Atténuer la dette technique grâce à une sécurité pilotée par les développeurs
Parlons de la dette
Presque tout le monde sait aujourd'hui que la cybercriminalité est devenue un problème majeur pour notre économie mondiale. En 2022, le coût moyen d'une violation de données aux États-Unis s'élevait à 9,44 millions de dollars, contre 9,05 millions de dollars l'année précédente. Il est important de ne pas ignorer le coût du code non sécurisé et sa dette technique accumulée. Selon le 2022 Consortium pour la qualité de l'information et des logiciels : le coût d'une mauvaise qualité logicielle rapport, on estime que le coût d'un logiciel de mauvaise qualité aux États-Unis est passé à 2,41 billions de dollars et que la dette technique logicielle cumulée est passée à 1,52 billion de dollars.
Les coûts croissants liés à la résolution du code non sécurisé et à sa dette technique sont devenus le principal obstacle à la modification des bases de code existantes, les rendant ainsi vulnérables à l'exploitation et aux menaces externes. L'état de la sécurité logicielle fait face à une crise existentielle. Nous savons que nous devons améliorer notre posture en matière de sécurité et remédier à la dette technique accumulée, mais les obstacles sont énormes :
- Il y a environ 300 000 emplois vacants dans le domaine des développeurs de logiciels et des technologies de l'information aux États-Unis, avec un taux de croissance projeté de 15 %
- On prévoit que d'ici 2025, 40 % des budgets informatiques seront consacrés au simple maintien de la dette technologique
- Un tiers des heures hebdomadaires des développeurs sont consacrées en moyenne à la gestion de la dette technologique
Les solutions rapides sont risquées et coûtent plus cher à long terme
Qu'est-ce que la dette technique et pourquoi est-elle si importante ? La dette technologique s'accumule lorsque les décideurs optent pour une solution à court terme à un problème de développement logiciel, au lieu d'une solution plus exhaustive et à long terme. Cela s'accompagne d'un coût caché important que les organisations doivent payer ultérieurement. Tout comme une carte de crédit au maximum, la dette technique comporte deux éléments principaux :
- Directeur - fait référence au coût total de la refactorisation ou de la correction d'un logiciel afin qu'il atteigne le niveau souhaité de maintenabilité et de sécurité.
- Intérêt - les efforts supplémentaires que les développeurs consacrent à ces modifications uniquement pour répondre à la dette technique, et non à de nouvelles fonctionnalités. Chaque minute passée sur un code qui n'est pas tout à fait correct ajoute des intérêts à la dette.
On peut éventuellement atteindre un état de « faillite technique » lorsque le coût des nouvelles fonctionnalités, des corrections de bogues et de la maintenance dépasse le budget du projet, ce qui fait chuter la valeur de l'application logicielle de manière significative.
Cependant, une certaine accumulation de dettes, comme dans la vie, est normale et, dans la plupart des cas, quelque peu prévisible.
Idéalement, tous les développeurs de logiciels devraient réduire les bogues autant que possible avant d'expédier le code. Cependant, elles sont confrontées à un compromis difficile : pour être compétitive, une organisation peut souhaiter proposer des fonctionnalités ou des produits à ses clients rapidement et à un coût minimal. Par conséquent, la qualité de l'application en souffre car les KPI des développeurs sont basés sur la rapidité de livraison et le coût initial de sa création. Ce qui manque à l'image, ce sont les lacunes accumulées et les vulnérabilités potentielles intégrées au code. Cela laisse place à des bogues ou à des failles de sécurité à terme ou, pire encore, à une exploitation par de mauvais acteurs.
Mais voici l'énigme : existe-t-il une autre façon d'expédier des produits rapidement sans accumuler une dette technique massive ?
Le coût de la détection et de la correction des déficiences et des vulnérabilités constitue la dépense la plus importante du cycle de vie du développement logiciel. Plus les problèmes sont détectés tôt dans le cycle de développement, plus la fourniture globale sera rentable.
La dette technique peut évoluer vers une dette de sécurité
De nombreux développeurs tentent de contourner ce compromis en utilisant du code source ouvert pour les aider à agir rapidement et, idéalement, en utilisant une solution déjà approuvée. Cependant, en s'appuyant largement sur les logiciels open source présente souvent ses propres risques:
- 82 % des composants open source se sont révélés obsolètes (c'est-à-dire qu'ils n'avaient pas été corrigés ou n'étaient pas bien pris en charge)
- 75 % des bases de code contenaient des vulnérabilités (contre 60 % en 2018) et 49 % contenaient des vulnérabilités à haut risque
- En moyenne, 82 vulnérabilités ont été identifiées par base de code
Cela fait proliférer un sous-ensemble de la dette technique, la dette de sécurité. La dette de sécurité est l'accumulation de vulnérabilités dans une application logicielle qui rend plus difficile, voire impossible, la protection des données et des systèmes contre une attaque.
L'un des exemples les plus connus est Equifax, le géant de l'évaluation du crédit piraté en 2017 car il n'avait pas réussi à corriger une vulnérabilité connue dans Apache Struts, un framework d'applications Web open source populaire. Le correctif était disponible depuis des mois, mais la faille a compromis les données personnelles cruciales de plus de 147 millions de personnes.
Par conséquent, une plus grande attention doit être accordée aux pratiques de codage sécurisées, car de nombreuses applications ont atteint une masse critique, non seulement en termes de dette technique, mais aussi en termes de densité de failles de sécurité et de vulnérabilités au sein de l'application elle-même.
Cela peut entraîner d'énormes pertes, qui peuvent être tangibles ou intangibles :
Atteinte à la réputation : La perte de confiance des clients peut avoir un impact extrêmement négatif à terme. Cela peut inclure des dommages à la marque, des pertes de ventes et des problèmes juridiques coûteux à la suite d'une violation.
Impact sur la réglementation et la conformité : Si une faille de sécurité peut amener une entreprise à ne pas respecter un délai et/ou des obligations contractuelles. Le non-respect d'un SLA peut entraîner des problèmes pour une entreprise avec les régulateurs, ce qui peut entraîner des amendes importantes.
Coûts de remise en état : Un travail supplémentaire est souvent nécessaire à la suite d'une panne ou d'une panne pour compenser la perte de productivité.
Prévention de la dette technique et de sécurité dans le SDLC
De nombreuses organisations modifient déjà leur budget afin de renforcer leur dispositif de sécurité. L'année dernière, Google a engagé 10 milliards de dollars sur 5 ans pour financer un programme visant à renforcer la cybersécurité. L'administration Biden a également demandé 2,1 milliards de dollars dans le budget discrétionnaire de 2022 pour l'Agence de cybersécurité et de sécurité des infrastructures (CISA).
Fournir davantage de ressources et de formations pour aider à renforcer le développement professionnel et les connaissances de vos développeurs peut être la première étape de l'établissement de normes de qualité pour tout le code mis en production.
Les coûts liés à la détection et à la correction d'une vulnérabilité ou d'un défaut augmentent de façon exponentielle à mesure que le problème est détecté et corrigé à la fin du cycle de développement logiciel. Et comme nous l'avons vu, alors qu'elles consacrent tant de temps à régler leur dette technique et de sécurité, les entreprises génèrent leurs propres pertes en renonçant à l'innovation et en consacrant du temps à de nouvelles fonctionnalités ou à de nouveaux produits.
En 2022, la majorité des équipes de développeurs ont déclaré que DevOps ou DevSecOps était leur méthodologie de choix, et il n'est pas surprenant de savoir pourquoi. DevSecOps intègre la sécurité à chaque étape du cycle de vie du développement logiciel afin de fournir des applications de meilleure qualité et plus sécurisées. Les équipes de sécurité et de développement continuent de travailler en silos et sont confrontées à des tensions, mais il est clair que cela doit changer pour aider les entreprises à réussir. DevOps fait partie de la manière dont les organisations tentent de faire tomber les barrières et de remodeler leur culture. L'objectif fondamental de DevSecOps est de renforcer la collaboration entre AppSec/ Security et les développeurs dès le début du cycle de vie du développement logiciel.
La mise en œuvre d'une nouvelle façon de penser la gestion de la dette et de la sécurité techniques ne doit pas être un exploit monumental. L'établissement d'un état d'esprit proactif par le biais de formations est essentiel pour améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Une solide formation au codage sécurisé pour les développeurs garantit que l'apprentissage est continu, interactif, pertinent et contextuel, c'est une nécessité. Une approche véritablement holistique doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Il n'est pas facile de créer un changement de culture, mais Secure Code Warrior vous aide à identifier vos champions de la sécurité et à doter les développeurs et les organisations des compétences nécessaires pour relever les défis de sécurité en constante évolution d'aujourd'hui.
Le lancement d'un programme de code sécurisé engageant et évolutif constitue un investissement rentable en raison de l'approche préventive à long terme de la sécurité, au lieu de la méthode réactive du passé. Cela permet en fin de compte d'atténuer les risques coûteux liés à une violation, d'informer les développeurs sur la manière de détecter et de corriger rapidement les vulnérabilités, et de faciliter une approche plus agile pour se concentrer sur le développement de produits et accélérer les délais de mise sur le marché.
Le coût de la résolution du code non sécurisé et de la dette technique qui en résulte est l'un des principaux obstacles auxquels la technologie est confrontée aujourd'hui. Découvrez comment la mise en œuvre d'un programme de formation au code sécurisé évolutif permet de réduire la dette technique en corrigeant les mauvais modèles de codage et en détectant les vulnérabilités dès le début du cycle de développement logiciel.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Taylor Broadfoot-Nymark est responsable du marketing produit chez Secure Code Warrior. Elle a écrit plusieurs articles sur la cybersécurité et l'apprentissage agile, et dirige également les lancements de produits, la stratégie GTM et la défense des intérêts des clients.
Parlons de la dette
Presque tout le monde sait aujourd'hui que la cybercriminalité est devenue un problème majeur pour notre économie mondiale. En 2022, le coût moyen d'une violation de données aux États-Unis s'élevait à 9,44 millions de dollars, contre 9,05 millions de dollars l'année précédente. Il est important de ne pas ignorer le coût du code non sécurisé et sa dette technique accumulée. Selon le 2022 Consortium pour la qualité de l'information et des logiciels : le coût d'une mauvaise qualité logicielle rapport, on estime que le coût d'un logiciel de mauvaise qualité aux États-Unis est passé à 2,41 billions de dollars et que la dette technique logicielle cumulée est passée à 1,52 billion de dollars.
Les coûts croissants liés à la résolution du code non sécurisé et à sa dette technique sont devenus le principal obstacle à la modification des bases de code existantes, les rendant ainsi vulnérables à l'exploitation et aux menaces externes. L'état de la sécurité logicielle fait face à une crise existentielle. Nous savons que nous devons améliorer notre posture en matière de sécurité et remédier à la dette technique accumulée, mais les obstacles sont énormes :
- Il y a environ 300 000 emplois vacants dans le domaine des développeurs de logiciels et des technologies de l'information aux États-Unis, avec un taux de croissance projeté de 15 %
- On prévoit que d'ici 2025, 40 % des budgets informatiques seront consacrés au simple maintien de la dette technologique
- Un tiers des heures hebdomadaires des développeurs sont consacrées en moyenne à la gestion de la dette technologique
Les solutions rapides sont risquées et coûtent plus cher à long terme
Qu'est-ce que la dette technique et pourquoi est-elle si importante ? La dette technologique s'accumule lorsque les décideurs optent pour une solution à court terme à un problème de développement logiciel, au lieu d'une solution plus exhaustive et à long terme. Cela s'accompagne d'un coût caché important que les organisations doivent payer ultérieurement. Tout comme une carte de crédit au maximum, la dette technique comporte deux éléments principaux :
- Directeur - fait référence au coût total de la refactorisation ou de la correction d'un logiciel afin qu'il atteigne le niveau souhaité de maintenabilité et de sécurité.
- Intérêt - les efforts supplémentaires que les développeurs consacrent à ces modifications uniquement pour répondre à la dette technique, et non à de nouvelles fonctionnalités. Chaque minute passée sur un code qui n'est pas tout à fait correct ajoute des intérêts à la dette.
On peut éventuellement atteindre un état de « faillite technique » lorsque le coût des nouvelles fonctionnalités, des corrections de bogues et de la maintenance dépasse le budget du projet, ce qui fait chuter la valeur de l'application logicielle de manière significative.
Cependant, une certaine accumulation de dettes, comme dans la vie, est normale et, dans la plupart des cas, quelque peu prévisible.
Idéalement, tous les développeurs de logiciels devraient réduire les bogues autant que possible avant d'expédier le code. Cependant, elles sont confrontées à un compromis difficile : pour être compétitive, une organisation peut souhaiter proposer des fonctionnalités ou des produits à ses clients rapidement et à un coût minimal. Par conséquent, la qualité de l'application en souffre car les KPI des développeurs sont basés sur la rapidité de livraison et le coût initial de sa création. Ce qui manque à l'image, ce sont les lacunes accumulées et les vulnérabilités potentielles intégrées au code. Cela laisse place à des bogues ou à des failles de sécurité à terme ou, pire encore, à une exploitation par de mauvais acteurs.
Mais voici l'énigme : existe-t-il une autre façon d'expédier des produits rapidement sans accumuler une dette technique massive ?
Le coût de la détection et de la correction des déficiences et des vulnérabilités constitue la dépense la plus importante du cycle de vie du développement logiciel. Plus les problèmes sont détectés tôt dans le cycle de développement, plus la fourniture globale sera rentable.
La dette technique peut évoluer vers une dette de sécurité
De nombreux développeurs tentent de contourner ce compromis en utilisant du code source ouvert pour les aider à agir rapidement et, idéalement, en utilisant une solution déjà approuvée. Cependant, en s'appuyant largement sur les logiciels open source présente souvent ses propres risques:
- 82 % des composants open source se sont révélés obsolètes (c'est-à-dire qu'ils n'avaient pas été corrigés ou n'étaient pas bien pris en charge)
- 75 % des bases de code contenaient des vulnérabilités (contre 60 % en 2018) et 49 % contenaient des vulnérabilités à haut risque
- En moyenne, 82 vulnérabilités ont été identifiées par base de code
Cela fait proliférer un sous-ensemble de la dette technique, la dette de sécurité. La dette de sécurité est l'accumulation de vulnérabilités dans une application logicielle qui rend plus difficile, voire impossible, la protection des données et des systèmes contre une attaque.
L'un des exemples les plus connus est Equifax, le géant de l'évaluation du crédit piraté en 2017 car il n'avait pas réussi à corriger une vulnérabilité connue dans Apache Struts, un framework d'applications Web open source populaire. Le correctif était disponible depuis des mois, mais la faille a compromis les données personnelles cruciales de plus de 147 millions de personnes.
Par conséquent, une plus grande attention doit être accordée aux pratiques de codage sécurisées, car de nombreuses applications ont atteint une masse critique, non seulement en termes de dette technique, mais aussi en termes de densité de failles de sécurité et de vulnérabilités au sein de l'application elle-même.
Cela peut entraîner d'énormes pertes, qui peuvent être tangibles ou intangibles :
Atteinte à la réputation : La perte de confiance des clients peut avoir un impact extrêmement négatif à terme. Cela peut inclure des dommages à la marque, des pertes de ventes et des problèmes juridiques coûteux à la suite d'une violation.
Impact sur la réglementation et la conformité : Si une faille de sécurité peut amener une entreprise à ne pas respecter un délai et/ou des obligations contractuelles. Le non-respect d'un SLA peut entraîner des problèmes pour une entreprise avec les régulateurs, ce qui peut entraîner des amendes importantes.
Coûts de remise en état : Un travail supplémentaire est souvent nécessaire à la suite d'une panne ou d'une panne pour compenser la perte de productivité.
Prévention de la dette technique et de sécurité dans le SDLC
De nombreuses organisations modifient déjà leur budget afin de renforcer leur dispositif de sécurité. L'année dernière, Google a engagé 10 milliards de dollars sur 5 ans pour financer un programme visant à renforcer la cybersécurité. L'administration Biden a également demandé 2,1 milliards de dollars dans le budget discrétionnaire de 2022 pour l'Agence de cybersécurité et de sécurité des infrastructures (CISA).
Fournir davantage de ressources et de formations pour aider à renforcer le développement professionnel et les connaissances de vos développeurs peut être la première étape de l'établissement de normes de qualité pour tout le code mis en production.
Les coûts liés à la détection et à la correction d'une vulnérabilité ou d'un défaut augmentent de façon exponentielle à mesure que le problème est détecté et corrigé à la fin du cycle de développement logiciel. Et comme nous l'avons vu, alors qu'elles consacrent tant de temps à régler leur dette technique et de sécurité, les entreprises génèrent leurs propres pertes en renonçant à l'innovation et en consacrant du temps à de nouvelles fonctionnalités ou à de nouveaux produits.
En 2022, la majorité des équipes de développeurs ont déclaré que DevOps ou DevSecOps était leur méthodologie de choix, et il n'est pas surprenant de savoir pourquoi. DevSecOps intègre la sécurité à chaque étape du cycle de vie du développement logiciel afin de fournir des applications de meilleure qualité et plus sécurisées. Les équipes de sécurité et de développement continuent de travailler en silos et sont confrontées à des tensions, mais il est clair que cela doit changer pour aider les entreprises à réussir. DevOps fait partie de la manière dont les organisations tentent de faire tomber les barrières et de remodeler leur culture. L'objectif fondamental de DevSecOps est de renforcer la collaboration entre AppSec/ Security et les développeurs dès le début du cycle de vie du développement logiciel.
La mise en œuvre d'une nouvelle façon de penser la gestion de la dette et de la sécurité techniques ne doit pas être un exploit monumental. L'établissement d'un état d'esprit proactif par le biais de formations est essentiel pour améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Une solide formation au codage sécurisé pour les développeurs garantit que l'apprentissage est continu, interactif, pertinent et contextuel, c'est une nécessité. Une approche véritablement holistique doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Il n'est pas facile de créer un changement de culture, mais Secure Code Warrior vous aide à identifier vos champions de la sécurité et à doter les développeurs et les organisations des compétences nécessaires pour relever les défis de sécurité en constante évolution d'aujourd'hui.
Le lancement d'un programme de code sécurisé engageant et évolutif constitue un investissement rentable en raison de l'approche préventive à long terme de la sécurité, au lieu de la méthode réactive du passé. Cela permet en fin de compte d'atténuer les risques coûteux liés à une violation, d'informer les développeurs sur la manière de détecter et de corriger rapidement les vulnérabilités, et de faciliter une approche plus agile pour se concentrer sur le développement de produits et accélérer les délais de mise sur le marché.
Parlons de la dette
Presque tout le monde sait aujourd'hui que la cybercriminalité est devenue un problème majeur pour notre économie mondiale. En 2022, le coût moyen d'une violation de données aux États-Unis s'élevait à 9,44 millions de dollars, contre 9,05 millions de dollars l'année précédente. Il est important de ne pas ignorer le coût du code non sécurisé et sa dette technique accumulée. Selon le 2022 Consortium pour la qualité de l'information et des logiciels : le coût d'une mauvaise qualité logicielle rapport, on estime que le coût d'un logiciel de mauvaise qualité aux États-Unis est passé à 2,41 billions de dollars et que la dette technique logicielle cumulée est passée à 1,52 billion de dollars.
Les coûts croissants liés à la résolution du code non sécurisé et à sa dette technique sont devenus le principal obstacle à la modification des bases de code existantes, les rendant ainsi vulnérables à l'exploitation et aux menaces externes. L'état de la sécurité logicielle fait face à une crise existentielle. Nous savons que nous devons améliorer notre posture en matière de sécurité et remédier à la dette technique accumulée, mais les obstacles sont énormes :
- Il y a environ 300 000 emplois vacants dans le domaine des développeurs de logiciels et des technologies de l'information aux États-Unis, avec un taux de croissance projeté de 15 %
- On prévoit que d'ici 2025, 40 % des budgets informatiques seront consacrés au simple maintien de la dette technologique
- Un tiers des heures hebdomadaires des développeurs sont consacrées en moyenne à la gestion de la dette technologique
Les solutions rapides sont risquées et coûtent plus cher à long terme
Qu'est-ce que la dette technique et pourquoi est-elle si importante ? La dette technologique s'accumule lorsque les décideurs optent pour une solution à court terme à un problème de développement logiciel, au lieu d'une solution plus exhaustive et à long terme. Cela s'accompagne d'un coût caché important que les organisations doivent payer ultérieurement. Tout comme une carte de crédit au maximum, la dette technique comporte deux éléments principaux :
- Directeur - fait référence au coût total de la refactorisation ou de la correction d'un logiciel afin qu'il atteigne le niveau souhaité de maintenabilité et de sécurité.
- Intérêt - les efforts supplémentaires que les développeurs consacrent à ces modifications uniquement pour répondre à la dette technique, et non à de nouvelles fonctionnalités. Chaque minute passée sur un code qui n'est pas tout à fait correct ajoute des intérêts à la dette.
On peut éventuellement atteindre un état de « faillite technique » lorsque le coût des nouvelles fonctionnalités, des corrections de bogues et de la maintenance dépasse le budget du projet, ce qui fait chuter la valeur de l'application logicielle de manière significative.
Cependant, une certaine accumulation de dettes, comme dans la vie, est normale et, dans la plupart des cas, quelque peu prévisible.
Idéalement, tous les développeurs de logiciels devraient réduire les bogues autant que possible avant d'expédier le code. Cependant, elles sont confrontées à un compromis difficile : pour être compétitive, une organisation peut souhaiter proposer des fonctionnalités ou des produits à ses clients rapidement et à un coût minimal. Par conséquent, la qualité de l'application en souffre car les KPI des développeurs sont basés sur la rapidité de livraison et le coût initial de sa création. Ce qui manque à l'image, ce sont les lacunes accumulées et les vulnérabilités potentielles intégrées au code. Cela laisse place à des bogues ou à des failles de sécurité à terme ou, pire encore, à une exploitation par de mauvais acteurs.
Mais voici l'énigme : existe-t-il une autre façon d'expédier des produits rapidement sans accumuler une dette technique massive ?
Le coût de la détection et de la correction des déficiences et des vulnérabilités constitue la dépense la plus importante du cycle de vie du développement logiciel. Plus les problèmes sont détectés tôt dans le cycle de développement, plus la fourniture globale sera rentable.
La dette technique peut évoluer vers une dette de sécurité
De nombreux développeurs tentent de contourner ce compromis en utilisant du code source ouvert pour les aider à agir rapidement et, idéalement, en utilisant une solution déjà approuvée. Cependant, en s'appuyant largement sur les logiciels open source présente souvent ses propres risques:
- 82 % des composants open source se sont révélés obsolètes (c'est-à-dire qu'ils n'avaient pas été corrigés ou n'étaient pas bien pris en charge)
- 75 % des bases de code contenaient des vulnérabilités (contre 60 % en 2018) et 49 % contenaient des vulnérabilités à haut risque
- En moyenne, 82 vulnérabilités ont été identifiées par base de code
Cela fait proliférer un sous-ensemble de la dette technique, la dette de sécurité. La dette de sécurité est l'accumulation de vulnérabilités dans une application logicielle qui rend plus difficile, voire impossible, la protection des données et des systèmes contre une attaque.
L'un des exemples les plus connus est Equifax, le géant de l'évaluation du crédit piraté en 2017 car il n'avait pas réussi à corriger une vulnérabilité connue dans Apache Struts, un framework d'applications Web open source populaire. Le correctif était disponible depuis des mois, mais la faille a compromis les données personnelles cruciales de plus de 147 millions de personnes.
Par conséquent, une plus grande attention doit être accordée aux pratiques de codage sécurisées, car de nombreuses applications ont atteint une masse critique, non seulement en termes de dette technique, mais aussi en termes de densité de failles de sécurité et de vulnérabilités au sein de l'application elle-même.
Cela peut entraîner d'énormes pertes, qui peuvent être tangibles ou intangibles :
Atteinte à la réputation : La perte de confiance des clients peut avoir un impact extrêmement négatif à terme. Cela peut inclure des dommages à la marque, des pertes de ventes et des problèmes juridiques coûteux à la suite d'une violation.
Impact sur la réglementation et la conformité : Si une faille de sécurité peut amener une entreprise à ne pas respecter un délai et/ou des obligations contractuelles. Le non-respect d'un SLA peut entraîner des problèmes pour une entreprise avec les régulateurs, ce qui peut entraîner des amendes importantes.
Coûts de remise en état : Un travail supplémentaire est souvent nécessaire à la suite d'une panne ou d'une panne pour compenser la perte de productivité.
Prévention de la dette technique et de sécurité dans le SDLC
De nombreuses organisations modifient déjà leur budget afin de renforcer leur dispositif de sécurité. L'année dernière, Google a engagé 10 milliards de dollars sur 5 ans pour financer un programme visant à renforcer la cybersécurité. L'administration Biden a également demandé 2,1 milliards de dollars dans le budget discrétionnaire de 2022 pour l'Agence de cybersécurité et de sécurité des infrastructures (CISA).
Fournir davantage de ressources et de formations pour aider à renforcer le développement professionnel et les connaissances de vos développeurs peut être la première étape de l'établissement de normes de qualité pour tout le code mis en production.
Les coûts liés à la détection et à la correction d'une vulnérabilité ou d'un défaut augmentent de façon exponentielle à mesure que le problème est détecté et corrigé à la fin du cycle de développement logiciel. Et comme nous l'avons vu, alors qu'elles consacrent tant de temps à régler leur dette technique et de sécurité, les entreprises génèrent leurs propres pertes en renonçant à l'innovation et en consacrant du temps à de nouvelles fonctionnalités ou à de nouveaux produits.
En 2022, la majorité des équipes de développeurs ont déclaré que DevOps ou DevSecOps était leur méthodologie de choix, et il n'est pas surprenant de savoir pourquoi. DevSecOps intègre la sécurité à chaque étape du cycle de vie du développement logiciel afin de fournir des applications de meilleure qualité et plus sécurisées. Les équipes de sécurité et de développement continuent de travailler en silos et sont confrontées à des tensions, mais il est clair que cela doit changer pour aider les entreprises à réussir. DevOps fait partie de la manière dont les organisations tentent de faire tomber les barrières et de remodeler leur culture. L'objectif fondamental de DevSecOps est de renforcer la collaboration entre AppSec/ Security et les développeurs dès le début du cycle de vie du développement logiciel.
La mise en œuvre d'une nouvelle façon de penser la gestion de la dette et de la sécurité techniques ne doit pas être un exploit monumental. L'établissement d'un état d'esprit proactif par le biais de formations est essentiel pour améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Une solide formation au codage sécurisé pour les développeurs garantit que l'apprentissage est continu, interactif, pertinent et contextuel, c'est une nécessité. Une approche véritablement holistique doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Il n'est pas facile de créer un changement de culture, mais Secure Code Warrior vous aide à identifier vos champions de la sécurité et à doter les développeurs et les organisations des compétences nécessaires pour relever les défis de sécurité en constante évolution d'aujourd'hui.
Le lancement d'un programme de code sécurisé engageant et évolutif constitue un investissement rentable en raison de l'approche préventive à long terme de la sécurité, au lieu de la méthode réactive du passé. Cela permet en fin de compte d'atténuer les risques coûteux liés à une violation, d'informer les développeurs sur la manière de détecter et de corriger rapidement les vulnérabilités, et de faciliter une approche plus agile pour se concentrer sur le développement de produits et accélérer les délais de mise sur le marché.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.Taylor Broadfoot-Nymark est responsable du marketing produit chez Secure Code Warrior. Elle a écrit plusieurs articles sur la cybersécurité et l'apprentissage agile, et dirige également les lancements de produits, la stratégie GTM et la défense des intérêts des clients.
Parlons de la dette
Presque tout le monde sait aujourd'hui que la cybercriminalité est devenue un problème majeur pour notre économie mondiale. En 2022, le coût moyen d'une violation de données aux États-Unis s'élevait à 9,44 millions de dollars, contre 9,05 millions de dollars l'année précédente. Il est important de ne pas ignorer le coût du code non sécurisé et sa dette technique accumulée. Selon le 2022 Consortium pour la qualité de l'information et des logiciels : le coût d'une mauvaise qualité logicielle rapport, on estime que le coût d'un logiciel de mauvaise qualité aux États-Unis est passé à 2,41 billions de dollars et que la dette technique logicielle cumulée est passée à 1,52 billion de dollars.
Les coûts croissants liés à la résolution du code non sécurisé et à sa dette technique sont devenus le principal obstacle à la modification des bases de code existantes, les rendant ainsi vulnérables à l'exploitation et aux menaces externes. L'état de la sécurité logicielle fait face à une crise existentielle. Nous savons que nous devons améliorer notre posture en matière de sécurité et remédier à la dette technique accumulée, mais les obstacles sont énormes :
- Il y a environ 300 000 emplois vacants dans le domaine des développeurs de logiciels et des technologies de l'information aux États-Unis, avec un taux de croissance projeté de 15 %
- On prévoit que d'ici 2025, 40 % des budgets informatiques seront consacrés au simple maintien de la dette technologique
- Un tiers des heures hebdomadaires des développeurs sont consacrées en moyenne à la gestion de la dette technologique
Les solutions rapides sont risquées et coûtent plus cher à long terme
Qu'est-ce que la dette technique et pourquoi est-elle si importante ? La dette technologique s'accumule lorsque les décideurs optent pour une solution à court terme à un problème de développement logiciel, au lieu d'une solution plus exhaustive et à long terme. Cela s'accompagne d'un coût caché important que les organisations doivent payer ultérieurement. Tout comme une carte de crédit au maximum, la dette technique comporte deux éléments principaux :
- Directeur - fait référence au coût total de la refactorisation ou de la correction d'un logiciel afin qu'il atteigne le niveau souhaité de maintenabilité et de sécurité.
- Intérêt - les efforts supplémentaires que les développeurs consacrent à ces modifications uniquement pour répondre à la dette technique, et non à de nouvelles fonctionnalités. Chaque minute passée sur un code qui n'est pas tout à fait correct ajoute des intérêts à la dette.
On peut éventuellement atteindre un état de « faillite technique » lorsque le coût des nouvelles fonctionnalités, des corrections de bogues et de la maintenance dépasse le budget du projet, ce qui fait chuter la valeur de l'application logicielle de manière significative.
Cependant, une certaine accumulation de dettes, comme dans la vie, est normale et, dans la plupart des cas, quelque peu prévisible.
Idéalement, tous les développeurs de logiciels devraient réduire les bogues autant que possible avant d'expédier le code. Cependant, elles sont confrontées à un compromis difficile : pour être compétitive, une organisation peut souhaiter proposer des fonctionnalités ou des produits à ses clients rapidement et à un coût minimal. Par conséquent, la qualité de l'application en souffre car les KPI des développeurs sont basés sur la rapidité de livraison et le coût initial de sa création. Ce qui manque à l'image, ce sont les lacunes accumulées et les vulnérabilités potentielles intégrées au code. Cela laisse place à des bogues ou à des failles de sécurité à terme ou, pire encore, à une exploitation par de mauvais acteurs.
Mais voici l'énigme : existe-t-il une autre façon d'expédier des produits rapidement sans accumuler une dette technique massive ?
Le coût de la détection et de la correction des déficiences et des vulnérabilités constitue la dépense la plus importante du cycle de vie du développement logiciel. Plus les problèmes sont détectés tôt dans le cycle de développement, plus la fourniture globale sera rentable.
La dette technique peut évoluer vers une dette de sécurité
De nombreux développeurs tentent de contourner ce compromis en utilisant du code source ouvert pour les aider à agir rapidement et, idéalement, en utilisant une solution déjà approuvée. Cependant, en s'appuyant largement sur les logiciels open source présente souvent ses propres risques:
- 82 % des composants open source se sont révélés obsolètes (c'est-à-dire qu'ils n'avaient pas été corrigés ou n'étaient pas bien pris en charge)
- 75 % des bases de code contenaient des vulnérabilités (contre 60 % en 2018) et 49 % contenaient des vulnérabilités à haut risque
- En moyenne, 82 vulnérabilités ont été identifiées par base de code
Cela fait proliférer un sous-ensemble de la dette technique, la dette de sécurité. La dette de sécurité est l'accumulation de vulnérabilités dans une application logicielle qui rend plus difficile, voire impossible, la protection des données et des systèmes contre une attaque.
L'un des exemples les plus connus est Equifax, le géant de l'évaluation du crédit piraté en 2017 car il n'avait pas réussi à corriger une vulnérabilité connue dans Apache Struts, un framework d'applications Web open source populaire. Le correctif était disponible depuis des mois, mais la faille a compromis les données personnelles cruciales de plus de 147 millions de personnes.
Par conséquent, une plus grande attention doit être accordée aux pratiques de codage sécurisées, car de nombreuses applications ont atteint une masse critique, non seulement en termes de dette technique, mais aussi en termes de densité de failles de sécurité et de vulnérabilités au sein de l'application elle-même.
Cela peut entraîner d'énormes pertes, qui peuvent être tangibles ou intangibles :
Atteinte à la réputation : La perte de confiance des clients peut avoir un impact extrêmement négatif à terme. Cela peut inclure des dommages à la marque, des pertes de ventes et des problèmes juridiques coûteux à la suite d'une violation.
Impact sur la réglementation et la conformité : Si une faille de sécurité peut amener une entreprise à ne pas respecter un délai et/ou des obligations contractuelles. Le non-respect d'un SLA peut entraîner des problèmes pour une entreprise avec les régulateurs, ce qui peut entraîner des amendes importantes.
Coûts de remise en état : Un travail supplémentaire est souvent nécessaire à la suite d'une panne ou d'une panne pour compenser la perte de productivité.
Prévention de la dette technique et de sécurité dans le SDLC
De nombreuses organisations modifient déjà leur budget afin de renforcer leur dispositif de sécurité. L'année dernière, Google a engagé 10 milliards de dollars sur 5 ans pour financer un programme visant à renforcer la cybersécurité. L'administration Biden a également demandé 2,1 milliards de dollars dans le budget discrétionnaire de 2022 pour l'Agence de cybersécurité et de sécurité des infrastructures (CISA).
Fournir davantage de ressources et de formations pour aider à renforcer le développement professionnel et les connaissances de vos développeurs peut être la première étape de l'établissement de normes de qualité pour tout le code mis en production.
Les coûts liés à la détection et à la correction d'une vulnérabilité ou d'un défaut augmentent de façon exponentielle à mesure que le problème est détecté et corrigé à la fin du cycle de développement logiciel. Et comme nous l'avons vu, alors qu'elles consacrent tant de temps à régler leur dette technique et de sécurité, les entreprises génèrent leurs propres pertes en renonçant à l'innovation et en consacrant du temps à de nouvelles fonctionnalités ou à de nouveaux produits.
En 2022, la majorité des équipes de développeurs ont déclaré que DevOps ou DevSecOps était leur méthodologie de choix, et il n'est pas surprenant de savoir pourquoi. DevSecOps intègre la sécurité à chaque étape du cycle de vie du développement logiciel afin de fournir des applications de meilleure qualité et plus sécurisées. Les équipes de sécurité et de développement continuent de travailler en silos et sont confrontées à des tensions, mais il est clair que cela doit changer pour aider les entreprises à réussir. DevOps fait partie de la manière dont les organisations tentent de faire tomber les barrières et de remodeler leur culture. L'objectif fondamental de DevSecOps est de renforcer la collaboration entre AppSec/ Security et les développeurs dès le début du cycle de vie du développement logiciel.
La mise en œuvre d'une nouvelle façon de penser la gestion de la dette et de la sécurité techniques ne doit pas être un exploit monumental. L'établissement d'un état d'esprit proactif par le biais de formations est essentiel pour améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Une solide formation au codage sécurisé pour les développeurs garantit que l'apprentissage est continu, interactif, pertinent et contextuel, c'est une nécessité. Une approche véritablement holistique doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Il n'est pas facile de créer un changement de culture, mais Secure Code Warrior vous aide à identifier vos champions de la sécurité et à doter les développeurs et les organisations des compétences nécessaires pour relever les défis de sécurité en constante évolution d'aujourd'hui.
Le lancement d'un programme de code sécurisé engageant et évolutif constitue un investissement rentable en raison de l'approche préventive à long terme de la sécurité, au lieu de la méthode réactive du passé. Cela permet en fin de compte d'atténuer les risques coûteux liés à une violation, d'informer les développeurs sur la manière de détecter et de corriger rapidement les vulnérabilités, et de faciliter une approche plus agile pour se concentrer sur le développement de produits et accélérer les délais de mise sur le marché.
Table des matières
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Thèmes et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions Beat the Boss sont désormais disponibles sur demande.
Cybermon 2025 : Vaincre le Boss est désormais accessible toute l'année dans SCW. Mettez en œuvre des défis de sécurité avancés liés à l'IA et au LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite clairement définis et mesurables
Enabler 1 inaugure notre série en 10 parties intitulée « Enablers of Success » en démontrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'assurer la maturité à long terme des programmes.
