Les avantages du benchmarking des technologies de sécurité pour les développeurs
À mesure que les cybermenaces se généralisent et se perfectionnent, la cybersécurité se concentre de plus en plus sur l'importance du code de sécurité. La stratégie nationale de cybersécurité de la Maison Blanche et l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) ont lancé une initiative de conception sécurisée qui, à l'instar d'autres initiatives et lois nationales, confie l'entière responsabilité de la sécurité aux éditeurs de logiciels.Autrefois considéré comme un atout, le fait de se concentrer sur la sécurité dès le début du cycle de vie du développement logiciel (SDLC) est désormais essentiel pour permettre aux organisations de protéger leurs données et leurs systèmes et d'éviter les conséquences réglementaires d'une violation de la sécurité.
La clé pour garantir les pratiques de codage sécurisé réside dans la formation des développeurs. Les ingénieurs logiciels bénéficient généralement des avantages suivants : Une formation en cybersécurité quasi inexistante. Dans le contexte actuel d'accélération des DevOps, leur mission consiste à déployer le plus rapidement possible de nouvelles applications, mises à niveau et services à l'aide de modèles d'IA générative fonctionnant à grande vitesse, afin que l'équipe de sécurité puisse résoudre les problèmes de cybersécurité à un stade ultérieur du cycle de vie du développement logiciel (SDLC). Cette approche est inefficace pour corriger les nombreuses failles qui apparaissent lorsque trop de code est généré, ce qui entraîne souvent la propagation de vulnérabilités logicielles dans l'écosystème.
Les développeurs doivent être formés dès le début à la rédaction de codes sécurisés et doivent être en mesure de détecter les codes non sécurisés générés par l'IA ou présents dans les logiciels open source et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes de développement et organisations, ce domaine est souvent négligé. Comment s'assurer que les développeurs reçoivent la formation nécessaire ? Et cette formation est-elle dispensée régulièrement ?
Certaines entreprises qui privilégient la formation des développeurs ont constaté qu'il était utile de définir un ensemble de compétences de base afin que les développeurs puissent acquérir des connaissances et mesurer leurs progrès à l'aide de critères de référence clairement définis. Afin de soutenir ces efforts, Secure Code Warrior a publié des critères de référence conçus pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le SCW Trust Score permet aux organisations de mesurer dans quelle mesure la formation est appliquée dans le cadre du travail et facilite la collaboration entre les équipes chargées de la sécurité, du développement et de l'ingénierie.
Il s'agit d'une méthode permettant d'identifier les domaines nécessitant des améliorations tout en fournissant la preuve que la formation au code de sécurité est correctement dispensée.
Exemples de conception sécurisée
Les développeurs de logiciels ont de bonnes raisons d'intégrer la sécurité dès le début du processus SDLC. La demande croissante en applications et services, ainsi que la rapidité apportée par l'IA au processus de développement, se sont avérées utiles pour les développeurs qui ont rapidement adopté l'IA générative. Cependant, cela a inévitablement conduit à la publication de logiciels bogués. Plus le code généré est important, plus les défauts sont nombreux. Une étude récente a révélé que près des trois quarts des applications (quelle que soit leur méthode de création) contiennent au moins un défaut de sécurité, dont près de 20 % sont considérés comme graves.
La détection des vulnérabilités dans la phase finale du cycle de vie du développement logiciel (SDLC) nécessite un investissement considérable en temps et en ressources. Le National Institute of Standards and Technology (NIST) a constaté que la correction des défauts lors des tests prend 15 fois plus de temps que la protection du logiciel au début du SDLC, et que la correction des défauts lors des phases de déploiement et de maintenance peut prendre entre 30 et 100 fois plus de temps.
Tout cela démontre l'importance d'intégrer la sécurité dès le début du cycle de développement. Il a été prouvé que c'est non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs sont les mieux placés pour intégrer la sécurité dès le début du cycle de développement logiciel (SDLC) en collaborant avec l'équipe de sécurité plutôt qu'en la considérant comme une entité distincte. De plus, les développeurs ayant reçu une formation sur les meilleures pratiques en matière de sécurité ont pu réduire efficacement les vulnérabilités. Le problème est que très peu d'entre eux ont bénéficié d'une telle formation.
La beauté des benchmarks
Le parcours de base d'une entreprise comprend la définition de normes en matière de technologies de sécurité, la mise en place de formations et la vérification, tant par l'organisation que par les organismes de réglementation, que les développeurs ont acquis les compétences nécessaires. Bien que cela se soit avéré difficile pour de nombreuses organisations dans tous les secteurs économiques, cela ne doit pas nécessairement être le cas.
L'un des problèmes soulevés par les responsables de la sécurité est la difficulté d'étendre les programmes de formation à l'ensemble de l'entreprise. Cependant, selon une étude de SCW, les organisations, en particulier celles qui comptent un grand nombre de développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des petites organisations ont tendance à varier considérablement en fonction de la qualité de l'application des principes de conception sécurisée. Toutefois, ces entreprises peuvent également tirer parti d'une approche incluant des scores de confiance et sont susceptibles de montrer des améliorations plus rapidement.
Le score de confiance utilise des indicateurs de référence pour mesurer les progrès de chaque apprenant, compile les scores pour évaluer les performances de l'équipe dans son ensemble et compare les progrès de l'organisation aux références du secteur et aux meilleures pratiques. Cela permet non seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent quotidiennement les nouvelles compétences acquises. De plus, cela met en évidence les domaines à améliorer afin que l'organisation puisse optimiser ses programmes de formation et de perfectionnement des compétences.
Dans l'ensemble du CISA, la plupart des organisations se situent à un niveau similaire en matière de mise en œuvre des principes de conception de sécurité, quel que soit le secteur d'infrastructure critique concerné. Les scores de confiance de divers secteurs, allant des services financiers et de la défense à la santé, à l'informatique et à la fabrication de pointe, se situent dans la même fourchette. Sur une échelle de 1 000 points, elles ont légèrement dépassé les 300 points. Contrairement à l'idée reçue selon laquelle le secteur des services financiers, le plus réglementé, serait en tête, aucun secteur ne surpasse les autres.
Les principaux secteurs d'infrastructure qui ne figurent pas dans le classement des scores de confiance, tels que la chimie, l'énergie et le nucléaire, dépendent généralement d'autres secteurs, en particulier des technologies de l'information, pour leurs besoins logiciels, plutôt que de développer leurs propres logiciels. Cependant, l'importance de maintenir la sécurité des systèmes dans ces secteurs (personne ne souhaite voir une centrale nucléaire compromise) souligne à quel point il est essentiel de protéger les logiciels utilisés.
Conclusion
En raison de l'intensification des pressions réglementaires et de la réalité des cybermenaces, l'approche Secure By-Design est devenue indispensable pour les organisations qui souhaitent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels de sécurité repose en grande partie sur les développeurs, mais ceux-ci ont besoin d'une formation adéquate et d'un soutien sous la forme de programmes de perfectionnement technique et de formation approfondis qui leur montrent comment les méthodes de développement sont appliquées.
Les programmes comprenant des benchmarks basés sur des outils tels que Trust Score permettent de suivre clairement les progrès réalisés par l'équipe de développement. Il s'agit d'une approche très novatrice pour les entreprises travaillant avec des développeurs, qui doivent à la fois répondre aux nouvelles exigences de sécurité dès la conception et améliorer en permanence leurs compétences en matière de développement de logiciels sécurisés.
Compte tenu de l'intérêt croissant pour les codes de sécurité et les principes Secure by Design, il est essentiel que les développeurs reçoivent une formation sur la cybersécurité dès le début du cycle de vie du développement logiciel (SDLC). Il est également important d'utiliser des outils tels que le score de confiance Secure Code Warrior pour mesurer les progrès et apporter des améliorations.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
À mesure que les cybermenaces se généralisent et se perfectionnent, la cybersécurité se concentre de plus en plus sur l'importance du code de sécurité. La stratégie nationale de cybersécurité de la Maison Blanche et l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) ont lancé une initiative de conception sécurisée qui, à l'instar d'autres initiatives et lois nationales, confie l'entière responsabilité de la sécurité aux éditeurs de logiciels.Autrefois considéré comme un atout, le fait de se concentrer sur la sécurité dès le début du cycle de vie du développement logiciel (SDLC) est désormais essentiel pour permettre aux organisations de protéger leurs données et leurs systèmes et d'éviter les conséquences réglementaires d'une violation de la sécurité.
La clé pour garantir les pratiques de codage sécurisé réside dans la formation des développeurs. Les ingénieurs logiciels bénéficient généralement des avantages suivants : Une formation en cybersécurité quasi inexistante. Dans le contexte actuel d'accélération des DevOps, leur mission consiste à déployer le plus rapidement possible de nouvelles applications, mises à niveau et services à l'aide de modèles d'IA générative fonctionnant à grande vitesse, afin que l'équipe de sécurité puisse résoudre les problèmes de cybersécurité à un stade ultérieur du cycle de vie du développement logiciel (SDLC). Cette approche est inefficace pour corriger les nombreuses failles qui apparaissent lorsque trop de code est généré, ce qui entraîne souvent la propagation de vulnérabilités logicielles dans l'écosystème.
Les développeurs doivent être formés dès le début à la rédaction de codes sécurisés et doivent être en mesure de détecter les codes non sécurisés générés par l'IA ou présents dans les logiciels open source et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes de développement et organisations, ce domaine est souvent négligé. Comment s'assurer que les développeurs reçoivent la formation nécessaire ? Et cette formation est-elle dispensée régulièrement ?
Certaines entreprises qui privilégient la formation des développeurs ont constaté qu'il était utile de définir un ensemble de compétences de base afin que les développeurs puissent acquérir des connaissances et mesurer leurs progrès à l'aide de critères de référence clairement définis. Afin de soutenir ces efforts, Secure Code Warrior a publié des critères de référence conçus pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le SCW Trust Score permet aux organisations de mesurer dans quelle mesure la formation est appliquée dans le cadre du travail et facilite la collaboration entre les équipes chargées de la sécurité, du développement et de l'ingénierie.
Il s'agit d'une méthode permettant d'identifier les domaines nécessitant des améliorations tout en fournissant la preuve que la formation au code de sécurité est correctement dispensée.
Exemples de conception sécurisée
Les développeurs de logiciels ont de bonnes raisons d'intégrer la sécurité dès le début du processus SDLC. La demande croissante en applications et services, ainsi que la rapidité apportée par l'IA au processus de développement, se sont avérées utiles pour les développeurs qui ont rapidement adopté l'IA générative. Cependant, cela a inévitablement conduit à la publication de logiciels bogués. Plus le code généré est important, plus les défauts sont nombreux. Une étude récente a révélé que près des trois quarts des applications (quelle que soit leur méthode de création) contiennent au moins un défaut de sécurité, dont près de 20 % sont considérés comme graves.
La détection des vulnérabilités dans la phase finale du cycle de vie du développement logiciel (SDLC) nécessite un investissement considérable en temps et en ressources. Le National Institute of Standards and Technology (NIST) a constaté que la correction des défauts lors des tests prend 15 fois plus de temps que la protection du logiciel au début du SDLC, et que la correction des défauts lors des phases de déploiement et de maintenance peut prendre entre 30 et 100 fois plus de temps.
Tout cela démontre l'importance d'intégrer la sécurité dès le début du cycle de développement. Il a été prouvé que c'est non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs sont les mieux placés pour intégrer la sécurité dès le début du cycle de développement logiciel (SDLC) en collaborant avec l'équipe de sécurité plutôt qu'en la considérant comme une entité distincte. De plus, les développeurs ayant reçu une formation sur les meilleures pratiques en matière de sécurité ont pu réduire efficacement les vulnérabilités. Le problème est que très peu d'entre eux ont bénéficié d'une telle formation.
La beauté des benchmarks
Le parcours de base d'une entreprise comprend la définition de normes en matière de technologies de sécurité, la mise en place de formations et la vérification, tant par l'organisation que par les organismes de réglementation, que les développeurs ont acquis les compétences nécessaires. Bien que cela se soit avéré difficile pour de nombreuses organisations dans tous les secteurs économiques, cela ne doit pas nécessairement être le cas.
L'un des problèmes soulevés par les responsables de la sécurité est la difficulté d'étendre les programmes de formation à l'ensemble de l'entreprise. Cependant, selon une étude de SCW, les organisations, en particulier celles qui comptent un grand nombre de développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des petites organisations ont tendance à varier considérablement en fonction de la qualité de l'application des principes de conception sécurisée. Toutefois, ces entreprises peuvent également tirer parti d'une approche incluant des scores de confiance et sont susceptibles de montrer des améliorations plus rapidement.
Le score de confiance utilise des indicateurs de référence pour mesurer les progrès de chaque apprenant, compile les scores pour évaluer les performances de l'équipe dans son ensemble et compare les progrès de l'organisation aux références du secteur et aux meilleures pratiques. Cela permet non seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent quotidiennement les nouvelles compétences acquises. De plus, cela met en évidence les domaines à améliorer afin que l'organisation puisse optimiser ses programmes de formation et de perfectionnement des compétences.
Dans l'ensemble du CISA, la plupart des organisations se situent à un niveau similaire en matière de mise en œuvre des principes de conception de sécurité, quel que soit le secteur d'infrastructure critique concerné. Les scores de confiance de divers secteurs, allant des services financiers et de la défense à la santé, à l'informatique et à la fabrication de pointe, se situent dans la même fourchette. Sur une échelle de 1 000 points, elles ont légèrement dépassé les 300 points. Contrairement à l'idée reçue selon laquelle le secteur des services financiers, le plus réglementé, serait en tête, aucun secteur ne surpasse les autres.
Les principaux secteurs d'infrastructure qui ne figurent pas dans le classement des scores de confiance, tels que la chimie, l'énergie et le nucléaire, dépendent généralement d'autres secteurs, en particulier des technologies de l'information, pour leurs besoins logiciels, plutôt que de développer leurs propres logiciels. Cependant, l'importance de maintenir la sécurité des systèmes dans ces secteurs (personne ne souhaite voir une centrale nucléaire compromise) souligne à quel point il est essentiel de protéger les logiciels utilisés.
Conclusion
En raison de l'intensification des pressions réglementaires et de la réalité des cybermenaces, l'approche Secure By-Design est devenue indispensable pour les organisations qui souhaitent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels de sécurité repose en grande partie sur les développeurs, mais ceux-ci ont besoin d'une formation adéquate et d'un soutien sous la forme de programmes de perfectionnement technique et de formation approfondis qui leur montrent comment les méthodes de développement sont appliquées.
Les programmes comprenant des benchmarks basés sur des outils tels que Trust Score permettent de suivre clairement les progrès réalisés par l'équipe de développement. Il s'agit d'une approche très novatrice pour les entreprises travaillant avec des développeurs, qui doivent à la fois répondre aux nouvelles exigences de sécurité dès la conception et améliorer en permanence leurs compétences en matière de développement de logiciels sécurisés.
À mesure que les cybermenaces se généralisent et se perfectionnent, la cybersécurité se concentre de plus en plus sur l'importance du code de sécurité. La stratégie nationale de cybersécurité de la Maison Blanche et l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) ont lancé une initiative de conception sécurisée qui, à l'instar d'autres initiatives et lois nationales, confie l'entière responsabilité de la sécurité aux éditeurs de logiciels.Autrefois considéré comme un atout, le fait de se concentrer sur la sécurité dès le début du cycle de vie du développement logiciel (SDLC) est désormais essentiel pour permettre aux organisations de protéger leurs données et leurs systèmes et d'éviter les conséquences réglementaires d'une violation de la sécurité.
La clé pour garantir les pratiques de codage sécurisé réside dans la formation des développeurs. Les ingénieurs logiciels bénéficient généralement des avantages suivants : Une formation en cybersécurité quasi inexistante. Dans le contexte actuel d'accélération des DevOps, leur mission consiste à déployer le plus rapidement possible de nouvelles applications, mises à niveau et services à l'aide de modèles d'IA générative fonctionnant à grande vitesse, afin que l'équipe de sécurité puisse résoudre les problèmes de cybersécurité à un stade ultérieur du cycle de vie du développement logiciel (SDLC). Cette approche est inefficace pour corriger les nombreuses failles qui apparaissent lorsque trop de code est généré, ce qui entraîne souvent la propagation de vulnérabilités logicielles dans l'écosystème.
Les développeurs doivent être formés dès le début à la rédaction de codes sécurisés et doivent être en mesure de détecter les codes non sécurisés générés par l'IA ou présents dans les logiciels open source et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes de développement et organisations, ce domaine est souvent négligé. Comment s'assurer que les développeurs reçoivent la formation nécessaire ? Et cette formation est-elle dispensée régulièrement ?
Certaines entreprises qui privilégient la formation des développeurs ont constaté qu'il était utile de définir un ensemble de compétences de base afin que les développeurs puissent acquérir des connaissances et mesurer leurs progrès à l'aide de critères de référence clairement définis. Afin de soutenir ces efforts, Secure Code Warrior a publié des critères de référence conçus pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le SCW Trust Score permet aux organisations de mesurer dans quelle mesure la formation est appliquée dans le cadre du travail et facilite la collaboration entre les équipes chargées de la sécurité, du développement et de l'ingénierie.
Il s'agit d'une méthode permettant d'identifier les domaines nécessitant des améliorations tout en fournissant la preuve que la formation au code de sécurité est correctement dispensée.
Exemples de conception sécurisée
Les développeurs de logiciels ont de bonnes raisons d'intégrer la sécurité dès le début du processus SDLC. La demande croissante en applications et services, ainsi que la rapidité apportée par l'IA au processus de développement, se sont avérées utiles pour les développeurs qui ont rapidement adopté l'IA générative. Cependant, cela a inévitablement conduit à la publication de logiciels bogués. Plus le code généré est important, plus les défauts sont nombreux. Une étude récente a révélé que près des trois quarts des applications (quelle que soit leur méthode de création) contiennent au moins un défaut de sécurité, dont près de 20 % sont considérés comme graves.
La détection des vulnérabilités dans la phase finale du cycle de vie du développement logiciel (SDLC) nécessite un investissement considérable en temps et en ressources. Le National Institute of Standards and Technology (NIST) a constaté que la correction des défauts lors des tests prend 15 fois plus de temps que la protection du logiciel au début du SDLC, et que la correction des défauts lors des phases de déploiement et de maintenance peut prendre entre 30 et 100 fois plus de temps.
Tout cela démontre l'importance d'intégrer la sécurité dès le début du cycle de développement. Il a été prouvé que c'est non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs sont les mieux placés pour intégrer la sécurité dès le début du cycle de développement logiciel (SDLC) en collaborant avec l'équipe de sécurité plutôt qu'en la considérant comme une entité distincte. De plus, les développeurs ayant reçu une formation sur les meilleures pratiques en matière de sécurité ont pu réduire efficacement les vulnérabilités. Le problème est que très peu d'entre eux ont bénéficié d'une telle formation.
La beauté des benchmarks
Le parcours de base d'une entreprise comprend la définition de normes en matière de technologies de sécurité, la mise en place de formations et la vérification, tant par l'organisation que par les organismes de réglementation, que les développeurs ont acquis les compétences nécessaires. Bien que cela se soit avéré difficile pour de nombreuses organisations dans tous les secteurs économiques, cela ne doit pas nécessairement être le cas.
L'un des problèmes soulevés par les responsables de la sécurité est la difficulté d'étendre les programmes de formation à l'ensemble de l'entreprise. Cependant, selon une étude de SCW, les organisations, en particulier celles qui comptent un grand nombre de développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des petites organisations ont tendance à varier considérablement en fonction de la qualité de l'application des principes de conception sécurisée. Toutefois, ces entreprises peuvent également tirer parti d'une approche incluant des scores de confiance et sont susceptibles de montrer des améliorations plus rapidement.
Le score de confiance utilise des indicateurs de référence pour mesurer les progrès de chaque apprenant, compile les scores pour évaluer les performances de l'équipe dans son ensemble et compare les progrès de l'organisation aux références du secteur et aux meilleures pratiques. Cela permet non seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent quotidiennement les nouvelles compétences acquises. De plus, cela met en évidence les domaines à améliorer afin que l'organisation puisse optimiser ses programmes de formation et de perfectionnement des compétences.
Dans l'ensemble du CISA, la plupart des organisations se situent à un niveau similaire en matière de mise en œuvre des principes de conception de sécurité, quel que soit le secteur d'infrastructure critique concerné. Les scores de confiance de divers secteurs, allant des services financiers et de la défense à la santé, à l'informatique et à la fabrication de pointe, se situent dans la même fourchette. Sur une échelle de 1 000 points, elles ont légèrement dépassé les 300 points. Contrairement à l'idée reçue selon laquelle le secteur des services financiers, le plus réglementé, serait en tête, aucun secteur ne surpasse les autres.
Les principaux secteurs d'infrastructure qui ne figurent pas dans le classement des scores de confiance, tels que la chimie, l'énergie et le nucléaire, dépendent généralement d'autres secteurs, en particulier des technologies de l'information, pour leurs besoins logiciels, plutôt que de développer leurs propres logiciels. Cependant, l'importance de maintenir la sécurité des systèmes dans ces secteurs (personne ne souhaite voir une centrale nucléaire compromise) souligne à quel point il est essentiel de protéger les logiciels utilisés.
Conclusion
En raison de l'intensification des pressions réglementaires et de la réalité des cybermenaces, l'approche Secure By-Design est devenue indispensable pour les organisations qui souhaitent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels de sécurité repose en grande partie sur les développeurs, mais ceux-ci ont besoin d'une formation adéquate et d'un soutien sous la forme de programmes de perfectionnement technique et de formation approfondis qui leur montrent comment les méthodes de développement sont appliquées.
Les programmes comprenant des benchmarks basés sur des outils tels que Trust Score permettent de suivre clairement les progrès réalisés par l'équipe de développement. Il s'agit d'une approche très novatrice pour les entreprises travaillant avec des développeurs, qui doivent à la fois répondre aux nouvelles exigences de sécurité dès la conception et améliorer en permanence leurs compétences en matière de développement de logiciels sécurisés.
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Consulter le rapportVeuillez prendre rendez-vous pour une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
À mesure que les cybermenaces se généralisent et se perfectionnent, la cybersécurité se concentre de plus en plus sur l'importance du code de sécurité. La stratégie nationale de cybersécurité de la Maison Blanche et l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) ont lancé une initiative de conception sécurisée qui, à l'instar d'autres initiatives et lois nationales, confie l'entière responsabilité de la sécurité aux éditeurs de logiciels.Autrefois considéré comme un atout, le fait de se concentrer sur la sécurité dès le début du cycle de vie du développement logiciel (SDLC) est désormais essentiel pour permettre aux organisations de protéger leurs données et leurs systèmes et d'éviter les conséquences réglementaires d'une violation de la sécurité.
La clé pour garantir les pratiques de codage sécurisé réside dans la formation des développeurs. Les ingénieurs logiciels bénéficient généralement des avantages suivants : Une formation en cybersécurité quasi inexistante. Dans le contexte actuel d'accélération des DevOps, leur mission consiste à déployer le plus rapidement possible de nouvelles applications, mises à niveau et services à l'aide de modèles d'IA générative fonctionnant à grande vitesse, afin que l'équipe de sécurité puisse résoudre les problèmes de cybersécurité à un stade ultérieur du cycle de vie du développement logiciel (SDLC). Cette approche est inefficace pour corriger les nombreuses failles qui apparaissent lorsque trop de code est généré, ce qui entraîne souvent la propagation de vulnérabilités logicielles dans l'écosystème.
Les développeurs doivent être formés dès le début à la rédaction de codes sécurisés et doivent être en mesure de détecter les codes non sécurisés générés par l'IA ou présents dans les logiciels open source et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes de développement et organisations, ce domaine est souvent négligé. Comment s'assurer que les développeurs reçoivent la formation nécessaire ? Et cette formation est-elle dispensée régulièrement ?
Certaines entreprises qui privilégient la formation des développeurs ont constaté qu'il était utile de définir un ensemble de compétences de base afin que les développeurs puissent acquérir des connaissances et mesurer leurs progrès à l'aide de critères de référence clairement définis. Afin de soutenir ces efforts, Secure Code Warrior a publié des critères de référence conçus pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le SCW Trust Score permet aux organisations de mesurer dans quelle mesure la formation est appliquée dans le cadre du travail et facilite la collaboration entre les équipes chargées de la sécurité, du développement et de l'ingénierie.
Il s'agit d'une méthode permettant d'identifier les domaines nécessitant des améliorations tout en fournissant la preuve que la formation au code de sécurité est correctement dispensée.
Exemples de conception sécurisée
Les développeurs de logiciels ont de bonnes raisons d'intégrer la sécurité dès le début du processus SDLC. La demande croissante en applications et services, ainsi que la rapidité apportée par l'IA au processus de développement, se sont avérées utiles pour les développeurs qui ont rapidement adopté l'IA générative. Cependant, cela a inévitablement conduit à la publication de logiciels bogués. Plus le code généré est important, plus les défauts sont nombreux. Une étude récente a révélé que près des trois quarts des applications (quelle que soit leur méthode de création) contiennent au moins un défaut de sécurité, dont près de 20 % sont considérés comme graves.
La détection des vulnérabilités dans la phase finale du cycle de vie du développement logiciel (SDLC) nécessite un investissement considérable en temps et en ressources. Le National Institute of Standards and Technology (NIST) a constaté que la correction des défauts lors des tests prend 15 fois plus de temps que la protection du logiciel au début du SDLC, et que la correction des défauts lors des phases de déploiement et de maintenance peut prendre entre 30 et 100 fois plus de temps.
Tout cela démontre l'importance d'intégrer la sécurité dès le début du cycle de développement. Il a été prouvé que c'est non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs sont les mieux placés pour intégrer la sécurité dès le début du cycle de développement logiciel (SDLC) en collaborant avec l'équipe de sécurité plutôt qu'en la considérant comme une entité distincte. De plus, les développeurs ayant reçu une formation sur les meilleures pratiques en matière de sécurité ont pu réduire efficacement les vulnérabilités. Le problème est que très peu d'entre eux ont bénéficié d'une telle formation.
La beauté des benchmarks
Le parcours de base d'une entreprise comprend la définition de normes en matière de technologies de sécurité, la mise en place de formations et la vérification, tant par l'organisation que par les organismes de réglementation, que les développeurs ont acquis les compétences nécessaires. Bien que cela se soit avéré difficile pour de nombreuses organisations dans tous les secteurs économiques, cela ne doit pas nécessairement être le cas.
L'un des problèmes soulevés par les responsables de la sécurité est la difficulté d'étendre les programmes de formation à l'ensemble de l'entreprise. Cependant, selon une étude de SCW, les organisations, en particulier celles qui comptent un grand nombre de développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des petites organisations ont tendance à varier considérablement en fonction de la qualité de l'application des principes de conception sécurisée. Toutefois, ces entreprises peuvent également tirer parti d'une approche incluant des scores de confiance et sont susceptibles de montrer des améliorations plus rapidement.
Le score de confiance utilise des indicateurs de référence pour mesurer les progrès de chaque apprenant, compile les scores pour évaluer les performances de l'équipe dans son ensemble et compare les progrès de l'organisation aux références du secteur et aux meilleures pratiques. Cela permet non seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent quotidiennement les nouvelles compétences acquises. De plus, cela met en évidence les domaines à améliorer afin que l'organisation puisse optimiser ses programmes de formation et de perfectionnement des compétences.
Dans l'ensemble du CISA, la plupart des organisations se situent à un niveau similaire en matière de mise en œuvre des principes de conception de sécurité, quel que soit le secteur d'infrastructure critique concerné. Les scores de confiance de divers secteurs, allant des services financiers et de la défense à la santé, à l'informatique et à la fabrication de pointe, se situent dans la même fourchette. Sur une échelle de 1 000 points, elles ont légèrement dépassé les 300 points. Contrairement à l'idée reçue selon laquelle le secteur des services financiers, le plus réglementé, serait en tête, aucun secteur ne surpasse les autres.
Les principaux secteurs d'infrastructure qui ne figurent pas dans le classement des scores de confiance, tels que la chimie, l'énergie et le nucléaire, dépendent généralement d'autres secteurs, en particulier des technologies de l'information, pour leurs besoins logiciels, plutôt que de développer leurs propres logiciels. Cependant, l'importance de maintenir la sécurité des systèmes dans ces secteurs (personne ne souhaite voir une centrale nucléaire compromise) souligne à quel point il est essentiel de protéger les logiciels utilisés.
Conclusion
En raison de l'intensification des pressions réglementaires et de la réalité des cybermenaces, l'approche Secure By-Design est devenue indispensable pour les organisations qui souhaitent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels de sécurité repose en grande partie sur les développeurs, mais ceux-ci ont besoin d'une formation adéquate et d'un soutien sous la forme de programmes de perfectionnement technique et de formation approfondis qui leur montrent comment les méthodes de développement sont appliquées.
Les programmes comprenant des benchmarks basés sur des outils tels que Trust Score permettent de suivre clairement les progrès réalisés par l'équipe de développement. Il s'agit d'une approche très novatrice pour les entreprises travaillant avec des développeurs, qui doivent à la fois répondre aux nouvelles exigences de sécurité dès la conception et améliorer en permanence leurs compétences en matière de développement de logiciels sécurisés.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.TéléchargerRessources utiles pour débuter
Thèmes et contenus de la formation sur les codes de sécurité
Le contenu le plus pertinent du secteur évolue constamment pour s'adapter à l'environnement de développement logiciel en constante évolution, en tenant compte du rôle des clients. Des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité, tous les rôles sont couverts, de l'IA à l'injection XQuery. Veuillez consulter le catalogue de contenu pour découvrir ce qui est proposé par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources utiles pour débuter
Cybermon est de retour : la mission IA de défaite du boss est désormais disponible à la demande.
Cybermon 2025 Bit The Boss est désormais disponible toute l'année sur SCW. Renforcez le développement de l'IA de sécurité à grande échelle en déployant des défis de sécurité IA/LLM avancés.
Explication de la loi sur la cyber-résilience : l'importance de la conception sécurisée dans le développement de logiciels
Découvrez les exigences de la loi européenne sur la résilience des réseaux et des services (CRA), son champ d'application et comment votre équipe d'ingénieurs peut se préparer en toute sécurité grâce à la conception, aux pratiques, à la prévention des vulnérabilités et à la mise en place d'un environnement de développement.
Facteur de réussite n° 1 : des critères de réussite clairement définis et mesurables
Enabler 1 présente une série de dix articles consacrés aux facteurs de réussite, en démontrant comment le codage sécurisé peut améliorer les performances commerciales, notamment en accélérant la réduction des risques et des coûts pour la maturité des programmes à long terme.
