Déplacez-vous vers la gauche (et atteignez la conformité) grâce à des compétences de codage sécurisé répétables
De nos jours, presque toutes les équipes de développeurs proposent une forme ou une autre de formation à la conformité, que ce soit dans le cadre d'un processus de certification initial utilisé pour garantir qu'une entreprise respecte les limites des cadres industriels ou des réglementations gouvernementales, ou dans le cadre d'une exigence ou d'une révision annuelle. Il s'agit d'une étape importante, car si une organisation ne parvient pas à satisfaire aux exigences de conformité de base, ses employés ne pourront pas s'acquitter de leurs tâches de manière réaliste.
Les règles de conformité existent pour une raison, car toute personne travaillant dans le domaine couvert par ces règles doit avoir au moins une compréhension fondamentale de tous les processus et procédures pertinents, ainsi que de toutes les lois applicables.
Bien que la formation à la conformité soit importante, le respect des exigences minimales obligatoires ne garantit pas une véritable sécurité des applications. Cela est particulièrement vrai pour les développeurs qui essaient d'intégrer des compétences de codage sécurisé dans leur flux de travail quotidien. Presque tous les développeurs suivent une forme ou une autre de formation à la conformité, et pourtant, selon une enquête, 67 % ont admis qu'ils laissaient souvent des vulnérabilités dans leur code.
Pourquoi ?
Pour la deuxième année consécutive, Secure Code Warrior a mené une enquête sur l'état de la sécurité menée par les développeurs en 2022 en partenariat avec Evans Data Corp en décembre 2021. Nous avons interrogé 1 200 développeurs dans le monde entier afin de comprendre les compétences, les perceptions et les comportements en matière de pratiques de codage sécurisées, ainsi que leur impact et leur pertinence perçue sur le cycle de vie du développement logiciel (SDLC).
En ce qui concerne les raisons pour lesquelles la formation à la conformité ne permet pas d'améliorer la sécurité des logiciels, c'est une question dont nous parlons depuis longtemps. La récente enquête ne fait que mettre en lumière ce problème.
D'une part, les développeurs sont invités à assumer de nouveaux rôles en intégrant la cybersécurité tout au long du processus de développement logiciel, y compris lors de la rédaction initiale du code des applications et des programmes. Mais écrire du code sécurisé, ou même simplement tout apprendre sur les problèmes de cybersécurité et les vulnérabilités qui pourraient l'affecter, n'est pas une tâche facile. Dans l'enquête, 63 % des développeurs ont déclaré que l'écriture de code sécurisé était une tâche difficile.
La difficulté d'écrire du code sécurisé ne devrait pas être une surprise. Ce n'est pas pour rien que tant d'emplois bien rémunérés dans le domaine de la cybersécurité ne sont pas pourvus, avec plus de 3,5 millions de postes vacants dans le monde au dernier décompte. Si c'était un travail facile, tout le monde se lancerait dans ce domaine. Il est difficile d'apprendre à combattre les menaces et à éliminer les vulnérabilités du code, et le paysage des menaces est en constante évolution. Les formations statiques sur la conformité ou les cours ponctuels ne peuvent pas suivre le rythme ou fournir le type de formation dont les développeurs ont besoin. Il peut cocher une case en termes de conformité, mais ne peut pas fournir de réelles garanties de sécurité des applications à votre organisation, ni permettre aux développeurs d'écrire du code sécurisé, ni acquérir les compétences nécessaires pour détecter et corriger les vulnérabilités du code.
La formation à la conformité et à la sécurité est importante, mais différente
Les organisations doivent commencer à comprendre et à reconnaître ce que la formation à la conformité peut apporter et ce qu'elle ne peut pas faire. N'abandonnez pas la formation à la conformité, surtout si elle est prescrite par la loi. Et surtout parce que (même avec les méthodes de formation actuelles) 92 % des personnes interrogées ont déclaré avoir besoin d'au moins une formation sur les questions liées à la conformité ou les cadres de sécurité, et 50 % ont souligné la nécessité d'une formation approfondie en matière de conformité.
Les cadres de conformité qui les intéressaient le plus à la formation comprenaient ceux qui sont spécifiques à divers secteurs, bien que plusieurs cadres généraux de cybersécurité aient également figuré sur la liste. Il s'agissait notamment du cadre de sécurité de la CEI, de la norme PCI DSS, du Top 10 de l'OWASP, de la MISRA C, de l'ISO/IEC, de la loi HIPAA (Health Insurance Portability and Accountability Act).
Alors oui, entraînez-vous à utiliser ces frameworks, mais sachez que cocher une case sur la formation à la conformité ne signifie pas fournir une base pour la création continue de code sécurisé.
Considérez plutôt la formation à la conformité comme une opportunité continue de développer les compétences de codage sécurisé de votre développeur, qui peuvent être répétées en dehors du cycle de conformité, afin qu'il puisse créer et publier des logiciels sécurisés chaque jour. Ne donnez plus la priorité à la mise en conformité, mais permettez aux équipes de développement de coder en toute sécurité grâce à un apprentissage continu. En investissant du temps et des ressources dans l'habilitation des développeurs, les exercices ou examens annuels de conformité aux cases à cocher deviendront un jeu d'enfant pour votre personnel, tout en bénéficiant d'une productivité globale améliorée.
Comment passer à une sécurité pilotée par les développeurs ?
Les développeurs ont déclaré à une écrasante majorité que la formation était utile, mais ont contesté le type de formation qu'ils ont reçu au fil des ans en matière de codage sécurisé. Les développeurs ont indiqué qu'ils souhaitaient que l'accent soit davantage mis sur la formation pratique à l'aide d'exemples concrets pertinents pour leur travail (30 %). Une plus grande interactivité était également considérée comme essentielle par 26 % des personnes interrogées, en particulier s'ils pouvaient réellement s'entraîner à écrire du code sécurisé dans le cadre de ces exercices.
23 % des développeurs interrogés ont estimé qu'ils souhaitaient bénéficier d'une formation plus guidée axée sur les vulnérabilités spécifiques qu'ils étaient les plus susceptibles de rencontrer dans leur secteur d'activité ou leur secteur d'activité, tandis que 22 % souhaitaient voir davantage d'exemples de vulnérabilités réelles dans leurs cours de formation.
Il est clair que le simple fait de proposer une formation statique et non interactive (ce qui constitue généralement l'expérience de la formation à la conformité) n'a que peu de valeur en termes de compétences reproductibles en matière de sécurité pour les développeurs. Les entreprises devraient plutôt se concentrer sur des éléments tels que la formation juste à temps, qui permet aux développeurs d'apprendre les notions de sécurité au fur et à mesure de leur travail. Vous pourriez même envisager de mettre en œuvre un programme d'apprentissage à plusieurs niveaux.
Dans le cadre d'une approche par étapes, les sujets plus vastes sont généralement divisés en expériences ou concepts d'apprentissage distincts. Au fur et à mesure que les développeurs progressent, des concepts plus avancés s'ajoutent à ceux déjà maîtrisés, tout comme un échafaudage physique est construit à mesure qu'un bâtiment s'élève. Il s'agit d'une méthode éprouvée pour enseigner un sujet difficile et en constante évolution, comme la cybersécurité, en le décomposant d'abord en parties plus petites et moins complexes, puis en renforçant la complexité sur cette base.
Quelle que soit la manière dont vous déciderez d'aborder votre programme de compétences en matière de sécurité pour les développeurs, il sera essentiel de le séparer des exercices de conformité. La formation à la conformité et à la sécurité est importante, et toutes deux nécessitent des approches différentes pour réussir.
Pour en savoir plus
Livre blanc : Les défis (et opportunités) liés à l'amélioration de la sécurité logicielle.
Livre blanc : L'approche préventive des développeurs en matière de sécurité logicielle.
Rapport : L'état de la sécurité pilotée par les développeurs.
De nos jours, presque toutes les équipes de développeurs proposent une forme ou une autre de formation à la conformité, que ce soit dans le cadre d'un processus de certification initial utilisé pour garantir qu'une entreprise respecte les limites des cadres industriels ou des réglementations gouvernementales, ou dans le cadre d'une exigence ou d'une révision annuelle. Il s'agit d'une étape importante, car si une organisation ne parvient pas à satisfaire aux exigences de conformité de base, ses employés ne pourront pas s'acquitter de leurs tâches de manière réaliste.
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
De nos jours, presque toutes les équipes de développeurs proposent une forme ou une autre de formation à la conformité, que ce soit dans le cadre d'un processus de certification initial utilisé pour garantir qu'une entreprise respecte les limites des cadres industriels ou des réglementations gouvernementales, ou dans le cadre d'une exigence ou d'une révision annuelle. Il s'agit d'une étape importante, car si une organisation ne parvient pas à satisfaire aux exigences de conformité de base, ses employés ne pourront pas s'acquitter de leurs tâches de manière réaliste.
Les règles de conformité existent pour une raison, car toute personne travaillant dans le domaine couvert par ces règles doit avoir au moins une compréhension fondamentale de tous les processus et procédures pertinents, ainsi que de toutes les lois applicables.
Bien que la formation à la conformité soit importante, le respect des exigences minimales obligatoires ne garantit pas une véritable sécurité des applications. Cela est particulièrement vrai pour les développeurs qui essaient d'intégrer des compétences de codage sécurisé dans leur flux de travail quotidien. Presque tous les développeurs suivent une forme ou une autre de formation à la conformité, et pourtant, selon une enquête, 67 % ont admis qu'ils laissaient souvent des vulnérabilités dans leur code.
Pourquoi ?
Pour la deuxième année consécutive, Secure Code Warrior a mené une enquête sur l'état de la sécurité menée par les développeurs en 2022 en partenariat avec Evans Data Corp en décembre 2021. Nous avons interrogé 1 200 développeurs dans le monde entier afin de comprendre les compétences, les perceptions et les comportements en matière de pratiques de codage sécurisées, ainsi que leur impact et leur pertinence perçue sur le cycle de vie du développement logiciel (SDLC).
En ce qui concerne les raisons pour lesquelles la formation à la conformité ne permet pas d'améliorer la sécurité des logiciels, c'est une question dont nous parlons depuis longtemps. La récente enquête ne fait que mettre en lumière ce problème.
D'une part, les développeurs sont invités à assumer de nouveaux rôles en intégrant la cybersécurité tout au long du processus de développement logiciel, y compris lors de la rédaction initiale du code des applications et des programmes. Mais écrire du code sécurisé, ou même simplement tout apprendre sur les problèmes de cybersécurité et les vulnérabilités qui pourraient l'affecter, n'est pas une tâche facile. Dans l'enquête, 63 % des développeurs ont déclaré que l'écriture de code sécurisé était une tâche difficile.
La difficulté d'écrire du code sécurisé ne devrait pas être une surprise. Ce n'est pas pour rien que tant d'emplois bien rémunérés dans le domaine de la cybersécurité ne sont pas pourvus, avec plus de 3,5 millions de postes vacants dans le monde au dernier décompte. Si c'était un travail facile, tout le monde se lancerait dans ce domaine. Il est difficile d'apprendre à combattre les menaces et à éliminer les vulnérabilités du code, et le paysage des menaces est en constante évolution. Les formations statiques sur la conformité ou les cours ponctuels ne peuvent pas suivre le rythme ou fournir le type de formation dont les développeurs ont besoin. Il peut cocher une case en termes de conformité, mais ne peut pas fournir de réelles garanties de sécurité des applications à votre organisation, ni permettre aux développeurs d'écrire du code sécurisé, ni acquérir les compétences nécessaires pour détecter et corriger les vulnérabilités du code.
La formation à la conformité et à la sécurité est importante, mais différente
Les organisations doivent commencer à comprendre et à reconnaître ce que la formation à la conformité peut apporter et ce qu'elle ne peut pas faire. N'abandonnez pas la formation à la conformité, surtout si elle est prescrite par la loi. Et surtout parce que (même avec les méthodes de formation actuelles) 92 % des personnes interrogées ont déclaré avoir besoin d'au moins une formation sur les questions liées à la conformité ou les cadres de sécurité, et 50 % ont souligné la nécessité d'une formation approfondie en matière de conformité.
Les cadres de conformité qui les intéressaient le plus à la formation comprenaient ceux qui sont spécifiques à divers secteurs, bien que plusieurs cadres généraux de cybersécurité aient également figuré sur la liste. Il s'agissait notamment du cadre de sécurité de la CEI, de la norme PCI DSS, du Top 10 de l'OWASP, de la MISRA C, de l'ISO/IEC, de la loi HIPAA (Health Insurance Portability and Accountability Act).
Alors oui, entraînez-vous à utiliser ces frameworks, mais sachez que cocher une case sur la formation à la conformité ne signifie pas fournir une base pour la création continue de code sécurisé.
Considérez plutôt la formation à la conformité comme une opportunité continue de développer les compétences de codage sécurisé de votre développeur, qui peuvent être répétées en dehors du cycle de conformité, afin qu'il puisse créer et publier des logiciels sécurisés chaque jour. Ne donnez plus la priorité à la mise en conformité, mais permettez aux équipes de développement de coder en toute sécurité grâce à un apprentissage continu. En investissant du temps et des ressources dans l'habilitation des développeurs, les exercices ou examens annuels de conformité aux cases à cocher deviendront un jeu d'enfant pour votre personnel, tout en bénéficiant d'une productivité globale améliorée.
Comment passer à une sécurité pilotée par les développeurs ?
Les développeurs ont déclaré à une écrasante majorité que la formation était utile, mais ont contesté le type de formation qu'ils ont reçu au fil des ans en matière de codage sécurisé. Les développeurs ont indiqué qu'ils souhaitaient que l'accent soit davantage mis sur la formation pratique à l'aide d'exemples concrets pertinents pour leur travail (30 %). Une plus grande interactivité était également considérée comme essentielle par 26 % des personnes interrogées, en particulier s'ils pouvaient réellement s'entraîner à écrire du code sécurisé dans le cadre de ces exercices.
23 % des développeurs interrogés ont estimé qu'ils souhaitaient bénéficier d'une formation plus guidée axée sur les vulnérabilités spécifiques qu'ils étaient les plus susceptibles de rencontrer dans leur secteur d'activité ou leur secteur d'activité, tandis que 22 % souhaitaient voir davantage d'exemples de vulnérabilités réelles dans leurs cours de formation.
Il est clair que le simple fait de proposer une formation statique et non interactive (ce qui constitue généralement l'expérience de la formation à la conformité) n'a que peu de valeur en termes de compétences reproductibles en matière de sécurité pour les développeurs. Les entreprises devraient plutôt se concentrer sur des éléments tels que la formation juste à temps, qui permet aux développeurs d'apprendre les notions de sécurité au fur et à mesure de leur travail. Vous pourriez même envisager de mettre en œuvre un programme d'apprentissage à plusieurs niveaux.
Dans le cadre d'une approche par étapes, les sujets plus vastes sont généralement divisés en expériences ou concepts d'apprentissage distincts. Au fur et à mesure que les développeurs progressent, des concepts plus avancés s'ajoutent à ceux déjà maîtrisés, tout comme un échafaudage physique est construit à mesure qu'un bâtiment s'élève. Il s'agit d'une méthode éprouvée pour enseigner un sujet difficile et en constante évolution, comme la cybersécurité, en le décomposant d'abord en parties plus petites et moins complexes, puis en renforçant la complexité sur cette base.
Quelle que soit la manière dont vous déciderez d'aborder votre programme de compétences en matière de sécurité pour les développeurs, il sera essentiel de le séparer des exercices de conformité. La formation à la conformité et à la sécurité est importante, et toutes deux nécessitent des approches différentes pour réussir.
Pour en savoir plus
Livre blanc : Les défis (et opportunités) liés à l'amélioration de la sécurité logicielle.
Livre blanc : L'approche préventive des développeurs en matière de sécurité logicielle.
Rapport : L'état de la sécurité pilotée par les développeurs.
De nos jours, presque toutes les équipes de développeurs proposent une forme ou une autre de formation à la conformité, que ce soit dans le cadre d'un processus de certification initial utilisé pour garantir qu'une entreprise respecte les limites des cadres industriels ou des réglementations gouvernementales, ou dans le cadre d'une exigence ou d'une révision annuelle. Il s'agit d'une étape importante, car si une organisation ne parvient pas à satisfaire aux exigences de conformité de base, ses employés ne pourront pas s'acquitter de leurs tâches de manière réaliste.
Les règles de conformité existent pour une raison, car toute personne travaillant dans le domaine couvert par ces règles doit avoir au moins une compréhension fondamentale de tous les processus et procédures pertinents, ainsi que de toutes les lois applicables.
Bien que la formation à la conformité soit importante, le respect des exigences minimales obligatoires ne garantit pas une véritable sécurité des applications. Cela est particulièrement vrai pour les développeurs qui essaient d'intégrer des compétences de codage sécurisé dans leur flux de travail quotidien. Presque tous les développeurs suivent une forme ou une autre de formation à la conformité, et pourtant, selon une enquête, 67 % ont admis qu'ils laissaient souvent des vulnérabilités dans leur code.
Pourquoi ?
Pour la deuxième année consécutive, Secure Code Warrior a mené une enquête sur l'état de la sécurité menée par les développeurs en 2022 en partenariat avec Evans Data Corp en décembre 2021. Nous avons interrogé 1 200 développeurs dans le monde entier afin de comprendre les compétences, les perceptions et les comportements en matière de pratiques de codage sécurisées, ainsi que leur impact et leur pertinence perçue sur le cycle de vie du développement logiciel (SDLC).
En ce qui concerne les raisons pour lesquelles la formation à la conformité ne permet pas d'améliorer la sécurité des logiciels, c'est une question dont nous parlons depuis longtemps. La récente enquête ne fait que mettre en lumière ce problème.
D'une part, les développeurs sont invités à assumer de nouveaux rôles en intégrant la cybersécurité tout au long du processus de développement logiciel, y compris lors de la rédaction initiale du code des applications et des programmes. Mais écrire du code sécurisé, ou même simplement tout apprendre sur les problèmes de cybersécurité et les vulnérabilités qui pourraient l'affecter, n'est pas une tâche facile. Dans l'enquête, 63 % des développeurs ont déclaré que l'écriture de code sécurisé était une tâche difficile.
La difficulté d'écrire du code sécurisé ne devrait pas être une surprise. Ce n'est pas pour rien que tant d'emplois bien rémunérés dans le domaine de la cybersécurité ne sont pas pourvus, avec plus de 3,5 millions de postes vacants dans le monde au dernier décompte. Si c'était un travail facile, tout le monde se lancerait dans ce domaine. Il est difficile d'apprendre à combattre les menaces et à éliminer les vulnérabilités du code, et le paysage des menaces est en constante évolution. Les formations statiques sur la conformité ou les cours ponctuels ne peuvent pas suivre le rythme ou fournir le type de formation dont les développeurs ont besoin. Il peut cocher une case en termes de conformité, mais ne peut pas fournir de réelles garanties de sécurité des applications à votre organisation, ni permettre aux développeurs d'écrire du code sécurisé, ni acquérir les compétences nécessaires pour détecter et corriger les vulnérabilités du code.
La formation à la conformité et à la sécurité est importante, mais différente
Les organisations doivent commencer à comprendre et à reconnaître ce que la formation à la conformité peut apporter et ce qu'elle ne peut pas faire. N'abandonnez pas la formation à la conformité, surtout si elle est prescrite par la loi. Et surtout parce que (même avec les méthodes de formation actuelles) 92 % des personnes interrogées ont déclaré avoir besoin d'au moins une formation sur les questions liées à la conformité ou les cadres de sécurité, et 50 % ont souligné la nécessité d'une formation approfondie en matière de conformité.
Les cadres de conformité qui les intéressaient le plus à la formation comprenaient ceux qui sont spécifiques à divers secteurs, bien que plusieurs cadres généraux de cybersécurité aient également figuré sur la liste. Il s'agissait notamment du cadre de sécurité de la CEI, de la norme PCI DSS, du Top 10 de l'OWASP, de la MISRA C, de l'ISO/IEC, de la loi HIPAA (Health Insurance Portability and Accountability Act).
Alors oui, entraînez-vous à utiliser ces frameworks, mais sachez que cocher une case sur la formation à la conformité ne signifie pas fournir une base pour la création continue de code sécurisé.
Considérez plutôt la formation à la conformité comme une opportunité continue de développer les compétences de codage sécurisé de votre développeur, qui peuvent être répétées en dehors du cycle de conformité, afin qu'il puisse créer et publier des logiciels sécurisés chaque jour. Ne donnez plus la priorité à la mise en conformité, mais permettez aux équipes de développement de coder en toute sécurité grâce à un apprentissage continu. En investissant du temps et des ressources dans l'habilitation des développeurs, les exercices ou examens annuels de conformité aux cases à cocher deviendront un jeu d'enfant pour votre personnel, tout en bénéficiant d'une productivité globale améliorée.
Comment passer à une sécurité pilotée par les développeurs ?
Les développeurs ont déclaré à une écrasante majorité que la formation était utile, mais ont contesté le type de formation qu'ils ont reçu au fil des ans en matière de codage sécurisé. Les développeurs ont indiqué qu'ils souhaitaient que l'accent soit davantage mis sur la formation pratique à l'aide d'exemples concrets pertinents pour leur travail (30 %). Une plus grande interactivité était également considérée comme essentielle par 26 % des personnes interrogées, en particulier s'ils pouvaient réellement s'entraîner à écrire du code sécurisé dans le cadre de ces exercices.
23 % des développeurs interrogés ont estimé qu'ils souhaitaient bénéficier d'une formation plus guidée axée sur les vulnérabilités spécifiques qu'ils étaient les plus susceptibles de rencontrer dans leur secteur d'activité ou leur secteur d'activité, tandis que 22 % souhaitaient voir davantage d'exemples de vulnérabilités réelles dans leurs cours de formation.
Il est clair que le simple fait de proposer une formation statique et non interactive (ce qui constitue généralement l'expérience de la formation à la conformité) n'a que peu de valeur en termes de compétences reproductibles en matière de sécurité pour les développeurs. Les entreprises devraient plutôt se concentrer sur des éléments tels que la formation juste à temps, qui permet aux développeurs d'apprendre les notions de sécurité au fur et à mesure de leur travail. Vous pourriez même envisager de mettre en œuvre un programme d'apprentissage à plusieurs niveaux.
Dans le cadre d'une approche par étapes, les sujets plus vastes sont généralement divisés en expériences ou concepts d'apprentissage distincts. Au fur et à mesure que les développeurs progressent, des concepts plus avancés s'ajoutent à ceux déjà maîtrisés, tout comme un échafaudage physique est construit à mesure qu'un bâtiment s'élève. Il s'agit d'une méthode éprouvée pour enseigner un sujet difficile et en constante évolution, comme la cybersécurité, en le décomposant d'abord en parties plus petites et moins complexes, puis en renforçant la complexité sur cette base.
Quelle que soit la manière dont vous déciderez d'aborder votre programme de compétences en matière de sécurité pour les développeurs, il sera essentiel de le séparer des exercices de conformité. La formation à la conformité et à la sécurité est importante, et toutes deux nécessitent des approches différentes pour réussir.
Pour en savoir plus
Livre blanc : Les défis (et opportunités) liés à l'amélioration de la sécurité logicielle.
Livre blanc : L'approche préventive des développeurs en matière de sécurité logicielle.
Rapport : L'état de la sécurité pilotée par les développeurs.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
De nos jours, presque toutes les équipes de développeurs proposent une forme ou une autre de formation à la conformité, que ce soit dans le cadre d'un processus de certification initial utilisé pour garantir qu'une entreprise respecte les limites des cadres industriels ou des réglementations gouvernementales, ou dans le cadre d'une exigence ou d'une révision annuelle. Il s'agit d'une étape importante, car si une organisation ne parvient pas à satisfaire aux exigences de conformité de base, ses employés ne pourront pas s'acquitter de leurs tâches de manière réaliste.
Les règles de conformité existent pour une raison, car toute personne travaillant dans le domaine couvert par ces règles doit avoir au moins une compréhension fondamentale de tous les processus et procédures pertinents, ainsi que de toutes les lois applicables.
Bien que la formation à la conformité soit importante, le respect des exigences minimales obligatoires ne garantit pas une véritable sécurité des applications. Cela est particulièrement vrai pour les développeurs qui essaient d'intégrer des compétences de codage sécurisé dans leur flux de travail quotidien. Presque tous les développeurs suivent une forme ou une autre de formation à la conformité, et pourtant, selon une enquête, 67 % ont admis qu'ils laissaient souvent des vulnérabilités dans leur code.
Pourquoi ?
Pour la deuxième année consécutive, Secure Code Warrior a mené une enquête sur l'état de la sécurité menée par les développeurs en 2022 en partenariat avec Evans Data Corp en décembre 2021. Nous avons interrogé 1 200 développeurs dans le monde entier afin de comprendre les compétences, les perceptions et les comportements en matière de pratiques de codage sécurisées, ainsi que leur impact et leur pertinence perçue sur le cycle de vie du développement logiciel (SDLC).
En ce qui concerne les raisons pour lesquelles la formation à la conformité ne permet pas d'améliorer la sécurité des logiciels, c'est une question dont nous parlons depuis longtemps. La récente enquête ne fait que mettre en lumière ce problème.
D'une part, les développeurs sont invités à assumer de nouveaux rôles en intégrant la cybersécurité tout au long du processus de développement logiciel, y compris lors de la rédaction initiale du code des applications et des programmes. Mais écrire du code sécurisé, ou même simplement tout apprendre sur les problèmes de cybersécurité et les vulnérabilités qui pourraient l'affecter, n'est pas une tâche facile. Dans l'enquête, 63 % des développeurs ont déclaré que l'écriture de code sécurisé était une tâche difficile.
La difficulté d'écrire du code sécurisé ne devrait pas être une surprise. Ce n'est pas pour rien que tant d'emplois bien rémunérés dans le domaine de la cybersécurité ne sont pas pourvus, avec plus de 3,5 millions de postes vacants dans le monde au dernier décompte. Si c'était un travail facile, tout le monde se lancerait dans ce domaine. Il est difficile d'apprendre à combattre les menaces et à éliminer les vulnérabilités du code, et le paysage des menaces est en constante évolution. Les formations statiques sur la conformité ou les cours ponctuels ne peuvent pas suivre le rythme ou fournir le type de formation dont les développeurs ont besoin. Il peut cocher une case en termes de conformité, mais ne peut pas fournir de réelles garanties de sécurité des applications à votre organisation, ni permettre aux développeurs d'écrire du code sécurisé, ni acquérir les compétences nécessaires pour détecter et corriger les vulnérabilités du code.
La formation à la conformité et à la sécurité est importante, mais différente
Les organisations doivent commencer à comprendre et à reconnaître ce que la formation à la conformité peut apporter et ce qu'elle ne peut pas faire. N'abandonnez pas la formation à la conformité, surtout si elle est prescrite par la loi. Et surtout parce que (même avec les méthodes de formation actuelles) 92 % des personnes interrogées ont déclaré avoir besoin d'au moins une formation sur les questions liées à la conformité ou les cadres de sécurité, et 50 % ont souligné la nécessité d'une formation approfondie en matière de conformité.
Les cadres de conformité qui les intéressaient le plus à la formation comprenaient ceux qui sont spécifiques à divers secteurs, bien que plusieurs cadres généraux de cybersécurité aient également figuré sur la liste. Il s'agissait notamment du cadre de sécurité de la CEI, de la norme PCI DSS, du Top 10 de l'OWASP, de la MISRA C, de l'ISO/IEC, de la loi HIPAA (Health Insurance Portability and Accountability Act).
Alors oui, entraînez-vous à utiliser ces frameworks, mais sachez que cocher une case sur la formation à la conformité ne signifie pas fournir une base pour la création continue de code sécurisé.
Considérez plutôt la formation à la conformité comme une opportunité continue de développer les compétences de codage sécurisé de votre développeur, qui peuvent être répétées en dehors du cycle de conformité, afin qu'il puisse créer et publier des logiciels sécurisés chaque jour. Ne donnez plus la priorité à la mise en conformité, mais permettez aux équipes de développement de coder en toute sécurité grâce à un apprentissage continu. En investissant du temps et des ressources dans l'habilitation des développeurs, les exercices ou examens annuels de conformité aux cases à cocher deviendront un jeu d'enfant pour votre personnel, tout en bénéficiant d'une productivité globale améliorée.
Comment passer à une sécurité pilotée par les développeurs ?
Les développeurs ont déclaré à une écrasante majorité que la formation était utile, mais ont contesté le type de formation qu'ils ont reçu au fil des ans en matière de codage sécurisé. Les développeurs ont indiqué qu'ils souhaitaient que l'accent soit davantage mis sur la formation pratique à l'aide d'exemples concrets pertinents pour leur travail (30 %). Une plus grande interactivité était également considérée comme essentielle par 26 % des personnes interrogées, en particulier s'ils pouvaient réellement s'entraîner à écrire du code sécurisé dans le cadre de ces exercices.
23 % des développeurs interrogés ont estimé qu'ils souhaitaient bénéficier d'une formation plus guidée axée sur les vulnérabilités spécifiques qu'ils étaient les plus susceptibles de rencontrer dans leur secteur d'activité ou leur secteur d'activité, tandis que 22 % souhaitaient voir davantage d'exemples de vulnérabilités réelles dans leurs cours de formation.
Il est clair que le simple fait de proposer une formation statique et non interactive (ce qui constitue généralement l'expérience de la formation à la conformité) n'a que peu de valeur en termes de compétences reproductibles en matière de sécurité pour les développeurs. Les entreprises devraient plutôt se concentrer sur des éléments tels que la formation juste à temps, qui permet aux développeurs d'apprendre les notions de sécurité au fur et à mesure de leur travail. Vous pourriez même envisager de mettre en œuvre un programme d'apprentissage à plusieurs niveaux.
Dans le cadre d'une approche par étapes, les sujets plus vastes sont généralement divisés en expériences ou concepts d'apprentissage distincts. Au fur et à mesure que les développeurs progressent, des concepts plus avancés s'ajoutent à ceux déjà maîtrisés, tout comme un échafaudage physique est construit à mesure qu'un bâtiment s'élève. Il s'agit d'une méthode éprouvée pour enseigner un sujet difficile et en constante évolution, comme la cybersécurité, en le décomposant d'abord en parties plus petites et moins complexes, puis en renforçant la complexité sur cette base.
Quelle que soit la manière dont vous déciderez d'aborder votre programme de compétences en matière de sécurité pour les développeurs, il sera essentiel de le séparer des exercices de conformité. La formation à la conformité et à la sécurité est importante, et toutes deux nécessitent des approches différentes pour réussir.
Pour en savoir plus
Livre blanc : Les défis (et opportunités) liés à l'amélioration de la sécurité logicielle.
Livre blanc : L'approche préventive des développeurs en matière de sécurité logicielle.
Rapport : L'état de la sécurité pilotée par les développeurs.
Table des matières
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Thèmes et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions Beat the Boss sont désormais disponibles sur demande.
Cybermon 2025 : Vaincre le Boss est désormais accessible toute l'année dans SCW. Mettez en œuvre des défis de sécurité avancés liés à l'IA et au LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite clairement définis et mesurables
Enabler 1 inaugure notre série en 10 parties intitulée « Enablers of Success » en démontrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'assurer la maturité à long terme des programmes.
