Informations concernant le code sécurisé

Responsables de la sécurité des applications, RSSI, DSI, experts en cybersécurité - j'ai eu l'occasion de m'entretenir avec un grand nombre d'entre eux, travaillant dans divers types d'entreprises à travers le monde, au cours de ma carrière dans le développement de logiciels et la sécurité.

Quelle que soit leur situation, l'expérience de leur équipe ou le temps qui passe dans ce monde numérique en constante évolution, un problème demeure : ils sont rarement en mesure d'impliquer positivement leur équipe de développement en matière de sécurité. La sécurité reste un sujet sensible, source de conflits entre les équipes et véritable difficulté du secteur.

Cependant, la sécurité logicielle revêt une importance trop capitale pour que notre état d'esprit général continue dans cette voie. Nous devons nous efforcer de changer la donne, de faire de la sécurité une partie intégrante de la vie professionnelle de chaque développeur. Et je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et de les impliquer en matière de sécurité par le biais, par exemple, de la gamification.

Le paysage actuel

Les développeurs quittent l'université avec très peu de connaissances pratiques sur la fourniture de code sécurisé. Ils occupent des emplois où la formation à la sécurité est rarement une priorité (et lorsque c'est le cas, elle fait généralement partie des vidéos de conformité obligatoires en matière de santé et de sécurité, qui sont si ennuyeuses que personne ne se soucierait du codage sécurisé). Très souvent, leur première expérience en matière de sécurité est un rapport de bogue d'audit ou de test qui interrompt soudainement une future version, perturbant instantanément leur esprit créatif. Ils se trouvent en désaccord avec les responsables des rapports de sécurité, de sorte que « sécurité » devient synonyme de « critique » dans leur esprit.

Il est regrettable que cette perception négative de la sécurité des logiciels soit si répandue. Après tout, certains des meilleurs souvenirs que je garde de ma carrière sont liés à l'apprentissage de la sécurité logicielle. J'ai passé mes premières journées dans le domaine du piratage informatique à assister à des conférences, où je pouvais non seulement tester mes compétences (et, pour être honnête, me mettre un peu en avant) par rapport à mes pairs, mais aussi m'amuser énormément à rencontrer des personnes partageant les mêmes idées qui aimaient autant que moi pirater des logiciels.

BruCon, DefCon, BlackHat... ces événements ont permis à des personnes comme moi de mettre en pratique leurs compétences lors de compétitions amicales. Je ne reconnaîtrais jamais avoir participé à de telles activités, mais certains démontraient même leurs prouesses en matière de piratage informatique en accédant aux téléphones des autres participants et en affichant leurs informations sur les écrans de présentation à la vue de tous. C'est devenu un jeu, trouver ces failles, les exploiter et les corriger, afin d'améliorer les logiciels. Il y a quelques années, j'ai eu le privilège de rencontrer des centaines d'enfants du Moyen-Orient pour leur enseigner la cybersécurité. Je me souviens encore d'une fillette de huit ans parmi mes élèves, qui apprenait le forçage brut des mots de passe et l'encodage base64 tout en jouant à des jeux.

La gamification est également employée pour enseigner les techniques de codage. Les établissements d'enseignement à travers le monde adoptent cette approche pour enseigner le codage aux très jeunes enfants, même jusqu'au niveau secondaire. Des enfants âgés d'à peine quatre ans participent désormais régulièrement à des initiatives de vacances telles que Code Camp, et il existe de nombreux programmes en ligne exceptionnels qui enseignent aux enfants à coder en Python et dans d'autres langages. J'ai même acheté l'incroyable outil de codage sans écran, Cubetto, pour ma fille de quatre ans.

Cependant, malgré tous ces avantages et ces progrès, il existe un écart. Personne n'a envisagé la possibilité de tirer parti de la gamification pour former les développeurs à l'écriture de code sécurisé.

Eh bien... presque personne. Il y a quelques années, j'ai réalisé que nous devions redonner de l'inspiration à la sécurité et motiver réellement les développeurs à s'impliquer et à commencer à s'engager.

Gamification : la solution la plus simple.

Je suis profondément déterminé à aider les développeurs à acquérir des connaissances en matière de sécurité, et c'est cette passion qui m'a amené à créer Secure Code Warrior. La sécurité des logiciels est très importante, et elle peut vraiment être passionnante.

Je ne suis pas le seul à avoir cette opinion.

La gamification peut rendre les tâches les plus banales encore plus amusantes et permet aux joueurs de rester suffisamment motivés pour continuer à jouer, à gagner et à progresser. Il suffit de considérer la manière dont Pokemon Go est joué. Cela a motivé même les personnes les plus inactives à se lever du canapé, à sortir à la recherche de créatures imaginaires, ou à découvrir comment FitBit se fixe comme objectif quotidien d'atteindre un certain nombre de pas... Si ces objectifs ne sont pas atteints, si les séries sont interrompues et que les badges ne sont pas gagnés, un véritable sentiment de déception se manifeste.

Revenons donc à la formation en matière de sécurité. Nous avons démontré à de nombreux clients que la gamification est essentielle pour transformer véritablement la culture de sécurité de leurs organisations, en établissant des liens entre les équipes AppSec et les équipes de développement, et en les aidant de manière générale à créer des logiciels répondant à des normes plus élevées.

À l'heure actuelle, la sécurité n'est pas la priorité des développeurs. En intégrant un élément convivial, compétitif et engageant à vos méthodes d'entraînement, vous les motivez non seulement à « jouer », mais aussi à revenir pour gagner plus de points, battre les meilleurs scores, devenir plus précis et défier les autres membres de l'équipe.

Nous savons déjà qu'une formation réussie se présente comme suit :

• Les développeurs sont en mesure de travailler sur du code réel et dans leurs propres langages/frameworks.
• Les défis sont courts et couvrent toutes les failles de sécurité courantes.
• Les défis sont constamment élargis et mis à jour afin que les développeurs puissent continuer à développer leurs compétences au fil du temps.
• Les défis présentent différents niveaux de complexité, ce qui les rend intéressants tant pour les développeurs expérimentés que pour ceux qui ont moins d'expérience.
• Les développeurs et leurs responsables peuvent visualiser les progrès réalisés, notamment les défis qu'ils ont relevés, leurs forces et leurs faiblesses, le temps consacré à la formation et leur précision globale.

L'un de nos principaux clients a démontré la véritable efficacité d'une plateforme gamifiée lors de son déploiement, en fournissant à ses développeurs du matériel d'équipe thématique, en offrant des prix exceptionnels aux gagnants des jeux et en faisant de son tournoi une journée mémorable. Depuis, ils organisent des compétitions internationales et toute leur équipe continue de s'entraîner sérieusement à ce jour.

Votre propre révolution logicielle commence ici. Le secteur bancaire australien est à l'avant-garde en adoptant la formation gamifiée pour lutter contre les mauvais codes, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (ou ennuyeuse). Il suffit de regarder ce que notre client a accompli avec son tournoi de niveau supérieur. Êtes-vous prêt à améliorer votre équipe avec nous ?

Il est essentiel que nous nous efforcions de changer la situation, de faire de la sécurité une partie intégrante de la vie professionnelle de chaque développeur. Je suis convaincu que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et de les impliquer en matière de sécurité, par exemple à travers la gamification.

Le 3 septembre, certains membres de l'équipe et moi-même avons assisté à une remarquable cérémonie de remise de prix consacrée à la sécurité, organisée par CSO Australie. L'un des premiers événements de ce type en Australie, le Prix 2019 pour les femmes dans le secteur de la sécurité a été le résultat exceptionnel de la participation de certains des spécialistes de la sécurité les plus réputés du secteur. Il s'agissait d'une célébration de la contribution des femmes à la cybersécurité, ainsi que d'une plateforme essentielle pour mettre en valeur le talent et l'innovation exceptionnels dont font preuve des femmes qui passent souvent inaperçues et qui s'efforcent de réaliser un travail remarquable.

Je suis très fière de mentionner que la vice-présidente de Secure Code Warrior de la réussite des clients (alias Chief Awesome), Fatemah Beydoun, a joué un rôle essentiel dans cette journée. Elle a présenté son discours, Le mentorat pour l'avenir : comment pouvons-nous tous faire mieux pour encourager les talents féminins en cybersécurité, devant un public très réceptif. Bien que douze minutes soient loin d'être suffisantes pour révéler son impact de longue date sur nous et sur le secteur de la cybersécurité dans son ensemble, elle a constaté (sans parler du fait qu'elle a entraîné) des changements positifs critiques.

Une approche plus inclusive.

« Lorsque j'ai débuté ma carrière dans ce secteur », explique Fatemah, « j'étais l'une des rares femmes à faire partie des équipes dans lesquelles j'ai été classée. De nombreuses opportunités de réseautage étaient également centrées sur les hommes, ce qui m'a empêchée de participer, de rencontrer les bonnes personnes et de démontrer une valeur essentielle pour l'entreprise. J'ai cherché à modifier cette dynamique en créant un espace plus inclusif lorsque cela était possible. J'

Par exemple, j'assistais souvent à des événements de l'industrie et je découvrais que de nombreux stands d'entreprises utilisaient des modèles promotionnels pour attirer l'attention sur leurs stands. C'est une bonne idée en théorie, mais on m'ignorait souvent car je ne faisais clairement pas partie du marché cible. J'ai été chargée de l'organisation d'événements au début de ma carrière et je me suis engagée à trouver des moyens plus inclusifs et plus ludiques d'attirer l'attention sur nos propres offres », a-t-elle déclaré.

Fatemah et moi collaborons depuis longtemps, et elle a toujours défendu l'inclusion et la diversité au sein des entreprises dans lesquelles nous exerçons nos activités. Cela a toujours conduit à un plus grand nombre de parcours pour les femmes au sein de l'équipe, à la reconnaissance des contributions clés et à une cohorte renforcée par des approches, des opinions et des horizons différents.

« Écoutez, personne ne souhaite être une femme symbolique, bien sûr », a déclaré Fatemah. « Cependant, le problème peut être que certaines équipes de direction moins diversifiées ont tendance à passer le relais à des dirigeants qui leur ressemblent, avec lesquels elles peuvent s'identifier sur le plan personnel. Ces mêmes cadres pourraient bénéficier de la contribution d'une femme en fonction du mérite et des compétences, mais il leur est souvent difficile de se faire une place. Si les équipes de direction sont sensibilisées à la force que peut apporter la diversité (et cela va au-delà du genre), elles sont souvent tout à fait disposées à créer ces voies et à commencer à promouvoir des femmes prêtes, désireuses et capables de faire un travail formidable pour leur organisation », a-t-elle déclaré.

Flexibilité du lieu de travail : les éléments clés de la réussite.

Lorsque j'ai créé ma propre entreprise, j'ai rapidement compris que le travail le plus efficace est celui où les membres de l'équipe ont la possibilité de respirer. La flexibilité est importante pour tous, mais les politiques qui soutiennent les familles des travailleurs peuvent contribuer à conserver les talents essentiels.

L'une des premières politiques mises en place ici a été la politique relative aux nourrissons au travail, qui permet aux nouvelles mères de reprendre le travail plus rapidement, avec la flexibilité nécessaire pour leurs rendez-vous et la possibilité d'amener leurs bébés au travail sans crainte d'être jugées.

« Je ne souhaitais pas choisir entre mon rôle de mère et ma carrière, et le fait de pouvoir amener mon jeune fils au travail s'est avéré être une décision extrêmement positive qui m'a permis de me sentir soutenue et valorisée », a déclaré Fatemah. « Mes compétences ne disparaissent pas après l'accouchement, et en tant que membre fondatrice d'une start-up, j'ai simplement envie de me remettre au travail ! »

Elle a même discuté avec ABC News des avantages de la flexibilité du travail :

Disposez-vous d'une culture de mentorat florissante ?

Pour aider quelqu'un à démarrer sa carrière et à poursuivre sur sa lancée, il est judicieux de faire appel à un mentor. Dans de nombreux domaines de l'informatique, de la cybersécurité et à prédominance masculine, il existe un déséquilibre entre les femmes et les hommes aux postes de direction, ce qui peut être un peu difficile.

Il est essentiel que les femmes puissent s'identifier aux postes de direction. Les hommes peuvent également contribuer en encourageant les femmes talentueuses au sein de leurs équipes et en les encadrant, dans la mesure du possible.

« Les équipes de direction peuvent avoir un impact considérable sur la diversification d'une organisation, tout en veillant à ce que les femmes exceptionnelles obtiennent la reconnaissance et le cheminement de carrière qu'elles méritent autant que n'importe qui d'autre. J'ai pu le constater avec la responsable de la cybersécurité de Jetstar, Yvette Lejins. Elle est une championne des femmes et, grâce à ses succès et à son travail acharné, elle a fait des progrès et a aidé d'autres femmes à retrouver la confiance nécessaire pour viser le sommet », a déclaré Fatemah.

À l'heure actuelle, Secure Code Warrior de fêter ses 100 employés. Je suis fière de mentionner que nous comptons plus de 50 % de femmes dans l'ensemble de l'entreprise et que Fatemah est un modèle et un mentor exceptionnels pour tous.

Toutes les entreprises peuvent tirer un immense avantage de la diversification de leurs équipes. Un éventail d'opinions, provenant de différents milieux, peut être l'ingrédient essentiel nécessaire pour transformer de bonnes idées en excellentes idées. Comme toujours, nous sommes plus forts ensemble.

Selon une théorie bien connue, les blattes peuvent survivre à pratiquement tout, même à une explosion nucléaire. Bien que cette théorie ne soit vraie que dans une certaine mesure, leur composition corporelle simple les rend extrêmement résistantes pour leur taille et difficiles à éradiquer dans la plupart des conditions.

J'ai réfléchi... si les cafards avaient un équivalent dans le monde numérique, ce serait les vulnérabilités d'injection SQL (SQLi) dans le code. Cette vulnérabilité est connue depuis plus de vingt ans, mais les organisations en sont victimes à maintes reprises. L'attaque très médiatisée et coûteuse contre Target était le résultat d'une injection SQL, tout comme un cas de piratage des élections dans l'Illinois, où 200 000 dossiers d'électeurs ont été divulgués, ce qui a incité le FBI à recommander à tous les administrateurs informatiques de renforcer rapidement leurs pratiques de sécurité.

Le rapport Imperva sur l'initiative Hacker Intelligence a révélé qu'entre 2005 et 2011, des attaques SQLi ont été utilisées dans 83 % des violations de données signalées. Aujourd'hui, les vulnérabilités liées à l'injection restent la principale menace dans le Top 10 de l'OWASP. Elles sont relativement simples, mais elles persistent.

Il est surprenant que cette même vulnérabilité continue d'apparaître dans un nombre important d'analyses de sécurité des applications. Nous comprenons son fonctionnement et savons comment la contrer. Comment cela est-il possible ? La réalité est que la sécurité de nos logiciels peut encore être améliorée.

Le rapport Veracode sur l'état de la sécurité logicielle, basé sur 400 000 analyses d'applications en 2017, a révélé une statistique préoccupante : seulement 30 % des applications ont satisfait à la politique du Top 10 de l'OWASP. Ce thème a été récurrent au cours des cinq dernières années, des injections SQL étant apparues dans près d'une application récemment scannée sur trois. Cela démontre un problème endémique ; nous ne tirons pas les leçons de nos erreurs et les responsables de la sécurité informatique semblent éprouver des difficultés à recruter suffisamment de talents en matière de sécurité. En règle générale, le ratio entre les spécialistes de la sécurité des applications et les développeurs est insuffisant pour 100.

Pourquoi la sécurité logicielle est-elle en mode survie ?

Il est de notoriété publique que les spécialistes en sécurité sont rares, mais nous devons également être conscients que les développeurs ne résolvent pas les problèmes au fur et à mesure qu'ils se présentent et sont clairement mal équipés pour éviter d'introduire des vulnérabilités dès le départ. Dans le même rapport de Veracode, il a été révélé que des mesures d'atténuation documentées n'étaient disponibles que pour 14,4 % de toutes les vulnérabilités liées au développement. En d'autres termes, la plupart des vulnérabilités ont été soumises sans mesures d'atténuation liées au développement. Moins d'un tiers des vulnérabilités ont été corrigées au cours des 90 premiers jours, et 42 % des vulnérabilités n'ont jamais été corrigées au cours de la période de développement.

Je discute régulièrement avec des professionnels de la sécurité, des RSSI et des PDG et, pour l'anecdote, j'ai constaté que de nombreuses entreprises sont tellement frustrées par le nombre de vulnérabilités détectées qui ne peuvent être atténuées (en plus du problème connu sous le nom de faux positifs), qu'elles cessent complètement de les rechercher, croisent les doigts et espèrent que tout ira pour le mieux.

Pourquoi les professionnels de la sécurité des applications laissent-ils cela se produire ?

Ne vous méprenez pas : les utilisateurs d'AppSec sont extrêmement conscients des problèmes liés au code. Après tout, c'est l'une de leurs compétences fondamentales qui fait d'eux une ressource si précieuse pour l'équipe. Cependant, ils sont souvent freinés par plusieurs facteurs.

Par exemple, un responsable AppSec identifiera un problème et demandera au développeur : « Pouvez-vous corriger le code ? ». La réponse à cette question importante varie d'une organisation à l'autre, mais en général, le développeur est tellement sollicité pour respecter les sprints stricts de fourniture de fonctionnalités qu'il n'a tout simplement pas le temps de résoudre ces problèmes, ni les outils adéquats pour les aider. Les professionnels de la sécurité des applications eux-mêmes sont peut-être en mesure d'identifier les vulnérabilités, mais ils n'ont souvent pas les compétences et/ou l'accès nécessaires pour y remédier sur place.

Nous devons également prendre conscience que pour chaque problème, il est nécessaire de trouver une solution, de la mettre en œuvre, puis de la tester. Même pour le moindre problème détecté dans le code, le temps nécessaire pour le résoudre, sans parler des ressources requises, est considérable. Plus de 700 vulnérabilités peuvent être introduites dans les logiciels, et il est tout simplement impossible pour une seule personne de pouvoir se défendre contre toutes ces vulnérabilités. C'est pour cette raison que la plupart des entreprises s'en tiennent uniquement au Top 10 de l'OWASP. Pendant ce temps, les développeurs continuent de créer des fonctionnalités et, à leur tour, d'introduire des vulnérabilités dans le code qu'ils écrivent.

Quelle est la solution ?

Le fait est que nous ne fournissons pas à nos développeurs les outils et la formation nécessaires pour favoriser le succès du codage sécurisé. Aucune réglementation n'oblige les entreprises à s'assurer que les développeurs possèdent les compétences adéquates en matière de sécurité, et la réalité est que la plupart des universités et des stages ne préparent pas non plus les développeurs débutants à coder en toute sécurité.

Lorsqu'une personne souhaite piloter un avion, il existe un processus très rigoureux qui garantit une formation, une expérience pratique, des contrôles médicaux, des connaissances en matière de sécurité et des examens avant de pouvoir voler. Personne n'oserait imaginer qu'il serait autorisé à voler sans cette préparation approfondie et cette validation des compétences, mais c'est ce qui se produit quotidiennement avec l'écriture de code.

Il est essentiel de consacrer du temps à former les développeurs à l'écriture de code sécurisé. Cependant, dans le monde actuel, où le développement de logiciels est rapide et où les développeurs et professionnels de la sécurité compétents sont rares, cela ne semble jamais être une priorité. Il est temps de changer de perspective.

Un titre récent du Forum économique mondial a souligné : « Il ne peut y avoir d'économie numérique sans sécurité », avec le contenu qui l'accompagne faisant valoir la nécessité de placer la sécurité au cœur de toute stratégie de transformation numérique. « La sécurité est ce qui protège les entreprises, leur permet d'innover et de créer de nouveaux produits et services. Au-delà d'un rôle défensif, la sécurité procure aux entreprises un avantage stratégique en termes de croissance. »

L'amélioration des compétences et des résultats en matière de codage sécurisé renforcera considérablement la cyberprotection des organisations, les aidant à créer un code plus efficace et plus rapide. Les développeurs n'ont pas besoin de devenir des experts en sécurité, mais ils doivent être habilités de manière positive et pratique pour constituer la première ligne de défense contre les cyberattaques. Les développeurs peuvent devenir les prochains héros de la sécurité et de l'innovation. Ce sont des personnes très intelligentes, elles savent résoudre les problèmes de manière créative et souhaitent généralement développer leurs compétences. Tirez parti de leurs points forts grâce à la formation spécialisée qu'ils méritent et engagez-vous à respecter des normes de sécurité logicielle plus strictes. Veuillez consulter notre livre blanc pour en savoir plus.

Lorsqu'une personne souhaite piloter un avion, il existe un processus très rigoureux qui garantit une formation, une expérience pratique, des contrôles médicaux, des connaissances en matière de sécurité et des examens avant de pouvoir voler. Personne n'oserait imaginer qu'il serait autorisé à voler sans cette préparation approfondie et cette validation des compétences, mais c'est ce qui se produit quotidiennement avec l'écriture de code.

Il existe de nombreuses références à la culture pop à des IA et à des robots malhonnêtes, ainsi qu'à des appareils qui s'en prennent à leurs maîtres humains. Ce concept est fortement imprégné de science-fiction et de fantasy, mais l'IoT et les appareils connectés étant de plus en plus répandus dans nos foyers, il devrait en être de même pour les discussions sur la cybersécurité et la sécurité. Les logiciels sont omniprésents et il est très facile d'oublier à quel point nous dépendons des lignes de code pour effectuer toutes ces tâches intelligentes qui nous apportent tant d'innovation et de commodité. Tout comme les logiciels Web, les API et les appareils mobiles, le code vulnérable des systèmes embarqués peut être exploité s'il est découvert dans la nature par un attaquant.

Bien qu'il soit peu probable qu'une armée de micro-ondes vienne asservir l'humanité (même si le robot Tesla est quelque peu préoccupant), des cyberattaques et des cyberévénements malveillants restent toujours possibles. Certaines de nos voitures, avions et dispositifs médicaux s'appuient également sur un code de systèmes intégrés complexe pour effectuer des tâches clés, et la perspective que ces objets soient compromis est non seulement alarmante, mais potentiellement mortelle.

À l'instar de tous les autres types de logiciels, les développeurs sont parmi les premiers à manipuler le code, dès le début de la phase de création. Et comme tout autre type de logiciel, celui-ci peut être à l'origine de vulnérabilités insidieuses et courantes qui pourraient passer inaperçues avant la mise en service du produit.

Les développeurs ne sont pas des experts en sécurité et aucune entreprise ne devrait s'attendre à ce qu'ils assument ce rôle, mais ils peuvent être dotés d'un arsenal bien plus puissant pour faire face au type de menaces qui les concernent. Les systèmes embarqués, généralement écrits en C et C++, seront de plus en plus fréquemment utilisés à mesure que nos besoins technologiques continueront d'évoluer, et une formation spécialisée en sécurité pour les développeurs sur les outils de cet environnement est essentielle.

Des friteuses à air qui explosent, des véhicules malhonnêtes... Sommes-nous des canards assis ?

Bien qu'il existe certaines normes et réglementations relatives au développement sécurisé, pour garantir notre sécurité, nous devons réaliser des progrès plus précis et significatifs en matière de sécurité logicielle sous tous ses aspects. Il peut sembler exagéré de penser à un problème pouvant être causé par le piratage d'une friteuse à air, mais cela s'est produit sous la forme d'une attaque par exécution de code à distance (permettant à l'auteur de la menace d'élever la température à des niveaux dangereux), tout comme les vulnérabilités conduisant à des prises de contrôle de véhicules.

Les véhicules, en particulier, sont particulièrement complexes, car ils sont équipés de multiples systèmes intégrés, chacun prenant en charge des microfonctions, des essuie-glaces automatiques aux capacités du moteur et du freinage. Associé à un ensemble croissant de technologies de communication telles que le Wi-Fi, le Bluetooth et le GPS, le véhicule connecté représente une infrastructure numérique complexe exposée à de multiples vecteurs d'attaque. Et avec 76,3 millions de véhicules connectés qui devraient circuler dans le monde d'ici 2023, cela représente un monolithe de bases défensives à poser pour une véritable sécurité.

MISRA est une organisation de premier plan qui lutte efficacement contre les menaces liées aux systèmes embarqués, ayant élaboré des directives visant à faciliter la sûreté, la sécurité, la portabilité et la fiabilité du code dans le contexte des systèmes embarqués. Ces directives constituent la pierre angulaire des normes que chaque entreprise doit respecter dans le cadre de ses projets de systèmes embarqués.

Toutefois, pour créer et exécuter du code conforme à cette norme de référence, il est nécessaire de disposer d'ingénieurs en systèmes embarqués qui ont confiance en ces outils, sans mentionner leur niveau de sécurité.

Pourquoi le renforcement des compétences en matière de sécurité des systèmes embarqués revêt-il une telle spécificité ?

Les langages de programmation C et C++ sont considérés comme anciens selon les normes actuelles, mais restent largement utilisés. Ils constituent le cœur fonctionnel de la base de code des systèmes embarqués, et Embedded C/C++ bénéficie d'une vie moderne et brillante dans le monde des appareils connectés.

Bien que ces langages aient des racines assez anciennes et présentent des comportements de vulnérabilité similaires en termes de problèmes courants tels que les failles d'injection et le dépassement de la mémoire tampon, pour que les développeurs réussissent réellement à atténuer les bogues de sécurité des systèmes embarqués, ils doivent se familiariser avec un code imitant les environnements dans lesquels ils travaillent. Une formation générique en C sur les pratiques générales de sécurité ne sera tout simplement pas aussi efficace et mémorable que si vous consacriez plus de temps et d'attention à travailler dans un contexte C intégré.

Avec une douzaine à plus d'une centaine de systèmes intégrés dans un véhicule moderne, il est impératif que les développeurs reçoivent une formation précise sur ce qu'il faut rechercher et comment y remédier, directement dans l'IDE.

La protection des systèmes embarqués depuis le rez-de-chaussée relève de la responsabilité de tous.

Dans de nombreuses organisations, le statu quo est que la rapidité du développement prime sur la sécurité, du moins en ce qui concerne la responsabilité des développeurs. Leur capacité à produire du code sécurisé est rarement évaluée, mais le développement rapide de fonctionnalités innovantes constitue la référence absolue. La demande en logiciels ne fera qu'augmenter, mais cette culture nous a préparés à une bataille perdue contre les vulnérabilités et les cyberattaques qu'elles permettent.

Si les développeurs ne sont pas formés, cela n'est pas de leur responsabilité, et il s'agit d'une lacune qu'un membre de l'équipe AppSec doit contribuer à combler en recommandant des programmes de renforcement des compétences adaptés et accessibles (pour ne pas dire évaluables) à l'ensemble de la communauté des développeurs. Dès le début d'un projet de développement logiciel, la sécurité doit être une priorité, et chacun, en particulier les développeurs, doit disposer des ressources nécessaires pour remplir son rôle.

Résoudre les problèmes de sécurité des systèmes embarqués

Le dépassement de la mémoire tampon, les failles d'injection et les bogues de logique métier sont des pièges courants dans le développement de systèmes embarqués. Nichés au cœur d'un labyrinthe de microcontrôleurs dans un seul véhicule ou appareil, ils peuvent avoir des conséquences graves en matière de sécurité.

Le débordement de mémoire tampon est particulièrement fréquent, et si vous souhaitez en savoir plus sur la façon dont cela a contribué à compromettre la friteuse à air dont nous avons parlé précédemment (permettant l'exécution de code à distance), veuillez consulter ce rapport sur CVE-2020-28592.

Il est maintenant temps de se familiariser avec une vulnérabilité de débordement de mémoire tampon, dans un véritable code C/C++ intégré. Relevez ce défi pour voir si vous pouvez localiser, identifier et corriger les mauvais modèles de codage à l'origine de ce bogue insidieux :

Comment avez-vous réussi ? Veuillez consulter www.securecodewarrior.com pour une formation précise et efficace sur la sécurité des systèmes embarqués.

Cet article a été initialement publié sur DevOps.com. Il a été mis à jour et modifié.

Tout comme « blockchain », « big data » et « disruption numérique », le terme « DevOps » est un autre terme à la mode actuellement utilisé dans les services informatiques des grandes entreprises.

De nombreux professionnels ont correctement identifié la nécessité d'accélérer le cycle de vie du développement logiciel ; un processus plus précis, étroitement aligné sur les objectifs commerciaux, permettant un flux de travail plus clair et une collaboration entre les équipes chargées du développement et des opérations. DevOps est essentiellement un développement « agile », conçu et prêt à répondre aux besoins en constante innovation et en déploiement rapide des entreprises modernes. Pour les professionnels de la sécurité, il s'agit d'une initiative remarquable : nous pouvons intégrer la sécurité dans le processus beaucoup plus tôt, ce qui réduit le coût de la correction des bogues et évite toute catastrophe potentielle en cours de route.

Le problème est que peu d'entreprises parviennent réellement à mettre en œuvre DevOps. Sans le soutien, les encouragements et la compréhension appropriés au sein de l'entreprise, celle-ci peut rapidement devenir un projet inefficace... vous savez, l'un de ces projets dont on préfère ne pas parler.

Alors, quel est le problème ? C'est une discussion intéressante, et il existe plusieurs manières d'aborder DevOps qui, je pense, faciliteront la navigation. Un programme efficace ne se limite pas à quelques nouveaux outils, titres et réunions d'équipe sophistiquées. Cela ne sera pas toujours facile, mais prendre le temps de corriger une stratégie défaillante (ou de la mettre en œuvre de la bonne manière dès le début) sera beaucoup moins pénible à long terme. En fin de compte, cela se traduira par des logiciels de meilleure qualité et plus sécurisés.

Analysons-le :

Veuillez relâcher les cordons du tablier « Agile ».

Il existe une idée fausse selon laquelle une organisation doit choisir entre Agile ou DevOps, en se fixant une voie ou une autre, pour ne jamais revenir en arrière.

Le fait est que le processus de développement fonctionne mieux lorsque les deux sont considérés et mis en œuvre comme un seul. DevOps n' est pas une réinvention du développement Agile ; il s'agit plutôt d'une extension de celui-ci. Les roues ont tendance à tomber lorsque l'on s'attend à ce que le processus soit exactement comme Agile, ou complètement différent de Agile.

Agile soutient le principe des équipes interfonctionnelles, en réunissant les concepteurs, les testeurs et les développeurs dès le début et en s'engageant à ouvrir des lignes de communication tout au long d'un projet. Son objectif est de mettre fin à la livraison cloisonnée et de réduire la double gestion, deux avantages du processus DevOps. Cependant, DevOps va encore plus loin en intégrant les systèmes, la sécurité et les opérations dans le mix afin d'offrir un ensemble de compétences robustes de bout en bout dont l'objectif ultime est de fournir des logiciels complets et fonctionnels au client.

Lors des inévitables difficultés liées au passage à un processus davantage centré sur DevOps, le risque d'un développement cloisonné peut réapparaître. Il arrive souvent que l'équipe Agile d'origine travaille ensemble, tandis que les éléments supplémentaires liés à la sécurité et aux opérations trouvent toujours leur place dans la structure ; cependant, il n'y a pas de consensus sur la manière de les inclure, sur ce qu'ils doivent accomplir et sur leurs objectifs généraux.

DevOps ne peut fonctionner sans objectifs clairement définis, une intégration interfonctionnelle et une communication directe avec toutes les parties. Il y aura une période d'adaptation qui exigera une gestion minutieuse du changement, bien entendu, mais mettre tout le monde sur la même longueur d'onde grâce aux améliorations apportées par les fonctionnalités DevOps représente la moitié du chemin.

De plus en plus (Dieu merci), DevOps met également l'accent sur les meilleures pratiques de sécurité dans le cadre du processus, démystifiant cette étape et comblant le fossé entre l'équipe de sécurité et, enfin, les autres. Comme je l'ai déjà mentionné, il nous reste encore un long chemin à parcourir pour permettre aux développeurs de coder en toute sécurité dès le départ, mais la mise en œuvre réussie des méthodologies DevOps constitue une excellente base sur laquelle les compétences en matière de sécurité peuvent être renforcées au sein de l'équipe de développement.

L'automatisation n'est pas la solution unique (et ce n'est pas la solution la plus sûre).

Une autre caractéristique de la méthodologie DevOps est, dans une certaine mesure, l'automatisation du processus de développement logiciel. Les principes d'intégration continue et de livraison continue (CI/CD) sont les fondements de ce concept et, comme vous pouvez probablement le deviner, dépendent largement des outils.

Les outils sont remarquables, ils le sont vraiment. Ils peuvent apporter une rapidité sans précédent au processus de livraison des logiciels, en gérant le référentiel de code, les tests, la maintenance et les éléments de stockage avec une facilité relativement fluide.

Cependant, bien que les robots puissent prendre tous nos emplois et nous emprisonner un jour, ils n'en sont certainement pas encore là. La forte dépendance à l'égard des outils et de l'automatisation laisse la porte ouverte aux erreurs. Les analyses et les tests peuvent ne pas tout détecter, le code peut ne pas être vérifié, ce qui entraîne d'énormes problèmes de qualité (sans parler de sécurité) à terme. Un attaquant n'a besoin que d'une seule porte dérobée à exploiter pour voler des données, et le fait de renoncer à l'élément humain dans le contrôle de la qualité et de la sécurité peut avoir des conséquences désastreuses.

Le « juste milieu » consiste à vous assurer d'avoir un équilibre entre les personnes et les outils. Les outils doivent servir d'assistants à une équipe en qui vous avez confiance pour atteindre les objectifs du projet. Vous devez :

• Veuillez prévoir suffisamment de temps pour permettre aux utilisateurs de se familiariser avec la chaîne d'outils DevOps choisie.
• Concentrez-vous sur une collaboration efficace (et sur la manière dont les outils peuvent y contribuer)
• Comblez toutes les lacunes du processus, qu'elles soient liées aux compétences, aux connaissances ou aux outils.

En résumé, il est important de ne pas se contenter de se doter des outils nécessaires et d'espérer que tout se passera bien.

DevOps n'est pas un terme à la mode, c'est une culture. Cultivez-vous la vôtre ?

La gestion du changement est difficile dans le meilleur des cas. La crainte de l'inconnu peut empêcher même les membres les plus brillants de l'équipe de développer leurs compétences et d'élargir leurs horizons. L'

. Vous voyez, le simple fait de dire « Adoptons DevOps » et de déplacer les bureaux de l'équipe des opérations ne suffira pas à mettre en œuvre un processus réussi comme par magie. Beaucoup seront perplexes et les membres de longue date de l'équipe seront mécontents. Il est essentiel de communiquer clairement les attentes et de « joindre le geste à la parole ». Le DevOps représente autant un mouvement culturel qu'une méthodologie de développement, et une équipe doit incarner et respirer un état d'esprit interfonctionnel et collaboratif.

À quoi ressemble une bonne culture DevOps ?

• Les individus sont habilités à apporter leur expertise à un processus, et pas seulement aux dirigeants.
• Communication ouverte, honnête et respectueuse entre les équipes
• Chaque personne est responsable de l'objectif global qui consiste à intégrer la qualité et la sécurité dans le processus de développement.
• Tout le monde partage la même vision en ce qui concerne la définition du DevOps au sein de l'entreprise, la feuille de route et le comment/quoi/pourquoi du rôle de chacun.

Depuis plusieurs années, je souligne l'importance de créer une culture de sécurité positive au sein des équipes de développement, et DevOps ne fait pas exception à cette règle.

Les outils, les connaissances et le soutien appropriés sont essentiels pour appliquer les meilleures pratiques en matière de sécurité, constater une diminution des vulnérabilités découvertes et faire comprendre à l'équipe l'importance de protéger nos données. Avec DevOps, il est nécessaire de jeter les bases culturelles d'un changement positif : s'assurer que chacun comprend son rôle, sa valeur et ses attentes, les objectifs généraux du projet et les étapes du processus.

L'avez-vous maîtrisé ? Excellent. Maintenant, changeons les choses, améliorons l'aspect sécurité et faisons de DevSecOps le plan ultime en matière d'excellence logicielle.

Ennuyeux, ennuyeux, ennuyeux ! C'est l'une des principales réponses que vous entendrez de la part des développeurs chaque fois qu'une formation au code sécurisé est mentionnée. Chez Secure Code Warrior, nous pensons qu'il doit y avoir une meilleure solution. Nous avons donc fait appel à Evans Data Corp. pour mener des recherches primaires sur les attitudes des développeurs à l'égard du codage sécurisé, des pratiques de code sécurisées et des opérations de sécurité (téléchargez votre copie du livre blanc). ici).

Dans le livre qui sera publié prochainement, intitulé « Passer de la réaction à la prévention : le nouveau visage de la sécurité des applications », les développeurs ont été interrogés sur leurs principaux problèmes liés à la formation actuelle au code sécurisé, et la réponse s'est avérée révélatrice.

Une formation qui dévalorise les développeurs

40 % des développeurs interrogés ont estimé que le codage sécurisé est enseigné de manière abstraite. 40 % ont estimé que la formation était trop théorique, qu'elle n'était pas liée à leur travail et qu'elle n'était pas suffisamment « pratique ». 30 % ont identifié un manque de formation dans le cadre linguistique dans lequel ils travaillent quotidiennement. Ceci est préoccupant car cela indique que la formation actuelle au codage sécurisé n'est pas pertinente d'un point de vue contextuel et n'a aucun lien significatif avec les activités quotidiennes des développeurs.

Pour de nombreux développeurs, le principal défi consiste à rester vigilant lors d'activités paralysantes qui ne sont pas efficaces et qui ne les incitent pas à placer la sécurité au cœur de leurs préoccupations .

La formation en vase clos empêche les développeurs d'établir les liens cognitifs entre le laboratoire et le monde réel.

Trois aspects que les développeurs attendent d'une formation au code sécurisé :

1. La plupart des développeurs indiquent qu'ils souhaitent une formation plus pratique et mieux adaptée au contexte de leur travail quotidien.
2. 65 % des développeurs indiquent qu'une formation complémentaire est nécessaire sur les vulnérabilités spécifiques au langage et le Top 10 de l'OWASP.
3. 75 % des développeurs interrogés préfèrent une formation structurée en cours d'emploi.

Une formation qui favorise le développement des développeurs

En matière de formation en cours d'emploi, les développeurs apportent un certain niveau d'expérience et de connaissances existantes. Cela met en évidence la nécessité d'un apprentissage structuré. Il s'agit d'une formation structurée — ou échafaudée — pour s'appuyer sur ce que le développeur sait déjà. L'enseignement par échafaudage active et améliore à la fois toute expérience antérieure tout en continuant à acquérir de nouvelles compétences par petites étapes. Cela en fait le moyen idéal pour l'apprentissage en cours d'emploi.

Transmettre des compétences durables

En matière de formation à la sécurité des développeurs, nous sommes conscients que ces derniers préfèrent la méthode de l'apprentissage par la pratique à l'apprentissage statique basé sur la théorie. Dans ce sens, il est essentiel d'apprendre à coder en toute sécurité dans un environnement contextuel pertinent. En tant que champion du changement en matière de codage sécurisé, Secure Code Warrior une formation contextuelle et pratique dans les langages de programmation et les frameworks pertinents, avec des défis similaires à ceux auxquels les développeurs sont confrontés dans le monde réel. Le contenu pédagogique comprend plus de 5 500 défis et missions plus de 147 types de vulnérabilités différentes, dont les très importantes Top 10 OWASP, OWASP Mobile Top 10, OWASP API Security Top 10 et CWE/SANS Top 25.

Si vous souhaitez évaluer l'impact potentiel sur vos équipes et leur capacité à fournir du code sécurisé plus rapidement, veuillez réserver une démonstration dès maintenant.

Partout dans le monde, les entreprises se transforment. L'accent étant mis sur les activités axées sur le numérique, il est juste de dire que la plupart des organisations sont en fait des éditeurs de logiciels. Les grandes entreprises comptent d'énormes équipes de développement parmi leur personnel, chargées de développer et de déployer en permanence des fonctionnalités dans un environnement DevOps agile. Cette offre de fonctionnalités doit suivre le rythme de l'innovation et des attentes des clients. Trop souvent, la sécurité est donc perçue comme un obstacle plutôt que comme une nécessité. Cependant, étant donné que notre dépendance à l'égard des logiciels n'a jamais été aussi élevée (et, par conséquent, notre exposition aux failles et aux risques potentiels en matière de cybersécurité), ce scénario ne peut pas se poursuivre.

Les équipes de sécurité ne s'agrandissent pas, et même si elles le pouvaient, l'expertise est rare. Des ratios de 1:100 et plus ne sont tout simplement pas suffisants ; les experts en sécurité propriétaires ne peuvent pas être considérés comme la seule solution pour contrer le problème des cybermenaces.

Notre webinaire, présenté par Stephen Allor, directeur de Secure Code Warrior Amériques), et Russ Wolfe, doyen de la cybersécurité chez Capital One, explore en profondeur les défis actuels auxquels DevOps est confronté et les mesures prises par les institutions financières telles que Capital One pour impliquer et améliorer les compétences de leurs équipes de développement en matière de codage sécurisé, en favorisant efficacement une culture de sécurité positive et en réussissant à « basculer vers la gauche ».

Vous découvrirez :

• Si vous rencontrez des lacunes dans vos connaissances en matière de sécurité
• Pourquoi la sécurité était plus robuste il y a des décennies qu'aujourd'hui
• L'approche traditionnelle de la sécurité des applications en tant que simple « case à cocher » de conformité, et pourquoi elle est au mieux superficielle
• La raison pour laquelle les évaluations de la qualité des applications doivent inclure la sécurité dans le cadre de l'évaluation de la qualité ; une application non sécurisée ne peut pas être considérée comme de haute qualité, quelles que soient sa conception ou ses fonctionnalités.
• Pourquoi le secteur n'a pas intégré la sécurité logicielle dans l'état d'esprit et la culture du développeur moyen (et pourquoi cela doit changer)
• Comment le manque de compétences partagées en matière de codage sécurisé conduit à l'apparition répétée des mêmes vulnérabilités
• Pourquoi les outils d'analyse des applications ne détectent pas toutes les vulnérabilités et pourquoi il est préférable de les éviter en faisant appel à des ingénieurs/développeurs sécurisés suffisamment formés
• Le problème de l'augmentation des vulnérabilités des logiciels et sa cause principale
• Pourquoi est-ce l'approche, et non l'étudiant, qui doit évoluer pour que les risques soient réellement réduits ?
• Pourquoi la plupart des formations en matière de sécurité ne tirent pas parti des points forts des développeurs et du type de formation dont ils ont besoin pour exceller
• Les raisons pour lesquelles la conformité et les attentes en matière de développement du génie logiciel sont moins élevées que dans d'autres branches de l'ingénierie, et comment nous sommes les pionniers de la solution à cet égard.
• Comment Russ Wolfe et son équipe de Capital One ont conçu un programme de certification autour d'une formation ludique et interactive qui permet aux développeurs de rester engagés, d'apprendre avec du code source réel et d'atteindre des objectifs de référence en matière de meilleures pratiques de sécurité.
• Comment ce programme de certification favorise la participation, la rétention de l'information et la formation continue
• Comment les incitations aident les développeurs à passer d'un niveau de formation à un autre, à améliorer leurs compétences rapidement et conformément à la politique de sécurité clé
• Comment les évaluations contribuent à identifier les champions de la sécurité et à stimuler l'engagement en matière de formation.

Nous vous invitons à visionner notre webinaire à la demande dès maintenant et à découvrir les avantages d'une transition vers la gauche et de la fourniture aux développeurs des outils et des connaissances nécessaires pour coder en toute sécurité dès le départ, en mettant l'accent sur les pratiques de sécurité positives.

Découvrez comment des institutions financières telles que Capital One impliquent et améliorent les compétences de leurs équipes de développement en matière de codage sécurisé, en favorisant efficacement une culture de sécurité positive et en réussissant à « basculer vers la gauche ».

Le nombre croissant d'attaques de cybersécurité, ainsi que leur sophistication accrue, ont entraîné des changements dans tous les secteurs et industries du monde entier. Tout le monde s'efforce de « basculer vers la gauche », en sécurisant tous ses processus et procédures le plus tôt possible. Cette situation a même favorisé l'émergence de mouvements entièrement nouveaux destinés à améliorer les cyberdéfenses, tels que DevSecOps, où la sécurité est intégrée au cœur même de la création de nouveaux logiciels et applications.

Bon nombre de ces changements se font sentir au sein de la communauté des développeurs. Étant donné qu'ils sont ceux qui créent, écrivent et codent les nouveaux logiciels et applications, il semble judicieux de leur demander d'adopter des pratiques de codage plus sécurisées. Après tout, il n'est pas possible d'aller plus loin vers la gauche que lorsque de nouvelles applications sont créées pour la première fois.

Cependant, quelle est la perception de la communauté des développeurs concernant cette responsabilité ? Auparavant évalués presque exclusivement en fonction de leur rapidité à coder, que pensent aujourd'hui les développeurs de leur nouveau rôle en tant que champions de la sécurité ? Ont-ils le sentiment que la direction de leur entreprise soutient ces efforts en proposant une formation de qualité, de meilleures récompenses et la reconnaissance qu'ils méritent pour avoir assumé cette nouvelle responsabilité essentielle ?

Pour la deuxième année consécutive, nous avons collaboré avec Evans Data Corp. afin de mener une enquête approfondie auprès de la communauté mondiale des développeurs concernant les compétences, les perceptions et les comportements en matière de pratiques de codage sécurisées, ainsi que leur impact et leur pertinence perçus sur le cycle de vie du développement logiciel (SDLC). Les résultats se sont révélés assez surprenants à bien des égards.

État de l'enquête de sécurité menée par les développeurs en 2022

L'enquête Secure Code Warrior l'état de la sécurité pilotée par les développeurs a été menée par Evans Data Corp en décembre 2021. Des questions sur le codage des logiciels, la sensibilisation à la sécurité, la formation, l'assistance, les motivations et d'autres sujets ont été posées à 1 200 développeurs de logiciels actifs travaillant dans la région Asie-Pacifique, en Europe et en Amérique du Nord. L'enquête a été réalisée en anglais et traduite si nécessaire afin d'obtenir une perspective globale précise. Parmi les personnes interrogées figuraient des développeurs qui créent de nouvelles applications ainsi que des responsables issus de la communauté des développeurs.

Quelques découvertes surprenantes

Un livre blanc détaillé (Les défis (et opportunités) liés à l'amélioration de la sécurité logicielle) et un rapport (L'état de la sécurité pilotée par les développeurs, 2022) qui abordent tous les aspects de l'enquête seront publiés le lundi 11 avril. Le livre blanc comprend notre analyse des résultats et des préoccupations soulevées par la communauté concernant les pratiques de codage sécurisées, ainsi que des recommandations aux organisations pour donner aux équipes de développeurs les moyens d'améliorer la sécurité des logiciels.

Certains de ces défis sont susceptibles de soulever des questions pour tous ceux qui collaborent avec des développeurs au sein de leur organisation, ainsi que pour ceux qui font eux-mêmes partie de la communauté du développement. Ils l'ont certainement fait pour nous.

Par exemple, seulement 14 % des personnes interrogées ont indiqué que la sécurité des applications était une priorité absolue aujourd'hui. Au lieu de cela, les indicateurs plus traditionnels tels que les performances des applications et la hiérarchisation des caractéristiques et fonctionnalités sont restés au centre de leurs préoccupations.

La sécurité était considérée comme une priorité si peu importante que 67 % des développeurs interrogés ont admis qu'ils laissaient régulièrement des vulnérabilités et des exploits connus dans leur code. Ils ont agi ainsi soit en raison de délais serrés, en privilégiant la fonctionnalité plutôt que la sécurité, soit parce qu'ils ne disposaient tout simplement pas de la formation ou des connaissances nécessaires pour résoudre les problèmes de sécurité.

Dans de nombreux cas, les développeurs ont indiqué que leur organisation ne définissait pas ce qui constituait un code sécurisé et ne fournissait pas de formation ou de soutien adéquats pour remédier à cette situation.

Cependant, malgré certains résultats négatifs, il était également évident que les attitudes étaient en train de changer. La grande majorité des développeurs (66 %) s'attendaient à ce que la sécurité devienne une priorité au cours des 12 à 18 prochains mois, tandis que 82 % des responsables du recrutement qui ont répondu à l'enquête ont exprimé leur intérêt à recruter des développeurs qui s'y connaissent en sécurité plutôt que ceux qui ne le savent pas.

Il ressort clairement des résultats de l'enquête que la communauté des développeurs et les organisations avec lesquelles ils collaborent sont confrontées à des changements considérables, mais les plans pour l'avenir à court et à long terme se dessinent également rapidement.

Veuillez rester attentif à la publication du livre blanc et du rapport détaillant les résultats complets de l'enquête, ainsi que les commentaires d'experts sur les défis liés aux pratiques actuelles de codage sécurisé et les opportunités que les entreprises peuvent saisir pour améliorer les compétences des développeurs en matière de sécurité et, en fin de compte, la sécurité logicielle.

Veuillez consulter le Secure Code Warrior des pages de blog pour en savoir plus sur la cybersécurité, le paysage des menaces de plus en plus dangereuses, et pour découvrir comment vous pouvez utiliser des technologies innovantes et des formations afin de mieux protéger votre organisation et vos clients.

‍

Au cours des dernières années, de nombreux aspects ont été sacrifiés au profit de la rapidité de mise sur le marché, notamment la sécurité des réseaux, des téraoctets de données clients sensibles et la réputation inestimable des marques. La pression intense exercée pour accélérer la publication de nouvelles fonctionnalités a conduit à la création d'équipes complexes et distribuées, concentrées sur un développement rapide, peu conscientes des vulnérabilités qu'elles pourraient créer ou des risques considérables. Plus que jamais, une nouvelle façon de travailler s'impose. Ainsi, en 2020, Secure Code Warrior engagé avec Evans Data Corp. pour mener des recherches primaires* sur les attitudes des développeurs et de leurs responsables à l'égard du codage sécurisé, des pratiques de code sécurisées et des opérations de sécurité (Téléchargez votre copie du livre blanc) ici).

Indicateurs de performance pour la réussite des projets : quelle est la place de la sécurité ?

Les développeurs et les responsables considèrent qu'il est important de disposer d'un code sécurisé, mais pas aussi important que d'autres facteurs. Lorsque nous avons interrogé les développeurs et les responsables sur les priorités les plus critiques du processus de développement logiciel :

• 76 % des performances des applications sélectionnées
• 62 % ont sélectionné des caractéristiques et des fonctionnalités
• Et un peu plus de 50 % de code sécurisé sélectionné
  

Par rapport à d'autres indicateurs de performance liés à la réussite des projets, le codage sécurisé occupe actuellement la troisième place.

À l'heure actuelle, et cela n'est peut-être pas surprenant, les développeurs évaluent le succès d'un projet sur la base d'indicateurs de performance qui n'évaluent le code qu'une fois le projet terminé.

Cependant, lorsqu'on leur demande comment cela pourrait évoluer à l'avenir, la situation change. La façon dont les entreprises considèrent la sécurité comme un indicateur de réussite est en train de changer. Le codage sécurisé devient une priorité de plus en plus importante.

Interrogés sur les priorités les plus critiques pour mesurer la réussite des projets à l'avenir, 79 % des personnes interrogées conviennent que le codage sécurisé prendra de plus en plus d'importance. Ce qui est frappant, c'est qu'un pourcentage plus important voit l'importance de la sécurité à l'avenir augmenter plus que celle de tout autre indicateur de performance. Le codage sécurisé est de plus en plus connu, tout comme le mouvement vers la « gauche ». De par sa nature même, la pratique du codage sécurisé implique la prise en compte de la sécurité bien plus tôt dans le SDLC. Cela signifie qu'il faut intégrer activement la sécurité dans le logiciel tel qu'il est écrit, dès le départ, au lieu de s'en remettre à plus tard.

Alors que les DSI s'efforcent de rendre leurs organisations plus agiles, les capacités de codage sécurisées deviendront un atout essentiel pour l'innovation. Les DSI et les RSSI devraient sérieusement réfléchir à la question de savoir si leurs équipes de développement constituent la première ligne de risque ou leur première ligne de défense.

Ces informations ont des implications cruciales pour la manière dont les organisations forment leurs développeurs. Les équipes doivent se renseigner sur les vulnérabilités récemment identifiées et apprendre dans leurs propres langages/frameworks. En résumé, elles doivent comprendre comment localiser, identifier et corriger les vulnérabilités connues dans le code dans le contexte dans lequel elles travaillent quotidiennement.

En tant que champion du changement en matière de codage sécurisé, Secure Code Warrior une approche dirigée par l'homme qui incite activement les développeurs à apprendre et à développer leurs compétences en matière de codage sécurisé. Si vous souhaitez voir l'impact potentiel sur la capacité de vos équipes à démarrer à gauche et à envoyer du code sécurisé plus rapidement sans compromettre la sécurité, veuillez réserver une démonstration dès maintenant.

‍

Passer de la réaction à la prévention : le nouveau visage de la sécurité des applications. Secure Code Warrior Evans Data Corp. 2020