Le score de confiance révèle la valeur des initiatives visant à améliorer les capacités sécurisées grâce à la conception.
Une manière sûre d'améliorer la posture de sécurité de votre organisation consiste à former les développeurs aux meilleures pratiques en matière de codage sécurisé, dans un cadre comprenant des bases de référence et des repères conçus pour offrir aux développeurs les voies d'apprentissage spécifiques dont ils ont besoin. Cependant, le codage sécurisé n'est pas une solution ponctuelle : il doit devenir un mode de vie, inscrit dans l'ADN d'une organisation. Les développeurs ne doivent pas seulement se déplacer vers la gauche ou commencer à gauche, ils doivent également rester à gauche.
Il ne suffit pas de proposer des formations. Les organisations doivent s'assurer que les développeurs ont pleinement assimilé leur formation et qu'ils suivent les meilleures pratiques dès le début du cycle de vie du développement logiciel (SDLC) dans le cadre de leurs routines quotidiennes. Il est nécessaire de suivre les performances des développeurs et de mesurer leurs progrès par rapport aux normes internes et aux références du secteur, en évaluant efficacement le retour sur investissement de la formation.
Code sécurisé : Warrior's Trust Score offre une visibilité sur les performances des développeurs individuels et agrège les données pour fournir une évaluation des performances globales de votre organisation. Il démontre l'efficacité des programmes d'amélioration des compétences tout en identifiant les domaines nécessitant des améliorations. En outre, il contribue à garantir le respect de l'ensemble des exigences réglementaires, qu'elles proviennent du règlement général sur la protection des données (RGPD), de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), de la loi californienne sur la protection de la vie privée des consommateurs (CCPA) ou d'autres réglementations.
Notre recherche a démontré que la formation au code sécurisé est efficace. Trust Score, qui utilise un algorithme basé sur plus de 20 millions de points de données d'apprentissage extraits du travail réalisé par plus de 250 000 étudiants issus de plus de 600 organisations, révèle son efficacité dans la réduction des vulnérabilités et comment rendre l'initiative encore plus efficace.
La formation améliore la sécurité, si les développeurs la comprennent.
Pendant des années, l'application des meilleures pratiques de sécurité dès le début du cycle de vie du développement logiciel (SDLC) semblait être une aspiration dans l'industrie du logiciel, un objectif ambitieux pour l'avenir, mais pas une priorité immédiate. Cependant, l'accélération constante du développement logiciel, associée à la multiplication des cybermenaces sophistiquées et destructrices, qui ciblent souvent les vulnérabilités des logiciels, a rendu le codage sécurisé indispensable. L'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) place le codage sécurisé au premier plan avec son initiative « Secure Design », qui est en train de devenir un mouvement international.
Notre recherche l'a démontré : le lien entre une approche sécurisée dès la conception et la réduction des vulnérabilités logicielles est évident. Nous avons analysé les données relatives à la réduction des vulnérabilités de 26 % de la clientèle de SCW et avons découvert que la formation des développeurs avait permis de réduire les vulnérabilités logicielles de 22 à 84 %. Cette fourchette s'explique par des variables telles que la taille des entreprises participantes (les plus petites entreprises comptant relativement peu de développeurs ont obtenu des résultats plus spectaculaires) et le fait qu'un groupe d'apprentissage se soit concentré sur un problème spécifique, auquel cas il a éliminé un pourcentage plus élevé de défauts.
Les résultats obtenus auprès des grandes entreprises ont été assez cohérents. Les entreprises comptant 7 000 développeurs ou plus peuvent s'attendre à une réduction des vulnérabilités comprise entre 47 et 53 % grâce à l'amélioration des compétences des développeurs en matière de sécurité. Par exemple, une entreprise comptant en moyenne plus de 10 000 développeurs (qui n'a pas obtenu les meilleurs résultats sur la plateforme ni l'indice de référence le plus élevé) a enregistré une réduction de 53 % de ses vulnérabilités.
Bien entendu, la formation la plus efficace n'adopte pas une approche globale et unique pour tous. Elle doit être adaptée aux environnements de travail des développeurs et aux types de développement qu'ils réalisent.
Les entreprises devraient commencer par définir les compétences de base que les développeurs doivent posséder afin que l'écriture de code sécurisé leur soit aussi naturelle que l'écriture de code simple. Les programmes de perfectionnement doivent consister en une formation pratique et agile dans des situations réelles qui correspondent au type de travail qu'ils effectuent et aux langages qu'ils utilisent. En outre, ils doivent être suffisamment flexibles pour adapter les sessions de formation à leurs horaires de travail.
Pour les développeurs, l'ensemble des compétences requises ne se limite pas à l'écriture de code. Ils doivent être en mesure de vérifier les logiciels créés par des assistants d'intelligence artificielle et des tiers, tels que les référentiels open source. Les développeurs ont largement utilisé les modèles d'IA génératifs et, dans l'ensemble, ont salué leurs avantages, car ils les aident à créer plus de code plus rapidement. Cependant, bien que 76 % des personnes interrogées dans le cadre de l'enquête Snyk aient déclaré que le code généré par l'IA était plus sûr que celui produit par des humains, 56,4 % ont tout de même indiqué que l'IA introduisait parfois ou fréquemment des erreurs. Le même sondage a révélé que 80 % des développeurs n'appliquent pas les politiques de sécurité liées au code IA, ce qui suggère que les problèmes liés au code IA ne sont pas traités.
Grâce à une approche de conception sécurisée, les développeurs (qui travaillent en collaboration avec les équipes de sécurité, plutôt que séparément) aborderont ces problèmes dès les premières étapes du cycle de vie du développement logiciel (SDLC), en identifiant et en corrigeant les failles avant que le code ne soit mis en production.
Le score de confiance mesure la performance individuelle et celle de l'entreprise.
Il est également essentiel que la formation soit continue. Les entreprises doivent adopter une culture qui privilégie la sécurité et qui s'applique à tous les niveaux, des plus hauts échelons de l'entreprise aux niveaux les plus bas. Elle doit être axée sur l'amélioration continue et la mise en œuvre des meilleures pratiques de sécurité tout au long du cycle de vie du développement logiciel (SDLC). La technologie et les cybercriminels ne cessent d'évoluer ; la cybersécurité ne devrait pas être en reste. Pour les organisations qui produisent des logiciels, la base repose sur des développeurs formés à la sécurité.
C'est pourquoi démontrer que la formation a été efficacement mise en place est aussi important que la formation elle-même. Trust Score offre non seulement une visibilité sur les performances des développeurs à l'échelle individuelle et de l'organisation dans son ensemble, mais permet également aux organisations d'analyser en détail les données de performance afin de se concentrer sur des langages, des équipes de développeurs ou des catégories de logiciels spécifiques. Les données relatives aux résultats de performance individuels et agrégés aident également à identifier les domaines dans lesquels la formation doit être améliorée, par exemple si elle n'a pas l'effet escompté sur les performances quotidiennes des développeurs.
Trust Score a permis aux organisations d'évaluer les performances des développeurs et de confirmer qu'ils ont acquis (et utilisent) les compétences nécessaires en matière de sécurité, garantissant ainsi qu'ils ont obtenu la licence pour programmer. Il permet aux organisations d'accorder en toute confiance aux développeurs qualifiés l'accès à leurs données les plus confidentielles et à leurs projets logiciels les plus importants, tout en refusant l'accès à ceux qui utilisent les outils et ne sont pas encore prêts à les utiliser.
Témoignage d'une culture de sécurité en pleine évolution
La cybersécurité n'est plus seulement un problème de sécurité. Il s'agit d'un enjeu commercial qui affecte l'intégrité de l'actif le plus précieux de nombreuses organisations : leurs données. Une violation grave affecte les opérations, la réputation et, potentiellement, la viabilité d'une organisation. L'importance de la cybersécurité n'a pas échappé aux organismes de réglementation, qui ont mis en place des réglementations de plus en plus strictes et se sont montrés disposés à engager des poursuites judiciaires contre les RSSI et, éventuellement, d'autres membres de la haute direction, allant même jusqu'à porter des accusations criminelles, comme dans les affaires Uber et SolarWinds.
L'adoption d'une culture de la sécurité à l'échelle de l'entreprise est essentielle dans le contexte actuel. Et comme une grande partie de la valeur d'une entreprise réside dans ses données, ses applications et ses services, le codage sécurisé est un élément fondamental de cette culture. Une formation spécifique et l'amélioration des compétences dans le cadre d'une mentalité culturelle, associées à la démonstration que la formation a contribué à changer la culture, peuvent aider les organisations à renforcer leurs positions en matière de sécurité.
Les programmes de sécurité mis en place par les développeurs sont précieux. La preuve en est le score de confiance.
Notre recherche a démontré que la formation au code sécurisé est efficace. Trust Score, qui utilise un algorithme basé sur plus de 20 millions de points de données d'apprentissage extraits du travail réalisé par plus de 250 000 étudiants issus de plus de 600 organisations, révèle son efficacité dans la réduction des vulnérabilités et comment rendre l'initiative encore plus efficace.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Une manière sûre d'améliorer la posture de sécurité de votre organisation consiste à former les développeurs aux meilleures pratiques en matière de codage sécurisé, dans un cadre comprenant des bases de référence et des repères conçus pour offrir aux développeurs les voies d'apprentissage spécifiques dont ils ont besoin. Cependant, le codage sécurisé n'est pas une solution ponctuelle : il doit devenir un mode de vie, inscrit dans l'ADN d'une organisation. Les développeurs ne doivent pas seulement se déplacer vers la gauche ou commencer à gauche, ils doivent également rester à gauche.
Il ne suffit pas de proposer des formations. Les organisations doivent s'assurer que les développeurs ont pleinement assimilé leur formation et qu'ils suivent les meilleures pratiques dès le début du cycle de vie du développement logiciel (SDLC) dans le cadre de leurs routines quotidiennes. Il est nécessaire de suivre les performances des développeurs et de mesurer leurs progrès par rapport aux normes internes et aux références du secteur, en évaluant efficacement le retour sur investissement de la formation.
Code sécurisé : Warrior's Trust Score offre une visibilité sur les performances des développeurs individuels et agrège les données pour fournir une évaluation des performances globales de votre organisation. Il démontre l'efficacité des programmes d'amélioration des compétences tout en identifiant les domaines nécessitant des améliorations. En outre, il contribue à garantir le respect de l'ensemble des exigences réglementaires, qu'elles proviennent du règlement général sur la protection des données (RGPD), de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), de la loi californienne sur la protection de la vie privée des consommateurs (CCPA) ou d'autres réglementations.
Notre recherche a démontré que la formation au code sécurisé est efficace. Trust Score, qui utilise un algorithme basé sur plus de 20 millions de points de données d'apprentissage extraits du travail réalisé par plus de 250 000 étudiants issus de plus de 600 organisations, révèle son efficacité dans la réduction des vulnérabilités et comment rendre l'initiative encore plus efficace.
La formation améliore la sécurité, si les développeurs la comprennent.
Pendant des années, l'application des meilleures pratiques de sécurité dès le début du cycle de vie du développement logiciel (SDLC) semblait être une aspiration dans l'industrie du logiciel, un objectif ambitieux pour l'avenir, mais pas une priorité immédiate. Cependant, l'accélération constante du développement logiciel, associée à la multiplication des cybermenaces sophistiquées et destructrices, qui ciblent souvent les vulnérabilités des logiciels, a rendu le codage sécurisé indispensable. L'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) place le codage sécurisé au premier plan avec son initiative « Secure Design », qui est en train de devenir un mouvement international.
Notre recherche l'a démontré : le lien entre une approche sécurisée dès la conception et la réduction des vulnérabilités logicielles est évident. Nous avons analysé les données relatives à la réduction des vulnérabilités de 26 % de la clientèle de SCW et avons découvert que la formation des développeurs avait permis de réduire les vulnérabilités logicielles de 22 à 84 %. Cette fourchette s'explique par des variables telles que la taille des entreprises participantes (les plus petites entreprises comptant relativement peu de développeurs ont obtenu des résultats plus spectaculaires) et le fait qu'un groupe d'apprentissage se soit concentré sur un problème spécifique, auquel cas il a éliminé un pourcentage plus élevé de défauts.
Les résultats obtenus auprès des grandes entreprises ont été assez cohérents. Les entreprises comptant 7 000 développeurs ou plus peuvent s'attendre à une réduction des vulnérabilités comprise entre 47 et 53 % grâce à l'amélioration des compétences des développeurs en matière de sécurité. Par exemple, une entreprise comptant en moyenne plus de 10 000 développeurs (qui n'a pas obtenu les meilleurs résultats sur la plateforme ni l'indice de référence le plus élevé) a enregistré une réduction de 53 % de ses vulnérabilités.
Bien entendu, la formation la plus efficace n'adopte pas une approche globale et unique pour tous. Elle doit être adaptée aux environnements de travail des développeurs et aux types de développement qu'ils réalisent.
Les entreprises devraient commencer par définir les compétences de base que les développeurs doivent posséder afin que l'écriture de code sécurisé leur soit aussi naturelle que l'écriture de code simple. Les programmes de perfectionnement doivent consister en une formation pratique et agile dans des situations réelles qui correspondent au type de travail qu'ils effectuent et aux langages qu'ils utilisent. En outre, ils doivent être suffisamment flexibles pour adapter les sessions de formation à leurs horaires de travail.
Pour les développeurs, l'ensemble des compétences requises ne se limite pas à l'écriture de code. Ils doivent être en mesure de vérifier les logiciels créés par des assistants d'intelligence artificielle et des tiers, tels que les référentiels open source. Les développeurs ont largement utilisé les modèles d'IA génératifs et, dans l'ensemble, ont salué leurs avantages, car ils les aident à créer plus de code plus rapidement. Cependant, bien que 76 % des personnes interrogées dans le cadre de l'enquête Snyk aient déclaré que le code généré par l'IA était plus sûr que celui produit par des humains, 56,4 % ont tout de même indiqué que l'IA introduisait parfois ou fréquemment des erreurs. Le même sondage a révélé que 80 % des développeurs n'appliquent pas les politiques de sécurité liées au code IA, ce qui suggère que les problèmes liés au code IA ne sont pas traités.
Grâce à une approche de conception sécurisée, les développeurs (qui travaillent en collaboration avec les équipes de sécurité, plutôt que séparément) aborderont ces problèmes dès les premières étapes du cycle de vie du développement logiciel (SDLC), en identifiant et en corrigeant les failles avant que le code ne soit mis en production.
Le score de confiance mesure la performance individuelle et celle de l'entreprise.
Il est également essentiel que la formation soit continue. Les entreprises doivent adopter une culture qui privilégie la sécurité et qui s'applique à tous les niveaux, des plus hauts échelons de l'entreprise aux niveaux les plus bas. Elle doit être axée sur l'amélioration continue et la mise en œuvre des meilleures pratiques de sécurité tout au long du cycle de vie du développement logiciel (SDLC). La technologie et les cybercriminels ne cessent d'évoluer ; la cybersécurité ne devrait pas être en reste. Pour les organisations qui produisent des logiciels, la base repose sur des développeurs formés à la sécurité.
C'est pourquoi démontrer que la formation a été efficacement mise en place est aussi important que la formation elle-même. Trust Score offre non seulement une visibilité sur les performances des développeurs à l'échelle individuelle et de l'organisation dans son ensemble, mais permet également aux organisations d'analyser en détail les données de performance afin de se concentrer sur des langages, des équipes de développeurs ou des catégories de logiciels spécifiques. Les données relatives aux résultats de performance individuels et agrégés aident également à identifier les domaines dans lesquels la formation doit être améliorée, par exemple si elle n'a pas l'effet escompté sur les performances quotidiennes des développeurs.
Trust Score a permis aux organisations d'évaluer les performances des développeurs et de confirmer qu'ils ont acquis (et utilisent) les compétences nécessaires en matière de sécurité, garantissant ainsi qu'ils ont obtenu la licence pour programmer. Il permet aux organisations d'accorder en toute confiance aux développeurs qualifiés l'accès à leurs données les plus confidentielles et à leurs projets logiciels les plus importants, tout en refusant l'accès à ceux qui utilisent les outils et ne sont pas encore prêts à les utiliser.
Témoignage d'une culture de sécurité en pleine évolution
La cybersécurité n'est plus seulement un problème de sécurité. Il s'agit d'un enjeu commercial qui affecte l'intégrité de l'actif le plus précieux de nombreuses organisations : leurs données. Une violation grave affecte les opérations, la réputation et, potentiellement, la viabilité d'une organisation. L'importance de la cybersécurité n'a pas échappé aux organismes de réglementation, qui ont mis en place des réglementations de plus en plus strictes et se sont montrés disposés à engager des poursuites judiciaires contre les RSSI et, éventuellement, d'autres membres de la haute direction, allant même jusqu'à porter des accusations criminelles, comme dans les affaires Uber et SolarWinds.
L'adoption d'une culture de la sécurité à l'échelle de l'entreprise est essentielle dans le contexte actuel. Et comme une grande partie de la valeur d'une entreprise réside dans ses données, ses applications et ses services, le codage sécurisé est un élément fondamental de cette culture. Une formation spécifique et l'amélioration des compétences dans le cadre d'une mentalité culturelle, associées à la démonstration que la formation a contribué à changer la culture, peuvent aider les organisations à renforcer leurs positions en matière de sécurité.
Les programmes de sécurité mis en place par les développeurs sont précieux. La preuve en est le score de confiance.
Une manière sûre d'améliorer la posture de sécurité de votre organisation consiste à former les développeurs aux meilleures pratiques en matière de codage sécurisé, dans un cadre comprenant des bases de référence et des repères conçus pour offrir aux développeurs les voies d'apprentissage spécifiques dont ils ont besoin. Cependant, le codage sécurisé n'est pas une solution ponctuelle : il doit devenir un mode de vie, inscrit dans l'ADN d'une organisation. Les développeurs ne doivent pas seulement se déplacer vers la gauche ou commencer à gauche, ils doivent également rester à gauche.
Il ne suffit pas de proposer des formations. Les organisations doivent s'assurer que les développeurs ont pleinement assimilé leur formation et qu'ils suivent les meilleures pratiques dès le début du cycle de vie du développement logiciel (SDLC) dans le cadre de leurs routines quotidiennes. Il est nécessaire de suivre les performances des développeurs et de mesurer leurs progrès par rapport aux normes internes et aux références du secteur, en évaluant efficacement le retour sur investissement de la formation.
Code sécurisé : Warrior's Trust Score offre une visibilité sur les performances des développeurs individuels et agrège les données pour fournir une évaluation des performances globales de votre organisation. Il démontre l'efficacité des programmes d'amélioration des compétences tout en identifiant les domaines nécessitant des améliorations. En outre, il contribue à garantir le respect de l'ensemble des exigences réglementaires, qu'elles proviennent du règlement général sur la protection des données (RGPD), de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), de la loi californienne sur la protection de la vie privée des consommateurs (CCPA) ou d'autres réglementations.
Notre recherche a démontré que la formation au code sécurisé est efficace. Trust Score, qui utilise un algorithme basé sur plus de 20 millions de points de données d'apprentissage extraits du travail réalisé par plus de 250 000 étudiants issus de plus de 600 organisations, révèle son efficacité dans la réduction des vulnérabilités et comment rendre l'initiative encore plus efficace.
La formation améliore la sécurité, si les développeurs la comprennent.
Pendant des années, l'application des meilleures pratiques de sécurité dès le début du cycle de vie du développement logiciel (SDLC) semblait être une aspiration dans l'industrie du logiciel, un objectif ambitieux pour l'avenir, mais pas une priorité immédiate. Cependant, l'accélération constante du développement logiciel, associée à la multiplication des cybermenaces sophistiquées et destructrices, qui ciblent souvent les vulnérabilités des logiciels, a rendu le codage sécurisé indispensable. L'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) place le codage sécurisé au premier plan avec son initiative « Secure Design », qui est en train de devenir un mouvement international.
Notre recherche l'a démontré : le lien entre une approche sécurisée dès la conception et la réduction des vulnérabilités logicielles est évident. Nous avons analysé les données relatives à la réduction des vulnérabilités de 26 % de la clientèle de SCW et avons découvert que la formation des développeurs avait permis de réduire les vulnérabilités logicielles de 22 à 84 %. Cette fourchette s'explique par des variables telles que la taille des entreprises participantes (les plus petites entreprises comptant relativement peu de développeurs ont obtenu des résultats plus spectaculaires) et le fait qu'un groupe d'apprentissage se soit concentré sur un problème spécifique, auquel cas il a éliminé un pourcentage plus élevé de défauts.
Les résultats obtenus auprès des grandes entreprises ont été assez cohérents. Les entreprises comptant 7 000 développeurs ou plus peuvent s'attendre à une réduction des vulnérabilités comprise entre 47 et 53 % grâce à l'amélioration des compétences des développeurs en matière de sécurité. Par exemple, une entreprise comptant en moyenne plus de 10 000 développeurs (qui n'a pas obtenu les meilleurs résultats sur la plateforme ni l'indice de référence le plus élevé) a enregistré une réduction de 53 % de ses vulnérabilités.
Bien entendu, la formation la plus efficace n'adopte pas une approche globale et unique pour tous. Elle doit être adaptée aux environnements de travail des développeurs et aux types de développement qu'ils réalisent.
Les entreprises devraient commencer par définir les compétences de base que les développeurs doivent posséder afin que l'écriture de code sécurisé leur soit aussi naturelle que l'écriture de code simple. Les programmes de perfectionnement doivent consister en une formation pratique et agile dans des situations réelles qui correspondent au type de travail qu'ils effectuent et aux langages qu'ils utilisent. En outre, ils doivent être suffisamment flexibles pour adapter les sessions de formation à leurs horaires de travail.
Pour les développeurs, l'ensemble des compétences requises ne se limite pas à l'écriture de code. Ils doivent être en mesure de vérifier les logiciels créés par des assistants d'intelligence artificielle et des tiers, tels que les référentiels open source. Les développeurs ont largement utilisé les modèles d'IA génératifs et, dans l'ensemble, ont salué leurs avantages, car ils les aident à créer plus de code plus rapidement. Cependant, bien que 76 % des personnes interrogées dans le cadre de l'enquête Snyk aient déclaré que le code généré par l'IA était plus sûr que celui produit par des humains, 56,4 % ont tout de même indiqué que l'IA introduisait parfois ou fréquemment des erreurs. Le même sondage a révélé que 80 % des développeurs n'appliquent pas les politiques de sécurité liées au code IA, ce qui suggère que les problèmes liés au code IA ne sont pas traités.
Grâce à une approche de conception sécurisée, les développeurs (qui travaillent en collaboration avec les équipes de sécurité, plutôt que séparément) aborderont ces problèmes dès les premières étapes du cycle de vie du développement logiciel (SDLC), en identifiant et en corrigeant les failles avant que le code ne soit mis en production.
Le score de confiance mesure la performance individuelle et celle de l'entreprise.
Il est également essentiel que la formation soit continue. Les entreprises doivent adopter une culture qui privilégie la sécurité et qui s'applique à tous les niveaux, des plus hauts échelons de l'entreprise aux niveaux les plus bas. Elle doit être axée sur l'amélioration continue et la mise en œuvre des meilleures pratiques de sécurité tout au long du cycle de vie du développement logiciel (SDLC). La technologie et les cybercriminels ne cessent d'évoluer ; la cybersécurité ne devrait pas être en reste. Pour les organisations qui produisent des logiciels, la base repose sur des développeurs formés à la sécurité.
C'est pourquoi démontrer que la formation a été efficacement mise en place est aussi important que la formation elle-même. Trust Score offre non seulement une visibilité sur les performances des développeurs à l'échelle individuelle et de l'organisation dans son ensemble, mais permet également aux organisations d'analyser en détail les données de performance afin de se concentrer sur des langages, des équipes de développeurs ou des catégories de logiciels spécifiques. Les données relatives aux résultats de performance individuels et agrégés aident également à identifier les domaines dans lesquels la formation doit être améliorée, par exemple si elle n'a pas l'effet escompté sur les performances quotidiennes des développeurs.
Trust Score a permis aux organisations d'évaluer les performances des développeurs et de confirmer qu'ils ont acquis (et utilisent) les compétences nécessaires en matière de sécurité, garantissant ainsi qu'ils ont obtenu la licence pour programmer. Il permet aux organisations d'accorder en toute confiance aux développeurs qualifiés l'accès à leurs données les plus confidentielles et à leurs projets logiciels les plus importants, tout en refusant l'accès à ceux qui utilisent les outils et ne sont pas encore prêts à les utiliser.
Témoignage d'une culture de sécurité en pleine évolution
La cybersécurité n'est plus seulement un problème de sécurité. Il s'agit d'un enjeu commercial qui affecte l'intégrité de l'actif le plus précieux de nombreuses organisations : leurs données. Une violation grave affecte les opérations, la réputation et, potentiellement, la viabilité d'une organisation. L'importance de la cybersécurité n'a pas échappé aux organismes de réglementation, qui ont mis en place des réglementations de plus en plus strictes et se sont montrés disposés à engager des poursuites judiciaires contre les RSSI et, éventuellement, d'autres membres de la haute direction, allant même jusqu'à porter des accusations criminelles, comme dans les affaires Uber et SolarWinds.
L'adoption d'une culture de la sécurité à l'échelle de l'entreprise est essentielle dans le contexte actuel. Et comme une grande partie de la valeur d'une entreprise réside dans ses données, ses applications et ses services, le codage sécurisé est un élément fondamental de cette culture. Une formation spécifique et l'amélioration des compétences dans le cadre d'une mentalité culturelle, associées à la démonstration que la formation a contribué à changer la culture, peuvent aider les organisations à renforcer leurs positions en matière de sécurité.
Les programmes de sécurité mis en place par les développeurs sont précieux. La preuve en est le score de confiance.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Une manière sûre d'améliorer la posture de sécurité de votre organisation consiste à former les développeurs aux meilleures pratiques en matière de codage sécurisé, dans un cadre comprenant des bases de référence et des repères conçus pour offrir aux développeurs les voies d'apprentissage spécifiques dont ils ont besoin. Cependant, le codage sécurisé n'est pas une solution ponctuelle : il doit devenir un mode de vie, inscrit dans l'ADN d'une organisation. Les développeurs ne doivent pas seulement se déplacer vers la gauche ou commencer à gauche, ils doivent également rester à gauche.
Il ne suffit pas de proposer des formations. Les organisations doivent s'assurer que les développeurs ont pleinement assimilé leur formation et qu'ils suivent les meilleures pratiques dès le début du cycle de vie du développement logiciel (SDLC) dans le cadre de leurs routines quotidiennes. Il est nécessaire de suivre les performances des développeurs et de mesurer leurs progrès par rapport aux normes internes et aux références du secteur, en évaluant efficacement le retour sur investissement de la formation.
Code sécurisé : Warrior's Trust Score offre une visibilité sur les performances des développeurs individuels et agrège les données pour fournir une évaluation des performances globales de votre organisation. Il démontre l'efficacité des programmes d'amélioration des compétences tout en identifiant les domaines nécessitant des améliorations. En outre, il contribue à garantir le respect de l'ensemble des exigences réglementaires, qu'elles proviennent du règlement général sur la protection des données (RGPD), de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), de la loi californienne sur la protection de la vie privée des consommateurs (CCPA) ou d'autres réglementations.
Notre recherche a démontré que la formation au code sécurisé est efficace. Trust Score, qui utilise un algorithme basé sur plus de 20 millions de points de données d'apprentissage extraits du travail réalisé par plus de 250 000 étudiants issus de plus de 600 organisations, révèle son efficacité dans la réduction des vulnérabilités et comment rendre l'initiative encore plus efficace.
La formation améliore la sécurité, si les développeurs la comprennent.
Pendant des années, l'application des meilleures pratiques de sécurité dès le début du cycle de vie du développement logiciel (SDLC) semblait être une aspiration dans l'industrie du logiciel, un objectif ambitieux pour l'avenir, mais pas une priorité immédiate. Cependant, l'accélération constante du développement logiciel, associée à la multiplication des cybermenaces sophistiquées et destructrices, qui ciblent souvent les vulnérabilités des logiciels, a rendu le codage sécurisé indispensable. L'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) place le codage sécurisé au premier plan avec son initiative « Secure Design », qui est en train de devenir un mouvement international.
Notre recherche l'a démontré : le lien entre une approche sécurisée dès la conception et la réduction des vulnérabilités logicielles est évident. Nous avons analysé les données relatives à la réduction des vulnérabilités de 26 % de la clientèle de SCW et avons découvert que la formation des développeurs avait permis de réduire les vulnérabilités logicielles de 22 à 84 %. Cette fourchette s'explique par des variables telles que la taille des entreprises participantes (les plus petites entreprises comptant relativement peu de développeurs ont obtenu des résultats plus spectaculaires) et le fait qu'un groupe d'apprentissage se soit concentré sur un problème spécifique, auquel cas il a éliminé un pourcentage plus élevé de défauts.
Les résultats obtenus auprès des grandes entreprises ont été assez cohérents. Les entreprises comptant 7 000 développeurs ou plus peuvent s'attendre à une réduction des vulnérabilités comprise entre 47 et 53 % grâce à l'amélioration des compétences des développeurs en matière de sécurité. Par exemple, une entreprise comptant en moyenne plus de 10 000 développeurs (qui n'a pas obtenu les meilleurs résultats sur la plateforme ni l'indice de référence le plus élevé) a enregistré une réduction de 53 % de ses vulnérabilités.
Bien entendu, la formation la plus efficace n'adopte pas une approche globale et unique pour tous. Elle doit être adaptée aux environnements de travail des développeurs et aux types de développement qu'ils réalisent.
Les entreprises devraient commencer par définir les compétences de base que les développeurs doivent posséder afin que l'écriture de code sécurisé leur soit aussi naturelle que l'écriture de code simple. Les programmes de perfectionnement doivent consister en une formation pratique et agile dans des situations réelles qui correspondent au type de travail qu'ils effectuent et aux langages qu'ils utilisent. En outre, ils doivent être suffisamment flexibles pour adapter les sessions de formation à leurs horaires de travail.
Pour les développeurs, l'ensemble des compétences requises ne se limite pas à l'écriture de code. Ils doivent être en mesure de vérifier les logiciels créés par des assistants d'intelligence artificielle et des tiers, tels que les référentiels open source. Les développeurs ont largement utilisé les modèles d'IA génératifs et, dans l'ensemble, ont salué leurs avantages, car ils les aident à créer plus de code plus rapidement. Cependant, bien que 76 % des personnes interrogées dans le cadre de l'enquête Snyk aient déclaré que le code généré par l'IA était plus sûr que celui produit par des humains, 56,4 % ont tout de même indiqué que l'IA introduisait parfois ou fréquemment des erreurs. Le même sondage a révélé que 80 % des développeurs n'appliquent pas les politiques de sécurité liées au code IA, ce qui suggère que les problèmes liés au code IA ne sont pas traités.
Grâce à une approche de conception sécurisée, les développeurs (qui travaillent en collaboration avec les équipes de sécurité, plutôt que séparément) aborderont ces problèmes dès les premières étapes du cycle de vie du développement logiciel (SDLC), en identifiant et en corrigeant les failles avant que le code ne soit mis en production.
Le score de confiance mesure la performance individuelle et celle de l'entreprise.
Il est également essentiel que la formation soit continue. Les entreprises doivent adopter une culture qui privilégie la sécurité et qui s'applique à tous les niveaux, des plus hauts échelons de l'entreprise aux niveaux les plus bas. Elle doit être axée sur l'amélioration continue et la mise en œuvre des meilleures pratiques de sécurité tout au long du cycle de vie du développement logiciel (SDLC). La technologie et les cybercriminels ne cessent d'évoluer ; la cybersécurité ne devrait pas être en reste. Pour les organisations qui produisent des logiciels, la base repose sur des développeurs formés à la sécurité.
C'est pourquoi démontrer que la formation a été efficacement mise en place est aussi important que la formation elle-même. Trust Score offre non seulement une visibilité sur les performances des développeurs à l'échelle individuelle et de l'organisation dans son ensemble, mais permet également aux organisations d'analyser en détail les données de performance afin de se concentrer sur des langages, des équipes de développeurs ou des catégories de logiciels spécifiques. Les données relatives aux résultats de performance individuels et agrégés aident également à identifier les domaines dans lesquels la formation doit être améliorée, par exemple si elle n'a pas l'effet escompté sur les performances quotidiennes des développeurs.
Trust Score a permis aux organisations d'évaluer les performances des développeurs et de confirmer qu'ils ont acquis (et utilisent) les compétences nécessaires en matière de sécurité, garantissant ainsi qu'ils ont obtenu la licence pour programmer. Il permet aux organisations d'accorder en toute confiance aux développeurs qualifiés l'accès à leurs données les plus confidentielles et à leurs projets logiciels les plus importants, tout en refusant l'accès à ceux qui utilisent les outils et ne sont pas encore prêts à les utiliser.
Témoignage d'une culture de sécurité en pleine évolution
La cybersécurité n'est plus seulement un problème de sécurité. Il s'agit d'un enjeu commercial qui affecte l'intégrité de l'actif le plus précieux de nombreuses organisations : leurs données. Une violation grave affecte les opérations, la réputation et, potentiellement, la viabilité d'une organisation. L'importance de la cybersécurité n'a pas échappé aux organismes de réglementation, qui ont mis en place des réglementations de plus en plus strictes et se sont montrés disposés à engager des poursuites judiciaires contre les RSSI et, éventuellement, d'autres membres de la haute direction, allant même jusqu'à porter des accusations criminelles, comme dans les affaires Uber et SolarWinds.
L'adoption d'une culture de la sécurité à l'échelle de l'entreprise est essentielle dans le contexte actuel. Et comme une grande partie de la valeur d'une entreprise réside dans ses données, ses applications et ses services, le codage sécurisé est un élément fondamental de cette culture. Une formation spécifique et l'amélioration des compétences dans le cadre d'une mentalité culturelle, associées à la démonstration que la formation a contribué à changer la culture, peuvent aider les organisations à renforcer leurs positions en matière de sécurité.
Les programmes de sécurité mis en place par les développeurs sont précieux. La preuve en est le score de confiance.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
