensant l'amélioration des compétences en matière de code sécurisé par des certifications. Le programme à quatre niveaux se concentre sur la construction d'une base solide de sensibilisation à la sécurité (niveaux 1 et 2) et ouvre ensuite la voie aux développeurs pour qu'ils deviennent des champions de la sécurité (niveaux 3 et 4). Cela a permis de résoudre le problème de l'impossibilité de mesurer comment les développeurs retenaient les concepts de code sécurisé tout en garantissant que les développeurs sensibilisés à la sécurité disposaient d'un plan de carrière leur permettant d'améliorer leurs compétences en relevant des défis plus complexes en matière de sécurité.
Ils l'ont testé dans le cadre d'un petit projet pilote et ont sollicité les réactions des développeurs concernés. Les réactions ont été très positives. Derek l'a noté,
"Vous n'obtenez pas toujours un retour d'information positif - je ne saurais trop insister sur ce point - chaque fois que vous obtenez un retour d'information positif sur une formation, c'est inhabituel. C'est un bon indicateur que c'est le bon outil".
Envestnet a organisé son premier tournament au printemps 2021 et a noté des résultats plus positifs du point de vue de l'engagement des développeurs. Derek a ensuite lancé une série de courses intégrés dans leur LMS pour les développeurs DB, Front End, API et Cloud. Au moment où Envestnet a organisé son deuxième tournament à l'automne 2021, le nombre total de développeurs participants avait doublé.
Selon Derek, Envestnet a constaté une forte traction avec tournaments parce que,
"Nous savons tous que la compétition est une source de motivation. Nous voulons tous nous assurer que nos pairs reconnaissent nos performances dans certains domaines et cela motive vraiment les gens à participer et à obtenir de bons résultats sur ces sites tournaments. Cela et l'intégration avec nos outils de développement nous ont vraiment montré la valeur de Secure Code Warrior."
Derek et l'équipe ont également travaillé à l'intégration de Secure Code Warrior avec Jira, de sorte que lorsque certaines vulnérabilités apparaissent de manière répétée, le développeur peut accéder à des conseils de remédiation immédiats directement dans son ticket Jira, sans quitter son environnement familier. Les développeurs disposaient ainsi d'un contexte précieux et d'une formation à la demande sur la manière de remédier à cette vulnérabilité, là où c'était nécessaire et au moment de l'impact. L'équipe de Derek a également travaillé avec Secure Code Warrior pour sponsoriser un événement de la Journée de la sécurité, ce qui a permis d'élargir le soutien du PDG et de renforcer l'importance de l'ingénierie et de la sécurité dans le succès d'Envestnet. Grâce à ce type de soutien de la part des dirigeants et des développeurs, Envestnet a pu étendre son programme jusqu'à ce qu'il soit devenu ce qu'il est aujourd'hui. Aujourd'hui, Envestnet a inscrit au programme tous les champions de la sécurité qu'elle a identifiés et 60 % de l'ensemble de l'équipe a obtenu la certification de niveau 1 ou 2.
Résultats
Envestnet a notamment mesuré son succès en examinant les équipes qui avaient suivi l'expérience d'apprentissage du SCW et en déterminant si elles produisaient moins de vulnérabilités et/ou si elles les corrigeaient plus rapidement. Ce qu'ils ont trouvé est impressionnant :
- Les développeurs formés au SCW ont corrigé 2,7 fois plus de vulnérabilités que leurs pairs.
- 100 développeurs formés au SCW ont corrigé 450 vulnérabilités en peu de temps.
- 1 200 développeurs formés par le SCW ont permis à Envestnet d'augmenter la remédiation de 120% dans leur file d'attente respective.
- En un an, sur deux lignes de produits, les développeurs formés au SCW ont résolu les problèmes liés aux vulnérabilités à raison de 4,5 par développeur, contre 1,82 par développeur pour leurs homologues qui n'ont résolu que les vulnérabilités.
- Tous les champions de la sécurité ont suivi leur programme de certification en 2022.
- 60 % des développeurs sensibilisés à la sécurité ont suivi les niveaux 1 et 2.
Principaux enseignements
Derek donne ce conseil à ceux qui commencent leur parcours d'apprentissage du code sécurisé :
"Notre travail en matière de sécurité consiste à réduire les risques au sein de l'organisation. C'est notre vrai nord et c'est ce que nous nous efforçons toujours de faire. Une vulnérabilité critique peut ne pas représenter le risque le plus élevé ou l'impact le plus important pour votre organisation. Il peut s'agir de deux vulnérabilités moyennes, d'une faible et d'une forte, réunies pour créer une chaîne qui a beaucoup plus d'impact. Plus les vulnérabilités s'accumulent au fil du temps, plus le risque augmente. Avec Secure Code Warrior, vous pouvez garder une longueur d'avance et adopter une approche proactive pour atténuer cette chaîne potentielle de vulnérabilités grâce à un apprentissage agile du code sécurisé".
- Ne vous contentez pas de tester les vulnérabilités et d'en rendre compte - cela ne fait que créer du bruit pour vos développeurs.
- Au contraire, l'AppSec doit être un partenaire des développeurs et s'assurer de leur adhésion avant de mettre en œuvre une stratégie d'apprentissage sécurisé du code.
- Rome ne s'est pas construite en un jour. Votre programme devra évoluer en fonction de l'évolution de votre profil de risque, de votre entreprise et de votre technologie et de vos outils
- La stratégie à long terme la plus efficace consiste à améliorer le niveau de sécurité des personnes qui vous entourent afin de réduire le nombre total de vulnérabilités créées.
Contexte
Envestnet, Inc. est une société fintech cotée en bourse avec 5,3 billions de dollars d'actifs et plus de 18,5 millions de comptes d'investisseurs. La mission d'Envestnet est de donner aux conseillers et aux prestataires de services financiers les moyens de faire du bien-être financier une réalité pour tous, grâce à une technologie, des solutions et une intelligence innovantes. Envestnet s'est imposée comme l'un des leaders du marché de la technologie de gestion de patrimoine avec sa plateforme de conseil phare qui intègre les services et les logiciels utilisés par les conseillers financiers dans la gestion de patrimoine à travers le monde.
L'engagement d'Envestnet envers les meilleures pratiques de gestion des données comprend le contrôle continu de sa plateforme de gestion de patrimoine par le biais de mesures de conformité basées sur le risque qui peuvent rapidement identifier et remédier à tout problème de conformité ou à toute défaillance potentielle. Envestnet ouvre la voie à la protection des données de ses clients en adoptant des mesures de sécurité de classe mondiale dans la prestation de ses services.
Découvrez comment Derek Fisher, responsable de la sécurité des produits chez Envestnet et auteur de "The Application Security Handbook", a travaillé avec Secure Code Warrior pour développer une approche holistique visant à réduire les vulnérabilités grâce à l'activation du code sécurisé agile pour ses équipes de développeurs. Derek travaille dans le domaine de la sécurité des applications depuis plus de dix ans, où il a vu de nombreux succès et échecs en matière de sécurité. Il apporte son expertise unique dans le développement d'un environnement d'apprentissage du code sécurisé pour les développeurs d'Envestnet.
Situation
Lorsque Derek a pris ses fonctions dans le domaine de la sécurité des applications, il souhaitait aller plus loin que le top 10 de l'OWASP et la formation de base en matière de conformité. L'entreprise disposait de certains processus SDLC sécurisés, mais ils étaient largement axés sur la recherche de vulnérabilités, sans nécessairement les traiter à la source.
Selon Derek, "nous connaissons tous assez bien la formation annuelle sur la conformité à laquelle nous sommes tous soumis dans n'importe quelle organisation. C'est généralement ce que j'appelle "la mort par Powerpoint", un tas de diapositives et peut-être une page assessment à la fin... c'est vraiment inefficace et cela prend beaucoup de temps. Nous avions des formations, mais elles étaient basées sur la conformité habituelle, avec quelques formations spécifiques à la sécurité basées sur des diapositives et des enregistrements audio. Nous avons remarqué que les développeurs n'étaient pas très impliqués et qu'ils n'apprenaient pas grand-chose de ce matériel, et nous avons donc dû changer de stratégie".
Cette ancienne stratégie consistant à former simplement les développeurs par le biais d'une formation passive, axée sur la conformité à l'OWASP, était particulièrement pénible pour Derek et son équipe, car ils ne pouvaient pas mesurer l'impact de la formation, de sorte qu'ils se sont retrouvés à consacrer de plus en plus de temps à la gestion des vulnérabilités.
Derek a reconnu qu'il était important d'examiner la source des vulnérabilités - le code non sécurisé envoyé en production par les développeurs - et qu'il ne suffisait pas d'ajouter d'autres outils pour résoudre le problème.
Au lieu de cela, Derek et son équipe se sont concentrés en 2020 sur l'atténuation des vulnérabilités, dans le but d'écrire un code plus sûr dès le départ. Derek et son équipe ont adopté une stratégie de "déplacement vers la gauche" pour traiter les vulnérabilités et y remédier beaucoup plus tôt dans le cycle de développement durable, lorsqu'il est beaucoup moins coûteux d'y remédier.
Mais d'abord, ils devaient s'attaquer au faible engagement historique des développeurs sur les App Sectraining existants. Il voulait éviter d'appliquer une mentalité de "case à cocher" à sa stratégie d'apprentissage du code sécurisé et offrir aux développeurs d'Envestnet une expérience d'apprentissage du code sécurisé plus efficace et plus agile.
"Une fois que j'ai vu SCW et ce qu'il peut faire, j'ai su qu'une approche plus pratique et plus interactive était la bonne pour nous. Je voulais que les ingénieurs et les développeurs sortent de cette formation avec une connaissance plus pratique des problèmes réels. Nous voulions créer une mémoire musculaire : "Voilà quelque chose que j'ai déjà vu en formation, je sais comment aborder ce problème de codage que je vois". La plateforme Secure Code Warrior nous a permis de fournir ce type d'environnement dans lequel les ingénieurs et les développeurs peuvent se mettre au travail et vraiment comprendre quelles sont les bonnes pratiques de codage sécurisé, à quoi ressemblent les mauvaises et comment résoudre rapidement les vulnérabilités."
Derek Fisher, responsable de la sécurité des produits chez Envestnet
Action
Derek tenait particulièrement à mettre en œuvre une stratégie de ceinturage récompensant l'amélioration des compétences en matière de code sécurisé par des certifications. Le programme à quatre niveaux se concentre sur la construction d'une base solide de sensibilisation à la sécurité (niveaux 1 et 2) et ouvre ensuite la voie aux développeurs pour qu'ils deviennent des champions de la sécurité (niveaux 3 et 4). Cela a permis de résoudre le problème de l'impossibilité de mesurer comment les développeurs retenaient les concepts de code sécurisé tout en garantissant que les développeurs sensibilisés à la sécurité disposaient d'un plan de carrière leur permettant d'améliorer leurs compétences en relevant des défis plus complexes en matière de sécurité.
Ils l'ont testé dans le cadre d'un petit projet pilote et ont sollicité les réactions des développeurs concernés. Les réactions ont été très positives. Derek l'a noté,
"Vous n'obtenez pas toujours un retour d'information positif - je ne saurais trop insister sur ce point - chaque fois que vous obtenez un retour d'information positif sur une formation, c'est inhabituel. C'est un bon indicateur que c'est le bon outil".
Envestnet a organisé son premier tournament au printemps 2021 et a noté des résultats plus positifs du point de vue de l'engagement des développeurs. Derek a ensuite lancé une série de courses intégrés dans leur LMS pour les développeurs DB, Front End, API et Cloud. Au moment où Envestnet a organisé son deuxième tournament à l'automne 2021, le nombre total de développeurs participants avait doublé.
Selon Derek, Envestnet a constaté une forte traction avec tournaments parce que,
"Nous savons tous que la compétition est une source de motivation. Nous voulons tous nous assurer que nos pairs reconnaissent nos performances dans certains domaines et cela motive vraiment les gens à participer et à obtenir de bons résultats sur ces sites tournaments. Cela et l'intégration avec nos outils de développement nous ont vraiment montré la valeur de Secure Code Warrior."
Derek et l'équipe ont également travaillé à l'intégration de Secure Code Warrior avec Jira, de sorte que lorsque certaines vulnérabilités apparaissent de manière répétée, le développeur peut accéder à des conseils de remédiation immédiats directement dans son ticket Jira, sans quitter son environnement familier. Les développeurs disposaient ainsi d'un contexte précieux et d'une formation à la demande sur la manière de remédier à cette vulnérabilité, là où c'était nécessaire et au moment de l'impact. L'équipe de Derek a également travaillé avec Secure Code Warrior pour sponsoriser un événement de la Journée de la sécurité, ce qui a permis d'élargir le soutien du PDG et de renforcer l'importance de l'ingénierie et de la sécurité dans le succès d'Envestnet. Grâce à ce type de soutien de la part des dirigeants et des développeurs, Envestnet a pu étendre son programme jusqu'à ce qu'il soit devenu ce qu'il est aujourd'hui. Aujourd'hui, Envestnet a inscrit au programme tous les champions de la sécurité qu'elle a identifiés et 60 % de l'ensemble de l'équipe a obtenu la certification de niveau 1 ou 2.
Résultats
Envestnet a notamment mesuré son succès en examinant les équipes qui avaient suivi l'expérience d'apprentissage du SCW et en déterminant si elles produisaient moins de vulnérabilités et/ou si elles les corrigeaient plus rapidement. Ce qu'ils ont trouvé est impressionnant :
- Les développeurs formés au SCW ont corrigé 2,7 fois plus de vulnérabilités que leurs pairs.
- 100 développeurs formés au SCW ont corrigé 450 vulnérabilités en peu de temps.
- 1 200 développeurs formés par le SCW ont permis à Envestnet d'augmenter la remédiation de 120% dans leur file d'attente respective.
- En un an, sur deux lignes de produits, les développeurs formés au SCW ont résolu les problèmes liés aux vulnérabilités à raison de 4,5 par développeur, contre 1,82 par développeur pour leurs homologues qui n'ont résolu que les vulnérabilités.
- Tous les champions de la sécurité ont suivi leur programme de certification en 2022.
- 60 % des développeurs sensibilisés à la sécurité ont suivi les niveaux 1 et 2.
Principaux enseignements
Derek donne ce conseil à ceux qui commencent leur parcours d'apprentissage du code sécurisé :
"Notre travail en matière de sécurité consiste à réduire les risques au sein de l'organisation. C'est notre vrai nord et c'est ce que nous nous efforçons toujours de faire. Une vulnérabilité critique peut ne pas représenter le risque le plus élevé ou l'impact le plus important pour votre organisation. Il peut s'agir de deux vulnérabilités moyennes, d'une faible et d'une forte, réunies pour créer une chaîne qui a beaucoup plus d'impact. Plus les vulnérabilités s'accumulent au fil du temps, plus le risque augmente. Avec Secure Code Warrior, vous pouvez garder une longueur d'avance et adopter une approche proactive pour atténuer cette chaîne potentielle de vulnérabilités grâce à un apprentissage agile du code sécurisé".
- Ne vous contentez pas de tester les vulnérabilités et d'en rendre compte - cela ne fait que créer du bruit pour vos développeurs.
- Au contraire, l'AppSec doit être un partenaire des développeurs et s'assurer de leur adhésion avant de mettre en œuvre une stratégie d'apprentissage sécurisé du code.
- Rome ne s'est pas construite en un jour. Votre programme devra évoluer en fonction de l'évolution de votre profil de risque, de votre entreprise et de votre technologie et de vos outils
- La stratégie à long terme la plus efficace consiste à améliorer le niveau de sécurité des personnes qui vous entourent afin de réduire le nombre total de vulnérabilités créées.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Contexte
Envestnet, Inc. est une société fintech cotée en bourse avec 5,3 billions de dollars d'actifs et plus de 18,5 millions de comptes d'investisseurs. La mission d'Envestnet est de donner aux conseillers et aux prestataires de services financiers les moyens de faire du bien-être financier une réalité pour tous, grâce à une technologie, des solutions et une intelligence innovantes. Envestnet s'est imposée comme l'un des leaders du marché de la technologie de gestion de patrimoine avec sa plateforme de conseil phare qui intègre les services et les logiciels utilisés par les conseillers financiers dans la gestion de patrimoine à travers le monde.
L'engagement d'Envestnet envers les meilleures pratiques de gestion des données comprend le contrôle continu de sa plateforme de gestion de patrimoine par le biais de mesures de conformité basées sur le risque qui peuvent rapidement identifier et remédier à tout problème de conformité ou à toute défaillance potentielle. Envestnet ouvre la voie à la protection des données de ses clients en adoptant des mesures de sécurité de classe mondiale dans la prestation de ses services.
Découvrez comment Derek Fisher, responsable de la sécurité des produits chez Envestnet et auteur de "The Application Security Handbook", a travaillé avec Secure Code Warrior pour développer une approche holistique visant à réduire les vulnérabilités grâce à l'activation du code sécurisé agile pour ses équipes de développeurs. Derek travaille dans le domaine de la sécurité des applications depuis plus de dix ans, où il a vu de nombreux succès et échecs en matière de sécurité. Il apporte son expertise unique dans le développement d'un environnement d'apprentissage du code sécurisé pour les développeurs d'Envestnet.
Situation
Lorsque Derek a pris ses fonctions dans le domaine de la sécurité des applications, il souhaitait aller plus loin que le top 10 de l'OWASP et la formation de base en matière de conformité. L'entreprise disposait de certains processus SDLC sécurisés, mais ils étaient largement axés sur la recherche de vulnérabilités, sans nécessairement les traiter à la source.
Selon Derek, "nous connaissons tous assez bien la formation annuelle sur la conformité à laquelle nous sommes tous soumis dans n'importe quelle organisation. C'est généralement ce que j'appelle "la mort par Powerpoint", un tas de diapositives et peut-être une page assessment à la fin... c'est vraiment inefficace et cela prend beaucoup de temps. Nous avions des formations, mais elles étaient basées sur la conformité habituelle, avec quelques formations spécifiques à la sécurité basées sur des diapositives et des enregistrements audio. Nous avons remarqué que les développeurs n'étaient pas très impliqués et qu'ils n'apprenaient pas grand-chose de ce matériel, et nous avons donc dû changer de stratégie".
Cette ancienne stratégie consistant à former simplement les développeurs par le biais d'une formation passive, axée sur la conformité à l'OWASP, était particulièrement pénible pour Derek et son équipe, car ils ne pouvaient pas mesurer l'impact de la formation, de sorte qu'ils se sont retrouvés à consacrer de plus en plus de temps à la gestion des vulnérabilités.
Derek a reconnu qu'il était important d'examiner la source des vulnérabilités - le code non sécurisé envoyé en production par les développeurs - et qu'il ne suffisait pas d'ajouter d'autres outils pour résoudre le problème.
Au lieu de cela, Derek et son équipe se sont concentrés en 2020 sur l'atténuation des vulnérabilités, dans le but d'écrire un code plus sûr dès le départ. Derek et son équipe ont adopté une stratégie de "déplacement vers la gauche" pour traiter les vulnérabilités et y remédier beaucoup plus tôt dans le cycle de développement durable, lorsqu'il est beaucoup moins coûteux d'y remédier.
Mais d'abord, ils devaient s'attaquer au faible engagement historique des développeurs sur les App Sectraining existants. Il voulait éviter d'appliquer une mentalité de "case à cocher" à sa stratégie d'apprentissage du code sécurisé et offrir aux développeurs d'Envestnet une expérience d'apprentissage du code sécurisé plus efficace et plus agile.
"Une fois que j'ai vu SCW et ce qu'il peut faire, j'ai su qu'une approche plus pratique et plus interactive était la bonne pour nous. Je voulais que les ingénieurs et les développeurs sortent de cette formation avec une connaissance plus pratique des problèmes réels. Nous voulions créer une mémoire musculaire : "Voilà quelque chose que j'ai déjà vu en formation, je sais comment aborder ce problème de codage que je vois". La plateforme Secure Code Warrior nous a permis de fournir ce type d'environnement dans lequel les ingénieurs et les développeurs peuvent se mettre au travail et vraiment comprendre quelles sont les bonnes pratiques de codage sécurisé, à quoi ressemblent les mauvaises et comment résoudre rapidement les vulnérabilités."
Derek Fisher, responsable de la sécurité des produits chez Envestnet
Action
Derek tenait particulièrement à mettre en œuvre une stratégie de ceinturage récompensant l'amélioration des compétences en matière de code sécurisé par des certifications. Le programme à quatre niveaux se concentre sur la construction d'une base solide de sensibilisation à la sécurité (niveaux 1 et 2) et ouvre ensuite la voie aux développeurs pour qu'ils deviennent des champions de la sécurité (niveaux 3 et 4). Cela a permis de résoudre le problème de l'impossibilité de mesurer comment les développeurs retenaient les concepts de code sécurisé tout en garantissant que les développeurs sensibilisés à la sécurité disposaient d'un plan de carrière leur permettant d'améliorer leurs compétences en relevant des défis plus complexes en matière de sécurité.
Ils l'ont testé dans le cadre d'un petit projet pilote et ont sollicité les réactions des développeurs concernés. Les réactions ont été très positives. Derek l'a noté,
"Vous n'obtenez pas toujours un retour d'information positif - je ne saurais trop insister sur ce point - chaque fois que vous obtenez un retour d'information positif sur une formation, c'est inhabituel. C'est un bon indicateur que c'est le bon outil".
Envestnet a organisé son premier tournament au printemps 2021 et a noté des résultats plus positifs du point de vue de l'engagement des développeurs. Derek a ensuite lancé une série de courses intégrés dans leur LMS pour les développeurs DB, Front End, API et Cloud. Au moment où Envestnet a organisé son deuxième tournament à l'automne 2021, le nombre total de développeurs participants avait doublé.
Selon Derek, Envestnet a constaté une forte traction avec tournaments parce que,
"Nous savons tous que la compétition est une source de motivation. Nous voulons tous nous assurer que nos pairs reconnaissent nos performances dans certains domaines et cela motive vraiment les gens à participer et à obtenir de bons résultats sur ces sites tournaments. Cela et l'intégration avec nos outils de développement nous ont vraiment montré la valeur de Secure Code Warrior."
Derek et l'équipe ont également travaillé à l'intégration de Secure Code Warrior avec Jira, de sorte que lorsque certaines vulnérabilités apparaissent de manière répétée, le développeur peut accéder à des conseils de remédiation immédiats directement dans son ticket Jira, sans quitter son environnement familier. Les développeurs disposaient ainsi d'un contexte précieux et d'une formation à la demande sur la manière de remédier à cette vulnérabilité, là où c'était nécessaire et au moment de l'impact. L'équipe de Derek a également travaillé avec Secure Code Warrior pour sponsoriser un événement de la Journée de la sécurité, ce qui a permis d'élargir le soutien du PDG et de renforcer l'importance de l'ingénierie et de la sécurité dans le succès d'Envestnet. Grâce à ce type de soutien de la part des dirigeants et des développeurs, Envestnet a pu étendre son programme jusqu'à ce qu'il soit devenu ce qu'il est aujourd'hui. Aujourd'hui, Envestnet a inscrit au programme tous les champions de la sécurité qu'elle a identifiés et 60 % de l'ensemble de l'équipe a obtenu la certification de niveau 1 ou 2.
Résultats
Envestnet a notamment mesuré son succès en examinant les équipes qui avaient suivi l'expérience d'apprentissage du SCW et en déterminant si elles produisaient moins de vulnérabilités et/ou si elles les corrigeaient plus rapidement. Ce qu'ils ont trouvé est impressionnant :
- Les développeurs formés au SCW ont corrigé 2,7 fois plus de vulnérabilités que leurs pairs.
- 100 développeurs formés au SCW ont corrigé 450 vulnérabilités en peu de temps.
- 1 200 développeurs formés par le SCW ont permis à Envestnet d'augmenter la remédiation de 120% dans leur file d'attente respective.
- En un an, sur deux lignes de produits, les développeurs formés au SCW ont résolu les problèmes liés aux vulnérabilités à raison de 4,5 par développeur, contre 1,82 par développeur pour leurs homologues qui n'ont résolu que les vulnérabilités.
- Tous les champions de la sécurité ont suivi leur programme de certification en 2022.
- 60 % des développeurs sensibilisés à la sécurité ont suivi les niveaux 1 et 2.
Principaux enseignements
Derek donne ce conseil à ceux qui commencent leur parcours d'apprentissage du code sécurisé :
"Notre travail en matière de sécurité consiste à réduire les risques au sein de l'organisation. C'est notre vrai nord et c'est ce que nous nous efforçons toujours de faire. Une vulnérabilité critique peut ne pas représenter le risque le plus élevé ou l'impact le plus important pour votre organisation. Il peut s'agir de deux vulnérabilités moyennes, d'une faible et d'une forte, réunies pour créer une chaîne qui a beaucoup plus d'impact. Plus les vulnérabilités s'accumulent au fil du temps, plus le risque augmente. Avec Secure Code Warrior, vous pouvez garder une longueur d'avance et adopter une approche proactive pour atténuer cette chaîne potentielle de vulnérabilités grâce à un apprentissage agile du code sécurisé".
- Ne vous contentez pas de tester les vulnérabilités et d'en rendre compte - cela ne fait que créer du bruit pour vos développeurs.
- Au contraire, l'AppSec doit être un partenaire des développeurs et s'assurer de leur adhésion avant de mettre en œuvre une stratégie d'apprentissage sécurisé du code.
- Rome ne s'est pas construite en un jour. Votre programme devra évoluer en fonction de l'évolution de votre profil de risque, de votre entreprise et de votre technologie et de vos outils
- La stratégie à long terme la plus efficace consiste à améliorer le niveau de sécurité des personnes qui vous entourent afin de réduire le nombre total de vulnérabilités créées.
Table des matières
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
