Le score de confiance met en évidence la valeur des initiatives de renforcement des compétences sécurisées dès la conception.
Une approche efficace pour renforcer la sécurité de votre entreprise consiste à améliorer les compétences des développeurs en matière de meilleures pratiques de codage sécurisé, dans un cadre comprenant des bases de référence et des points de référence conçus pour fournir aux développeurs les parcours d'apprentissage spécifiques dont ils ont besoin. Le codage sécurisé n'est toutefois pas une solution ponctuelle : il doit devenir un mode de vie, inscrit dans l'ADN d'une organisation. Les développeurs doivent non seulement se déplacer vers la gauche ou commencer à gauche, mais ils doivent également rester sur la gauche.
Il n'est pas suffisant de simplement fournir une formation. Les entreprises doivent s'assurer que les développeurs ont pleinement assimilé leur formation et qu'ils appliquent les meilleures pratiques dès le début du cycle de vie du développement logiciel (SDLC) dans le cadre de leurs activités quotidiennes. Il est nécessaire de suivre les performances des développeurs et d'évaluer leurs progrès par rapport aux normes internes et aux critères de référence du secteur, afin de mesurer efficacement le retour sur investissement de vos investissements dans la formation.
Le Score de confiance Secure Code Warrior offre une visibilité sur les performances de chaque développeur et regroupe les données pour fournir une évaluation des performances globales de votre organisation. Il démontre l'efficacité des programmes de renforcement des compétences tout en identifiant les domaines nécessitant des améliorations. De plus, il permet de garantir la conformité à l'ensemble des exigences de conformité réglementaires, qu'elles proviennent du Règlement général sur la protection des données (RGPD), de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), de la loi californienne sur la protection de la vie privée des consommateurs (CCPA), ou autres.
Nos recherches ont démontré que la formation au code sécurisé est efficace. Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité pour réduire les vulnérabilités et comment rendre l'initiative encore plus efficace.
La formation renforce la sécurité, si les développeurs y ont accès.
Pendant des années, l'utilisation des meilleures pratiques de sécurité au début du SDLC a semblé être une ambition dans l'industrie du logiciel. C'est bien de l'avoir un jour, mais ce n'est pas une priorité aujourd'hui. Cependant, l'accélération du développement des logiciels, ainsi que la multiplication des cybermenaces sophistiquées et destructrices, souvent basées sur le ciblage des vulnérabilités logicielles, ont rendu le codage sécurisé essentiel. L'Agence de cybersécurité et de sécurité des infrastructures (CISA) place le code sécurisé au premier plan avec son initiative « Secure by Design », qui est en train de devenir un mouvement international.
Nos recherches ont démontré qu'il existe une corrélation évidente entre une approche sécurisée dès la conception et la réduction des vulnérabilités logicielles. Nous avons analysé les données relatives à la réduction des vulnérabilités provenant de 26 % de la clientèle de SCW et avons constaté que la formation des développeurs entraînait une réduction des vulnérabilités logicielles allant de 22 % à 84 %. Cette fourchette découlait de variables telles que la taille des entreprises impliquées (les petites entreprises comptant relativement peu de développeurs ont produit une gamme de résultats plus spectaculaire) et la question de savoir si un groupe d'apprentissage s'est concentré sur un problème spécifique, auquel cas il a éliminé un pourcentage plus élevé de failles.
Les résultats obtenus auprès des grandes entreprises étaient plutôt cohérents. Les entreprises comptant 7 000 développeurs ou plus peuvent s'attendre à une réduction des vulnérabilités de 47 % à 53 % grâce au renforcement des compétences des développeurs en matière de sécurité. Par exemple, une entreprise statistiquement moyenne comptant plus de 10 000 développeurs (qui n'est ni la plus performante sur la plateforme ni l'une des entreprises les plus performantes) a enregistré une réduction de 53 % de ses vulnérabilités.
Bien entendu, la formation la plus efficace ne repose pas sur une approche globale et universelle. Elle doit être adaptée à l'environnement de travail des développeurs et aux types de développement qu'ils effectuent.
Les entreprises devraient commencer par acquérir les compétences de base dont les développeurs doivent disposer pour rendre l'écriture de code sécurisé aussi naturelle que la simple écriture de code. Les programmes de renforcement des compétences devraient consister en une formation pratique et agile dans des scénarios du monde réel qui correspondent au type de travail qu'ils effectuent et aux langages qu'ils utilisent. De plus, ils devraient être suffisamment flexibles pour intégrer les sessions de formation à leurs horaires de travail.
Pour les développeurs, les compétences ne se limitent pas à l'écriture de code. Ils doivent être en mesure de vérifier les logiciels créés par des assistants d'intelligence artificielle et des tiers, tels que les référentiels open source. Les développeurs ont créé des modèles d'IA génératifs, et ils ont généralement salué ses avantages en les aidant à créer plus de code plus rapidement. Cependant, bien que 76 % des personnes interrogées dans le cadre d'un sondage Snyk aient déclaré que le code généré par l'IA était plus sûr que le code produit par des humains, 56,4 % ont tout de même déclaré que l'IA introduisait parfois ou fréquemment des erreurs. De plus, la même enquête a révélé que 80 % des développeurs omettent d'appliquer les politiques de sécurité du code d'IA, ce qui suggère que les problèmes de code dans le code d'IA ne sont pas résolus.
Dans le cadre d'une approche sécurisée dès la conception, les développeurs, en collaboration avec les équipes de sécurité plutôt que séparément de celles-ci, aborderont ces problèmes dès le début du cycle de vie du développement logiciel (SDLC), en identifiant et en corrigeant les failles avant que le code ne soit mis en production.
Le Trust Score évalue les performances individuelles et celles de l'entreprise.
Il est également essentiel que la formation soit continue. Les entreprises doivent adopter une culture axée sur la sécurité qui s'applique à tous les niveaux, des échelons les plus élevés de l'entreprise aux échelons les plus bas. Elle devrait se concentrer sur l'amélioration continue et l'application des meilleures pratiques de sécurité dans l'ensemble du cycle de vie du développement logiciel (SDLC). La technologie et les cybercriminels ne cessent d'évoluer, tout comme la cybersécurité. Pour les entreprises qui produisent des logiciels, des développeurs formés à la sécurité constituent la base.
C'est pourquoi il est tout aussi important de démontrer l'efficacité de la formation que la formation elle-même. Trust Score offre non seulement une visibilité sur les performances individuelles des développeurs et de l'organisation dans son ensemble, mais il permet également aux organisations d'analyser les données de performance afin de se concentrer sur des langages, des équipes de développeurs ou des catégories de logiciels spécifiques. Les données issues des résultats de performance individuels et agrégés permettent également d'identifier les domaines dans lesquels la formation doit être améliorée, par exemple si elle n'a pas l'effet escompté sur les performances quotidiennes des développeurs.
Trust Score a permis aux entreprises d'évaluer les performances des développeurs et de confirmer s'ils ont acquis — et utilisent — les compétences nécessaires en matière de sécurité, en s'assurant qu'ils ont obtenu leur licence de code. Il permet aux entreprises d'accorder en toute confiance à des développeurs qualifiés l'accès à leurs données les plus sensibles et à leurs projets logiciels critiques, tout en refusant cet accès à ceux qui ne sont pas encore prêts à utiliser les outils.
Preuve de l'évolution de la culture de sécurité
La cybersécurité n'est plus seulement une question de sécurité. Il s'agit d'un enjeu commercial qui affecte l'intégrité de l'actif le plus précieux de nombreuses organisations : leurs données. Une violation grave affecte les activités, la réputation et, potentiellement, la viabilité d'une organisation. L'importance de la cybersécurité n'a pas échappé aux organismes de réglementation, qui mettent en œuvre des réglementations de plus en plus strictes et se sont montrés prêts à engager des poursuites contre les RSSI et, potentiellement, d'autres membres de la haute direction, au point même d'engager des poursuites pénales, comme dans les cas d'Uber et de Vents solaires.
L'adoption d'une culture de sécurité à l'échelle de l'entreprise est essentielle dans l'environnement actuel. Étant donné que la valeur d'une entreprise repose en grande partie sur ses données, ses applications et ses services, le codage sécurisé est au cœur de cette culture. Une formation ciblée et un renforcement des compétences dans le cadre d'un état d'esprit culturel, ainsi que la preuve que la formation a contribué à changer la culture, peuvent aider les organisations à renforcer leurs postures de sécurité.
Les programmes de sécurité gérés par les développeurs sont précieux. La preuve en est le Score de confiance.
Nos recherches ont démontré que la formation au code sécurisé est efficace. Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité pour réduire les vulnérabilités et comment rendre l'initiative encore plus efficace.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Une approche efficace pour renforcer la sécurité de votre entreprise consiste à améliorer les compétences des développeurs en matière de meilleures pratiques de codage sécurisé, dans un cadre comprenant des bases de référence et des points de référence conçus pour fournir aux développeurs les parcours d'apprentissage spécifiques dont ils ont besoin. Le codage sécurisé n'est toutefois pas une solution ponctuelle : il doit devenir un mode de vie, inscrit dans l'ADN d'une organisation. Les développeurs doivent non seulement se déplacer vers la gauche ou commencer à gauche, mais ils doivent également rester sur la gauche.
Il n'est pas suffisant de simplement fournir une formation. Les entreprises doivent s'assurer que les développeurs ont pleinement assimilé leur formation et qu'ils appliquent les meilleures pratiques dès le début du cycle de vie du développement logiciel (SDLC) dans le cadre de leurs activités quotidiennes. Il est nécessaire de suivre les performances des développeurs et d'évaluer leurs progrès par rapport aux normes internes et aux critères de référence du secteur, afin de mesurer efficacement le retour sur investissement de vos investissements dans la formation.
Le Score de confiance Secure Code Warrior offre une visibilité sur les performances de chaque développeur et regroupe les données pour fournir une évaluation des performances globales de votre organisation. Il démontre l'efficacité des programmes de renforcement des compétences tout en identifiant les domaines nécessitant des améliorations. De plus, il permet de garantir la conformité à l'ensemble des exigences de conformité réglementaires, qu'elles proviennent du Règlement général sur la protection des données (RGPD), de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), de la loi californienne sur la protection de la vie privée des consommateurs (CCPA), ou autres.
Nos recherches ont démontré que la formation au code sécurisé est efficace. Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité pour réduire les vulnérabilités et comment rendre l'initiative encore plus efficace.
La formation renforce la sécurité, si les développeurs y ont accès.
Pendant des années, l'utilisation des meilleures pratiques de sécurité au début du SDLC a semblé être une ambition dans l'industrie du logiciel. C'est bien de l'avoir un jour, mais ce n'est pas une priorité aujourd'hui. Cependant, l'accélération du développement des logiciels, ainsi que la multiplication des cybermenaces sophistiquées et destructrices, souvent basées sur le ciblage des vulnérabilités logicielles, ont rendu le codage sécurisé essentiel. L'Agence de cybersécurité et de sécurité des infrastructures (CISA) place le code sécurisé au premier plan avec son initiative « Secure by Design », qui est en train de devenir un mouvement international.
Nos recherches ont démontré qu'il existe une corrélation évidente entre une approche sécurisée dès la conception et la réduction des vulnérabilités logicielles. Nous avons analysé les données relatives à la réduction des vulnérabilités provenant de 26 % de la clientèle de SCW et avons constaté que la formation des développeurs entraînait une réduction des vulnérabilités logicielles allant de 22 % à 84 %. Cette fourchette découlait de variables telles que la taille des entreprises impliquées (les petites entreprises comptant relativement peu de développeurs ont produit une gamme de résultats plus spectaculaire) et la question de savoir si un groupe d'apprentissage s'est concentré sur un problème spécifique, auquel cas il a éliminé un pourcentage plus élevé de failles.
Les résultats obtenus auprès des grandes entreprises étaient plutôt cohérents. Les entreprises comptant 7 000 développeurs ou plus peuvent s'attendre à une réduction des vulnérabilités de 47 % à 53 % grâce au renforcement des compétences des développeurs en matière de sécurité. Par exemple, une entreprise statistiquement moyenne comptant plus de 10 000 développeurs (qui n'est ni la plus performante sur la plateforme ni l'une des entreprises les plus performantes) a enregistré une réduction de 53 % de ses vulnérabilités.
Bien entendu, la formation la plus efficace ne repose pas sur une approche globale et universelle. Elle doit être adaptée à l'environnement de travail des développeurs et aux types de développement qu'ils effectuent.
Les entreprises devraient commencer par acquérir les compétences de base dont les développeurs doivent disposer pour rendre l'écriture de code sécurisé aussi naturelle que la simple écriture de code. Les programmes de renforcement des compétences devraient consister en une formation pratique et agile dans des scénarios du monde réel qui correspondent au type de travail qu'ils effectuent et aux langages qu'ils utilisent. De plus, ils devraient être suffisamment flexibles pour intégrer les sessions de formation à leurs horaires de travail.
Pour les développeurs, les compétences ne se limitent pas à l'écriture de code. Ils doivent être en mesure de vérifier les logiciels créés par des assistants d'intelligence artificielle et des tiers, tels que les référentiels open source. Les développeurs ont créé des modèles d'IA génératifs, et ils ont généralement salué ses avantages en les aidant à créer plus de code plus rapidement. Cependant, bien que 76 % des personnes interrogées dans le cadre d'un sondage Snyk aient déclaré que le code généré par l'IA était plus sûr que le code produit par des humains, 56,4 % ont tout de même déclaré que l'IA introduisait parfois ou fréquemment des erreurs. De plus, la même enquête a révélé que 80 % des développeurs omettent d'appliquer les politiques de sécurité du code d'IA, ce qui suggère que les problèmes de code dans le code d'IA ne sont pas résolus.
Dans le cadre d'une approche sécurisée dès la conception, les développeurs, en collaboration avec les équipes de sécurité plutôt que séparément de celles-ci, aborderont ces problèmes dès le début du cycle de vie du développement logiciel (SDLC), en identifiant et en corrigeant les failles avant que le code ne soit mis en production.
Le Trust Score évalue les performances individuelles et celles de l'entreprise.
Il est également essentiel que la formation soit continue. Les entreprises doivent adopter une culture axée sur la sécurité qui s'applique à tous les niveaux, des échelons les plus élevés de l'entreprise aux échelons les plus bas. Elle devrait se concentrer sur l'amélioration continue et l'application des meilleures pratiques de sécurité dans l'ensemble du cycle de vie du développement logiciel (SDLC). La technologie et les cybercriminels ne cessent d'évoluer, tout comme la cybersécurité. Pour les entreprises qui produisent des logiciels, des développeurs formés à la sécurité constituent la base.
C'est pourquoi il est tout aussi important de démontrer l'efficacité de la formation que la formation elle-même. Trust Score offre non seulement une visibilité sur les performances individuelles des développeurs et de l'organisation dans son ensemble, mais il permet également aux organisations d'analyser les données de performance afin de se concentrer sur des langages, des équipes de développeurs ou des catégories de logiciels spécifiques. Les données issues des résultats de performance individuels et agrégés permettent également d'identifier les domaines dans lesquels la formation doit être améliorée, par exemple si elle n'a pas l'effet escompté sur les performances quotidiennes des développeurs.
Trust Score a permis aux entreprises d'évaluer les performances des développeurs et de confirmer s'ils ont acquis — et utilisent — les compétences nécessaires en matière de sécurité, en s'assurant qu'ils ont obtenu leur licence de code. Il permet aux entreprises d'accorder en toute confiance à des développeurs qualifiés l'accès à leurs données les plus sensibles et à leurs projets logiciels critiques, tout en refusant cet accès à ceux qui ne sont pas encore prêts à utiliser les outils.
Preuve de l'évolution de la culture de sécurité
La cybersécurité n'est plus seulement une question de sécurité. Il s'agit d'un enjeu commercial qui affecte l'intégrité de l'actif le plus précieux de nombreuses organisations : leurs données. Une violation grave affecte les activités, la réputation et, potentiellement, la viabilité d'une organisation. L'importance de la cybersécurité n'a pas échappé aux organismes de réglementation, qui mettent en œuvre des réglementations de plus en plus strictes et se sont montrés prêts à engager des poursuites contre les RSSI et, potentiellement, d'autres membres de la haute direction, au point même d'engager des poursuites pénales, comme dans les cas d'Uber et de Vents solaires.
L'adoption d'une culture de sécurité à l'échelle de l'entreprise est essentielle dans l'environnement actuel. Étant donné que la valeur d'une entreprise repose en grande partie sur ses données, ses applications et ses services, le codage sécurisé est au cœur de cette culture. Une formation ciblée et un renforcement des compétences dans le cadre d'un état d'esprit culturel, ainsi que la preuve que la formation a contribué à changer la culture, peuvent aider les organisations à renforcer leurs postures de sécurité.
Les programmes de sécurité gérés par les développeurs sont précieux. La preuve en est le Score de confiance.
Une approche efficace pour renforcer la sécurité de votre entreprise consiste à améliorer les compétences des développeurs en matière de meilleures pratiques de codage sécurisé, dans un cadre comprenant des bases de référence et des points de référence conçus pour fournir aux développeurs les parcours d'apprentissage spécifiques dont ils ont besoin. Le codage sécurisé n'est toutefois pas une solution ponctuelle : il doit devenir un mode de vie, inscrit dans l'ADN d'une organisation. Les développeurs doivent non seulement se déplacer vers la gauche ou commencer à gauche, mais ils doivent également rester sur la gauche.
Il n'est pas suffisant de simplement fournir une formation. Les entreprises doivent s'assurer que les développeurs ont pleinement assimilé leur formation et qu'ils appliquent les meilleures pratiques dès le début du cycle de vie du développement logiciel (SDLC) dans le cadre de leurs activités quotidiennes. Il est nécessaire de suivre les performances des développeurs et d'évaluer leurs progrès par rapport aux normes internes et aux critères de référence du secteur, afin de mesurer efficacement le retour sur investissement de vos investissements dans la formation.
Le Score de confiance Secure Code Warrior offre une visibilité sur les performances de chaque développeur et regroupe les données pour fournir une évaluation des performances globales de votre organisation. Il démontre l'efficacité des programmes de renforcement des compétences tout en identifiant les domaines nécessitant des améliorations. De plus, il permet de garantir la conformité à l'ensemble des exigences de conformité réglementaires, qu'elles proviennent du Règlement général sur la protection des données (RGPD), de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), de la loi californienne sur la protection de la vie privée des consommateurs (CCPA), ou autres.
Nos recherches ont démontré que la formation au code sécurisé est efficace. Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité pour réduire les vulnérabilités et comment rendre l'initiative encore plus efficace.
La formation renforce la sécurité, si les développeurs y ont accès.
Pendant des années, l'utilisation des meilleures pratiques de sécurité au début du SDLC a semblé être une ambition dans l'industrie du logiciel. C'est bien de l'avoir un jour, mais ce n'est pas une priorité aujourd'hui. Cependant, l'accélération du développement des logiciels, ainsi que la multiplication des cybermenaces sophistiquées et destructrices, souvent basées sur le ciblage des vulnérabilités logicielles, ont rendu le codage sécurisé essentiel. L'Agence de cybersécurité et de sécurité des infrastructures (CISA) place le code sécurisé au premier plan avec son initiative « Secure by Design », qui est en train de devenir un mouvement international.
Nos recherches ont démontré qu'il existe une corrélation évidente entre une approche sécurisée dès la conception et la réduction des vulnérabilités logicielles. Nous avons analysé les données relatives à la réduction des vulnérabilités provenant de 26 % de la clientèle de SCW et avons constaté que la formation des développeurs entraînait une réduction des vulnérabilités logicielles allant de 22 % à 84 %. Cette fourchette découlait de variables telles que la taille des entreprises impliquées (les petites entreprises comptant relativement peu de développeurs ont produit une gamme de résultats plus spectaculaire) et la question de savoir si un groupe d'apprentissage s'est concentré sur un problème spécifique, auquel cas il a éliminé un pourcentage plus élevé de failles.
Les résultats obtenus auprès des grandes entreprises étaient plutôt cohérents. Les entreprises comptant 7 000 développeurs ou plus peuvent s'attendre à une réduction des vulnérabilités de 47 % à 53 % grâce au renforcement des compétences des développeurs en matière de sécurité. Par exemple, une entreprise statistiquement moyenne comptant plus de 10 000 développeurs (qui n'est ni la plus performante sur la plateforme ni l'une des entreprises les plus performantes) a enregistré une réduction de 53 % de ses vulnérabilités.
Bien entendu, la formation la plus efficace ne repose pas sur une approche globale et universelle. Elle doit être adaptée à l'environnement de travail des développeurs et aux types de développement qu'ils effectuent.
Les entreprises devraient commencer par acquérir les compétences de base dont les développeurs doivent disposer pour rendre l'écriture de code sécurisé aussi naturelle que la simple écriture de code. Les programmes de renforcement des compétences devraient consister en une formation pratique et agile dans des scénarios du monde réel qui correspondent au type de travail qu'ils effectuent et aux langages qu'ils utilisent. De plus, ils devraient être suffisamment flexibles pour intégrer les sessions de formation à leurs horaires de travail.
Pour les développeurs, les compétences ne se limitent pas à l'écriture de code. Ils doivent être en mesure de vérifier les logiciels créés par des assistants d'intelligence artificielle et des tiers, tels que les référentiels open source. Les développeurs ont créé des modèles d'IA génératifs, et ils ont généralement salué ses avantages en les aidant à créer plus de code plus rapidement. Cependant, bien que 76 % des personnes interrogées dans le cadre d'un sondage Snyk aient déclaré que le code généré par l'IA était plus sûr que le code produit par des humains, 56,4 % ont tout de même déclaré que l'IA introduisait parfois ou fréquemment des erreurs. De plus, la même enquête a révélé que 80 % des développeurs omettent d'appliquer les politiques de sécurité du code d'IA, ce qui suggère que les problèmes de code dans le code d'IA ne sont pas résolus.
Dans le cadre d'une approche sécurisée dès la conception, les développeurs, en collaboration avec les équipes de sécurité plutôt que séparément de celles-ci, aborderont ces problèmes dès le début du cycle de vie du développement logiciel (SDLC), en identifiant et en corrigeant les failles avant que le code ne soit mis en production.
Le Trust Score évalue les performances individuelles et celles de l'entreprise.
Il est également essentiel que la formation soit continue. Les entreprises doivent adopter une culture axée sur la sécurité qui s'applique à tous les niveaux, des échelons les plus élevés de l'entreprise aux échelons les plus bas. Elle devrait se concentrer sur l'amélioration continue et l'application des meilleures pratiques de sécurité dans l'ensemble du cycle de vie du développement logiciel (SDLC). La technologie et les cybercriminels ne cessent d'évoluer, tout comme la cybersécurité. Pour les entreprises qui produisent des logiciels, des développeurs formés à la sécurité constituent la base.
C'est pourquoi il est tout aussi important de démontrer l'efficacité de la formation que la formation elle-même. Trust Score offre non seulement une visibilité sur les performances individuelles des développeurs et de l'organisation dans son ensemble, mais il permet également aux organisations d'analyser les données de performance afin de se concentrer sur des langages, des équipes de développeurs ou des catégories de logiciels spécifiques. Les données issues des résultats de performance individuels et agrégés permettent également d'identifier les domaines dans lesquels la formation doit être améliorée, par exemple si elle n'a pas l'effet escompté sur les performances quotidiennes des développeurs.
Trust Score a permis aux entreprises d'évaluer les performances des développeurs et de confirmer s'ils ont acquis — et utilisent — les compétences nécessaires en matière de sécurité, en s'assurant qu'ils ont obtenu leur licence de code. Il permet aux entreprises d'accorder en toute confiance à des développeurs qualifiés l'accès à leurs données les plus sensibles et à leurs projets logiciels critiques, tout en refusant cet accès à ceux qui ne sont pas encore prêts à utiliser les outils.
Preuve de l'évolution de la culture de sécurité
La cybersécurité n'est plus seulement une question de sécurité. Il s'agit d'un enjeu commercial qui affecte l'intégrité de l'actif le plus précieux de nombreuses organisations : leurs données. Une violation grave affecte les activités, la réputation et, potentiellement, la viabilité d'une organisation. L'importance de la cybersécurité n'a pas échappé aux organismes de réglementation, qui mettent en œuvre des réglementations de plus en plus strictes et se sont montrés prêts à engager des poursuites contre les RSSI et, potentiellement, d'autres membres de la haute direction, au point même d'engager des poursuites pénales, comme dans les cas d'Uber et de Vents solaires.
L'adoption d'une culture de sécurité à l'échelle de l'entreprise est essentielle dans l'environnement actuel. Étant donné que la valeur d'une entreprise repose en grande partie sur ses données, ses applications et ses services, le codage sécurisé est au cœur de cette culture. Une formation ciblée et un renforcement des compétences dans le cadre d'un état d'esprit culturel, ainsi que la preuve que la formation a contribué à changer la culture, peuvent aider les organisations à renforcer leurs postures de sécurité.
Les programmes de sécurité gérés par les développeurs sont précieux. La preuve en est le Score de confiance.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Une approche efficace pour renforcer la sécurité de votre entreprise consiste à améliorer les compétences des développeurs en matière de meilleures pratiques de codage sécurisé, dans un cadre comprenant des bases de référence et des points de référence conçus pour fournir aux développeurs les parcours d'apprentissage spécifiques dont ils ont besoin. Le codage sécurisé n'est toutefois pas une solution ponctuelle : il doit devenir un mode de vie, inscrit dans l'ADN d'une organisation. Les développeurs doivent non seulement se déplacer vers la gauche ou commencer à gauche, mais ils doivent également rester sur la gauche.
Il n'est pas suffisant de simplement fournir une formation. Les entreprises doivent s'assurer que les développeurs ont pleinement assimilé leur formation et qu'ils appliquent les meilleures pratiques dès le début du cycle de vie du développement logiciel (SDLC) dans le cadre de leurs activités quotidiennes. Il est nécessaire de suivre les performances des développeurs et d'évaluer leurs progrès par rapport aux normes internes et aux critères de référence du secteur, afin de mesurer efficacement le retour sur investissement de vos investissements dans la formation.
Le Score de confiance Secure Code Warrior offre une visibilité sur les performances de chaque développeur et regroupe les données pour fournir une évaluation des performances globales de votre organisation. Il démontre l'efficacité des programmes de renforcement des compétences tout en identifiant les domaines nécessitant des améliorations. De plus, il permet de garantir la conformité à l'ensemble des exigences de conformité réglementaires, qu'elles proviennent du Règlement général sur la protection des données (RGPD), de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), de la loi californienne sur la protection de la vie privée des consommateurs (CCPA), ou autres.
Nos recherches ont démontré que la formation au code sécurisé est efficace. Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité pour réduire les vulnérabilités et comment rendre l'initiative encore plus efficace.
La formation renforce la sécurité, si les développeurs y ont accès.
Pendant des années, l'utilisation des meilleures pratiques de sécurité au début du SDLC a semblé être une ambition dans l'industrie du logiciel. C'est bien de l'avoir un jour, mais ce n'est pas une priorité aujourd'hui. Cependant, l'accélération du développement des logiciels, ainsi que la multiplication des cybermenaces sophistiquées et destructrices, souvent basées sur le ciblage des vulnérabilités logicielles, ont rendu le codage sécurisé essentiel. L'Agence de cybersécurité et de sécurité des infrastructures (CISA) place le code sécurisé au premier plan avec son initiative « Secure by Design », qui est en train de devenir un mouvement international.
Nos recherches ont démontré qu'il existe une corrélation évidente entre une approche sécurisée dès la conception et la réduction des vulnérabilités logicielles. Nous avons analysé les données relatives à la réduction des vulnérabilités provenant de 26 % de la clientèle de SCW et avons constaté que la formation des développeurs entraînait une réduction des vulnérabilités logicielles allant de 22 % à 84 %. Cette fourchette découlait de variables telles que la taille des entreprises impliquées (les petites entreprises comptant relativement peu de développeurs ont produit une gamme de résultats plus spectaculaire) et la question de savoir si un groupe d'apprentissage s'est concentré sur un problème spécifique, auquel cas il a éliminé un pourcentage plus élevé de failles.
Les résultats obtenus auprès des grandes entreprises étaient plutôt cohérents. Les entreprises comptant 7 000 développeurs ou plus peuvent s'attendre à une réduction des vulnérabilités de 47 % à 53 % grâce au renforcement des compétences des développeurs en matière de sécurité. Par exemple, une entreprise statistiquement moyenne comptant plus de 10 000 développeurs (qui n'est ni la plus performante sur la plateforme ni l'une des entreprises les plus performantes) a enregistré une réduction de 53 % de ses vulnérabilités.
Bien entendu, la formation la plus efficace ne repose pas sur une approche globale et universelle. Elle doit être adaptée à l'environnement de travail des développeurs et aux types de développement qu'ils effectuent.
Les entreprises devraient commencer par acquérir les compétences de base dont les développeurs doivent disposer pour rendre l'écriture de code sécurisé aussi naturelle que la simple écriture de code. Les programmes de renforcement des compétences devraient consister en une formation pratique et agile dans des scénarios du monde réel qui correspondent au type de travail qu'ils effectuent et aux langages qu'ils utilisent. De plus, ils devraient être suffisamment flexibles pour intégrer les sessions de formation à leurs horaires de travail.
Pour les développeurs, les compétences ne se limitent pas à l'écriture de code. Ils doivent être en mesure de vérifier les logiciels créés par des assistants d'intelligence artificielle et des tiers, tels que les référentiels open source. Les développeurs ont créé des modèles d'IA génératifs, et ils ont généralement salué ses avantages en les aidant à créer plus de code plus rapidement. Cependant, bien que 76 % des personnes interrogées dans le cadre d'un sondage Snyk aient déclaré que le code généré par l'IA était plus sûr que le code produit par des humains, 56,4 % ont tout de même déclaré que l'IA introduisait parfois ou fréquemment des erreurs. De plus, la même enquête a révélé que 80 % des développeurs omettent d'appliquer les politiques de sécurité du code d'IA, ce qui suggère que les problèmes de code dans le code d'IA ne sont pas résolus.
Dans le cadre d'une approche sécurisée dès la conception, les développeurs, en collaboration avec les équipes de sécurité plutôt que séparément de celles-ci, aborderont ces problèmes dès le début du cycle de vie du développement logiciel (SDLC), en identifiant et en corrigeant les failles avant que le code ne soit mis en production.
Le Trust Score évalue les performances individuelles et celles de l'entreprise.
Il est également essentiel que la formation soit continue. Les entreprises doivent adopter une culture axée sur la sécurité qui s'applique à tous les niveaux, des échelons les plus élevés de l'entreprise aux échelons les plus bas. Elle devrait se concentrer sur l'amélioration continue et l'application des meilleures pratiques de sécurité dans l'ensemble du cycle de vie du développement logiciel (SDLC). La technologie et les cybercriminels ne cessent d'évoluer, tout comme la cybersécurité. Pour les entreprises qui produisent des logiciels, des développeurs formés à la sécurité constituent la base.
C'est pourquoi il est tout aussi important de démontrer l'efficacité de la formation que la formation elle-même. Trust Score offre non seulement une visibilité sur les performances individuelles des développeurs et de l'organisation dans son ensemble, mais il permet également aux organisations d'analyser les données de performance afin de se concentrer sur des langages, des équipes de développeurs ou des catégories de logiciels spécifiques. Les données issues des résultats de performance individuels et agrégés permettent également d'identifier les domaines dans lesquels la formation doit être améliorée, par exemple si elle n'a pas l'effet escompté sur les performances quotidiennes des développeurs.
Trust Score a permis aux entreprises d'évaluer les performances des développeurs et de confirmer s'ils ont acquis — et utilisent — les compétences nécessaires en matière de sécurité, en s'assurant qu'ils ont obtenu leur licence de code. Il permet aux entreprises d'accorder en toute confiance à des développeurs qualifiés l'accès à leurs données les plus sensibles et à leurs projets logiciels critiques, tout en refusant cet accès à ceux qui ne sont pas encore prêts à utiliser les outils.
Preuve de l'évolution de la culture de sécurité
La cybersécurité n'est plus seulement une question de sécurité. Il s'agit d'un enjeu commercial qui affecte l'intégrité de l'actif le plus précieux de nombreuses organisations : leurs données. Une violation grave affecte les activités, la réputation et, potentiellement, la viabilité d'une organisation. L'importance de la cybersécurité n'a pas échappé aux organismes de réglementation, qui mettent en œuvre des réglementations de plus en plus strictes et se sont montrés prêts à engager des poursuites contre les RSSI et, potentiellement, d'autres membres de la haute direction, au point même d'engager des poursuites pénales, comme dans les cas d'Uber et de Vents solaires.
L'adoption d'une culture de sécurité à l'échelle de l'entreprise est essentielle dans l'environnement actuel. Étant donné que la valeur d'une entreprise repose en grande partie sur ses données, ses applications et ses services, le codage sécurisé est au cœur de cette culture. Une formation ciblée et un renforcement des compétences dans le cadre d'un état d'esprit culturel, ainsi que la preuve que la formation a contribué à changer la culture, peuvent aider les organisations à renforcer leurs postures de sécurité.
Les programmes de sécurité gérés par les développeurs sont précieux. La preuve en est le Score de confiance.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Thèmes et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions Beat the Boss sont désormais disponibles sur demande.
Cybermon 2025 : Vaincre le Boss est désormais accessible toute l'année dans SCW. Mettez en œuvre des défis de sécurité avancés liés à l'IA et au LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite clairement définis et mesurables
Enabler 1 inaugure notre série en 10 parties intitulée « Enablers of Success » en démontrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'assurer la maturité à long terme des programmes.
