Le score de confiance démontre la valeur de l'initiative Secure By-Design-Upskilling.
Une méthode efficace pour améliorer la posture de sécurité d'une organisation consiste à renforcer les compétences des développeurs en matière de bonnes pratiques de codage sécurisé, grâce à un cadre comprenant des références et des benchmarks conçus pour fournir aux développeurs les parcours d'apprentissage spécifiques dont ils ont besoin. Cependant, le codage sécurisé n'est pas un problème qui peut être résolu en une seule fois. Il doit être intégré dans l'ADN de l'organisation et devenir un mode de vie. Les développeurs doivent non seulement se déplacer vers la gauche ou commencer par la gauche, mais aussi continuer à se déplacer vers la gauche.
Il ne suffit pas de simplement fournir une formation. L'organisation doit s'assurer que les développeurs ont bien assimilé la formation et qu'ils appliquent les meilleures pratiques dans le cadre de leurs tâches quotidiennes dès le début du cycle de vie du développement logiciel (SDLC). Il est essentiel de suivre les performances des développeurs par rapport aux normes internes et aux références du secteur, et de mesurer les progrès réalisés afin d'évaluer efficacement le retour sur investissement de la formation.
Secure Code Warriors Trust Score offre une visibilité sur les performances individuelles des développeurs et évalue les performances globales de l'organisation en agrégeant les données.Il identifie les domaines nécessitant des améliorations tout en démontrant l'efficacité des programmes de perfectionnement des compétences. Il facilite également la conformité à diverses exigences réglementaires, qu'elles soient liées au Règlement général sur la protection des données (RGPD), à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), à la loi californienne sur la protection de la vie privée des consommateurs (CCPA) ou autres.
Nos recherches indiquent que la formation au code de sécurité est efficace. Le Trust Score, qui utilise un algorithme basé sur plus de 20 millions de points de données d'apprentissage obtenus par plus de 250 000 apprenants dans plus de 600 organisations, démontre son efficacité pour éliminer les vulnérabilités et améliore l'efficacité des initiatives.
La formation contribue à renforcer la sécurité — lorsque les développeurs reçoivent une formation,
Pendant de nombreuses années, l'utilisation des meilleures pratiques de sécurité dès le début du cycle de vie du développement logiciel (SDLC) semblait être un objectif ambitieux dans l'industrie du logiciel. C'est une bonne chose à long terme, mais ce n'est pas une priorité aujourd'hui. Cependant, avec l'accélération constante du développement logiciel et la multiplication des cybermenaces sophistiquées et destructrices qui ciblent souvent les vulnérabilités logicielles, le codage sécurisé est devenu indispensable. L'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) place le code sécurisé au premier plan. Il s'agit d'une initiative internationale en pleine expansion qui vise à promouvoir la conception sécurisée.
Nos recherches ont démontré une corrélation évidente entre l'approche Secure by Design et la réduction des vulnérabilités logicielles.L'analyse des données relatives à la réduction des vulnérabilités chez 26 % des clients SCW a révélé que la formation des développeurs avait permis de réduire les vulnérabilités logicielles de 22 % à 84 %. Cette fourchette s'explique par plusieurs variables, notamment la taille de l'entreprise concernée (les résultats sont d'autant plus spectaculaires que l'entreprise est petite et compte relativement peu de développeurs), le fait que le groupe d'apprentissage se soit concentré ou non sur un problème spécifique, et Dans ce cas, le taux de défauts était plus élevé.
Les résultats des grandes entreprises étaient relativement similaires. Dans les entreprises comptant plus de 7 000 développeurs, on peut s'attendre à une réduction des vulnérabilités de 47 % à 53 % grâce à l'amélioration des compétences des développeurs en matière de sécurité. Par exemple, une entreprise comptant plus de 10 000 développeurs (qui n'est ni la plus performante sur la plateforme ni celle qui affiche les meilleurs résultats) a vu ses vulnérabilités diminuer de 53 %.
Bien entendu, une approche large et uniforme n'est pas nécessaire pour une formation efficace. Elle doit être adaptée à l'environnement de travail du développeur et au type de développement qu'il effectue.
Les entreprises doivent d'abord établir les compétences de base nécessaires pour permettre aux développeurs d'écrire du code sécurisé aussi naturellement qu'ils écrivent du code. Les programmes de perfectionnement doivent être composés de formations pratiques et agiles utilisant des scénarios réels adaptés au type de travail effectué et au langage utilisé. Ils doivent également être suffisamment flexibles pour s'adapter au calendrier de travail.
Pour les développeurs, l'ensemble des compétences requises va au-delà de la simple écriture de code. Les développeurs doivent être capables de vérifier les assistants d'intelligence artificielle et les logiciels créés par des tiers (par exemple, les référentiels open source). Les développeurs ont largement adopté les modèles d'IA générative et ont généralement apprécié leur capacité à générer plus de code plus rapidement.Cependant, 76 % des personnes interrogées ont déclaré que le code généré par l'IA était plus sûr que le code généré par l'homme, tandis que 56,4 % ont déclaré que l'IA générait encore des erreurs de manière occasionnelle ou fréquente. La même enquête a révélé que 80 % des développeurs ignoraient les politiques de sécurité relatives au code généré par l'IA, ce qui suggère que les problèmes liés à ce type de code ne sont pas résolus.
Dans l'approche Secure-by-Design, les développeurs ne travaillent pas séparément de l'équipe de sécurité, mais collaborent avec elle afin de résoudre ces problèmes dès le début du cycle de vie du développement logiciel (SDLC) et d'identifier et de corriger les défauts avant que le code ne soit mis en production.
Le score de confiance mesure les performances individuelles et celles des entreprises.
Il est également essentiel de dispenser une formation continue. Les entreprises doivent adopter une culture axée sur la sécurité qui s'applique à tous les niveaux, du plus haut poste au plus bas. L'accent doit être mis sur l'amélioration continue et l'application des meilleures pratiques de sécurité tout au long du cycle de vie du développement logiciel (SDLC). La technologie et les cybercriminels ne cessent d'évoluer, tout comme la cybersécurité. Pour les organisations qui développent des logiciels, des développeurs formés à la sécurité constituent la base.
Il est donc tout aussi important de démontrer l'efficacité de la formation que de la dispenser. Les scores de confiance permettent non seulement d'évaluer les performances individuelles des développeurs et de l'organisation dans son ensemble, mais aussi d'analyser en détail les données de performance afin de se concentrer sur un langage, une équipe de développeurs ou une catégorie de logiciels spécifique. Les données relatives aux performances individuelles et agrégées aident également à identifier les domaines dans lesquels la formation doit être améliorée (par exemple, si elle n'a pas l'impact souhaité sur les performances quotidiennes des développeurs).
L'organisation peut évaluer les performances des développeurs à l'aide du Trust Score et vérifier qu'ils ont acquis et utilisent les compétences nécessaires en matière de sécurité afin de déterminer s'ils sont aptes à obtenir une licence de codage. Cela permet à l'organisation d'accorder en toute confiance l'accès aux données les plus sensibles et aux projets logiciels critiques aux développeurs qualifiés, tout en refusant l'accès à ceux qui n'utilisent pas encore les outils appropriés.
Preuve d'une culture de la sécurité en pleine évolution
La cybersécurité n'est plus une simple question de sécurité. Il s'agit d'un enjeu commercial qui affecte l'intégrité des données, l'actif le plus précieux de nombreuses organisations. Les violations graves peuvent avoir un impact sur les opérations, la réputation et, potentiellement, la viabilité même de l'organisation. Avec la mise en œuvre de réglementations de plus en plus strictes, l'importance de la cybersécurité n'a pas échappé aux organismes de réglementation, qui sont prêts à intenter des poursuites contre les RSSI et, potentiellement, d'autres cadres supérieurs. Ces organismes sont prêts à engager des poursuites pénales, comme dans les cas suivants : Uber et SolarWinds.
Dans le contexte actuel, il est essentiel d'adopter une culture de la sécurité à l'échelle de l'entreprise. Étant donné qu'une grande partie de la valeur d'une entreprise réside dans ses données, ses applications et ses services, le codage sécurisé est un élément central de la culture d'entreprise. La formation, qui a démontré son efficacité dans la transformation culturelle, ainsi que la formation ciblée et l'amélioration des compétences, qui font partie intégrante de la mentalité culturelle, peuvent aider les organisations à renforcer leur posture de sécurité.
Les programmes de sécurité dirigés par les développeurs présentent une valeur certaine. Les preuves sont les suivantes : score de confiance.
Nos recherches indiquent que la formation au code de sécurité est efficace. Le Trust Score, qui utilise un algorithme basé sur plus de 20 millions de points de données d'apprentissage obtenus par plus de 250 000 apprenants dans plus de 600 organisations, démontre son efficacité pour éliminer les vulnérabilités et améliore l'efficacité des initiatives.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Une méthode efficace pour améliorer la posture de sécurité d'une organisation consiste à renforcer les compétences des développeurs en matière de bonnes pratiques de codage sécurisé, grâce à un cadre comprenant des références et des benchmarks conçus pour fournir aux développeurs les parcours d'apprentissage spécifiques dont ils ont besoin. Cependant, le codage sécurisé n'est pas un problème qui peut être résolu en une seule fois. Il doit être intégré dans l'ADN de l'organisation et devenir un mode de vie. Les développeurs doivent non seulement se déplacer vers la gauche ou commencer par la gauche, mais aussi continuer à se déplacer vers la gauche.
Il ne suffit pas de simplement fournir une formation. L'organisation doit s'assurer que les développeurs ont bien assimilé la formation et qu'ils appliquent les meilleures pratiques dans le cadre de leurs tâches quotidiennes dès le début du cycle de vie du développement logiciel (SDLC). Il est essentiel de suivre les performances des développeurs par rapport aux normes internes et aux références du secteur, et de mesurer les progrès réalisés afin d'évaluer efficacement le retour sur investissement de la formation.
Secure Code Warriors Trust Score offre une visibilité sur les performances individuelles des développeurs et évalue les performances globales de l'organisation en agrégeant les données.Il identifie les domaines nécessitant des améliorations tout en démontrant l'efficacité des programmes de perfectionnement des compétences. Il facilite également la conformité à diverses exigences réglementaires, qu'elles soient liées au Règlement général sur la protection des données (RGPD), à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), à la loi californienne sur la protection de la vie privée des consommateurs (CCPA) ou autres.
Nos recherches indiquent que la formation au code de sécurité est efficace. Le Trust Score, qui utilise un algorithme basé sur plus de 20 millions de points de données d'apprentissage obtenus par plus de 250 000 apprenants dans plus de 600 organisations, démontre son efficacité pour éliminer les vulnérabilités et améliore l'efficacité des initiatives.
La formation contribue à renforcer la sécurité — lorsque les développeurs reçoivent une formation,
Pendant de nombreuses années, l'utilisation des meilleures pratiques de sécurité dès le début du cycle de vie du développement logiciel (SDLC) semblait être un objectif ambitieux dans l'industrie du logiciel. C'est une bonne chose à long terme, mais ce n'est pas une priorité aujourd'hui. Cependant, avec l'accélération constante du développement logiciel et la multiplication des cybermenaces sophistiquées et destructrices qui ciblent souvent les vulnérabilités logicielles, le codage sécurisé est devenu indispensable. L'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) place le code sécurisé au premier plan. Il s'agit d'une initiative internationale en pleine expansion qui vise à promouvoir la conception sécurisée.
Nos recherches ont démontré une corrélation évidente entre l'approche Secure by Design et la réduction des vulnérabilités logicielles.L'analyse des données relatives à la réduction des vulnérabilités chez 26 % des clients SCW a révélé que la formation des développeurs avait permis de réduire les vulnérabilités logicielles de 22 % à 84 %. Cette fourchette s'explique par plusieurs variables, notamment la taille de l'entreprise concernée (les résultats sont d'autant plus spectaculaires que l'entreprise est petite et compte relativement peu de développeurs), le fait que le groupe d'apprentissage se soit concentré ou non sur un problème spécifique, et Dans ce cas, le taux de défauts était plus élevé.
Les résultats des grandes entreprises étaient relativement similaires. Dans les entreprises comptant plus de 7 000 développeurs, on peut s'attendre à une réduction des vulnérabilités de 47 % à 53 % grâce à l'amélioration des compétences des développeurs en matière de sécurité. Par exemple, une entreprise comptant plus de 10 000 développeurs (qui n'est ni la plus performante sur la plateforme ni celle qui affiche les meilleurs résultats) a vu ses vulnérabilités diminuer de 53 %.
Bien entendu, une approche large et uniforme n'est pas nécessaire pour une formation efficace. Elle doit être adaptée à l'environnement de travail du développeur et au type de développement qu'il effectue.
Les entreprises doivent d'abord établir les compétences de base nécessaires pour permettre aux développeurs d'écrire du code sécurisé aussi naturellement qu'ils écrivent du code. Les programmes de perfectionnement doivent être composés de formations pratiques et agiles utilisant des scénarios réels adaptés au type de travail effectué et au langage utilisé. Ils doivent également être suffisamment flexibles pour s'adapter au calendrier de travail.
Pour les développeurs, l'ensemble des compétences requises va au-delà de la simple écriture de code. Les développeurs doivent être capables de vérifier les assistants d'intelligence artificielle et les logiciels créés par des tiers (par exemple, les référentiels open source). Les développeurs ont largement adopté les modèles d'IA générative et ont généralement apprécié leur capacité à générer plus de code plus rapidement.Cependant, 76 % des personnes interrogées ont déclaré que le code généré par l'IA était plus sûr que le code généré par l'homme, tandis que 56,4 % ont déclaré que l'IA générait encore des erreurs de manière occasionnelle ou fréquente. La même enquête a révélé que 80 % des développeurs ignoraient les politiques de sécurité relatives au code généré par l'IA, ce qui suggère que les problèmes liés à ce type de code ne sont pas résolus.
Dans l'approche Secure-by-Design, les développeurs ne travaillent pas séparément de l'équipe de sécurité, mais collaborent avec elle afin de résoudre ces problèmes dès le début du cycle de vie du développement logiciel (SDLC) et d'identifier et de corriger les défauts avant que le code ne soit mis en production.
Le score de confiance mesure les performances individuelles et celles des entreprises.
Il est également essentiel de dispenser une formation continue. Les entreprises doivent adopter une culture axée sur la sécurité qui s'applique à tous les niveaux, du plus haut poste au plus bas. L'accent doit être mis sur l'amélioration continue et l'application des meilleures pratiques de sécurité tout au long du cycle de vie du développement logiciel (SDLC). La technologie et les cybercriminels ne cessent d'évoluer, tout comme la cybersécurité. Pour les organisations qui développent des logiciels, des développeurs formés à la sécurité constituent la base.
Il est donc tout aussi important de démontrer l'efficacité de la formation que de la dispenser. Les scores de confiance permettent non seulement d'évaluer les performances individuelles des développeurs et de l'organisation dans son ensemble, mais aussi d'analyser en détail les données de performance afin de se concentrer sur un langage, une équipe de développeurs ou une catégorie de logiciels spécifique. Les données relatives aux performances individuelles et agrégées aident également à identifier les domaines dans lesquels la formation doit être améliorée (par exemple, si elle n'a pas l'impact souhaité sur les performances quotidiennes des développeurs).
L'organisation peut évaluer les performances des développeurs à l'aide du Trust Score et vérifier qu'ils ont acquis et utilisent les compétences nécessaires en matière de sécurité afin de déterminer s'ils sont aptes à obtenir une licence de codage. Cela permet à l'organisation d'accorder en toute confiance l'accès aux données les plus sensibles et aux projets logiciels critiques aux développeurs qualifiés, tout en refusant l'accès à ceux qui n'utilisent pas encore les outils appropriés.
Preuve d'une culture de la sécurité en pleine évolution
La cybersécurité n'est plus une simple question de sécurité. Il s'agit d'un enjeu commercial qui affecte l'intégrité des données, l'actif le plus précieux de nombreuses organisations. Les violations graves peuvent avoir un impact sur les opérations, la réputation et, potentiellement, la viabilité même de l'organisation. Avec la mise en œuvre de réglementations de plus en plus strictes, l'importance de la cybersécurité n'a pas échappé aux organismes de réglementation, qui sont prêts à intenter des poursuites contre les RSSI et, potentiellement, d'autres cadres supérieurs. Ces organismes sont prêts à engager des poursuites pénales, comme dans les cas suivants : Uber et SolarWinds.
Dans le contexte actuel, il est essentiel d'adopter une culture de la sécurité à l'échelle de l'entreprise. Étant donné qu'une grande partie de la valeur d'une entreprise réside dans ses données, ses applications et ses services, le codage sécurisé est un élément central de la culture d'entreprise. La formation, qui a démontré son efficacité dans la transformation culturelle, ainsi que la formation ciblée et l'amélioration des compétences, qui font partie intégrante de la mentalité culturelle, peuvent aider les organisations à renforcer leur posture de sécurité.
Les programmes de sécurité dirigés par les développeurs présentent une valeur certaine. Les preuves sont les suivantes : score de confiance.
Une méthode efficace pour améliorer la posture de sécurité d'une organisation consiste à renforcer les compétences des développeurs en matière de bonnes pratiques de codage sécurisé, grâce à un cadre comprenant des références et des benchmarks conçus pour fournir aux développeurs les parcours d'apprentissage spécifiques dont ils ont besoin. Cependant, le codage sécurisé n'est pas un problème qui peut être résolu en une seule fois. Il doit être intégré dans l'ADN de l'organisation et devenir un mode de vie. Les développeurs doivent non seulement se déplacer vers la gauche ou commencer par la gauche, mais aussi continuer à se déplacer vers la gauche.
Il ne suffit pas de simplement fournir une formation. L'organisation doit s'assurer que les développeurs ont bien assimilé la formation et qu'ils appliquent les meilleures pratiques dans le cadre de leurs tâches quotidiennes dès le début du cycle de vie du développement logiciel (SDLC). Il est essentiel de suivre les performances des développeurs par rapport aux normes internes et aux références du secteur, et de mesurer les progrès réalisés afin d'évaluer efficacement le retour sur investissement de la formation.
Secure Code Warriors Trust Score offre une visibilité sur les performances individuelles des développeurs et évalue les performances globales de l'organisation en agrégeant les données.Il identifie les domaines nécessitant des améliorations tout en démontrant l'efficacité des programmes de perfectionnement des compétences. Il facilite également la conformité à diverses exigences réglementaires, qu'elles soient liées au Règlement général sur la protection des données (RGPD), à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), à la loi californienne sur la protection de la vie privée des consommateurs (CCPA) ou autres.
Nos recherches indiquent que la formation au code de sécurité est efficace. Le Trust Score, qui utilise un algorithme basé sur plus de 20 millions de points de données d'apprentissage obtenus par plus de 250 000 apprenants dans plus de 600 organisations, démontre son efficacité pour éliminer les vulnérabilités et améliore l'efficacité des initiatives.
La formation contribue à renforcer la sécurité — lorsque les développeurs reçoivent une formation,
Pendant de nombreuses années, l'utilisation des meilleures pratiques de sécurité dès le début du cycle de vie du développement logiciel (SDLC) semblait être un objectif ambitieux dans l'industrie du logiciel. C'est une bonne chose à long terme, mais ce n'est pas une priorité aujourd'hui. Cependant, avec l'accélération constante du développement logiciel et la multiplication des cybermenaces sophistiquées et destructrices qui ciblent souvent les vulnérabilités logicielles, le codage sécurisé est devenu indispensable. L'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) place le code sécurisé au premier plan. Il s'agit d'une initiative internationale en pleine expansion qui vise à promouvoir la conception sécurisée.
Nos recherches ont démontré une corrélation évidente entre l'approche Secure by Design et la réduction des vulnérabilités logicielles.L'analyse des données relatives à la réduction des vulnérabilités chez 26 % des clients SCW a révélé que la formation des développeurs avait permis de réduire les vulnérabilités logicielles de 22 % à 84 %. Cette fourchette s'explique par plusieurs variables, notamment la taille de l'entreprise concernée (les résultats sont d'autant plus spectaculaires que l'entreprise est petite et compte relativement peu de développeurs), le fait que le groupe d'apprentissage se soit concentré ou non sur un problème spécifique, et Dans ce cas, le taux de défauts était plus élevé.
Les résultats des grandes entreprises étaient relativement similaires. Dans les entreprises comptant plus de 7 000 développeurs, on peut s'attendre à une réduction des vulnérabilités de 47 % à 53 % grâce à l'amélioration des compétences des développeurs en matière de sécurité. Par exemple, une entreprise comptant plus de 10 000 développeurs (qui n'est ni la plus performante sur la plateforme ni celle qui affiche les meilleurs résultats) a vu ses vulnérabilités diminuer de 53 %.
Bien entendu, une approche large et uniforme n'est pas nécessaire pour une formation efficace. Elle doit être adaptée à l'environnement de travail du développeur et au type de développement qu'il effectue.
Les entreprises doivent d'abord établir les compétences de base nécessaires pour permettre aux développeurs d'écrire du code sécurisé aussi naturellement qu'ils écrivent du code. Les programmes de perfectionnement doivent être composés de formations pratiques et agiles utilisant des scénarios réels adaptés au type de travail effectué et au langage utilisé. Ils doivent également être suffisamment flexibles pour s'adapter au calendrier de travail.
Pour les développeurs, l'ensemble des compétences requises va au-delà de la simple écriture de code. Les développeurs doivent être capables de vérifier les assistants d'intelligence artificielle et les logiciels créés par des tiers (par exemple, les référentiels open source). Les développeurs ont largement adopté les modèles d'IA générative et ont généralement apprécié leur capacité à générer plus de code plus rapidement.Cependant, 76 % des personnes interrogées ont déclaré que le code généré par l'IA était plus sûr que le code généré par l'homme, tandis que 56,4 % ont déclaré que l'IA générait encore des erreurs de manière occasionnelle ou fréquente. La même enquête a révélé que 80 % des développeurs ignoraient les politiques de sécurité relatives au code généré par l'IA, ce qui suggère que les problèmes liés à ce type de code ne sont pas résolus.
Dans l'approche Secure-by-Design, les développeurs ne travaillent pas séparément de l'équipe de sécurité, mais collaborent avec elle afin de résoudre ces problèmes dès le début du cycle de vie du développement logiciel (SDLC) et d'identifier et de corriger les défauts avant que le code ne soit mis en production.
Le score de confiance mesure les performances individuelles et celles des entreprises.
Il est également essentiel de dispenser une formation continue. Les entreprises doivent adopter une culture axée sur la sécurité qui s'applique à tous les niveaux, du plus haut poste au plus bas. L'accent doit être mis sur l'amélioration continue et l'application des meilleures pratiques de sécurité tout au long du cycle de vie du développement logiciel (SDLC). La technologie et les cybercriminels ne cessent d'évoluer, tout comme la cybersécurité. Pour les organisations qui développent des logiciels, des développeurs formés à la sécurité constituent la base.
Il est donc tout aussi important de démontrer l'efficacité de la formation que de la dispenser. Les scores de confiance permettent non seulement d'évaluer les performances individuelles des développeurs et de l'organisation dans son ensemble, mais aussi d'analyser en détail les données de performance afin de se concentrer sur un langage, une équipe de développeurs ou une catégorie de logiciels spécifique. Les données relatives aux performances individuelles et agrégées aident également à identifier les domaines dans lesquels la formation doit être améliorée (par exemple, si elle n'a pas l'impact souhaité sur les performances quotidiennes des développeurs).
L'organisation peut évaluer les performances des développeurs à l'aide du Trust Score et vérifier qu'ils ont acquis et utilisent les compétences nécessaires en matière de sécurité afin de déterminer s'ils sont aptes à obtenir une licence de codage. Cela permet à l'organisation d'accorder en toute confiance l'accès aux données les plus sensibles et aux projets logiciels critiques aux développeurs qualifiés, tout en refusant l'accès à ceux qui n'utilisent pas encore les outils appropriés.
Preuve d'une culture de la sécurité en pleine évolution
La cybersécurité n'est plus une simple question de sécurité. Il s'agit d'un enjeu commercial qui affecte l'intégrité des données, l'actif le plus précieux de nombreuses organisations. Les violations graves peuvent avoir un impact sur les opérations, la réputation et, potentiellement, la viabilité même de l'organisation. Avec la mise en œuvre de réglementations de plus en plus strictes, l'importance de la cybersécurité n'a pas échappé aux organismes de réglementation, qui sont prêts à intenter des poursuites contre les RSSI et, potentiellement, d'autres cadres supérieurs. Ces organismes sont prêts à engager des poursuites pénales, comme dans les cas suivants : Uber et SolarWinds.
Dans le contexte actuel, il est essentiel d'adopter une culture de la sécurité à l'échelle de l'entreprise. Étant donné qu'une grande partie de la valeur d'une entreprise réside dans ses données, ses applications et ses services, le codage sécurisé est un élément central de la culture d'entreprise. La formation, qui a démontré son efficacité dans la transformation culturelle, ainsi que la formation ciblée et l'amélioration des compétences, qui font partie intégrante de la mentalité culturelle, peuvent aider les organisations à renforcer leur posture de sécurité.
Les programmes de sécurité dirigés par les développeurs présentent une valeur certaine. Les preuves sont les suivantes : score de confiance.
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Consulter le rapportVeuillez prendre rendez-vous pour une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Une méthode efficace pour améliorer la posture de sécurité d'une organisation consiste à renforcer les compétences des développeurs en matière de bonnes pratiques de codage sécurisé, grâce à un cadre comprenant des références et des benchmarks conçus pour fournir aux développeurs les parcours d'apprentissage spécifiques dont ils ont besoin. Cependant, le codage sécurisé n'est pas un problème qui peut être résolu en une seule fois. Il doit être intégré dans l'ADN de l'organisation et devenir un mode de vie. Les développeurs doivent non seulement se déplacer vers la gauche ou commencer par la gauche, mais aussi continuer à se déplacer vers la gauche.
Il ne suffit pas de simplement fournir une formation. L'organisation doit s'assurer que les développeurs ont bien assimilé la formation et qu'ils appliquent les meilleures pratiques dans le cadre de leurs tâches quotidiennes dès le début du cycle de vie du développement logiciel (SDLC). Il est essentiel de suivre les performances des développeurs par rapport aux normes internes et aux références du secteur, et de mesurer les progrès réalisés afin d'évaluer efficacement le retour sur investissement de la formation.
Secure Code Warriors Trust Score offre une visibilité sur les performances individuelles des développeurs et évalue les performances globales de l'organisation en agrégeant les données.Il identifie les domaines nécessitant des améliorations tout en démontrant l'efficacité des programmes de perfectionnement des compétences. Il facilite également la conformité à diverses exigences réglementaires, qu'elles soient liées au Règlement général sur la protection des données (RGPD), à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), à la loi californienne sur la protection de la vie privée des consommateurs (CCPA) ou autres.
Nos recherches indiquent que la formation au code de sécurité est efficace. Le Trust Score, qui utilise un algorithme basé sur plus de 20 millions de points de données d'apprentissage obtenus par plus de 250 000 apprenants dans plus de 600 organisations, démontre son efficacité pour éliminer les vulnérabilités et améliore l'efficacité des initiatives.
La formation contribue à renforcer la sécurité — lorsque les développeurs reçoivent une formation,
Pendant de nombreuses années, l'utilisation des meilleures pratiques de sécurité dès le début du cycle de vie du développement logiciel (SDLC) semblait être un objectif ambitieux dans l'industrie du logiciel. C'est une bonne chose à long terme, mais ce n'est pas une priorité aujourd'hui. Cependant, avec l'accélération constante du développement logiciel et la multiplication des cybermenaces sophistiquées et destructrices qui ciblent souvent les vulnérabilités logicielles, le codage sécurisé est devenu indispensable. L'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) place le code sécurisé au premier plan. Il s'agit d'une initiative internationale en pleine expansion qui vise à promouvoir la conception sécurisée.
Nos recherches ont démontré une corrélation évidente entre l'approche Secure by Design et la réduction des vulnérabilités logicielles.L'analyse des données relatives à la réduction des vulnérabilités chez 26 % des clients SCW a révélé que la formation des développeurs avait permis de réduire les vulnérabilités logicielles de 22 % à 84 %. Cette fourchette s'explique par plusieurs variables, notamment la taille de l'entreprise concernée (les résultats sont d'autant plus spectaculaires que l'entreprise est petite et compte relativement peu de développeurs), le fait que le groupe d'apprentissage se soit concentré ou non sur un problème spécifique, et Dans ce cas, le taux de défauts était plus élevé.
Les résultats des grandes entreprises étaient relativement similaires. Dans les entreprises comptant plus de 7 000 développeurs, on peut s'attendre à une réduction des vulnérabilités de 47 % à 53 % grâce à l'amélioration des compétences des développeurs en matière de sécurité. Par exemple, une entreprise comptant plus de 10 000 développeurs (qui n'est ni la plus performante sur la plateforme ni celle qui affiche les meilleurs résultats) a vu ses vulnérabilités diminuer de 53 %.
Bien entendu, une approche large et uniforme n'est pas nécessaire pour une formation efficace. Elle doit être adaptée à l'environnement de travail du développeur et au type de développement qu'il effectue.
Les entreprises doivent d'abord établir les compétences de base nécessaires pour permettre aux développeurs d'écrire du code sécurisé aussi naturellement qu'ils écrivent du code. Les programmes de perfectionnement doivent être composés de formations pratiques et agiles utilisant des scénarios réels adaptés au type de travail effectué et au langage utilisé. Ils doivent également être suffisamment flexibles pour s'adapter au calendrier de travail.
Pour les développeurs, l'ensemble des compétences requises va au-delà de la simple écriture de code. Les développeurs doivent être capables de vérifier les assistants d'intelligence artificielle et les logiciels créés par des tiers (par exemple, les référentiels open source). Les développeurs ont largement adopté les modèles d'IA générative et ont généralement apprécié leur capacité à générer plus de code plus rapidement.Cependant, 76 % des personnes interrogées ont déclaré que le code généré par l'IA était plus sûr que le code généré par l'homme, tandis que 56,4 % ont déclaré que l'IA générait encore des erreurs de manière occasionnelle ou fréquente. La même enquête a révélé que 80 % des développeurs ignoraient les politiques de sécurité relatives au code généré par l'IA, ce qui suggère que les problèmes liés à ce type de code ne sont pas résolus.
Dans l'approche Secure-by-Design, les développeurs ne travaillent pas séparément de l'équipe de sécurité, mais collaborent avec elle afin de résoudre ces problèmes dès le début du cycle de vie du développement logiciel (SDLC) et d'identifier et de corriger les défauts avant que le code ne soit mis en production.
Le score de confiance mesure les performances individuelles et celles des entreprises.
Il est également essentiel de dispenser une formation continue. Les entreprises doivent adopter une culture axée sur la sécurité qui s'applique à tous les niveaux, du plus haut poste au plus bas. L'accent doit être mis sur l'amélioration continue et l'application des meilleures pratiques de sécurité tout au long du cycle de vie du développement logiciel (SDLC). La technologie et les cybercriminels ne cessent d'évoluer, tout comme la cybersécurité. Pour les organisations qui développent des logiciels, des développeurs formés à la sécurité constituent la base.
Il est donc tout aussi important de démontrer l'efficacité de la formation que de la dispenser. Les scores de confiance permettent non seulement d'évaluer les performances individuelles des développeurs et de l'organisation dans son ensemble, mais aussi d'analyser en détail les données de performance afin de se concentrer sur un langage, une équipe de développeurs ou une catégorie de logiciels spécifique. Les données relatives aux performances individuelles et agrégées aident également à identifier les domaines dans lesquels la formation doit être améliorée (par exemple, si elle n'a pas l'impact souhaité sur les performances quotidiennes des développeurs).
L'organisation peut évaluer les performances des développeurs à l'aide du Trust Score et vérifier qu'ils ont acquis et utilisent les compétences nécessaires en matière de sécurité afin de déterminer s'ils sont aptes à obtenir une licence de codage. Cela permet à l'organisation d'accorder en toute confiance l'accès aux données les plus sensibles et aux projets logiciels critiques aux développeurs qualifiés, tout en refusant l'accès à ceux qui n'utilisent pas encore les outils appropriés.
Preuve d'une culture de la sécurité en pleine évolution
La cybersécurité n'est plus une simple question de sécurité. Il s'agit d'un enjeu commercial qui affecte l'intégrité des données, l'actif le plus précieux de nombreuses organisations. Les violations graves peuvent avoir un impact sur les opérations, la réputation et, potentiellement, la viabilité même de l'organisation. Avec la mise en œuvre de réglementations de plus en plus strictes, l'importance de la cybersécurité n'a pas échappé aux organismes de réglementation, qui sont prêts à intenter des poursuites contre les RSSI et, potentiellement, d'autres cadres supérieurs. Ces organismes sont prêts à engager des poursuites pénales, comme dans les cas suivants : Uber et SolarWinds.
Dans le contexte actuel, il est essentiel d'adopter une culture de la sécurité à l'échelle de l'entreprise. Étant donné qu'une grande partie de la valeur d'une entreprise réside dans ses données, ses applications et ses services, le codage sécurisé est un élément central de la culture d'entreprise. La formation, qui a démontré son efficacité dans la transformation culturelle, ainsi que la formation ciblée et l'amélioration des compétences, qui font partie intégrante de la mentalité culturelle, peuvent aider les organisations à renforcer leur posture de sécurité.
Les programmes de sécurité dirigés par les développeurs présentent une valeur certaine. Les preuves sont les suivantes : score de confiance.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.TéléchargerRessources utiles pour débuter
Thèmes et contenus de la formation sur les codes de sécurité
Le contenu le plus pertinent du secteur évolue constamment pour s'adapter à l'environnement de développement logiciel en constante évolution, en tenant compte du rôle des clients. Des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité, tous les rôles sont couverts, de l'IA à l'injection XQuery. Veuillez consulter le catalogue de contenu pour découvrir ce qui est proposé par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources utiles pour débuter
Cybermon est de retour : la mission IA de défaite du boss est désormais disponible à la demande.
Cybermon 2025 Bit The Boss est désormais disponible toute l'année sur SCW. Renforcez le développement de l'IA de sécurité à grande échelle en déployant des défis de sécurité IA/LLM avancés.
Explication de la loi sur la cyber-résilience : l'importance de la conception sécurisée dans le développement de logiciels
Découvrez les exigences de la loi européenne sur la résilience des réseaux et des services (CRA), son champ d'application et comment votre équipe d'ingénieurs peut se préparer en toute sécurité grâce à la conception, aux pratiques, à la prévention des vulnérabilités et à la mise en place d'un environnement de développement.
Facteur de réussite n° 1 : des critères de réussite clairement définis et mesurables
Enabler 1 présente une série de dix articles consacrés aux facteurs de réussite, en démontrant comment le codage sécurisé peut améliorer les performances commerciales, notamment en accélérant la réduction des risques et des coûts pour la maturité des programmes à long terme.
