Comment Envestnet a adopté une plateforme d'apprentissage de code agile et sécurisée et a triplé l'efficacité des développeurs en matière de réduction des vulnérabilités
Contexte
Envestnet, Inc. est une société de technologie financière cotée en bourse avec 5,3 billions de dollars d'actifs et plus de 18,5 millions de comptes d'investisseurs. La mission d'Envestnet est de fournir aux conseillers et aux prestataires de services financiers des technologies, des solutions et des informations innovantes afin de faire du bien-être financier une réalité pour tous. Envestnet s'est imposé comme l'un des leaders du marché des technologies de gestion de patrimoine grâce à sa plateforme de conseil phare qui intègre les services et les logiciels utilisés par les conseillers financiers dans le domaine de la gestion de patrimoine à travers le monde.
L'engagement d'Envestnet en faveur des meilleures pratiques de gestion des données comprend la surveillance continue de sa plateforme de gestion de fortune via des mesures de conformité continues basées sur les risques qui permettent d'identifier et de résoudre rapidement tout problème de conformité ou toute défaillance potentielle. Envestnet ouvre la voie en matière de protection des données de ses clients en adoptant des mesures de sécurité de premier ordre dans la fourniture de ses services.
Découvrez comment Derek Fisher, responsable de la sécurité des produits chez Envestnet et auteur de »Le manuel de sécurité des applications», a travaillé avec Secure Code Warrior pour développer une approche holistique visant à réduire les vulnérabilités grâce à une activation agile du code sécurisé pour ses équipes de développeurs. Derek travaille dans le domaine de la sécurité des applications depuis plus de dix ans, où il a été témoin de nombreux succès et échecs en matière de sécurité, et apporte son expertise unique dans le développement d'un environnement d'apprentissage de code sécurisé pour les développeurs d'Envestnet.
Situation
Lorsque Derek a pris ses fonctions dans le domaine de la sécurité des applications pour la première fois, il voulait aller au-delà du top 10 de l'OWASP et de la formation de base en matière de conformité. Ils disposaient de certains processus Secure SDLC, mais ils étaient principalement axés sur la détection des vulnérabilités, sans nécessairement les corriger à la source.
Selon Derek, « Nous connaissons tous assez bien la formation annuelle sur la conformité à laquelle nous sommes tous soumis dans toutes les organisations. Il s'agit généralement de ce que j'appelle « la mort par PowerPoint », d'un tas de diapositives et peut-être d'une évaluation à la fin... C'est vraiment inefficace et prend beaucoup de temps. Nous avons suivi une formation, mais elle était basée sur la conformité habituelle, avec une formation spécifique à la sécurité basée sur des diapositives et des enregistrements audio. Nous avons remarqué que les développeurs n'étaient pas très engagés et n'apprenaient pas beaucoup à partir du matériel. Nous avons donc dû modifier notre stratégie. »
Cette stratégie traditionnelle consistant à simplement former les développeurs par le biais d'une formation passive axée sur la conformité axée sur l'OWASP a été particulièrement pénible pour Derek et son équipe car ils n'ont pas pu mesurer l'impact de la formation et ont donc dû consacrer de plus en plus de temps à la gestion des vulnérabilités.
Derek a reconnu qu'il était important d'examiner la source des vulnérabilités, à savoir le code non sécurisé mis en production par les développeurs, et que le simple fait d'y ajouter des outils supplémentaires ne serait pas la solution.
Derek et son équipe se sont plutôt concentrés en 2020 sur l'atténuation des vulnérabilités, dans le but d'écrire du code plus sécurisé dès le départ. Derek et son équipe ont adopté une stratégie de « virage vers la gauche » pour traiter et corriger les vulnérabilités bien plus tôt dans le SDLC, alors que les coûts de correction étaient nettement inférieurs.
Mais tout d'abord, ils devaient faire face à un engagement historiquement faible de la part des développeurs pour l'App Sectraining existant. Il voulait éviter de simplement mettre en œuvre une mentalité de « case à cocher » dans sa stratégie d'apprentissage sécurisé du code et fournir une expérience d'apprentissage plus efficace et plus agile pour le code sécurisé aux développeurs d'Envestnet.
« Une fois que j'ai vu SCW et ce qu'il peut faire, j'ai su qu'une approche plus pratique et plus interactive était la bonne solution pour nous. Je voulais que les ingénieurs et les développeurs sortent de cette formation avec une meilleure connaissance pratique des problèmes réels. Nous voulions développer cette mémoire musculaire : « Voici quelque chose que j'ai déjà vu à l'entraînement, je sais comment aborder ce problème de codage que je vois ». La plateforme Secure Code Warrior nous a permis de fournir ce type d'environnement dans lequel les ingénieurs et les développeurs peuvent intervenir et vraiment comprendre quelles sont les bonnes pratiques de codage sécurisé, à quoi ressemblent les mauvaises et comment résoudre rapidement les vulnérabilités. »
Derek Fisher, responsable de la sécurité des produits chez Envestnet
Action
Derek tenait particulièrement à mettre en œuvre une stratégie de ceinture récompensant les compétences en matière de code sécurisé par des certifications. Le programme à quatre niveaux viserait à établir une base solide de sensibilisation à la sécurité (niveaux 1 et 2), puis ouvrirait la voie aux développeurs pour qu'ils deviennent des champions de la sécurité (niveaux 3 et 4). Cela a résolu le problème de ne pas être en mesure de mesurer la manière dont les développeurs conservaient les concepts de code sécurisé tout en garantissant que les développeurs soucieux de la sécurité avaient un cheminement de carrière leur permettant de développer leurs compétences face à des défis de sécurité plus complexes.
Ils l'ont testé dans le cadre d'un petit projet pilote et ont sollicité les commentaires des développeurs concernés. Les commentaires ont été très positifs. Derek a noté :
« Ces éléments ne donnent pas toujours de bons résultats. Je ne saurais trop insister là-dessus chaque fois que vous recevez des commentaires positifs sur l'entraînement. C'est inhabituel. C'est un bon indicateur qu'il s'agit du bon outil. »
Envestnet a organisé son premier tournoi au printemps 2021 et a enregistré des résultats plus positifs du point de vue de l'engagement des développeurs. Derek a ensuite lancé une série de cours intégrés à son LMS pour les développeurs de bases de données, de front end, d'API et de cloud. Au moment où Envestnet a organisé son deuxième tournoi à l'automne 2021, le nombre total de développeurs participants avait doublé.
Selon Derek, Envestnet a connu un grand succès avec les tournois car,
« Nous savons tous que la compétition est une source de motivation. Nous voulons tous nous assurer que nos pairs reconnaissent nos bons résultats dans certains domaines et cela motive vraiment les gens à participer et à réussir dans ces tournois. Cela et l'intégration à nos outils de développement nous ont vraiment démontré la valeur de Secure Code Warrior. »
Derek et l'équipe ont également travaillé à l'intégration de Secure Code Warrior à Jira afin que, lorsque certaines vulnérabilités se reproduisent, le développeur puisse accéder à des conseils de remédiation immédiats directement dans son ticket Jira, sans quitter cet environnement familier. Cela a fourni aux développeurs un contexte précieux ainsi qu'une formation instantanée et à la demande sur la manière de remédier à cette vulnérabilité, là où elle était nécessaire et au point d'impact. L'équipe de Derek a également travaillé avec Secure Code Warrior pour sponsoriser une journée de la sécurité, ce qui a permis d'obtenir un soutien plus large des PDG et de renforcer l'importance du rôle de l'ingénierie et de la sécurité dans le succès d'Envestnet. Grâce à ce type d'adhésion des dirigeants et des développeurs, Envestnet a pu étendre son programme à ce qu'il est aujourd'hui. À présent, Envestnet a inscrit tous ses champions de sécurité identifiés au programme et 60 % de l'ensemble de l'équipe a obtenu sa certification de niveau 1 ou 2.
Résultats
L'un des moyens utilisés par Envestnet pour mesurer son succès était d'examiner les équipes qui avaient suivi l'expérience d'apprentissage SCW et de déterminer si elles produisaient moins de vulnérabilités et/ou corrigeaient les vulnérabilités plus rapidement. Ce qu'ils ont trouvé était impressionnant :
- Les développeurs formés au SCW ont corrigé 2,7 fois plus de vulnérabilités que leurs pairs
- 100 développeurs formés au SCW ont corrigé 450 vulnérabilités en peu de temps
- 1 200 développeurs formés au SCW ont permis à Envestnet d'augmenter les mesures correctives de 120 % dans leur file d'attente respective
- En un an, sur deux gammes de produits, les développeurs formés au SCW ont résolu des problèmes liés à des vulnérabilités à un taux de 4,5 par développeur, contre seulement 1,82 par développeur pour leurs pairs
- Tous les champions de la sécurité ont suivi leur programme de certification en 2022
- Plus de 60 % des développeurs Security Aware sont passés par les niveaux 1 et 2
Principaux points à retenir
Derek propose ces conseils à ceux qui débutent leur parcours d'apprentissage sécurisé du code :
« Notre travail en matière de sécurité consiste à réduire les risques au sein de l'organisation. C'est notre vrai Nord et c'est ce que nous recherchons toujours. Il se peut qu'une vulnérabilité critique ne représente pas le risque le plus élevé ou qu'elle n'ait pas le plus d'impact sur votre organisation. Il peut s'agir de deux médiums, un bas et un haut cousus ensemble pour créer une chaîne beaucoup plus percutante. Plus les vulnérabilités s'accumulent au fil du temps, plus le risque augmente. Avec Secure Code Warrior, vous pouvez garder une longueur d'avance et adopter une approche proactive pour atténuer cette chaîne de vulnérabilités potentielle grâce à un apprentissage agile du code sécurisé. »
- Ne vous contentez pas de tester les vulnérabilités et de les signaler, cela finit par faire du bruit pour vos développeurs
- AppSec doit plutôt être un partenaire des développeurs et s'assurer de leur adhésion avant de mettre en œuvre une stratégie d'apprentissage de code sécurisée
- Rome ne s'est pas construite en un jour. Votre programme devra évoluer en fonction de l'évolution de votre profil de risque, de l'évolution de votre entreprise et de l'évolution de votre technologie et de vos outils
- La stratégie à long terme la plus efficace consiste à améliorer le QI de sécurité des personnes qui vous entourent afin de réduire le nombre total de vulnérabilités créées
Découvrez comment Derek Fisher, responsable de la sécurité des produits chez Envestnet et auteur de « The Application Security Handbook », a travaillé avec Secure Code Warrior pour développer une approche holistique visant à réduire les vulnérabilités grâce à une activation agile du code sécurisé pour ses équipes de développeurs.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Contexte
Envestnet, Inc. est une société de technologie financière cotée en bourse avec 5,3 billions de dollars d'actifs et plus de 18,5 millions de comptes d'investisseurs. La mission d'Envestnet est de fournir aux conseillers et aux prestataires de services financiers des technologies, des solutions et des informations innovantes afin de faire du bien-être financier une réalité pour tous. Envestnet s'est imposé comme l'un des leaders du marché des technologies de gestion de patrimoine grâce à sa plateforme de conseil phare qui intègre les services et les logiciels utilisés par les conseillers financiers dans le domaine de la gestion de patrimoine à travers le monde.
L'engagement d'Envestnet en faveur des meilleures pratiques de gestion des données comprend la surveillance continue de sa plateforme de gestion de fortune via des mesures de conformité continues basées sur les risques qui permettent d'identifier et de résoudre rapidement tout problème de conformité ou toute défaillance potentielle. Envestnet ouvre la voie en matière de protection des données de ses clients en adoptant des mesures de sécurité de premier ordre dans la fourniture de ses services.
Découvrez comment Derek Fisher, responsable de la sécurité des produits chez Envestnet et auteur de »Le manuel de sécurité des applications», a travaillé avec Secure Code Warrior pour développer une approche holistique visant à réduire les vulnérabilités grâce à une activation agile du code sécurisé pour ses équipes de développeurs. Derek travaille dans le domaine de la sécurité des applications depuis plus de dix ans, où il a été témoin de nombreux succès et échecs en matière de sécurité, et apporte son expertise unique dans le développement d'un environnement d'apprentissage de code sécurisé pour les développeurs d'Envestnet.
Situation
Lorsque Derek a pris ses fonctions dans le domaine de la sécurité des applications pour la première fois, il voulait aller au-delà du top 10 de l'OWASP et de la formation de base en matière de conformité. Ils disposaient de certains processus Secure SDLC, mais ils étaient principalement axés sur la détection des vulnérabilités, sans nécessairement les corriger à la source.
Selon Derek, « Nous connaissons tous assez bien la formation annuelle sur la conformité à laquelle nous sommes tous soumis dans toutes les organisations. Il s'agit généralement de ce que j'appelle « la mort par PowerPoint », d'un tas de diapositives et peut-être d'une évaluation à la fin... C'est vraiment inefficace et prend beaucoup de temps. Nous avons suivi une formation, mais elle était basée sur la conformité habituelle, avec une formation spécifique à la sécurité basée sur des diapositives et des enregistrements audio. Nous avons remarqué que les développeurs n'étaient pas très engagés et n'apprenaient pas beaucoup à partir du matériel. Nous avons donc dû modifier notre stratégie. »
Cette stratégie traditionnelle consistant à simplement former les développeurs par le biais d'une formation passive axée sur la conformité axée sur l'OWASP a été particulièrement pénible pour Derek et son équipe car ils n'ont pas pu mesurer l'impact de la formation et ont donc dû consacrer de plus en plus de temps à la gestion des vulnérabilités.
Derek a reconnu qu'il était important d'examiner la source des vulnérabilités, à savoir le code non sécurisé mis en production par les développeurs, et que le simple fait d'y ajouter des outils supplémentaires ne serait pas la solution.
Derek et son équipe se sont plutôt concentrés en 2020 sur l'atténuation des vulnérabilités, dans le but d'écrire du code plus sécurisé dès le départ. Derek et son équipe ont adopté une stratégie de « virage vers la gauche » pour traiter et corriger les vulnérabilités bien plus tôt dans le SDLC, alors que les coûts de correction étaient nettement inférieurs.
Mais tout d'abord, ils devaient faire face à un engagement historiquement faible de la part des développeurs pour l'App Sectraining existant. Il voulait éviter de simplement mettre en œuvre une mentalité de « case à cocher » dans sa stratégie d'apprentissage sécurisé du code et fournir une expérience d'apprentissage plus efficace et plus agile pour le code sécurisé aux développeurs d'Envestnet.
« Une fois que j'ai vu SCW et ce qu'il peut faire, j'ai su qu'une approche plus pratique et plus interactive était la bonne solution pour nous. Je voulais que les ingénieurs et les développeurs sortent de cette formation avec une meilleure connaissance pratique des problèmes réels. Nous voulions développer cette mémoire musculaire : « Voici quelque chose que j'ai déjà vu à l'entraînement, je sais comment aborder ce problème de codage que je vois ». La plateforme Secure Code Warrior nous a permis de fournir ce type d'environnement dans lequel les ingénieurs et les développeurs peuvent intervenir et vraiment comprendre quelles sont les bonnes pratiques de codage sécurisé, à quoi ressemblent les mauvaises et comment résoudre rapidement les vulnérabilités. »
Derek Fisher, responsable de la sécurité des produits chez Envestnet
Action
Derek tenait particulièrement à mettre en œuvre une stratégie de ceinture récompensant les compétences en matière de code sécurisé par des certifications. Le programme à quatre niveaux viserait à établir une base solide de sensibilisation à la sécurité (niveaux 1 et 2), puis ouvrirait la voie aux développeurs pour qu'ils deviennent des champions de la sécurité (niveaux 3 et 4). Cela a résolu le problème de ne pas être en mesure de mesurer la manière dont les développeurs conservaient les concepts de code sécurisé tout en garantissant que les développeurs soucieux de la sécurité avaient un cheminement de carrière leur permettant de développer leurs compétences face à des défis de sécurité plus complexes.
Ils l'ont testé dans le cadre d'un petit projet pilote et ont sollicité les commentaires des développeurs concernés. Les commentaires ont été très positifs. Derek a noté :
« Ces éléments ne donnent pas toujours de bons résultats. Je ne saurais trop insister là-dessus chaque fois que vous recevez des commentaires positifs sur l'entraînement. C'est inhabituel. C'est un bon indicateur qu'il s'agit du bon outil. »
Envestnet a organisé son premier tournoi au printemps 2021 et a enregistré des résultats plus positifs du point de vue de l'engagement des développeurs. Derek a ensuite lancé une série de cours intégrés à son LMS pour les développeurs de bases de données, de front end, d'API et de cloud. Au moment où Envestnet a organisé son deuxième tournoi à l'automne 2021, le nombre total de développeurs participants avait doublé.
Selon Derek, Envestnet a connu un grand succès avec les tournois car,
« Nous savons tous que la compétition est une source de motivation. Nous voulons tous nous assurer que nos pairs reconnaissent nos bons résultats dans certains domaines et cela motive vraiment les gens à participer et à réussir dans ces tournois. Cela et l'intégration à nos outils de développement nous ont vraiment démontré la valeur de Secure Code Warrior. »
Derek et l'équipe ont également travaillé à l'intégration de Secure Code Warrior à Jira afin que, lorsque certaines vulnérabilités se reproduisent, le développeur puisse accéder à des conseils de remédiation immédiats directement dans son ticket Jira, sans quitter cet environnement familier. Cela a fourni aux développeurs un contexte précieux ainsi qu'une formation instantanée et à la demande sur la manière de remédier à cette vulnérabilité, là où elle était nécessaire et au point d'impact. L'équipe de Derek a également travaillé avec Secure Code Warrior pour sponsoriser une journée de la sécurité, ce qui a permis d'obtenir un soutien plus large des PDG et de renforcer l'importance du rôle de l'ingénierie et de la sécurité dans le succès d'Envestnet. Grâce à ce type d'adhésion des dirigeants et des développeurs, Envestnet a pu étendre son programme à ce qu'il est aujourd'hui. À présent, Envestnet a inscrit tous ses champions de sécurité identifiés au programme et 60 % de l'ensemble de l'équipe a obtenu sa certification de niveau 1 ou 2.
Résultats
L'un des moyens utilisés par Envestnet pour mesurer son succès était d'examiner les équipes qui avaient suivi l'expérience d'apprentissage SCW et de déterminer si elles produisaient moins de vulnérabilités et/ou corrigeaient les vulnérabilités plus rapidement. Ce qu'ils ont trouvé était impressionnant :
- Les développeurs formés au SCW ont corrigé 2,7 fois plus de vulnérabilités que leurs pairs
- 100 développeurs formés au SCW ont corrigé 450 vulnérabilités en peu de temps
- 1 200 développeurs formés au SCW ont permis à Envestnet d'augmenter les mesures correctives de 120 % dans leur file d'attente respective
- En un an, sur deux gammes de produits, les développeurs formés au SCW ont résolu des problèmes liés à des vulnérabilités à un taux de 4,5 par développeur, contre seulement 1,82 par développeur pour leurs pairs
- Tous les champions de la sécurité ont suivi leur programme de certification en 2022
- Plus de 60 % des développeurs Security Aware sont passés par les niveaux 1 et 2
Principaux points à retenir
Derek propose ces conseils à ceux qui débutent leur parcours d'apprentissage sécurisé du code :
« Notre travail en matière de sécurité consiste à réduire les risques au sein de l'organisation. C'est notre vrai Nord et c'est ce que nous recherchons toujours. Il se peut qu'une vulnérabilité critique ne représente pas le risque le plus élevé ou qu'elle n'ait pas le plus d'impact sur votre organisation. Il peut s'agir de deux médiums, un bas et un haut cousus ensemble pour créer une chaîne beaucoup plus percutante. Plus les vulnérabilités s'accumulent au fil du temps, plus le risque augmente. Avec Secure Code Warrior, vous pouvez garder une longueur d'avance et adopter une approche proactive pour atténuer cette chaîne de vulnérabilités potentielle grâce à un apprentissage agile du code sécurisé. »
- Ne vous contentez pas de tester les vulnérabilités et de les signaler, cela finit par faire du bruit pour vos développeurs
- AppSec doit plutôt être un partenaire des développeurs et s'assurer de leur adhésion avant de mettre en œuvre une stratégie d'apprentissage de code sécurisée
- Rome ne s'est pas construite en un jour. Votre programme devra évoluer en fonction de l'évolution de votre profil de risque, de l'évolution de votre entreprise et de l'évolution de votre technologie et de vos outils
- La stratégie à long terme la plus efficace consiste à améliorer le QI de sécurité des personnes qui vous entourent afin de réduire le nombre total de vulnérabilités créées
Contexte
Envestnet, Inc. est une société de technologie financière cotée en bourse avec 5,3 billions de dollars d'actifs et plus de 18,5 millions de comptes d'investisseurs. La mission d'Envestnet est de fournir aux conseillers et aux prestataires de services financiers des technologies, des solutions et des informations innovantes afin de faire du bien-être financier une réalité pour tous. Envestnet s'est imposé comme l'un des leaders du marché des technologies de gestion de patrimoine grâce à sa plateforme de conseil phare qui intègre les services et les logiciels utilisés par les conseillers financiers dans le domaine de la gestion de patrimoine à travers le monde.
L'engagement d'Envestnet en faveur des meilleures pratiques de gestion des données comprend la surveillance continue de sa plateforme de gestion de fortune via des mesures de conformité continues basées sur les risques qui permettent d'identifier et de résoudre rapidement tout problème de conformité ou toute défaillance potentielle. Envestnet ouvre la voie en matière de protection des données de ses clients en adoptant des mesures de sécurité de premier ordre dans la fourniture de ses services.
Découvrez comment Derek Fisher, responsable de la sécurité des produits chez Envestnet et auteur de »Le manuel de sécurité des applications», a travaillé avec Secure Code Warrior pour développer une approche holistique visant à réduire les vulnérabilités grâce à une activation agile du code sécurisé pour ses équipes de développeurs. Derek travaille dans le domaine de la sécurité des applications depuis plus de dix ans, où il a été témoin de nombreux succès et échecs en matière de sécurité, et apporte son expertise unique dans le développement d'un environnement d'apprentissage de code sécurisé pour les développeurs d'Envestnet.
Situation
Lorsque Derek a pris ses fonctions dans le domaine de la sécurité des applications pour la première fois, il voulait aller au-delà du top 10 de l'OWASP et de la formation de base en matière de conformité. Ils disposaient de certains processus Secure SDLC, mais ils étaient principalement axés sur la détection des vulnérabilités, sans nécessairement les corriger à la source.
Selon Derek, « Nous connaissons tous assez bien la formation annuelle sur la conformité à laquelle nous sommes tous soumis dans toutes les organisations. Il s'agit généralement de ce que j'appelle « la mort par PowerPoint », d'un tas de diapositives et peut-être d'une évaluation à la fin... C'est vraiment inefficace et prend beaucoup de temps. Nous avons suivi une formation, mais elle était basée sur la conformité habituelle, avec une formation spécifique à la sécurité basée sur des diapositives et des enregistrements audio. Nous avons remarqué que les développeurs n'étaient pas très engagés et n'apprenaient pas beaucoup à partir du matériel. Nous avons donc dû modifier notre stratégie. »
Cette stratégie traditionnelle consistant à simplement former les développeurs par le biais d'une formation passive axée sur la conformité axée sur l'OWASP a été particulièrement pénible pour Derek et son équipe car ils n'ont pas pu mesurer l'impact de la formation et ont donc dû consacrer de plus en plus de temps à la gestion des vulnérabilités.
Derek a reconnu qu'il était important d'examiner la source des vulnérabilités, à savoir le code non sécurisé mis en production par les développeurs, et que le simple fait d'y ajouter des outils supplémentaires ne serait pas la solution.
Derek et son équipe se sont plutôt concentrés en 2020 sur l'atténuation des vulnérabilités, dans le but d'écrire du code plus sécurisé dès le départ. Derek et son équipe ont adopté une stratégie de « virage vers la gauche » pour traiter et corriger les vulnérabilités bien plus tôt dans le SDLC, alors que les coûts de correction étaient nettement inférieurs.
Mais tout d'abord, ils devaient faire face à un engagement historiquement faible de la part des développeurs pour l'App Sectraining existant. Il voulait éviter de simplement mettre en œuvre une mentalité de « case à cocher » dans sa stratégie d'apprentissage sécurisé du code et fournir une expérience d'apprentissage plus efficace et plus agile pour le code sécurisé aux développeurs d'Envestnet.
« Une fois que j'ai vu SCW et ce qu'il peut faire, j'ai su qu'une approche plus pratique et plus interactive était la bonne solution pour nous. Je voulais que les ingénieurs et les développeurs sortent de cette formation avec une meilleure connaissance pratique des problèmes réels. Nous voulions développer cette mémoire musculaire : « Voici quelque chose que j'ai déjà vu à l'entraînement, je sais comment aborder ce problème de codage que je vois ». La plateforme Secure Code Warrior nous a permis de fournir ce type d'environnement dans lequel les ingénieurs et les développeurs peuvent intervenir et vraiment comprendre quelles sont les bonnes pratiques de codage sécurisé, à quoi ressemblent les mauvaises et comment résoudre rapidement les vulnérabilités. »
Derek Fisher, responsable de la sécurité des produits chez Envestnet
Action
Derek tenait particulièrement à mettre en œuvre une stratégie de ceinture récompensant les compétences en matière de code sécurisé par des certifications. Le programme à quatre niveaux viserait à établir une base solide de sensibilisation à la sécurité (niveaux 1 et 2), puis ouvrirait la voie aux développeurs pour qu'ils deviennent des champions de la sécurité (niveaux 3 et 4). Cela a résolu le problème de ne pas être en mesure de mesurer la manière dont les développeurs conservaient les concepts de code sécurisé tout en garantissant que les développeurs soucieux de la sécurité avaient un cheminement de carrière leur permettant de développer leurs compétences face à des défis de sécurité plus complexes.
Ils l'ont testé dans le cadre d'un petit projet pilote et ont sollicité les commentaires des développeurs concernés. Les commentaires ont été très positifs. Derek a noté :
« Ces éléments ne donnent pas toujours de bons résultats. Je ne saurais trop insister là-dessus chaque fois que vous recevez des commentaires positifs sur l'entraînement. C'est inhabituel. C'est un bon indicateur qu'il s'agit du bon outil. »
Envestnet a organisé son premier tournoi au printemps 2021 et a enregistré des résultats plus positifs du point de vue de l'engagement des développeurs. Derek a ensuite lancé une série de cours intégrés à son LMS pour les développeurs de bases de données, de front end, d'API et de cloud. Au moment où Envestnet a organisé son deuxième tournoi à l'automne 2021, le nombre total de développeurs participants avait doublé.
Selon Derek, Envestnet a connu un grand succès avec les tournois car,
« Nous savons tous que la compétition est une source de motivation. Nous voulons tous nous assurer que nos pairs reconnaissent nos bons résultats dans certains domaines et cela motive vraiment les gens à participer et à réussir dans ces tournois. Cela et l'intégration à nos outils de développement nous ont vraiment démontré la valeur de Secure Code Warrior. »
Derek et l'équipe ont également travaillé à l'intégration de Secure Code Warrior à Jira afin que, lorsque certaines vulnérabilités se reproduisent, le développeur puisse accéder à des conseils de remédiation immédiats directement dans son ticket Jira, sans quitter cet environnement familier. Cela a fourni aux développeurs un contexte précieux ainsi qu'une formation instantanée et à la demande sur la manière de remédier à cette vulnérabilité, là où elle était nécessaire et au point d'impact. L'équipe de Derek a également travaillé avec Secure Code Warrior pour sponsoriser une journée de la sécurité, ce qui a permis d'obtenir un soutien plus large des PDG et de renforcer l'importance du rôle de l'ingénierie et de la sécurité dans le succès d'Envestnet. Grâce à ce type d'adhésion des dirigeants et des développeurs, Envestnet a pu étendre son programme à ce qu'il est aujourd'hui. À présent, Envestnet a inscrit tous ses champions de sécurité identifiés au programme et 60 % de l'ensemble de l'équipe a obtenu sa certification de niveau 1 ou 2.
Résultats
L'un des moyens utilisés par Envestnet pour mesurer son succès était d'examiner les équipes qui avaient suivi l'expérience d'apprentissage SCW et de déterminer si elles produisaient moins de vulnérabilités et/ou corrigeaient les vulnérabilités plus rapidement. Ce qu'ils ont trouvé était impressionnant :
- Les développeurs formés au SCW ont corrigé 2,7 fois plus de vulnérabilités que leurs pairs
- 100 développeurs formés au SCW ont corrigé 450 vulnérabilités en peu de temps
- 1 200 développeurs formés au SCW ont permis à Envestnet d'augmenter les mesures correctives de 120 % dans leur file d'attente respective
- En un an, sur deux gammes de produits, les développeurs formés au SCW ont résolu des problèmes liés à des vulnérabilités à un taux de 4,5 par développeur, contre seulement 1,82 par développeur pour leurs pairs
- Tous les champions de la sécurité ont suivi leur programme de certification en 2022
- Plus de 60 % des développeurs Security Aware sont passés par les niveaux 1 et 2
Principaux points à retenir
Derek propose ces conseils à ceux qui débutent leur parcours d'apprentissage sécurisé du code :
« Notre travail en matière de sécurité consiste à réduire les risques au sein de l'organisation. C'est notre vrai Nord et c'est ce que nous recherchons toujours. Il se peut qu'une vulnérabilité critique ne représente pas le risque le plus élevé ou qu'elle n'ait pas le plus d'impact sur votre organisation. Il peut s'agir de deux médiums, un bas et un haut cousus ensemble pour créer une chaîne beaucoup plus percutante. Plus les vulnérabilités s'accumulent au fil du temps, plus le risque augmente. Avec Secure Code Warrior, vous pouvez garder une longueur d'avance et adopter une approche proactive pour atténuer cette chaîne de vulnérabilités potentielle grâce à un apprentissage agile du code sécurisé. »
- Ne vous contentez pas de tester les vulnérabilités et de les signaler, cela finit par faire du bruit pour vos développeurs
- AppSec doit plutôt être un partenaire des développeurs et s'assurer de leur adhésion avant de mettre en œuvre une stratégie d'apprentissage de code sécurisée
- Rome ne s'est pas construite en un jour. Votre programme devra évoluer en fonction de l'évolution de votre profil de risque, de l'évolution de votre entreprise et de l'évolution de votre technologie et de vos outils
- La stratégie à long terme la plus efficace consiste à améliorer le QI de sécurité des personnes qui vous entourent afin de réduire le nombre total de vulnérabilités créées
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Contexte
Envestnet, Inc. est une société de technologie financière cotée en bourse avec 5,3 billions de dollars d'actifs et plus de 18,5 millions de comptes d'investisseurs. La mission d'Envestnet est de fournir aux conseillers et aux prestataires de services financiers des technologies, des solutions et des informations innovantes afin de faire du bien-être financier une réalité pour tous. Envestnet s'est imposé comme l'un des leaders du marché des technologies de gestion de patrimoine grâce à sa plateforme de conseil phare qui intègre les services et les logiciels utilisés par les conseillers financiers dans le domaine de la gestion de patrimoine à travers le monde.
L'engagement d'Envestnet en faveur des meilleures pratiques de gestion des données comprend la surveillance continue de sa plateforme de gestion de fortune via des mesures de conformité continues basées sur les risques qui permettent d'identifier et de résoudre rapidement tout problème de conformité ou toute défaillance potentielle. Envestnet ouvre la voie en matière de protection des données de ses clients en adoptant des mesures de sécurité de premier ordre dans la fourniture de ses services.
Découvrez comment Derek Fisher, responsable de la sécurité des produits chez Envestnet et auteur de »Le manuel de sécurité des applications», a travaillé avec Secure Code Warrior pour développer une approche holistique visant à réduire les vulnérabilités grâce à une activation agile du code sécurisé pour ses équipes de développeurs. Derek travaille dans le domaine de la sécurité des applications depuis plus de dix ans, où il a été témoin de nombreux succès et échecs en matière de sécurité, et apporte son expertise unique dans le développement d'un environnement d'apprentissage de code sécurisé pour les développeurs d'Envestnet.
Situation
Lorsque Derek a pris ses fonctions dans le domaine de la sécurité des applications pour la première fois, il voulait aller au-delà du top 10 de l'OWASP et de la formation de base en matière de conformité. Ils disposaient de certains processus Secure SDLC, mais ils étaient principalement axés sur la détection des vulnérabilités, sans nécessairement les corriger à la source.
Selon Derek, « Nous connaissons tous assez bien la formation annuelle sur la conformité à laquelle nous sommes tous soumis dans toutes les organisations. Il s'agit généralement de ce que j'appelle « la mort par PowerPoint », d'un tas de diapositives et peut-être d'une évaluation à la fin... C'est vraiment inefficace et prend beaucoup de temps. Nous avons suivi une formation, mais elle était basée sur la conformité habituelle, avec une formation spécifique à la sécurité basée sur des diapositives et des enregistrements audio. Nous avons remarqué que les développeurs n'étaient pas très engagés et n'apprenaient pas beaucoup à partir du matériel. Nous avons donc dû modifier notre stratégie. »
Cette stratégie traditionnelle consistant à simplement former les développeurs par le biais d'une formation passive axée sur la conformité axée sur l'OWASP a été particulièrement pénible pour Derek et son équipe car ils n'ont pas pu mesurer l'impact de la formation et ont donc dû consacrer de plus en plus de temps à la gestion des vulnérabilités.
Derek a reconnu qu'il était important d'examiner la source des vulnérabilités, à savoir le code non sécurisé mis en production par les développeurs, et que le simple fait d'y ajouter des outils supplémentaires ne serait pas la solution.
Derek et son équipe se sont plutôt concentrés en 2020 sur l'atténuation des vulnérabilités, dans le but d'écrire du code plus sécurisé dès le départ. Derek et son équipe ont adopté une stratégie de « virage vers la gauche » pour traiter et corriger les vulnérabilités bien plus tôt dans le SDLC, alors que les coûts de correction étaient nettement inférieurs.
Mais tout d'abord, ils devaient faire face à un engagement historiquement faible de la part des développeurs pour l'App Sectraining existant. Il voulait éviter de simplement mettre en œuvre une mentalité de « case à cocher » dans sa stratégie d'apprentissage sécurisé du code et fournir une expérience d'apprentissage plus efficace et plus agile pour le code sécurisé aux développeurs d'Envestnet.
« Une fois que j'ai vu SCW et ce qu'il peut faire, j'ai su qu'une approche plus pratique et plus interactive était la bonne solution pour nous. Je voulais que les ingénieurs et les développeurs sortent de cette formation avec une meilleure connaissance pratique des problèmes réels. Nous voulions développer cette mémoire musculaire : « Voici quelque chose que j'ai déjà vu à l'entraînement, je sais comment aborder ce problème de codage que je vois ». La plateforme Secure Code Warrior nous a permis de fournir ce type d'environnement dans lequel les ingénieurs et les développeurs peuvent intervenir et vraiment comprendre quelles sont les bonnes pratiques de codage sécurisé, à quoi ressemblent les mauvaises et comment résoudre rapidement les vulnérabilités. »
Derek Fisher, responsable de la sécurité des produits chez Envestnet
Action
Derek tenait particulièrement à mettre en œuvre une stratégie de ceinture récompensant les compétences en matière de code sécurisé par des certifications. Le programme à quatre niveaux viserait à établir une base solide de sensibilisation à la sécurité (niveaux 1 et 2), puis ouvrirait la voie aux développeurs pour qu'ils deviennent des champions de la sécurité (niveaux 3 et 4). Cela a résolu le problème de ne pas être en mesure de mesurer la manière dont les développeurs conservaient les concepts de code sécurisé tout en garantissant que les développeurs soucieux de la sécurité avaient un cheminement de carrière leur permettant de développer leurs compétences face à des défis de sécurité plus complexes.
Ils l'ont testé dans le cadre d'un petit projet pilote et ont sollicité les commentaires des développeurs concernés. Les commentaires ont été très positifs. Derek a noté :
« Ces éléments ne donnent pas toujours de bons résultats. Je ne saurais trop insister là-dessus chaque fois que vous recevez des commentaires positifs sur l'entraînement. C'est inhabituel. C'est un bon indicateur qu'il s'agit du bon outil. »
Envestnet a organisé son premier tournoi au printemps 2021 et a enregistré des résultats plus positifs du point de vue de l'engagement des développeurs. Derek a ensuite lancé une série de cours intégrés à son LMS pour les développeurs de bases de données, de front end, d'API et de cloud. Au moment où Envestnet a organisé son deuxième tournoi à l'automne 2021, le nombre total de développeurs participants avait doublé.
Selon Derek, Envestnet a connu un grand succès avec les tournois car,
« Nous savons tous que la compétition est une source de motivation. Nous voulons tous nous assurer que nos pairs reconnaissent nos bons résultats dans certains domaines et cela motive vraiment les gens à participer et à réussir dans ces tournois. Cela et l'intégration à nos outils de développement nous ont vraiment démontré la valeur de Secure Code Warrior. »
Derek et l'équipe ont également travaillé à l'intégration de Secure Code Warrior à Jira afin que, lorsque certaines vulnérabilités se reproduisent, le développeur puisse accéder à des conseils de remédiation immédiats directement dans son ticket Jira, sans quitter cet environnement familier. Cela a fourni aux développeurs un contexte précieux ainsi qu'une formation instantanée et à la demande sur la manière de remédier à cette vulnérabilité, là où elle était nécessaire et au point d'impact. L'équipe de Derek a également travaillé avec Secure Code Warrior pour sponsoriser une journée de la sécurité, ce qui a permis d'obtenir un soutien plus large des PDG et de renforcer l'importance du rôle de l'ingénierie et de la sécurité dans le succès d'Envestnet. Grâce à ce type d'adhésion des dirigeants et des développeurs, Envestnet a pu étendre son programme à ce qu'il est aujourd'hui. À présent, Envestnet a inscrit tous ses champions de sécurité identifiés au programme et 60 % de l'ensemble de l'équipe a obtenu sa certification de niveau 1 ou 2.
Résultats
L'un des moyens utilisés par Envestnet pour mesurer son succès était d'examiner les équipes qui avaient suivi l'expérience d'apprentissage SCW et de déterminer si elles produisaient moins de vulnérabilités et/ou corrigeaient les vulnérabilités plus rapidement. Ce qu'ils ont trouvé était impressionnant :
- Les développeurs formés au SCW ont corrigé 2,7 fois plus de vulnérabilités que leurs pairs
- 100 développeurs formés au SCW ont corrigé 450 vulnérabilités en peu de temps
- 1 200 développeurs formés au SCW ont permis à Envestnet d'augmenter les mesures correctives de 120 % dans leur file d'attente respective
- En un an, sur deux gammes de produits, les développeurs formés au SCW ont résolu des problèmes liés à des vulnérabilités à un taux de 4,5 par développeur, contre seulement 1,82 par développeur pour leurs pairs
- Tous les champions de la sécurité ont suivi leur programme de certification en 2022
- Plus de 60 % des développeurs Security Aware sont passés par les niveaux 1 et 2
Principaux points à retenir
Derek propose ces conseils à ceux qui débutent leur parcours d'apprentissage sécurisé du code :
« Notre travail en matière de sécurité consiste à réduire les risques au sein de l'organisation. C'est notre vrai Nord et c'est ce que nous recherchons toujours. Il se peut qu'une vulnérabilité critique ne représente pas le risque le plus élevé ou qu'elle n'ait pas le plus d'impact sur votre organisation. Il peut s'agir de deux médiums, un bas et un haut cousus ensemble pour créer une chaîne beaucoup plus percutante. Plus les vulnérabilités s'accumulent au fil du temps, plus le risque augmente. Avec Secure Code Warrior, vous pouvez garder une longueur d'avance et adopter une approche proactive pour atténuer cette chaîne de vulnérabilités potentielle grâce à un apprentissage agile du code sécurisé. »
- Ne vous contentez pas de tester les vulnérabilités et de les signaler, cela finit par faire du bruit pour vos développeurs
- AppSec doit plutôt être un partenaire des développeurs et s'assurer de leur adhésion avant de mettre en œuvre une stratégie d'apprentissage de code sécurisée
- Rome ne s'est pas construite en un jour. Votre programme devra évoluer en fonction de l'évolution de votre profil de risque, de l'évolution de votre entreprise et de l'évolution de votre technologie et de vos outils
- La stratégie à long terme la plus efficace consiste à améliorer le QI de sécurité des personnes qui vous entourent afin de réduire le nombre total de vulnérabilités créées
Table des matières
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Thèmes et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions Beat the Boss sont désormais disponibles sur demande.
Cybermon 2025 : Vaincre le Boss est désormais accessible toute l'année dans SCW. Mettez en œuvre des défis de sécurité avancés liés à l'IA et au LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite clairement définis et mesurables
Enabler 1 inaugure notre série en 10 parties intitulée « Enablers of Success » en démontrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'assurer la maturité à long terme des programmes.
