開発者主導型セキュリティのROI
Le coût d'un mauvais code
Grâce aux progrès technologiques, les développeurs peuvent désormais livrer leur code plus rapidement que jamais. Cela peut être stimulant pour l'innovation, mais décourageant lorsqu'il s'agit d'augmenter la qualité et la sécurité des logiciels. Justifier les coûts des outils supplémentaires, des programmes de formation et de l'investissement dans la mise à niveau des développeurs peut sembler être un bienfait plutôt qu'une fonction essentielle de l'entreprise si la vitesse du code livré est maintenue.
L'envoi de code plus rapide est peut-être devenu plus facile, mais malheureusement l'envoi de code sécurisé ne l'est pas, ce qui laisse les organisations vulnérables à plus de menaces que jamais. Le coût de la cybercriminalité est stupéfiant dans le monde entier, et il augmente rapidement. En fait, en 2020, le coût de la cybercriminalité s'élevait à environ 1 000 milliards de dollars. En moyenne, le coût d'une violation de données s'élève à 4,35 millions de dollars, répartis entre la perte de clientèle actuelle et potentielle, ainsi que les ressources consacrées à la détection, à l'escalade et à la reprise du travail.
Malgré ces coûts astronomiques, plus de la moitié des entreprises n'exigent pas des développeurs qu'ils suivent chaque année une formation formelle sur le code sécurisé.
Les professionnels de la sécurité savent tous que la recherche et la correction des vulnérabilités peuvent s'apparenter à un jeu de bonneteau. Même si vous disposez déjà d'un programme de sécurité assorti d'une stratégie de remédiation, il y a toujours une possibilité d'amélioration. La plupart des organisations constatent que lorsque leur capacité de sauvegarde ou de reprise après sinistre est mise à l'épreuve, leur approche de la sécurité n'est pas aussi solide qu'elles le pensaient. Si le renforcement de la résilience de votre organisation face aux cyberattaques est l'une de vos principales priorités, le changement de perspective laissé à vos développeurs devrait faire partie de vos plans pour continuer à améliorer votre posture de sécurité. Une équipe de développeurs compétents et responsabilisés, qui conçoivent des codes sécurisés dès le départ et qui sont suffisamment informés pour localiser et corriger rapidement les vulnérabilités, est votre moyen le plus rentable d'atténuer les risques.
Une idée fausse en matière de formation des développeurs est qu'il s'agit simplement d'un coût pour l'entreprise ou même d'une police d'assurance. Selon Klaus Klinger, DevSec Awareness Evangelist chez Allianz, "Tout doit commencer dans la tête de la direction. Investir dans la formation des développeurs n'est pas un investissement perdu, mais un investissement dans la qualité, la productivité et la réputation de l'entreprise".
Le retour sur investissement est souvent difficile à quantifier dans ce domaine, mais en fin de compte, les entreprises devraient se demander comment leur dispositif de sécurité les aide à réduire les risques, à rationaliser leur approche et à faire gagner du temps et de la productivité à leurs équipes de développeurs.
Comment quantifier le retour sur investissement des coûts de cybersécurité ?
Lorsqu'il s'agit de retour sur investissement, il est important de l'envisager sous deux angles différents : les économies réalisées grâce à la réduction des risques et l'impact de votre formation en matière de sécurité.
Prenons cet exemple trop courant : une vulnérabilité ou une brèche entraîne la mise hors ligne d'un site de commerce électronique pendant plusieurs jours, le temps que ses équipes recherchent le problème et la manière de le résoudre. Le coût de l'absence de remédiation peut être quantifié en termes de perte de revenus pendant la panne, d'impact du vol d'informations d'identification, de perte de confiance des clients (entraînant une réduction des ventes à long terme) et de perte de productivité globale pendant la résolution du problème.
Il s'agit en fait d'une analyse coûts/bénéfices. Les domaines clés que vous voudrez évaluer sont le niveau de maturité de votre entreprise en matière de sécurité, les niveaux d'acceptation des risques de votre entreprise et les domaines de votre code qui doivent être maintenus ou améliorés.
Les gens se concentrent souvent sur les mauvaises mesures pour déterminer le succès et la valeur. Peut-être devrions-nous moins nous préoccuper du retour sur l'investissement initial du programme et plutôt mesurer l'impact du programme lui-même.
Mesurer pour prouver l'impact
Afin d'établir le retour sur investissement, vous devez créer des objectifs mesurables. Cela commence par l'évaluation des connaissances de vos développeurs en matière de codage sécurisé et par la compréhension des domaines dans lesquels ils ont besoin d'améliorer leurs compétences.
Un point de départ serait de mesurer l'engagement pour vous aider à prendre des décisions stratégiques sur la manière d'élaborer des programmes de formation plus riches. Plus important encore, mesurez l'impact. Commencez par examiner le nombre de faiblesses détectées dans le cycle de vie du développement logiciel par le biais de l'analyse du code, de la chasse aux bogues ou de tests de vulnérabilité classiques avant de lancer le programme dans chaque équipe. L'un des moyens les plus simples de savoir si votre programme de formation produit les résultats escomptés est de mesurer la diminution des vulnérabilités introduites dans votre base de code en général.
Principales questions pour évaluer le retour sur investissement :
1. Rationalisons-nous notre approche ?
Est-ceque vous ajoutez des outils au problème ou est-ce que vous le résolvez à la racine ? L'ajout d'outils à votre pile technologique crée une approche de type "swiss cheese" pour trouver et corriger les vulnérabilités. Ils augmentent également les coûts opérationnels sans avoir d'impact sur la source de nombreuses vulnérabilités, à savoir le code. Bien que les outils d'analyse et de pentesting doivent absolument faire partie de votre arsenal, ils ne doivent pas être votre dernière ligne de défense.
2. Améliorons-nous l'efficacité et la productivité ?
Le temps consacré à des revues de code exhaustives et à des remaniements du code renvoyé par l'AppSec peut entraîner une perte de productivité importante. Réduire les exercices d'évacuation en donnant aux équipes de développeurs les moyens de mettre la main à la pâte dans le cadre de leur formation au code sécurisé devrait constituer un bon point de référence pour évaluer l'impact positif de votre programme de sécurité.
3. réduisons-nous les risques ?
Trouver et corriger une vulnérabilité peut s'apparenter à la résolution d'un grand puzzle, qui peut parfois prendre des jours, des semaines, voire des mois avant d'être complété par une solution solide. En donnant aux développeurs les moyens de prendre en charge la remédiation à la source, l'AppSec peut se concentrer sur la surveillance des risques et le renforcement de la posture de sécurité de l'organisation.
4. Augmentons-nous la vitesse (tout en maintenant la qualité) ?
Livrer du code rapidement n'est pas toujours une bonne chose. Couper les coins ronds et introduire des vulnérabilités dans le code peut créer de nombreux maux de tête à l'avenir et accumuler de la dette technique. La réflexion à court terme n'est pas la solution. Il est possible d'atténuer les risques en sécurisant le code dès le départ, afin d'éviter que le problème ne s'aggrave à l'avenir.
Mesures recommandées pour le suivi :
- Engagement - combien de temps consacrez-vous à la formation et comment les développeurs s'engagent-ils ? Remplissent-ils courses, font-ils des évaluations et participent-ils à tournaments?
- Compétences - quels sont vos points forts ? Quels sont les domaines que vous avez identifiés comme devant être améliorés ?
- Réduction des vulnérabilités - avez-vous remarqué une diminution mesurable des vulnérabilités lors de l'examen du code ? Voyez-vous moins de travaux de reprise de la part de l'AppSec ?
- Productivité - combien de temps faut-il pour remédier à un problème ? Avez-vous remarqué une augmentation de la productivité ou de la vélocité grâce à la réduction de la vulnérabilité ?
Créer de la valeur en passant à gauche
Les failles et les vulnérabilités augmentent rapidement chaque année. Il est important de commencer à élaborer de manière proactive une approche holistique de la sécurité, en commençant d'abord par votre code. Cela vous aidera à
- Réduire la complexité en investissant dans vos ressources les plus précieuses - vos collaborateurs - au lieu de dépenser de l'argent dans des outils qui ne résolvent qu'une partie du problème.
- Améliorer l'efficience et l'efficacité globale en limitant les reprises ou les corrections qui seraient normalement identifiées par l'AppSec après le déploiement du code.
- Atténuez les risques et respectez la conformité, en évitant les amendes coûteuses, la perte de confiance des clients ou, pire encore, le coût d'une violation de données.
Évitez les réflexions à court terme et les solutions rapides. Elles ne peuvent qu'entraîner une dette technique et des coûts supplémentaires à terme. Planifiez à long terme en exploitant la puissance de la formation continue et en permettant à vos développeurs d'être votre meilleure ligne de défense contre les vulnérabilités et la cybercriminalité, et constatez par vous-même l'impact et les économies réalisées.
テクノロジースタックや追加のトレーニングプログラムへの投資に関しては、誰もが投資収益率を高めたいと考えていますが、セキュリティに関しては、単純な ROI の計算にとどまらない長い時間をかけて取り組む必要があります。開発者が主導するセキュリティに投資することで、高額な情報漏えい、生産性の低下、蓄積された技術負債の費用を節約できるだけでなく、今日の脅威環境の一歩先を行くための積極的で費用対効果の高い戦略を構築する方法を学びましょう。
Secure Code Warrior transforme le codage sécurisé en une expérience positive et stimulante à mesure que les développeurs améliorent leurs compétences. Il guide chaque codeur vers le parcours d'apprentissage qu'il souhaite suivre afin que les développeurs possédant des compétences en sécurité puissent devenir des super-héros au quotidien dans un monde connecté.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Secure Code Warrior transforme le codage sécurisé en une expérience positive et stimulante à mesure que les développeurs améliorent leurs compétences. Il guide chaque codeur vers le parcours d'apprentissage qu'il souhaite suivre afin que les développeurs possédant des compétences en sécurité puissent devenir des super-héros au quotidien dans un monde connecté.
Cet article a été rédigé par l'équipe d'experts industriels de Secure Code Warrior. Il vise à aider les développeurs à acquérir les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. Il s'appuie sur une expertise approfondie en matière de pratiques de codage sécurisé, sur les tendances du secteur et sur des observations tirées du monde réel.
Le coût d'un mauvais code
Grâce aux progrès technologiques, les développeurs peuvent désormais livrer leur code plus rapidement que jamais. Cela peut être stimulant pour l'innovation, mais décourageant lorsqu'il s'agit d'augmenter la qualité et la sécurité des logiciels. Justifier les coûts des outils supplémentaires, des programmes de formation et de l'investissement dans la mise à niveau des développeurs peut sembler être un bienfait plutôt qu'une fonction essentielle de l'entreprise si la vitesse du code livré est maintenue.
L'envoi de code plus rapide est peut-être devenu plus facile, mais malheureusement l'envoi de code sécurisé ne l'est pas, ce qui laisse les organisations vulnérables à plus de menaces que jamais. Le coût de la cybercriminalité est stupéfiant dans le monde entier, et il augmente rapidement. En fait, en 2020, le coût de la cybercriminalité s'élevait à environ 1 000 milliards de dollars. En moyenne, le coût d'une violation de données s'élève à 4,35 millions de dollars, répartis entre la perte de clientèle actuelle et potentielle, ainsi que les ressources consacrées à la détection, à l'escalade et à la reprise du travail.
Malgré ces coûts astronomiques, plus de la moitié des entreprises n'exigent pas des développeurs qu'ils suivent chaque année une formation formelle sur le code sécurisé.
Les professionnels de la sécurité savent tous que la recherche et la correction des vulnérabilités peuvent s'apparenter à un jeu de bonneteau. Même si vous disposez déjà d'un programme de sécurité assorti d'une stratégie de remédiation, il y a toujours une possibilité d'amélioration. La plupart des organisations constatent que lorsque leur capacité de sauvegarde ou de reprise après sinistre est mise à l'épreuve, leur approche de la sécurité n'est pas aussi solide qu'elles le pensaient. Si le renforcement de la résilience de votre organisation face aux cyberattaques est l'une de vos principales priorités, le changement de perspective laissé à vos développeurs devrait faire partie de vos plans pour continuer à améliorer votre posture de sécurité. Une équipe de développeurs compétents et responsabilisés, qui conçoivent des codes sécurisés dès le départ et qui sont suffisamment informés pour localiser et corriger rapidement les vulnérabilités, est votre moyen le plus rentable d'atténuer les risques.
Une idée fausse en matière de formation des développeurs est qu'il s'agit simplement d'un coût pour l'entreprise ou même d'une police d'assurance. Selon Klaus Klinger, DevSec Awareness Evangelist chez Allianz, "Tout doit commencer dans la tête de la direction. Investir dans la formation des développeurs n'est pas un investissement perdu, mais un investissement dans la qualité, la productivité et la réputation de l'entreprise".
Le retour sur investissement est souvent difficile à quantifier dans ce domaine, mais en fin de compte, les entreprises devraient se demander comment leur dispositif de sécurité les aide à réduire les risques, à rationaliser leur approche et à faire gagner du temps et de la productivité à leurs équipes de développeurs.
Comment quantifier le retour sur investissement des coûts de cybersécurité ?
Lorsqu'il s'agit de retour sur investissement, il est important de l'envisager sous deux angles différents : les économies réalisées grâce à la réduction des risques et l'impact de votre formation en matière de sécurité.
Prenons cet exemple trop courant : une vulnérabilité ou une brèche entraîne la mise hors ligne d'un site de commerce électronique pendant plusieurs jours, le temps que ses équipes recherchent le problème et la manière de le résoudre. Le coût de l'absence de remédiation peut être quantifié en termes de perte de revenus pendant la panne, d'impact du vol d'informations d'identification, de perte de confiance des clients (entraînant une réduction des ventes à long terme) et de perte de productivité globale pendant la résolution du problème.
Il s'agit en fait d'une analyse coûts/bénéfices. Les domaines clés que vous voudrez évaluer sont le niveau de maturité de votre entreprise en matière de sécurité, les niveaux d'acceptation des risques de votre entreprise et les domaines de votre code qui doivent être maintenus ou améliorés.
Les gens se concentrent souvent sur les mauvaises mesures pour déterminer le succès et la valeur. Peut-être devrions-nous moins nous préoccuper du retour sur l'investissement initial du programme et plutôt mesurer l'impact du programme lui-même.
Mesurer pour prouver l'impact
Afin d'établir le retour sur investissement, vous devez créer des objectifs mesurables. Cela commence par l'évaluation des connaissances de vos développeurs en matière de codage sécurisé et par la compréhension des domaines dans lesquels ils ont besoin d'améliorer leurs compétences.
Un point de départ serait de mesurer l'engagement pour vous aider à prendre des décisions stratégiques sur la manière d'élaborer des programmes de formation plus riches. Plus important encore, mesurez l'impact. Commencez par examiner le nombre de faiblesses détectées dans le cycle de vie du développement logiciel par le biais de l'analyse du code, de la chasse aux bogues ou de tests de vulnérabilité classiques avant de lancer le programme dans chaque équipe. L'un des moyens les plus simples de savoir si votre programme de formation produit les résultats escomptés est de mesurer la diminution des vulnérabilités introduites dans votre base de code en général.
Principales questions pour évaluer le retour sur investissement :
1. Rationalisons-nous notre approche ?
Est-ceque vous ajoutez des outils au problème ou est-ce que vous le résolvez à la racine ? L'ajout d'outils à votre pile technologique crée une approche de type "swiss cheese" pour trouver et corriger les vulnérabilités. Ils augmentent également les coûts opérationnels sans avoir d'impact sur la source de nombreuses vulnérabilités, à savoir le code. Bien que les outils d'analyse et de pentesting doivent absolument faire partie de votre arsenal, ils ne doivent pas être votre dernière ligne de défense.
2. Améliorons-nous l'efficacité et la productivité ?
Le temps consacré à des revues de code exhaustives et à des remaniements du code renvoyé par l'AppSec peut entraîner une perte de productivité importante. Réduire les exercices d'évacuation en donnant aux équipes de développeurs les moyens de mettre la main à la pâte dans le cadre de leur formation au code sécurisé devrait constituer un bon point de référence pour évaluer l'impact positif de votre programme de sécurité.
3. réduisons-nous les risques ?
Trouver et corriger une vulnérabilité peut s'apparenter à la résolution d'un grand puzzle, qui peut parfois prendre des jours, des semaines, voire des mois avant d'être complété par une solution solide. En donnant aux développeurs les moyens de prendre en charge la remédiation à la source, l'AppSec peut se concentrer sur la surveillance des risques et le renforcement de la posture de sécurité de l'organisation.
4. Augmentons-nous la vitesse (tout en maintenant la qualité) ?
Livrer du code rapidement n'est pas toujours une bonne chose. Couper les coins ronds et introduire des vulnérabilités dans le code peut créer de nombreux maux de tête à l'avenir et accumuler de la dette technique. La réflexion à court terme n'est pas la solution. Il est possible d'atténuer les risques en sécurisant le code dès le départ, afin d'éviter que le problème ne s'aggrave à l'avenir.
Mesures recommandées pour le suivi :
- Engagement - combien de temps consacrez-vous à la formation et comment les développeurs s'engagent-ils ? Remplissent-ils courses, font-ils des évaluations et participent-ils à tournaments?
- Compétences - quels sont vos points forts ? Quels sont les domaines que vous avez identifiés comme devant être améliorés ?
- Réduction des vulnérabilités - avez-vous remarqué une diminution mesurable des vulnérabilités lors de l'examen du code ? Voyez-vous moins de travaux de reprise de la part de l'AppSec ?
- Productivité - combien de temps faut-il pour remédier à un problème ? Avez-vous remarqué une augmentation de la productivité ou de la vélocité grâce à la réduction de la vulnérabilité ?
Créer de la valeur en passant à gauche
Les failles et les vulnérabilités augmentent rapidement chaque année. Il est important de commencer à élaborer de manière proactive une approche holistique de la sécurité, en commençant d'abord par votre code. Cela vous aidera à
- Réduire la complexité en investissant dans vos ressources les plus précieuses - vos collaborateurs - au lieu de dépenser de l'argent dans des outils qui ne résolvent qu'une partie du problème.
- Améliorer l'efficience et l'efficacité globale en limitant les reprises ou les corrections qui seraient normalement identifiées par l'AppSec après le déploiement du code.
- Atténuez les risques et respectez la conformité, en évitant les amendes coûteuses, la perte de confiance des clients ou, pire encore, le coût d'une violation de données.
Évitez les réflexions à court terme et les solutions rapides. Elles ne peuvent qu'entraîner une dette technique et des coûts supplémentaires à terme. Planifiez à long terme en exploitant la puissance de la formation continue et en permettant à vos développeurs d'être votre meilleure ligne de défense contre les vulnérabilités et la cybercriminalité, et constatez par vous-même l'impact et les économies réalisées.
Le coût d'un mauvais code
Grâce aux progrès technologiques, les développeurs peuvent désormais livrer leur code plus rapidement que jamais. Cela peut être stimulant pour l'innovation, mais décourageant lorsqu'il s'agit d'augmenter la qualité et la sécurité des logiciels. Justifier les coûts des outils supplémentaires, des programmes de formation et de l'investissement dans la mise à niveau des développeurs peut sembler être un bienfait plutôt qu'une fonction essentielle de l'entreprise si la vitesse du code livré est maintenue.
L'envoi de code plus rapide est peut-être devenu plus facile, mais malheureusement l'envoi de code sécurisé ne l'est pas, ce qui laisse les organisations vulnérables à plus de menaces que jamais. Le coût de la cybercriminalité est stupéfiant dans le monde entier, et il augmente rapidement. En fait, en 2020, le coût de la cybercriminalité s'élevait à environ 1 000 milliards de dollars. En moyenne, le coût d'une violation de données s'élève à 4,35 millions de dollars, répartis entre la perte de clientèle actuelle et potentielle, ainsi que les ressources consacrées à la détection, à l'escalade et à la reprise du travail.
Malgré ces coûts astronomiques, plus de la moitié des entreprises n'exigent pas des développeurs qu'ils suivent chaque année une formation formelle sur le code sécurisé.
Les professionnels de la sécurité savent tous que la recherche et la correction des vulnérabilités peuvent s'apparenter à un jeu de bonneteau. Même si vous disposez déjà d'un programme de sécurité assorti d'une stratégie de remédiation, il y a toujours une possibilité d'amélioration. La plupart des organisations constatent que lorsque leur capacité de sauvegarde ou de reprise après sinistre est mise à l'épreuve, leur approche de la sécurité n'est pas aussi solide qu'elles le pensaient. Si le renforcement de la résilience de votre organisation face aux cyberattaques est l'une de vos principales priorités, le changement de perspective laissé à vos développeurs devrait faire partie de vos plans pour continuer à améliorer votre posture de sécurité. Une équipe de développeurs compétents et responsabilisés, qui conçoivent des codes sécurisés dès le départ et qui sont suffisamment informés pour localiser et corriger rapidement les vulnérabilités, est votre moyen le plus rentable d'atténuer les risques.
Une idée fausse en matière de formation des développeurs est qu'il s'agit simplement d'un coût pour l'entreprise ou même d'une police d'assurance. Selon Klaus Klinger, DevSec Awareness Evangelist chez Allianz, "Tout doit commencer dans la tête de la direction. Investir dans la formation des développeurs n'est pas un investissement perdu, mais un investissement dans la qualité, la productivité et la réputation de l'entreprise".
Le retour sur investissement est souvent difficile à quantifier dans ce domaine, mais en fin de compte, les entreprises devraient se demander comment leur dispositif de sécurité les aide à réduire les risques, à rationaliser leur approche et à faire gagner du temps et de la productivité à leurs équipes de développeurs.
Comment quantifier le retour sur investissement des coûts de cybersécurité ?
Lorsqu'il s'agit de retour sur investissement, il est important de l'envisager sous deux angles différents : les économies réalisées grâce à la réduction des risques et l'impact de votre formation en matière de sécurité.
Prenons cet exemple trop courant : une vulnérabilité ou une brèche entraîne la mise hors ligne d'un site de commerce électronique pendant plusieurs jours, le temps que ses équipes recherchent le problème et la manière de le résoudre. Le coût de l'absence de remédiation peut être quantifié en termes de perte de revenus pendant la panne, d'impact du vol d'informations d'identification, de perte de confiance des clients (entraînant une réduction des ventes à long terme) et de perte de productivité globale pendant la résolution du problème.
Il s'agit en fait d'une analyse coûts/bénéfices. Les domaines clés que vous voudrez évaluer sont le niveau de maturité de votre entreprise en matière de sécurité, les niveaux d'acceptation des risques de votre entreprise et les domaines de votre code qui doivent être maintenus ou améliorés.
Les gens se concentrent souvent sur les mauvaises mesures pour déterminer le succès et la valeur. Peut-être devrions-nous moins nous préoccuper du retour sur l'investissement initial du programme et plutôt mesurer l'impact du programme lui-même.
Mesurer pour prouver l'impact
Afin d'établir le retour sur investissement, vous devez créer des objectifs mesurables. Cela commence par l'évaluation des connaissances de vos développeurs en matière de codage sécurisé et par la compréhension des domaines dans lesquels ils ont besoin d'améliorer leurs compétences.
Un point de départ serait de mesurer l'engagement pour vous aider à prendre des décisions stratégiques sur la manière d'élaborer des programmes de formation plus riches. Plus important encore, mesurez l'impact. Commencez par examiner le nombre de faiblesses détectées dans le cycle de vie du développement logiciel par le biais de l'analyse du code, de la chasse aux bogues ou de tests de vulnérabilité classiques avant de lancer le programme dans chaque équipe. L'un des moyens les plus simples de savoir si votre programme de formation produit les résultats escomptés est de mesurer la diminution des vulnérabilités introduites dans votre base de code en général.
Principales questions pour évaluer le retour sur investissement :
1. Rationalisons-nous notre approche ?
Est-ceque vous ajoutez des outils au problème ou est-ce que vous le résolvez à la racine ? L'ajout d'outils à votre pile technologique crée une approche de type "swiss cheese" pour trouver et corriger les vulnérabilités. Ils augmentent également les coûts opérationnels sans avoir d'impact sur la source de nombreuses vulnérabilités, à savoir le code. Bien que les outils d'analyse et de pentesting doivent absolument faire partie de votre arsenal, ils ne doivent pas être votre dernière ligne de défense.
2. Améliorons-nous l'efficacité et la productivité ?
Le temps consacré à des revues de code exhaustives et à des remaniements du code renvoyé par l'AppSec peut entraîner une perte de productivité importante. Réduire les exercices d'évacuation en donnant aux équipes de développeurs les moyens de mettre la main à la pâte dans le cadre de leur formation au code sécurisé devrait constituer un bon point de référence pour évaluer l'impact positif de votre programme de sécurité.
3. réduisons-nous les risques ?
Trouver et corriger une vulnérabilité peut s'apparenter à la résolution d'un grand puzzle, qui peut parfois prendre des jours, des semaines, voire des mois avant d'être complété par une solution solide. En donnant aux développeurs les moyens de prendre en charge la remédiation à la source, l'AppSec peut se concentrer sur la surveillance des risques et le renforcement de la posture de sécurité de l'organisation.
4. Augmentons-nous la vitesse (tout en maintenant la qualité) ?
Livrer du code rapidement n'est pas toujours une bonne chose. Couper les coins ronds et introduire des vulnérabilités dans le code peut créer de nombreux maux de tête à l'avenir et accumuler de la dette technique. La réflexion à court terme n'est pas la solution. Il est possible d'atténuer les risques en sécurisant le code dès le départ, afin d'éviter que le problème ne s'aggrave à l'avenir.
Mesures recommandées pour le suivi :
- Engagement - combien de temps consacrez-vous à la formation et comment les développeurs s'engagent-ils ? Remplissent-ils courses, font-ils des évaluations et participent-ils à tournaments?
- Compétences - quels sont vos points forts ? Quels sont les domaines que vous avez identifiés comme devant être améliorés ?
- Réduction des vulnérabilités - avez-vous remarqué une diminution mesurable des vulnérabilités lors de l'examen du code ? Voyez-vous moins de travaux de reprise de la part de l'AppSec ?
- Productivité - combien de temps faut-il pour remédier à un problème ? Avez-vous remarqué une augmentation de la productivité ou de la vélocité grâce à la réduction de la vulnérabilité ?
Créer de la valeur en passant à gauche
Les failles et les vulnérabilités augmentent rapidement chaque année. Il est important de commencer à élaborer de manière proactive une approche holistique de la sécurité, en commençant d'abord par votre code. Cela vous aidera à
- Réduire la complexité en investissant dans vos ressources les plus précieuses - vos collaborateurs - au lieu de dépenser de l'argent dans des outils qui ne résolvent qu'une partie du problème.
- Améliorer l'efficience et l'efficacité globale en limitant les reprises ou les corrections qui seraient normalement identifiées par l'AppSec après le déploiement du code.
- Atténuez les risques et respectez la conformité, en évitant les amendes coûteuses, la perte de confiance des clients ou, pire encore, le coût d'une violation de données.
Évitez les réflexions à court terme et les solutions rapides. Elles ne peuvent qu'entraîner une dette technique et des coûts supplémentaires à terme. Planifiez à long terme en exploitant la puissance de la formation continue et en permettant à vos développeurs d'être votre meilleure ligne de défense contre les vulnérabilités et la cybercriminalité, et constatez par vous-même l'impact et les économies réalisées.
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Afficher le rapportVeuillez réserver une démonstration.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.Secure Code Warrior transforme le codage sécurisé en une expérience positive et stimulante à mesure que les développeurs améliorent leurs compétences. Il guide chaque codeur vers le parcours d'apprentissage qu'il souhaite suivre afin que les développeurs possédant des compétences en sécurité puissent devenir des super-héros au quotidien dans un monde connecté.
Cet article a été rédigé par l'équipe d'experts industriels de Secure Code Warrior. Il vise à aider les développeurs à acquérir les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. Il s'appuie sur une expertise approfondie en matière de pratiques de codage sécurisé, sur les tendances du secteur et sur des observations tirées du monde réel.
Le coût d'un mauvais code
Grâce aux progrès technologiques, les développeurs peuvent désormais livrer leur code plus rapidement que jamais. Cela peut être stimulant pour l'innovation, mais décourageant lorsqu'il s'agit d'augmenter la qualité et la sécurité des logiciels. Justifier les coûts des outils supplémentaires, des programmes de formation et de l'investissement dans la mise à niveau des développeurs peut sembler être un bienfait plutôt qu'une fonction essentielle de l'entreprise si la vitesse du code livré est maintenue.
L'envoi de code plus rapide est peut-être devenu plus facile, mais malheureusement l'envoi de code sécurisé ne l'est pas, ce qui laisse les organisations vulnérables à plus de menaces que jamais. Le coût de la cybercriminalité est stupéfiant dans le monde entier, et il augmente rapidement. En fait, en 2020, le coût de la cybercriminalité s'élevait à environ 1 000 milliards de dollars. En moyenne, le coût d'une violation de données s'élève à 4,35 millions de dollars, répartis entre la perte de clientèle actuelle et potentielle, ainsi que les ressources consacrées à la détection, à l'escalade et à la reprise du travail.
Malgré ces coûts astronomiques, plus de la moitié des entreprises n'exigent pas des développeurs qu'ils suivent chaque année une formation formelle sur le code sécurisé.
Les professionnels de la sécurité savent tous que la recherche et la correction des vulnérabilités peuvent s'apparenter à un jeu de bonneteau. Même si vous disposez déjà d'un programme de sécurité assorti d'une stratégie de remédiation, il y a toujours une possibilité d'amélioration. La plupart des organisations constatent que lorsque leur capacité de sauvegarde ou de reprise après sinistre est mise à l'épreuve, leur approche de la sécurité n'est pas aussi solide qu'elles le pensaient. Si le renforcement de la résilience de votre organisation face aux cyberattaques est l'une de vos principales priorités, le changement de perspective laissé à vos développeurs devrait faire partie de vos plans pour continuer à améliorer votre posture de sécurité. Une équipe de développeurs compétents et responsabilisés, qui conçoivent des codes sécurisés dès le départ et qui sont suffisamment informés pour localiser et corriger rapidement les vulnérabilités, est votre moyen le plus rentable d'atténuer les risques.
Une idée fausse en matière de formation des développeurs est qu'il s'agit simplement d'un coût pour l'entreprise ou même d'une police d'assurance. Selon Klaus Klinger, DevSec Awareness Evangelist chez Allianz, "Tout doit commencer dans la tête de la direction. Investir dans la formation des développeurs n'est pas un investissement perdu, mais un investissement dans la qualité, la productivité et la réputation de l'entreprise".
Le retour sur investissement est souvent difficile à quantifier dans ce domaine, mais en fin de compte, les entreprises devraient se demander comment leur dispositif de sécurité les aide à réduire les risques, à rationaliser leur approche et à faire gagner du temps et de la productivité à leurs équipes de développeurs.
Comment quantifier le retour sur investissement des coûts de cybersécurité ?
Lorsqu'il s'agit de retour sur investissement, il est important de l'envisager sous deux angles différents : les économies réalisées grâce à la réduction des risques et l'impact de votre formation en matière de sécurité.
Prenons cet exemple trop courant : une vulnérabilité ou une brèche entraîne la mise hors ligne d'un site de commerce électronique pendant plusieurs jours, le temps que ses équipes recherchent le problème et la manière de le résoudre. Le coût de l'absence de remédiation peut être quantifié en termes de perte de revenus pendant la panne, d'impact du vol d'informations d'identification, de perte de confiance des clients (entraînant une réduction des ventes à long terme) et de perte de productivité globale pendant la résolution du problème.
Il s'agit en fait d'une analyse coûts/bénéfices. Les domaines clés que vous voudrez évaluer sont le niveau de maturité de votre entreprise en matière de sécurité, les niveaux d'acceptation des risques de votre entreprise et les domaines de votre code qui doivent être maintenus ou améliorés.
Les gens se concentrent souvent sur les mauvaises mesures pour déterminer le succès et la valeur. Peut-être devrions-nous moins nous préoccuper du retour sur l'investissement initial du programme et plutôt mesurer l'impact du programme lui-même.
Mesurer pour prouver l'impact
Afin d'établir le retour sur investissement, vous devez créer des objectifs mesurables. Cela commence par l'évaluation des connaissances de vos développeurs en matière de codage sécurisé et par la compréhension des domaines dans lesquels ils ont besoin d'améliorer leurs compétences.
Un point de départ serait de mesurer l'engagement pour vous aider à prendre des décisions stratégiques sur la manière d'élaborer des programmes de formation plus riches. Plus important encore, mesurez l'impact. Commencez par examiner le nombre de faiblesses détectées dans le cycle de vie du développement logiciel par le biais de l'analyse du code, de la chasse aux bogues ou de tests de vulnérabilité classiques avant de lancer le programme dans chaque équipe. L'un des moyens les plus simples de savoir si votre programme de formation produit les résultats escomptés est de mesurer la diminution des vulnérabilités introduites dans votre base de code en général.
Principales questions pour évaluer le retour sur investissement :
1. Rationalisons-nous notre approche ?
Est-ceque vous ajoutez des outils au problème ou est-ce que vous le résolvez à la racine ? L'ajout d'outils à votre pile technologique crée une approche de type "swiss cheese" pour trouver et corriger les vulnérabilités. Ils augmentent également les coûts opérationnels sans avoir d'impact sur la source de nombreuses vulnérabilités, à savoir le code. Bien que les outils d'analyse et de pentesting doivent absolument faire partie de votre arsenal, ils ne doivent pas être votre dernière ligne de défense.
2. Améliorons-nous l'efficacité et la productivité ?
Le temps consacré à des revues de code exhaustives et à des remaniements du code renvoyé par l'AppSec peut entraîner une perte de productivité importante. Réduire les exercices d'évacuation en donnant aux équipes de développeurs les moyens de mettre la main à la pâte dans le cadre de leur formation au code sécurisé devrait constituer un bon point de référence pour évaluer l'impact positif de votre programme de sécurité.
3. réduisons-nous les risques ?
Trouver et corriger une vulnérabilité peut s'apparenter à la résolution d'un grand puzzle, qui peut parfois prendre des jours, des semaines, voire des mois avant d'être complété par une solution solide. En donnant aux développeurs les moyens de prendre en charge la remédiation à la source, l'AppSec peut se concentrer sur la surveillance des risques et le renforcement de la posture de sécurité de l'organisation.
4. Augmentons-nous la vitesse (tout en maintenant la qualité) ?
Livrer du code rapidement n'est pas toujours une bonne chose. Couper les coins ronds et introduire des vulnérabilités dans le code peut créer de nombreux maux de tête à l'avenir et accumuler de la dette technique. La réflexion à court terme n'est pas la solution. Il est possible d'atténuer les risques en sécurisant le code dès le départ, afin d'éviter que le problème ne s'aggrave à l'avenir.
Mesures recommandées pour le suivi :
- Engagement - combien de temps consacrez-vous à la formation et comment les développeurs s'engagent-ils ? Remplissent-ils courses, font-ils des évaluations et participent-ils à tournaments?
- Compétences - quels sont vos points forts ? Quels sont les domaines que vous avez identifiés comme devant être améliorés ?
- Réduction des vulnérabilités - avez-vous remarqué une diminution mesurable des vulnérabilités lors de l'examen du code ? Voyez-vous moins de travaux de reprise de la part de l'AppSec ?
- Productivité - combien de temps faut-il pour remédier à un problème ? Avez-vous remarqué une augmentation de la productivité ou de la vélocité grâce à la réduction de la vulnérabilité ?
Créer de la valeur en passant à gauche
Les failles et les vulnérabilités augmentent rapidement chaque année. Il est important de commencer à élaborer de manière proactive une approche holistique de la sécurité, en commençant d'abord par votre code. Cela vous aidera à
- Réduire la complexité en investissant dans vos ressources les plus précieuses - vos collaborateurs - au lieu de dépenser de l'argent dans des outils qui ne résolvent qu'une partie du problème.
- Améliorer l'efficience et l'efficacité globale en limitant les reprises ou les corrections qui seraient normalement identifiées par l'AppSec après le déploiement du code.
- Atténuez les risques et respectez la conformité, en évitant les amendes coûteuses, la perte de confiance des clients ou, pire encore, le coût d'une violation de données.
Évitez les réflexions à court terme et les solutions rapides. Elles ne peuvent qu'entraîner une dette technique et des coûts supplémentaires à terme. Planifiez à long terme en exploitant la puissance de la formation continue et en permettant à vos développeurs d'être votre meilleure ligne de défense contre les vulnérabilités et la cybercriminalité, et constatez par vous-même l'impact et les économies réalisées.
Table des matières
Secure Code Warrior transforme le codage sécurisé en une expérience positive et stimulante à mesure que les développeurs améliorent leurs compétences. Il guide chaque codeur vers le parcours d'apprentissage qu'il souhaite suivre afin que les développeurs possédant des compétences en sécurité puissent devenir des super-héros au quotidien dans un monde connecté.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.[Télécharger]Ressources pour débuter
Sujets et contenu de la formation sur le code sécurisé
Notre contenu, leader dans le secteur, évolue constamment en fonction de l'environnement de développement logiciel en constante mutation, tout en tenant compte du rôle de nos clients. Il couvre tous les sujets, de l'IA à l'injection XQuery, et s'adresse à divers rôles, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Nous vous invitons à consulter le catalogue de contenu pour découvrir son contenu par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : la mission IA consistant à vaincre le boss est désormais disponible à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année sur SCW. Renforcez considérablement le développement sécurisé de l'IA en introduisant des défis de sécurité avancés en matière d'IA/LLM.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la résilience cybernétique (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer en matière de pratiques de sécurité dès la conception, de prévention des vulnérabilités et de développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite prédéfinis et mesurables
Enabler 1 est le premier volet d'une série de dix intitulée « Enablers of Success » (Les catalyseurs de la réussite). Il présente comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et l'accélération des processus afin de faire évoluer le programme à long terme.
