Réaligner votre organisation autour du codage sécurisé : obstacles, préoccupations et solutions actives
Dans notre monde hyperconnecté, presque toutes les organisations ont un talon d'Achille commun. Une seule vulnérabilité, une seule faille exploitable dans leur code, peut déclencher le vol de données clients, une atteinte à la réputation et des pertes financières considérables. L'alignement organisationnel autour du codage sécurisé n'a jamais été aussi impératif - mais y parvenir est plus facile à dire qu'à faire. C'est pourquoi, en 2020, Secure Code Warrior s'est engagé avec Evans Data Corp. à mener une étude primaire* sur les attitudes des développeurs et des responsables à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité.
Dans cet environnement où la cybersécurité est primordiale, les indicateurs clés de performance traditionnels pour la réussite des projets sont en train d'être redéfinis, mais pas assez rapidement.
Lorsque nous avons interrogé des développeurs et des responsables sur les priorités les plus importantes dans le processus de développement de logiciels :
- 76% de performances d'application nominées
- 62% ont choisi les caractéristiques et les fonctionnalités
- Et un peu plus de 50 % ont choisi le code sécurisé
Aujourd'hui, comme on peut le constater, la sécurité n'est pas une priorité essentielle.
Mais si l'on se tourne vers l'avenir, la situation change radicalement. Interrogés sur les priorités futures les plus importantes pour mesurer la réussite d'un projet, 79 % des développeurs s'accordent à dire que le codage sécurisé deviendra de plus en plus critique. En fait, les développeurs considèrent la sécurité comme l'ICP dont l'importance augmentera le plus.
Mais même si le codage sécurisé est de plus en plus connu, son adoption suscite des inquiétudes. Pour les développeurs comme pour les gestionnaires, la gestion des vulnérabilités et l'obligation de rendre compte du code suffisent à les empêcher de dormir. Notre étude* a montré que ces deux groupes partagent les mêmes préoccupations de base, qui soulignent la nécessité d'une meilleure formation aux pratiques de codage sécurisé.
Préoccupations et obstacles liés aux pratiques de codage sécurisé
La préoccupation numéro un des développeurs est "l'inclusion d'un code qui reproduit des vulnérabilités antérieures". Comme les développeurs sont jugés sur la qualité de leur code, cela n'a rien d'étonnant. Aucun développeur ne veut être à l'origine d'un code non sécurisé - ou d'un code qui nécessite des retouches et ralentit son équipe.
La deuxième préoccupation la plus importante des développeurs est la gestion des erreurs commises par leurs collègues. Le respect des délais et la responsabilité du code figurent également en bonne place sur la liste, tout comme le fait que l'apprentissage du code sécurisé est difficile, ce qui fait écho à l'insatisfaction des développeurs à l'égard des méthodes de formation actuelles.
Les gestionnaires, quant à eux, ont une vision plus descendante. Leur principale préoccupation est d'être responsable d'un mauvais code ou d'un code qui reproduit des vulnérabilités antérieures. Après tout, si leur équipe produit un code médiocre, c'est le manager qui est responsable.
Le fait que le processus d'apprentissage soit difficile arrive en troisième position - ce n'est pas le seul obstacle aux pratiques de codage sécurisées.
45 % ont indiqué que le manque de communication entre les parties prenantes et la direction constituait un obstacle important. 42 % déplorent le manque de compétences en matière de codage sécurisé chez les nouveaux employés. Dans le même temps, 40 % citent l'insuffisance du temps et des ressources consacrés à la formation.
Les méthodes actuelles de formation au code sécurisé ne donnent pas les résultats escomptés - et les responsables se rendent compte qu'une nouvelle approche est nécessaire.
Qui est responsable des pratiques de codage sécurisé ?
De par sa nature même, la pratique du codage sécurisé implique de prendre en compte la sécurité bien plus tôt dans le cycle de développement durable. Il s'agit d'intégrer activement la sécurité dans le logiciel dès son écriture, dès le début, au lieu de la remettre à plus tard. En d'autres termes, il s'agit de "passer à gauche". Ce "glissement vers la gauche" est l'essence même de la pratique du codage sécurisé. Et cela signifie qu'en fin de compte, chaque membre d'une organisation devrait être responsable de la sécurité du code. Mais à l'heure actuelle, seuls 15 % des développeurs sont d'accord.
Cependant, alors que la plupart des développeurs considèrent encore la sécurité comme le problème de quelqu'un d'autre, une cohorte restreinte mais croissante non seulement adopte activement le codage sécurisé, mais le défend au sein de son organisation. 29 % des développeurs interrogés reconnaissent que de telles personnes existent sur leur lieu de travail. Le problème est que ces champions du codage sécurisé sont encore trop peu nombreux.
Créer plus de champions de la sécurité
Les responsables du développement sont conscients de la nécessité d'identifier et de créer de nouveaux champions de la sécurité et d'améliorer les compétences des développeurs en général en matière de codage sécurisé.
De nombreux responsables accordent également une grande importance aux compétences en matière de codage sécurisé lorsqu'ils recrutent de nouveaux développeurs et valorisent l'expérience en matière de codage sécurisé des développeurs qui font déjà partie de leurs équipes.
83 % des responsables interrogés déclarent demander aux développeurs d'apprendre ou d'adopter des pratiques de codage sécurisées. Environ trois quarts des responsables interrogés déclarent offrir des incitations aux développeurs pour qu'ils s'engagent dans une formation au codage sécurisé. Ces incitations vont de la reconnaissance formelle à des responsabilités accrues, en passant par une augmentation de salaire.
Il est clair que les responsables du développement ont une influence déterminante sur l'adoption de pratiques de codage sécurisées au niveau de l'organisation, et qu'ils jouent un rôle essentiel dans l'identification des champions de la sécurité.
Mais lorsqu'il s'agit de créer davantage de champions, qu'est-ce qui motive les développeurs à s'initier au codage sécurisé ? Notre étude montre qu'ils y voient un moyen d'accroître leur productivité et leur efficacité.
Pourquoi les développeurs n'insistent-ils pas sur la nécessité d'une formation au code plus sûre ? Qu'est-ce qui les empêche de s'aligner sur un besoin organisationnel croissant ?
Des solutions pour commencer à s'attaquer au problème de la réorientation
Les développeurs ne veulent pas rester assis à écouter des conférenciers - ils veulent mettre la main à la pâte et essayer par eux-mêmes. Ils veulent que l'accent soit mis sur les applications pratiques, ce qui fait cruellement défaut aux programmes de formation actuels. Lorsqu'on leur a demandé d'indiquer comment la formation dispensée par l'entreprise pourrait être améliorée, 30 % des personnes interrogées ont répondu qu'elles aimeraient que la formation soit axée sur les applications pratiques, en particulier sur des scénarios de travail authentiques.
Les pratiques de formation actuelles ne permettent pas d'atteindre cet objectif. Une nouvelle approche est nécessaire - et en tant que champions du changement, Secure Code Warrior adopte une approche humaine pour aider les organisations à se réaligner sur le codage sécurisé. Nos formations en cybersécurité Courses offrent des parcours d'apprentissage guidés qui comprennent des défis de codage pratiques et "gamifiés" qui imitent ceux auxquels les développeurs sont confrontés dans le monde réel.
Cette formation est spécifique à la langue et au cadre, contrairement à la formation générique, qui entre souvent dans une oreille et sort de l'autre.
Lorsqu'il s'agit de réaligner la culture, Tournaments peut être utilisé pour mesurer les compétences des codeurs en matière de sécurité, établir une base de référence pour le développement futur des compétences et repérer les champions potentiels de la sécurité au sein de votre équipe de développement.
Si vous souhaitez en savoir plus sur la formation au codage sécurisé qui aligne les besoins des managers, des développeurs et de l'organisation vers un avenir de codage sécurisé, réservez une démonstration maintenant.
*Passer de la réaction à la prévention : Le nouveau visage de la sécurité des applications. Secure Code Warrior et Evans Data Corp. 2020
.avif)
Dans notre monde hyperconnecté, presque toutes les organisations ont un talon d'Achille commun. Une seule vulnérabilité, une seule faille exploitable dans leur code, peut entraîner le vol de données clients, une atteinte à la réputation et des pertes financières importantes. L'alignement organisationnel autour du codage sécurisé n'a jamais été aussi impératif, mais y parvenir est plus facile à dire qu'à faire.
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
Dans notre monde hyperconnecté, presque toutes les organisations ont un talon d'Achille commun. Une seule vulnérabilité, une seule faille exploitable dans leur code, peut déclencher le vol de données clients, une atteinte à la réputation et des pertes financières considérables. L'alignement organisationnel autour du codage sécurisé n'a jamais été aussi impératif - mais y parvenir est plus facile à dire qu'à faire. C'est pourquoi, en 2020, Secure Code Warrior s'est engagé avec Evans Data Corp. à mener une étude primaire* sur les attitudes des développeurs et des responsables à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité.
Dans cet environnement où la cybersécurité est primordiale, les indicateurs clés de performance traditionnels pour la réussite des projets sont en train d'être redéfinis, mais pas assez rapidement.
Lorsque nous avons interrogé des développeurs et des responsables sur les priorités les plus importantes dans le processus de développement de logiciels :
- 76% de performances d'application nominées
- 62% ont choisi les caractéristiques et les fonctionnalités
- Et un peu plus de 50 % ont choisi le code sécurisé
Aujourd'hui, comme on peut le constater, la sécurité n'est pas une priorité essentielle.
Mais si l'on se tourne vers l'avenir, la situation change radicalement. Interrogés sur les priorités futures les plus importantes pour mesurer la réussite d'un projet, 79 % des développeurs s'accordent à dire que le codage sécurisé deviendra de plus en plus critique. En fait, les développeurs considèrent la sécurité comme l'ICP dont l'importance augmentera le plus.
Mais même si le codage sécurisé est de plus en plus connu, son adoption suscite des inquiétudes. Pour les développeurs comme pour les gestionnaires, la gestion des vulnérabilités et l'obligation de rendre compte du code suffisent à les empêcher de dormir. Notre étude* a montré que ces deux groupes partagent les mêmes préoccupations de base, qui soulignent la nécessité d'une meilleure formation aux pratiques de codage sécurisé.
Préoccupations et obstacles liés aux pratiques de codage sécurisé
La préoccupation numéro un des développeurs est "l'inclusion d'un code qui reproduit des vulnérabilités antérieures". Comme les développeurs sont jugés sur la qualité de leur code, cela n'a rien d'étonnant. Aucun développeur ne veut être à l'origine d'un code non sécurisé - ou d'un code qui nécessite des retouches et ralentit son équipe.
La deuxième préoccupation la plus importante des développeurs est la gestion des erreurs commises par leurs collègues. Le respect des délais et la responsabilité du code figurent également en bonne place sur la liste, tout comme le fait que l'apprentissage du code sécurisé est difficile, ce qui fait écho à l'insatisfaction des développeurs à l'égard des méthodes de formation actuelles.
Les gestionnaires, quant à eux, ont une vision plus descendante. Leur principale préoccupation est d'être responsable d'un mauvais code ou d'un code qui reproduit des vulnérabilités antérieures. Après tout, si leur équipe produit un code médiocre, c'est le manager qui est responsable.
Le fait que le processus d'apprentissage soit difficile arrive en troisième position - ce n'est pas le seul obstacle aux pratiques de codage sécurisées.
45 % ont indiqué que le manque de communication entre les parties prenantes et la direction constituait un obstacle important. 42 % déplorent le manque de compétences en matière de codage sécurisé chez les nouveaux employés. Dans le même temps, 40 % citent l'insuffisance du temps et des ressources consacrés à la formation.
Les méthodes actuelles de formation au code sécurisé ne donnent pas les résultats escomptés - et les responsables se rendent compte qu'une nouvelle approche est nécessaire.
Qui est responsable des pratiques de codage sécurisé ?
De par sa nature même, la pratique du codage sécurisé implique de prendre en compte la sécurité bien plus tôt dans le cycle de développement durable. Il s'agit d'intégrer activement la sécurité dans le logiciel dès son écriture, dès le début, au lieu de la remettre à plus tard. En d'autres termes, il s'agit de "passer à gauche". Ce "glissement vers la gauche" est l'essence même de la pratique du codage sécurisé. Et cela signifie qu'en fin de compte, chaque membre d'une organisation devrait être responsable de la sécurité du code. Mais à l'heure actuelle, seuls 15 % des développeurs sont d'accord.
Cependant, alors que la plupart des développeurs considèrent encore la sécurité comme le problème de quelqu'un d'autre, une cohorte restreinte mais croissante non seulement adopte activement le codage sécurisé, mais le défend au sein de son organisation. 29 % des développeurs interrogés reconnaissent que de telles personnes existent sur leur lieu de travail. Le problème est que ces champions du codage sécurisé sont encore trop peu nombreux.
Créer plus de champions de la sécurité
Les responsables du développement sont conscients de la nécessité d'identifier et de créer de nouveaux champions de la sécurité et d'améliorer les compétences des développeurs en général en matière de codage sécurisé.
De nombreux responsables accordent également une grande importance aux compétences en matière de codage sécurisé lorsqu'ils recrutent de nouveaux développeurs et valorisent l'expérience en matière de codage sécurisé des développeurs qui font déjà partie de leurs équipes.
83 % des responsables interrogés déclarent demander aux développeurs d'apprendre ou d'adopter des pratiques de codage sécurisées. Environ trois quarts des responsables interrogés déclarent offrir des incitations aux développeurs pour qu'ils s'engagent dans une formation au codage sécurisé. Ces incitations vont de la reconnaissance formelle à des responsabilités accrues, en passant par une augmentation de salaire.
Il est clair que les responsables du développement ont une influence déterminante sur l'adoption de pratiques de codage sécurisées au niveau de l'organisation, et qu'ils jouent un rôle essentiel dans l'identification des champions de la sécurité.
Mais lorsqu'il s'agit de créer davantage de champions, qu'est-ce qui motive les développeurs à s'initier au codage sécurisé ? Notre étude montre qu'ils y voient un moyen d'accroître leur productivité et leur efficacité.
Pourquoi les développeurs n'insistent-ils pas sur la nécessité d'une formation au code plus sûre ? Qu'est-ce qui les empêche de s'aligner sur un besoin organisationnel croissant ?
Des solutions pour commencer à s'attaquer au problème de la réorientation
Les développeurs ne veulent pas rester assis à écouter des conférenciers - ils veulent mettre la main à la pâte et essayer par eux-mêmes. Ils veulent que l'accent soit mis sur les applications pratiques, ce qui fait cruellement défaut aux programmes de formation actuels. Lorsqu'on leur a demandé d'indiquer comment la formation dispensée par l'entreprise pourrait être améliorée, 30 % des personnes interrogées ont répondu qu'elles aimeraient que la formation soit axée sur les applications pratiques, en particulier sur des scénarios de travail authentiques.
Les pratiques de formation actuelles ne permettent pas d'atteindre cet objectif. Une nouvelle approche est nécessaire - et en tant que champions du changement, Secure Code Warrior adopte une approche humaine pour aider les organisations à se réaligner sur le codage sécurisé. Nos formations en cybersécurité Courses offrent des parcours d'apprentissage guidés qui comprennent des défis de codage pratiques et "gamifiés" qui imitent ceux auxquels les développeurs sont confrontés dans le monde réel.
Cette formation est spécifique à la langue et au cadre, contrairement à la formation générique, qui entre souvent dans une oreille et sort de l'autre.
Lorsqu'il s'agit de réaligner la culture, Tournaments peut être utilisé pour mesurer les compétences des codeurs en matière de sécurité, établir une base de référence pour le développement futur des compétences et repérer les champions potentiels de la sécurité au sein de votre équipe de développement.
Si vous souhaitez en savoir plus sur la formation au codage sécurisé qui aligne les besoins des managers, des développeurs et de l'organisation vers un avenir de codage sécurisé, réservez une démonstration maintenant.
*Passer de la réaction à la prévention : Le nouveau visage de la sécurité des applications. Secure Code Warrior et Evans Data Corp. 2020
Dans notre monde hyperconnecté, presque toutes les organisations ont un talon d'Achille commun. Une seule vulnérabilité, une seule faille exploitable dans leur code, peut déclencher le vol de données clients, une atteinte à la réputation et des pertes financières considérables. L'alignement organisationnel autour du codage sécurisé n'a jamais été aussi impératif - mais y parvenir est plus facile à dire qu'à faire. C'est pourquoi, en 2020, Secure Code Warrior s'est engagé avec Evans Data Corp. à mener une étude primaire* sur les attitudes des développeurs et des responsables à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité.
Dans cet environnement où la cybersécurité est primordiale, les indicateurs clés de performance traditionnels pour la réussite des projets sont en train d'être redéfinis, mais pas assez rapidement.
Lorsque nous avons interrogé des développeurs et des responsables sur les priorités les plus importantes dans le processus de développement de logiciels :
- 76% de performances d'application nominées
- 62% ont choisi les caractéristiques et les fonctionnalités
- Et un peu plus de 50 % ont choisi le code sécurisé
Aujourd'hui, comme on peut le constater, la sécurité n'est pas une priorité essentielle.
Mais si l'on se tourne vers l'avenir, la situation change radicalement. Interrogés sur les priorités futures les plus importantes pour mesurer la réussite d'un projet, 79 % des développeurs s'accordent à dire que le codage sécurisé deviendra de plus en plus critique. En fait, les développeurs considèrent la sécurité comme l'ICP dont l'importance augmentera le plus.
Mais même si le codage sécurisé est de plus en plus connu, son adoption suscite des inquiétudes. Pour les développeurs comme pour les gestionnaires, la gestion des vulnérabilités et l'obligation de rendre compte du code suffisent à les empêcher de dormir. Notre étude* a montré que ces deux groupes partagent les mêmes préoccupations de base, qui soulignent la nécessité d'une meilleure formation aux pratiques de codage sécurisé.
Préoccupations et obstacles liés aux pratiques de codage sécurisé
La préoccupation numéro un des développeurs est "l'inclusion d'un code qui reproduit des vulnérabilités antérieures". Comme les développeurs sont jugés sur la qualité de leur code, cela n'a rien d'étonnant. Aucun développeur ne veut être à l'origine d'un code non sécurisé - ou d'un code qui nécessite des retouches et ralentit son équipe.
La deuxième préoccupation la plus importante des développeurs est la gestion des erreurs commises par leurs collègues. Le respect des délais et la responsabilité du code figurent également en bonne place sur la liste, tout comme le fait que l'apprentissage du code sécurisé est difficile, ce qui fait écho à l'insatisfaction des développeurs à l'égard des méthodes de formation actuelles.
Les gestionnaires, quant à eux, ont une vision plus descendante. Leur principale préoccupation est d'être responsable d'un mauvais code ou d'un code qui reproduit des vulnérabilités antérieures. Après tout, si leur équipe produit un code médiocre, c'est le manager qui est responsable.
Le fait que le processus d'apprentissage soit difficile arrive en troisième position - ce n'est pas le seul obstacle aux pratiques de codage sécurisées.
45 % ont indiqué que le manque de communication entre les parties prenantes et la direction constituait un obstacle important. 42 % déplorent le manque de compétences en matière de codage sécurisé chez les nouveaux employés. Dans le même temps, 40 % citent l'insuffisance du temps et des ressources consacrés à la formation.
Les méthodes actuelles de formation au code sécurisé ne donnent pas les résultats escomptés - et les responsables se rendent compte qu'une nouvelle approche est nécessaire.
Qui est responsable des pratiques de codage sécurisé ?
De par sa nature même, la pratique du codage sécurisé implique de prendre en compte la sécurité bien plus tôt dans le cycle de développement durable. Il s'agit d'intégrer activement la sécurité dans le logiciel dès son écriture, dès le début, au lieu de la remettre à plus tard. En d'autres termes, il s'agit de "passer à gauche". Ce "glissement vers la gauche" est l'essence même de la pratique du codage sécurisé. Et cela signifie qu'en fin de compte, chaque membre d'une organisation devrait être responsable de la sécurité du code. Mais à l'heure actuelle, seuls 15 % des développeurs sont d'accord.
Cependant, alors que la plupart des développeurs considèrent encore la sécurité comme le problème de quelqu'un d'autre, une cohorte restreinte mais croissante non seulement adopte activement le codage sécurisé, mais le défend au sein de son organisation. 29 % des développeurs interrogés reconnaissent que de telles personnes existent sur leur lieu de travail. Le problème est que ces champions du codage sécurisé sont encore trop peu nombreux.
Créer plus de champions de la sécurité
Les responsables du développement sont conscients de la nécessité d'identifier et de créer de nouveaux champions de la sécurité et d'améliorer les compétences des développeurs en général en matière de codage sécurisé.
De nombreux responsables accordent également une grande importance aux compétences en matière de codage sécurisé lorsqu'ils recrutent de nouveaux développeurs et valorisent l'expérience en matière de codage sécurisé des développeurs qui font déjà partie de leurs équipes.
83 % des responsables interrogés déclarent demander aux développeurs d'apprendre ou d'adopter des pratiques de codage sécurisées. Environ trois quarts des responsables interrogés déclarent offrir des incitations aux développeurs pour qu'ils s'engagent dans une formation au codage sécurisé. Ces incitations vont de la reconnaissance formelle à des responsabilités accrues, en passant par une augmentation de salaire.
Il est clair que les responsables du développement ont une influence déterminante sur l'adoption de pratiques de codage sécurisées au niveau de l'organisation, et qu'ils jouent un rôle essentiel dans l'identification des champions de la sécurité.
Mais lorsqu'il s'agit de créer davantage de champions, qu'est-ce qui motive les développeurs à s'initier au codage sécurisé ? Notre étude montre qu'ils y voient un moyen d'accroître leur productivité et leur efficacité.
Pourquoi les développeurs n'insistent-ils pas sur la nécessité d'une formation au code plus sûre ? Qu'est-ce qui les empêche de s'aligner sur un besoin organisationnel croissant ?
Des solutions pour commencer à s'attaquer au problème de la réorientation
Les développeurs ne veulent pas rester assis à écouter des conférenciers - ils veulent mettre la main à la pâte et essayer par eux-mêmes. Ils veulent que l'accent soit mis sur les applications pratiques, ce qui fait cruellement défaut aux programmes de formation actuels. Lorsqu'on leur a demandé d'indiquer comment la formation dispensée par l'entreprise pourrait être améliorée, 30 % des personnes interrogées ont répondu qu'elles aimeraient que la formation soit axée sur les applications pratiques, en particulier sur des scénarios de travail authentiques.
Les pratiques de formation actuelles ne permettent pas d'atteindre cet objectif. Une nouvelle approche est nécessaire - et en tant que champions du changement, Secure Code Warrior adopte une approche humaine pour aider les organisations à se réaligner sur le codage sécurisé. Nos formations en cybersécurité Courses offrent des parcours d'apprentissage guidés qui comprennent des défis de codage pratiques et "gamifiés" qui imitent ceux auxquels les développeurs sont confrontés dans le monde réel.
Cette formation est spécifique à la langue et au cadre, contrairement à la formation générique, qui entre souvent dans une oreille et sort de l'autre.
Lorsqu'il s'agit de réaligner la culture, Tournaments peut être utilisé pour mesurer les compétences des codeurs en matière de sécurité, établir une base de référence pour le développement futur des compétences et repérer les champions potentiels de la sécurité au sein de votre équipe de développement.
Si vous souhaitez en savoir plus sur la formation au codage sécurisé qui aligne les besoins des managers, des développeurs et de l'organisation vers un avenir de codage sécurisé, réservez une démonstration maintenant.
*Passer de la réaction à la prévention : Le nouveau visage de la sécurité des applications. Secure Code Warrior et Evans Data Corp. 2020
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
Dans notre monde hyperconnecté, presque toutes les organisations ont un talon d'Achille commun. Une seule vulnérabilité, une seule faille exploitable dans leur code, peut déclencher le vol de données clients, une atteinte à la réputation et des pertes financières considérables. L'alignement organisationnel autour du codage sécurisé n'a jamais été aussi impératif - mais y parvenir est plus facile à dire qu'à faire. C'est pourquoi, en 2020, Secure Code Warrior s'est engagé avec Evans Data Corp. à mener une étude primaire* sur les attitudes des développeurs et des responsables à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité.
Dans cet environnement où la cybersécurité est primordiale, les indicateurs clés de performance traditionnels pour la réussite des projets sont en train d'être redéfinis, mais pas assez rapidement.
Lorsque nous avons interrogé des développeurs et des responsables sur les priorités les plus importantes dans le processus de développement de logiciels :
- 76% de performances d'application nominées
- 62% ont choisi les caractéristiques et les fonctionnalités
- Et un peu plus de 50 % ont choisi le code sécurisé
Aujourd'hui, comme on peut le constater, la sécurité n'est pas une priorité essentielle.
Mais si l'on se tourne vers l'avenir, la situation change radicalement. Interrogés sur les priorités futures les plus importantes pour mesurer la réussite d'un projet, 79 % des développeurs s'accordent à dire que le codage sécurisé deviendra de plus en plus critique. En fait, les développeurs considèrent la sécurité comme l'ICP dont l'importance augmentera le plus.
Mais même si le codage sécurisé est de plus en plus connu, son adoption suscite des inquiétudes. Pour les développeurs comme pour les gestionnaires, la gestion des vulnérabilités et l'obligation de rendre compte du code suffisent à les empêcher de dormir. Notre étude* a montré que ces deux groupes partagent les mêmes préoccupations de base, qui soulignent la nécessité d'une meilleure formation aux pratiques de codage sécurisé.
Préoccupations et obstacles liés aux pratiques de codage sécurisé
La préoccupation numéro un des développeurs est "l'inclusion d'un code qui reproduit des vulnérabilités antérieures". Comme les développeurs sont jugés sur la qualité de leur code, cela n'a rien d'étonnant. Aucun développeur ne veut être à l'origine d'un code non sécurisé - ou d'un code qui nécessite des retouches et ralentit son équipe.
La deuxième préoccupation la plus importante des développeurs est la gestion des erreurs commises par leurs collègues. Le respect des délais et la responsabilité du code figurent également en bonne place sur la liste, tout comme le fait que l'apprentissage du code sécurisé est difficile, ce qui fait écho à l'insatisfaction des développeurs à l'égard des méthodes de formation actuelles.
Les gestionnaires, quant à eux, ont une vision plus descendante. Leur principale préoccupation est d'être responsable d'un mauvais code ou d'un code qui reproduit des vulnérabilités antérieures. Après tout, si leur équipe produit un code médiocre, c'est le manager qui est responsable.
Le fait que le processus d'apprentissage soit difficile arrive en troisième position - ce n'est pas le seul obstacle aux pratiques de codage sécurisées.
45 % ont indiqué que le manque de communication entre les parties prenantes et la direction constituait un obstacle important. 42 % déplorent le manque de compétences en matière de codage sécurisé chez les nouveaux employés. Dans le même temps, 40 % citent l'insuffisance du temps et des ressources consacrés à la formation.
Les méthodes actuelles de formation au code sécurisé ne donnent pas les résultats escomptés - et les responsables se rendent compte qu'une nouvelle approche est nécessaire.
Qui est responsable des pratiques de codage sécurisé ?
De par sa nature même, la pratique du codage sécurisé implique de prendre en compte la sécurité bien plus tôt dans le cycle de développement durable. Il s'agit d'intégrer activement la sécurité dans le logiciel dès son écriture, dès le début, au lieu de la remettre à plus tard. En d'autres termes, il s'agit de "passer à gauche". Ce "glissement vers la gauche" est l'essence même de la pratique du codage sécurisé. Et cela signifie qu'en fin de compte, chaque membre d'une organisation devrait être responsable de la sécurité du code. Mais à l'heure actuelle, seuls 15 % des développeurs sont d'accord.
Cependant, alors que la plupart des développeurs considèrent encore la sécurité comme le problème de quelqu'un d'autre, une cohorte restreinte mais croissante non seulement adopte activement le codage sécurisé, mais le défend au sein de son organisation. 29 % des développeurs interrogés reconnaissent que de telles personnes existent sur leur lieu de travail. Le problème est que ces champions du codage sécurisé sont encore trop peu nombreux.
Créer plus de champions de la sécurité
Les responsables du développement sont conscients de la nécessité d'identifier et de créer de nouveaux champions de la sécurité et d'améliorer les compétences des développeurs en général en matière de codage sécurisé.
De nombreux responsables accordent également une grande importance aux compétences en matière de codage sécurisé lorsqu'ils recrutent de nouveaux développeurs et valorisent l'expérience en matière de codage sécurisé des développeurs qui font déjà partie de leurs équipes.
83 % des responsables interrogés déclarent demander aux développeurs d'apprendre ou d'adopter des pratiques de codage sécurisées. Environ trois quarts des responsables interrogés déclarent offrir des incitations aux développeurs pour qu'ils s'engagent dans une formation au codage sécurisé. Ces incitations vont de la reconnaissance formelle à des responsabilités accrues, en passant par une augmentation de salaire.
Il est clair que les responsables du développement ont une influence déterminante sur l'adoption de pratiques de codage sécurisées au niveau de l'organisation, et qu'ils jouent un rôle essentiel dans l'identification des champions de la sécurité.
Mais lorsqu'il s'agit de créer davantage de champions, qu'est-ce qui motive les développeurs à s'initier au codage sécurisé ? Notre étude montre qu'ils y voient un moyen d'accroître leur productivité et leur efficacité.
Pourquoi les développeurs n'insistent-ils pas sur la nécessité d'une formation au code plus sûre ? Qu'est-ce qui les empêche de s'aligner sur un besoin organisationnel croissant ?
Des solutions pour commencer à s'attaquer au problème de la réorientation
Les développeurs ne veulent pas rester assis à écouter des conférenciers - ils veulent mettre la main à la pâte et essayer par eux-mêmes. Ils veulent que l'accent soit mis sur les applications pratiques, ce qui fait cruellement défaut aux programmes de formation actuels. Lorsqu'on leur a demandé d'indiquer comment la formation dispensée par l'entreprise pourrait être améliorée, 30 % des personnes interrogées ont répondu qu'elles aimeraient que la formation soit axée sur les applications pratiques, en particulier sur des scénarios de travail authentiques.
Les pratiques de formation actuelles ne permettent pas d'atteindre cet objectif. Une nouvelle approche est nécessaire - et en tant que champions du changement, Secure Code Warrior adopte une approche humaine pour aider les organisations à se réaligner sur le codage sécurisé. Nos formations en cybersécurité Courses offrent des parcours d'apprentissage guidés qui comprennent des défis de codage pratiques et "gamifiés" qui imitent ceux auxquels les développeurs sont confrontés dans le monde réel.
Cette formation est spécifique à la langue et au cadre, contrairement à la formation générique, qui entre souvent dans une oreille et sort de l'autre.
Lorsqu'il s'agit de réaligner la culture, Tournaments peut être utilisé pour mesurer les compétences des codeurs en matière de sécurité, établir une base de référence pour le développement futur des compétences et repérer les champions potentiels de la sécurité au sein de votre équipe de développement.
Si vous souhaitez en savoir plus sur la formation au codage sécurisé qui aligne les besoins des managers, des développeurs et de l'organisation vers un avenir de codage sécurisé, réservez une démonstration maintenant.
*Passer de la réaction à la prévention : Le nouveau visage de la sécurité des applications. Secure Code Warrior et Evans Data Corp. 2020
Table des matières
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Thèmes et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions Beat the Boss sont désormais disponibles sur demande.
Cybermon 2025 : Vaincre le Boss est désormais accessible toute l'année dans SCW. Mettez en œuvre des défis de sécurité avancés liés à l'IA et au LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite clairement définis et mesurables
Enabler 1 inaugure notre série en 10 parties intitulée « Enablers of Success » en démontrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'assurer la maturité à long terme des programmes.
