Code de sécurité Insight

En tant que responsable de la sécurité des applications, responsable de la sécurité des systèmes d'information, directeur des systèmes d'information et expert en cybersécurité, j'ai acquis une expérience dans le développement et la sécurité des logiciels. J'ai eu l'opportunité de collaborer avec de nombreuses personnes issues de divers types d'entreprises à travers le monde.

Quelle que soit la situation, quelle que soit l'expérience de l'équipe, quel que soit le temps écoulé dans un monde numérique en constante évolution, il y a toujours un problème récurrent. Il est rare que les équipes de développement s'impliquent de manière positive dans la sécurité. La sécurité reste un sujet délicat, source de conflits entre les équipes et un problème sous-jacent dans le secteur.

Cependant, la sécurité logicielle est trop importante pour que nous continuions à suivre cette voie avec notre mode de pensée habituel. Nous devons changer notre discours et nous efforcer de faire de la sécurité un élément indispensable dans le quotidien professionnel de tous les développeurs. L'un des meilleurs moyens d'y parvenir consiste, par exemple, à renforcer les compétences des développeurs en matière de sécurité et à susciter leur engagement grâce à la gamification.

Le paysage actuel

Les développeurs obtiennent leur diplôme universitaire avec peu de connaissances pratiques sur la fourniture de codes sécurisés et travaillent dans des professions où la formation à la sécurité n'est généralement pas une priorité (et lorsqu'elle l'est, elle fait souvent partie des vidéos obligatoires sur la conformité aux réglementations en matière de santé et de sécurité, ce qui ne suscite généralement pas d'intérêt pour le codage sécurisé).Leur première expérience en matière de sécurité consiste souvent en des rapports d'audit ou de test de bogues, ce qui peut entraîner l'interruption soudaine des versions ultérieures et perturber leur créativité. Ils discutent avec les responsables des rapports de sécurité, ce qui fait que dans leur esprit, « sécurité » devient synonyme de « critique ».

Il est regrettable que cette perception négative de la sécurité logicielle soit si répandue. Après tout, certains des souvenirs les plus marquants de ma carrière sont liés à ce que j'ai appris sur la sécurité logicielle. J'ai passé mes débuts dans le piratage informatique à assister à des conférences. Ces conférences m'ont non seulement permis de tester mes compétences auprès de mes pairs (et, pour être honnête, de me mettre un peu en valeur), mais aussi de rencontrer des personnes partageant les mêmes idées que moi, qui appréciaient également de manipuler les logiciels, ce qui a été une expérience très enrichissante.

BruCon, DefCon, BlackHat... Ces événements ont offert à des personnes comme moi l'opportunité de mettre en pratique nos compétences lors de compétitions amicales. Bien que je ne puisse en aucun cas admettre avoir participé à de telles activités antisociales, certaines personnes ont démontré leurs talents de hackers en piratant les téléphones d'autres participants et en affichant leurs informations sur l'écran de présentation, à la vue de tous.Trouver ces failles afin d'améliorer les logiciels, c'est-à-dire les exploiter et les corriger, est devenu un jeu. Il y a quelques années, j'ai eu le privilège d'enseigner la cybersécurité à des centaines d'enfants vivant au Moyen-Orient. Je me souviens encore d'une élève de huit ans qui apprenait le cryptage obligatoire et l'encodage Base64 tout en jouant à un jeu.

La ludification est également utilisée pour enseigner les techniques de codage. Les établissements d'enseignement du monde entier utilisent cette approche pour enseigner le codage à de très jeunes enfants, y compris aux lycéens. Aujourd'hui, les enfants de moins de 4 ans participent régulièrement à des programmes de vacances tels que Code Camp. Ilexiste de nombreux programmes en ligne exceptionnels qui enseignent aux enfants à coder en Python et dans d'autres langages. J'ai même acheté un outil remarquable appelé Screenless Coding pour ma fille de 4 ans.

Cependant, malgré tout cet intérêt et ces progrès, il existe un écart. Personne n'a envisagé la possibilité d'utiliser la gamification pour former les développeurs à la rédaction de codes sécurisés.

Eh bien... Presque personne. Il y a quelques années, j'ai réalisé qu'il fallait redynamiser la sécurité et motiver les développeurs à participer et à se lancer dans le jeu.

Gamification : une approche simple.

Je suis profondément motivé par le désir d'améliorer et de renforcer les compétences des développeurs en matière de sécurité. C'est précisément cette passion qui m'a poussé à créer Secure Code Warrior. La sécurité des logiciels est extrêmement importante et peut être très intéressante.

Je ne suis pas le seul à penser ainsi.

La gamification peut rendre les tâches quotidiennes plus attrayantes et augmenter l'engagement des personnes, les incitant à continuer à jouer, à gagner et à progresser. Prenez l'exemple de Pokémon Go ! Même les personnes les plus sédentaires se lèvent de leur canapé pour rechercher des créatures imaginaires en plein air, ou utilisent FitBit pour compter le nombre de pas qu'elles effectuent chaque jour... Si l'objectif n'est pas atteint ou si la série est interrompue et que le badge n'est pas obtenu, la déception est grande.

Nous allons maintenant revenir à la formation à la sécurité. De nombreux clients nous ont démontré que la gamification est essentielle pour transformer véritablement la culture de sécurité d'une organisation, servir de passerelle entre l'équipe AppSec et l'équipe de développement, et permettre la création de logiciels de meilleure qualité.

À l'heure actuelle, la sécurité n'est pas une priorité pour les développeurs. En ajoutant des éléments conviviaux, compétitifs et attrayants à la méthode de formation, il est possible de motiver les développeurs non seulement à « jouer », mais aussi à revenir pour obtenir plus de points, atteindre des scores élevés, améliorer leur précision et défier leurs collègues.

Nous savons déjà que pour réussir une formation, il convient de respecter les éléments suivants.

• Les développeurs peuvent travailler avec leur code réel et leur propre langage/cadre.
• Le défi est court et couvre toutes les vulnérabilités de sécurité courantes.
• Les défis sont constamment élargis et mis à jour, ce qui permet aux développeurs de continuer à acquérir des compétences au fil du temps.
• Les tâches sont variées et complexes, ce qui les rend attrayantes tant pour les développeurs expérimentés que pour ceux qui ont moins d'expérience.
• Les développeurs et les administrateurs peuvent consulter l'avancement des tâches accomplies, les points forts et les points faibles, le temps consacré à la formation et le niveau de précision global.

L'un de nos principaux clients a démontré la véritable magie d'une plateforme ludique. Il a fourni aux développeurs des équipements thématiques pour leurs équipes, offert des récompenses exceptionnelles aux vainqueurs du jeu et fait de ce tournoi une journée mémorable. Par la suite, un tournoi international a également été organisé, et l'ensemble de l'équipe continue à ce jour de s'entraîner avec sérieux.

Votre propre révolution logicielle commence ici. Le secteur bancaire australien est à l'avant-garde de l'introduction d'une formation ludique pour lutter contre les mauvais codes, grâce à une approche véritablement innovante qui transforme complètement la formation traditionnelle (ou ennuyeuse). Découvrez ce que nos clients ont accompli. Tournoi Next Level. Êtes-vous prêt à passer au niveau supérieur avec nous?

Nous devons nous efforcer de changer le discours et de faire de la sécurité un élément indispensable dans le quotidien professionnel de tous les développeurs. L'un des meilleurs moyens d'y parvenir consiste, par exemple, à renforcer les compétences des développeurs en matière de sécurité et à susciter leur engagement grâce à la gamification.

Le 3 septembre, j'ai eu l'honneur d'assister à une prestigieuse conférence sur la sécurité organisée par plusieurs membres de mon équipe. CSO Australie. L'une des premières du genre en Australie, la cérémonie des Women in Security Awards 2019 a été l'aboutissement remarquable du travail des experts en sécurité les plus réputés du secteur. Cet événement a non seulement permis de célébrer la contribution des femmes dans le domaine de la cybersécurité, mais il a également constitué une plateforme indispensable pour mettre en avant le talent et l'innovation exceptionnels de femmes qui accomplissent souvent des choses remarquables sans attirer l'attention.

Fatemah Beydoun, vice-présidente chargée de la réussite client chez Secure Code Warrior (également connue sous le nom de Chief Awesome), a déclaré que cette journée était indispensable, ce dont nous sommes très fiers. Elle a présenté son exposé comme suit : Mentorat pour l'avenir : comment nous pouvons tous mieux contribuer à la formation des femmes dans le domaine de la cybersécurité. Elle n'a eu que 12 minutes pour présenter l'impact qu'elle a eu sur notre entreprise et sur l'ensemble du secteur de la cybersécurité, mais elle a (bien sûr) été témoin de changements décisifs et positifs.

Une approche plus globale.

Fatemah a déclaré : « Lorsque j'ai débuté ma carrière dans ce secteur, j'étais l'une des rares femmes de mon équipe. Les opportunités de réseautage étaient principalement centrées sur les hommes, il était donc difficile de participer, de rencontrer les bonnes personnes et de démontrer ma valeur pour l'entreprise. Je souhaitais changer cette dynamique en créant un espace plus inclusif, dans la mesure du possible.

Par exemple, lorsque j'assistais à des événements professionnels, je constatais souvent que de nombreux stands utilisaient des mannequins pour attirer l'attention. En théorie, cela pouvait être acceptable, mais comme je ne faisais pas partie du public cible, j'étais souvent ignorée. Au début de ma carrière, j'ai été chargée d'organiser un événement et je me suis promis de trouver une manière plus inclusive et plus intéressante d'attirer l'attention sur les produits de notre entreprise. »

Fatemah et moi-même travaillons ensemble depuis de nombreuses années, et Fatemah a toujours défendu l'inclusion et la diversité au sein de notre entreprise. Ces efforts ont toujours été bénéfiques pour l'équipe féminine, qui a ainsi pu être reconnue pour ses contributions importantes et renforcer le groupe grâce à la diversité des approches, des opinions et des modes de vie.

Fatima a déclaré : « Écoutez, bien sûr, personne ne souhaite devenir une véritable femme. Cependant, le problème réside dans le fait que certains dirigeants, moins ouverts à la diversité, ont tendance à confier les rênes du leadership à des personnes qui leur ressemblent. Sur le plan personnel, on peut comprendre cette attitude. Ces dirigeants pourraient tirer profit des contributions des femmes en termes de performances et de compétences, mais celles-ci sont souvent difficiles à trouver. « Une fois que les dirigeants auront pris conscience des avantages que peut apporter la diversité (au-delà du genre), ils seront prêts à ouvrir la voie et à commencer à former des femmes qui sont prêtes et disposées à accomplir un travail remarquable pour l'organisation », a-t-elle déclaré.

Flexibilité au travail : un élément essentiel à la réussite.

Dès le lancement de l'entreprise, j'ai rapidement compris que pour que les membres de l'équipe puissent donner le meilleur d'eux-mêmes, il était essentiel de leur offrir un espace où ils pourraient respirer. Si la flexibilité est importante pour tout le monde, les politiques de soutien aux familles actives peuvent jouer un rôle crucial dans la fidélisation des talents indispensables.

L'une des premières politiques mises en place ici était la politique relative au travail des nourrissons (Infant-At-Work Policy). Cette politique permet aux parents de nouveaux-nés d'amener leurs bébés au travail sans craindre de manquer de flexibilité pour respecter leurs engagements ou de manquer de discernement.

Fatima a déclaré : « Je ne souhaitais pas devoir choisir entre devenir mère et poursuivre ma carrière. Le fait de pouvoir amener mon jeune fils au travail m'a donné le sentiment d'être soutenue et valorisée, ce qui a été très positif. Mes compétences ne disparaissent pas après la naissance d'un enfant. En tant que membre fondatrice d'une start-up, j'ai envie de me replonger dans ce travail ! »

Elle a même discuté avec ABC News des avantages du travail flexible :

La culture du mentorat est-elle en plein essor ?

Il est recommandé à chacun d'avoir un mentor pour démarrer une carrière réussie et maintenir sa dynamique. Cela peut s'avérer un peu difficile, car dans de nombreux domaines tels que l'informatique, la cybersécurité et les secteurs à prédominance masculine, les femmes occupant des postes de direction sont nettement moins nombreuses que les hommes.

Il est important que les femmes se voient elles-mêmes dans des postes de direction, mais les hommes peuvent également encourager les femmes brillantes au sein de leur équipe et, si possible, leur apporter leur aide en tant que mentors.

« Une équipe de direction peut non seulement avoir un impact significatif sur la diversité au sein d'une organisation, mais elle peut également garantir que les femmes exceptionnelles obtiennent la reconnaissance et le parcours professionnel qu'elles méritent, au même titre que n'importe qui d'autre. J'ai eu l'occasion de mettre cela en pratique avec Yvette Lejins, responsable de la cybersécurité chez Jetstar.C'est une championne des femmes qui, grâce à sa réussite et à ses efforts, a obtenu de nombreux résultats et a contribué à donner confiance aux autres femmes pour qu'elles puissent elles aussi atteindre les sommets », explique Fatemah.

Secure Code Warrior a récemment célébré l'arrivée de son 100e employé. Nous sommes fiers que les femmes représentent plus de 50 % de notre effectif. Fatemah est un modèle et un mentor exceptionnel pour tous.

Toutes les entreprises peuvent trouver une force considérable dans la diversité de leurs équipes. Les opinions variées provenant de tous les horizons peuvent constituer l'élément clé nécessaire pour transformer une bonne idée en une excellente idée. Comme toujours, l'union fait la force.

Il existe une théorie bien connue selon laquelle les cafards peuvent survivre à tout, y compris à une explosion nucléaire. Cette théorie est en partie vraie, mais en raison de leur constitution simple, ils sont très résistants par rapport à leur taille et difficiles à éradiquer dans la plupart des conditions.

Après réflexion, je me suis dit que dans le monde numérique, l'équivalent des cafards serait sans doute les vulnérabilités SQLi (SQL Injection) dans les codes. Ces vulnérabilités sont connues depuis plus de 20 ans, mais les organisations continuent d'en subir les conséquences. Tout comme les attaques ciblées coûteuses et répandues, elles sont le résultat de l'injection SQL. À la suite du piratage électoral qui a exposé les dossiers de 200 000 électeurs dans l'Illinois, le FBI a recommandé à tous les responsables informatiques de renforcer rapidement leurs pratiques de sécurité.

Selon le rapport 2005-2011 de l'initiative Hacker Intelligence d'Imperva, 83 % de toutes les violations de données signalées entre ces deux années ont été commises à l'aide d'attaques SQLi. Aujourd'hui encore, les vulnérabilités d'injection restent la plus grande menace aux États-Unis. OWASP Top 10. Relativement simple, mais pas à négliger.

Il est surprenant de constater que cette même vulnérabilité continue d'apparaître dans un nombre considérable de tests de sécurité des applications. Nous comprenons parfaitement comment ce problème se produit et nous savons comment l'empêcher. Comment cela est-il possible ? En réalité, la sécurité de nos logiciels présente une marge d'amélioration considérable.

Le rapport sur l'état de la sécurité des logiciels de Veracode, basé sur 400 000 analyses d'applications en 2017, a révélé des statistiques surprenantes. Seulement 30 % des applications ont satisfait aux critères du Top 10 de l'OWASP. Près d'une application nouvellement analysée sur trois présente une injection SQL, ce qui est une constante depuis cinq ans. Cela démontre qu'il s'agit d'un problème récurrent. Nous ne tirons pas les leçons de nos erreurs et les RSSI semblent avoir des difficultés à recruter suffisamment de personnel qualifié en matière de sécurité. En général, le ratio entre les experts en sécurité des applications et les développeurs est de 1 pour 100, ce qui n'est pas suffisant.

Pourquoi la sécurité logicielle est-elle essentielle à la survie ?

Le manque de personnel spécialisé dans la sécurité n'est pas un secret. Cependant, il convient également de noter que les développeurs ne résolvent pas les problèmes lorsqu'ils surviennent et ne sont pas préparés à éviter les vulnérabilités dès le départ.Le même rapport Veracode révèle que seulement 14,4 % des vulnérabilités de développement ont fait l'objet de mesures d'atténuation documentées. En d'autres termes, la plupart des vulnérabilités ont été soumises sans mesures d'atténuation au niveau du développement. Moins d'un tiers des vulnérabilités ont été corrigées au cours des 90 premiers jours, et 42 % des vulnérabilités n'ont pas été résolues pendant la phase de développement.

En tant qu'expert en sécurité, je m'entretiens régulièrement avec des RSSI et des PDG. J'ai constaté que de nombreuses entreprises, en plus des faux positifs, sont tellement préoccupées par le nombre de vulnérabilités impossibles à atténuer qu'elles ont décidé de cesser toute recherche et se contentent d'attendre les meilleurs résultats possibles.

Pourquoi les experts en sécurité des applications ont-ils permis cette situation ?

Veuillez ne pas commettre d'erreur. Les employés d'AppSec connaissent parfaitement les problèmes liés au code. Après tout, c'est l'une des compétences clés qui font d'eux des ressources précieuses pour l'équipe. Cependant, ils rencontrent souvent des difficultés en raison de divers facteurs.

Par exemple, un responsable AppSec identifie un problème et demande au développeur : « Pouvez-vous modifier le code ? ». La réponse à cette question cruciale varie d'une organisation à l'autre, mais en général, les développeurs sont tellement occupés à respecter des sprints de livraison stricts qu'ils n'ont ni le temps ni les outils appropriés pour résoudre ces problèmes. Les experts AppSec peuvent identifier eux-mêmes les vulnérabilités, mais ils ne disposent souvent pas des compétences et/ou des droits d'accès nécessaires pour les résoudre immédiatement.

Il est également important de comprendre que chaque problème nécessite un processus de recherche de solution, de mise en œuvre et de test. Même les problèmes mineurs détectés dans le code peuvent nécessiter un temps considérable pour être résolus, sans parler des ressources nécessaires. Il existe plus de 700 vulnérabilités pouvant être introduites dans un logiciel, et il est impossible pour une seule personne de toutes les contrer. C'est pourquoi la plupart des entreprises se concentrent uniquement sur le Top 10 de l'OWASP. Pendant ce temps, les développeurs continuent à développer des fonctionnalités et ce qui a pour conséquence d'introduire continuellement des vulnérabilités dans le code qu'ils écrivent.

Quelle pourrait être la solution ?

En résumé, nous ne fournissons pas aux développeurs les outils et la formation nécessaires pour favoriser la réussite du codage sécurisé. Il n'existe aucune réglementation obligeant les organisations à exiger de leurs développeurs qu'ils possèdent les compétences appropriées en matière de sécurité. Il est regrettable que la plupart des universités et des programmes de stages ne préparent pas les développeurs juniors à coder de manière sécurisée.

Toute personne souhaitant piloter un avion doit suivre une formation, acquérir de l'expérience pratique, passer un examen médical, acquérir des connaissances en matière de sécurité et se soumettre à des contrôles très stricts avant de pouvoir voler. Personne n'oserait imaginer pouvoir voler sans avoir suivi cette préparation approfondie et sans avoir passé ces tests techniques, mais c'est pourtant ce qui se passe tous les jours dans le domaine de la programmation.

Il est nécessaire de consacrer du temps à former les développeurs à la rédaction de codes sécurisés. Cependant, dans le contexte actuel où le développement logiciel évolue rapidement et où il existe une pénurie de développeurs et de spécialistes en sécurité de haut niveau, cela ne semble pas être une priorité. Il est temps de changer de discours.

Les récentes actualités du Forum économique mondial soulignent que « sans sécurité, l'économie numérique ne peut exister », et affirment que la sécurité est essentielle pour devenir un élément central de toute stratégie d'innovation numérique. « La sécurité protège les entreprises, leur permettant ainsi d'innover et de créer de nouveaux produits et services. La sécurité va au-delà de son rôle défensif et offre aux entreprises un avantage stratégique en matière de croissance. »

En améliorant les compétences et les performances en matière de codage sécurisé, les organisations bénéficient d'une couche de protection cybernétique supplémentaire qui leur permet de créer un code plus rapide et de meilleure qualité. Les développeurs n'ont pas besoin de devenir des experts en sécurité, mais ils doivent disposer de pouvoirs actifs et concrets pour constituer la première ligne de défense contre les cyberattaques. Les développeurs peuvent devenir les héros de la sécurité et de l'innovation de la prochaine génération. Ce sont des personnes très intelligentes, qui résolvent les problèmes de manière créative et généralement passionnés par le perfectionnement de leurs compétences. Donnez-leur les moyens de tirer parti de leurs atouts et de respecter des normes de sécurité logicielle plus élevées en leur offrant la formation spécialisée qu'ils méritent. Consultez le livre blanc pour en savoir plus.

Toute personne souhaitant piloter un avion doit suivre une formation, acquérir de l'expérience pratique, passer un examen médical, acquérir des connaissances en matière de sécurité et se soumettre à des contrôles très stricts avant de pouvoir voler. Personne n'oserait imaginer pouvoir voler sans avoir suivi cette préparation approfondie et sans avoir passé ces tests techniques, mais c'est pourtant ce qui se passe tous les jours dans le domaine de la programmation.

La culture pop regorge de références à l'IA et aux robots malveillants, ainsi qu'aux appareils qui se retournent contre leurs maîtres humains. Il s'agit d'un thème fortement imprégné de science-fiction et de fantastique, mais comme l'IdO et les appareils connectés sont de plus en plus présents dans nos foyers, la conversation autour de la cybersécurité et de la sûreté devrait l'être aussi. Les logiciels sont partout autour de nous, et il est très facile d'oublier à quel point nous dépendons de lignes de code pour réaliser toutes ces choses intelligentes qui nous apportent tant d'innovation et de commodité. À l'instar des logiciels basés sur le web, des API et des appareils mobiles, le code vulnérable des systèmes embarqués peut être exploité s'il est découvert dans la nature par un attaquant. 

S'il est peu probable qu'une armée de micro-ondes vienne asservir la race humaine (bien que le robot Tesla soit un peu inquiétant) à la suite d'une cyberattaque, des cyberévénements malveillants sont toujours possibles. Certaines de nos voitures, certains de nos avions et certains de nos appareils médicaux reposent également sur des systèmes intégrés complexes pour effectuer des tâches essentielles, et la perspective que ces objets soient compromis n'est pas seulement alarmante, elle peut aussi mettre des vies en danger.

Comme pour tous les autres types de logiciels, les développeurs sont parmi les premiers à toucher le code, dès le début de la phase de création. Et comme pour tous les autres types de logiciels, il peut s'agir d'un terrain propice à l'apparition de vulnérabilités insidieuses et courantes qui pourraient ne pas être détectées avant que le produit ne soit mis en service. 

Les développeurs ne sont pas des experts en sécurité, et aucune entreprise ne devrait attendre d'eux qu'ils jouent ce rôle, mais ils peuvent être dotés d'un arsenal bien plus puissant pour s'attaquer aux menaces qui les concernent. Les systèmes embarqués - généralement écrits en C et C++ - seront de plus en plus utilisés à mesure que nos besoins technologiques continueront d'évoluer, et il est essentiel que les développeurs reçoivent une formation spécialisée en matière de sécurité sur les outils utilisés dans cet environnement. 

Explosion de friteuses, véhicules hors-la-loi... Sommes-nous des cibles faciles ?

Bien qu'il existe des normes et des réglementations en matière de développement sécurisé pour nous protéger, nous devons faire des progrès beaucoup plus précis et significatifs en ce qui concerne tous les types de sécurité logicielle. Il peut sembler exagéré de penser à un problème pouvant être causé par le piratage d'une friteuse, mais cela s'est produit sous la forme d'une attaque par exécution de code à distance (permettant à l'acteur de la menace d'augmenter la température à des niveaux dangereux), tout comme les vulnérabilités conduisant à la prise de contrôle d'un véhicule.

Les véhicules, en particulier, sont particulièrement complexes, avec de multiples systèmes intégrés à bord, chacun prenant en charge des micro-fonctions, allant des essuie-glaces automatiques aux capacités du moteur et du système de freinage. Associé à une pile de technologies de communication de plus en plus importante, comme le Wi-Fi, le Bluetooth et le GPS, le véhicule connecté représente une infrastructure numérique complexe exposée à de multiples vecteurs d'attaque. Et avec 76,3 millions de véhicules connectés attendus sur les routes du monde entier d'ici 2023, cela représente un monolithe de fondations défensives à poser pour une véritable sécurité.

MISRA est une organisation clé dans la lutte contre les menaces qui pèsent sur les systèmes embarqués. Elle a élaboré des lignes directrices pour faciliter la sécurité du code, la portabilité et la fiabilité dans le contexte des systèmes embarqués. Ces lignes directrices sont l'étoile polaire des normes que chaque entreprise doit s'efforcer d'atteindre dans ses projets de systèmes embarqués.

Cependant, pour créer et exécuter un code qui adhère à cet étalon-or, il faut des ingénieurs en systèmes embarqués qui soient confiants dans les outils - sans parler de la sensibilisation à la sécurité. 

Pourquoi les compétences en matière de sécurité des systèmes embarqués sont-elles si spécifiques ?

Les langages de programmation C et C++ sont gériatriques par rapport aux normes actuelles, mais ils restent largement utilisés. Ils constituent le noyau fonctionnel de la base de code des systèmes embarqués, et Embedded C/C++ jouit d'une vie brillante et moderne dans le monde des appareils connectés.

Bien que ces langages aient des racines plutôt anciennes - et qu'ils présentent des comportements de vulnérabilité similaires en termes de problèmes courants tels que les failles d'injection et les débordements de mémoire tampon - pour que les développeurs parviennent réellement à atténuer les bogues de sécurité dans les systèmes embarqués, ils doivent se familiariser avec un code qui imite les environnements dans lesquels ils travaillent. Une formation générique en C sur les pratiques générales de sécurité ne sera tout simplement pas aussi efficace et mémorable que si l'on consacre plus de temps et d'attention à travailler dans un contexte de C embarqué.

Avec une douzaine à plus d'une centaine de systèmes embarqués dans un véhicule moderne, il est impératif que les développeurs reçoivent une formation précise sur ce qu'il faut rechercher et comment le réparer, directement dans l'IDE.
‍

La protection des systèmes embarqués dès le départ est l'affaire de tous

Dans de nombreuses organisations, le statu quo veut que la vitesse de développement l'emporte sur la sécurité, du moins lorsqu'il s'agit de la responsabilité des développeurs. Ceux-ci sont rarement évalués sur leur capacité à produire du code sécurisé, mais le développement rapide de fonctionnalités impressionnantes est la norme. La demande de logiciels ne fera qu'augmenter, mais cette culture nous a conduits à une bataille perdue d'avance contre les vulnérabilités et les cyberattaques qu'elles permettent. 

Si les développeurs ne sont pas formés, ce n'est pas de leur faute, et c'est une lacune que quelqu'un dans l'équipe AppSec doit aider à combler en recommandant les bons programmes, accessibles (sans parler de l'évaluation) de mise à niveau pour l'ensemble de la communauté de développement. Dès le début d'un projet de développement logiciel, la sécurité doit être une préoccupation majeure, et tout le monde - en particulier les développeurs - doit recevoir ce dont il a besoin pour jouer son rôle. 

S'attaquer aux problèmes de sécurité des systèmes embarqués

Les débordements de mémoire tampon, les failles d'injection et les bogues de logique d'entreprise sont autant d'écueils courants dans le développement de systèmes intégrés. Lorsqu'ils sont enfouis dans un labyrinthe de microcontrôleurs dans un seul véhicule ou appareil, ils peuvent être catastrophiques du point de vue de la sécurité.

Le dépassement de tampon est particulièrement répandu, et si vous souhaitez vous plonger dans la manière dont il a contribué à compromettre la friteuse dont nous avons parlé précédemment (permettant l'exécution de code à distance), consultez ce rapport sur la CVE-2020-28592.

Il est maintenant temps de mettre la main à la pâte avec une vulnérabilité de débordement de mémoire tampon, dans un véritable code C/C++ intégré. Relevez ce défi pour voir si vous pouvez localiser, identifier et corriger les mauvais schémas de codage qui conduisent à ce bogue insidieux :
‍

‍

Comment avez-vous fait ? Visitez www.securecodewarrior.com pour une formation précise et efficace sur la sécurité des systèmes embarqués.

Cet article a été initialement publié sur DevOps.com. DevOps.com. Il a été mis à jour et modifié.

Tout comme « blockchain », « big data » et « innovation numérique », le terme « DevOps » est actuellement un autre mot à la mode dans les services informatiques des grandes organisations.

De nombreuses entreprises reconnaissent la nécessité d'un cycle de développement logiciel plus rapide, un processus plus précis étroitement lié à leurs objectifs commerciaux. Cela permet un flux de travail et une collaboration plus clairs entre les équipes de développement et les équipes opérationnelles. DevOps est fondamentalement un développement « agile », et tous sont prêts à se développer pour répondre aux exigences d'innovation constante et de déploiement rapide des entreprises modernes. C'est une initiative remarquable pour les professionnels de la sécurité, car elle permet d'intégrer la sécurité beaucoup plus tôt dans le processus, ce qui réduit les coûts de correction des bogues et prévient les catastrophes futures.

Le problème est que très peu d'entreprises ont véritablement réussi à mettre en œuvre le DevOps. Sans un soutien, une formation et une compréhension adéquats à tous les niveaux de l'entreprise, celle-ci peut rapidement se retrouver dans une situation délicate. Comme vous le savez, la guerre est l'un des projets les plus complexes.

Alors, quel est le problème ? C'est une question intéressante. Il existe plusieurs approches DevOps qui, selon moi, permettent un fonctionnement beaucoup plus fluide. Un programme efficace va au-delà de quelques nouveaux outils, titres et réunions d'équipe. Ce n'est pas toujours facile, mais prendre le temps de corriger une mauvaise stratégie ou de la mettre en œuvre correctement dès le départ sera beaucoup moins pénible à long terme. Et au final, la qualité des logiciels s'en trouvera améliorée et la sécurité renforcée.

Je vais vous expliquer en détail.

Veuillez détacher la sangle de l'écharpe « Agile ».

Il existe une idée fausse selon laquelle les organisations doivent choisir entre l'agilité et DevOps. Il existe une idée fausse selon laquelle il faudrait choisir une voie ou l'autre et ne jamais revenir en arrière.

Le problème est que le processus de développement fonctionne mieux lorsque les deux sont considérés et mis en œuvre comme un tout. DevOps n'est pas une innovation du développement agile. Il s'agit plutôt d'une extension du développement agile. Lorsque le processus semble se dérouler sans heurts, il a tendance à dérailler. Exactement comme dans le développement agile, ou dans un développement agile complètement différent.

Dès le début, Agile rassemble les concepteurs, les testeurs et les développeurs et établit des lignes de communication ouvertes tout au long du projet, soutenant ainsi le principe des équipes interdépartementales. L'objectif est de mettre fin à la communication cloisonnée et de réduire les doublons, deux avantages qui caractérisent également le processus DevOps.Cependant, DevOps va plus loin en fournissant une technologie puissante et complète dont l'objectif ultime est de fournir aux clients un logiciel complet et fonctionnel en intégrant les systèmes, la sécurité et les opérations.

Lors de la transition vers un processus centré sur DevOps, des difficultés inévitables peuvent survenir, ce qui peut entraîner un retour au développement cloisonné. Souvent, les équipes agiles existantes travaillent ensemble alors que les fonctionnalités supplémentaires de sécurité et d'exploitation ne sont pas encore correctement mises en œuvre. Personne ne sait exactement comment les intégrer, ni ce qu'il convient de faire, ni quels sont les objectifs généraux.

DevOps ne peut fonctionner sans objectifs clairement définis, une intégration interdépartementale et une communication directe avec toutes les parties prenantes. Bien sûr, une gestion minutieuse des changements sera nécessaire pendant la période de transition, mais il suffit que tout le monde partage la même compréhension des améliorations que DevOps apportera pour que chacun puisse travailler efficacement.

DevOps met l'accent sur les meilleures pratiques en matière de sécurité dans le cadre du processus, ce qui permet de clarifier les étapes et de réduire l'écart entre l'équipe de sécurité et tous les autres employés. Comme mentionné précédemment, il reste encore beaucoup à faire pour permettre aux développeurs de coder de manière sécurisée dès le début, mais la mise en œuvre réussie de la méthodologie DevOps constitue une excellente base pour intégrer les compétences en matière de sécurité au sein de l'équipe de développement.

L'automatisation n'est pas la solution ultime et n'est pas non plus la plus sûre.

Une autre caractéristique de la méthodologie DevOps est l'automatisation du processus de développement logiciel. Les principes d'intégration continue et de livraison continue (CI/CD) constituent la pierre angulaire de ce concept et, comme on peut s'y attendre, dépendent fortement des outils. L'outil

est remarquable. Il permet de gérer de manière relativement fluide les éléments de référentiel de code, de test, de maintenance et de stockage, ce qui accélère considérablement le processus de livraison logicielle.

Cependant, même si les robots risquent de nous priver de tous nos emplois et de nous emprisonner un jour, ils n'en sont pas encore là. Une forte dépendance aux outils et à l'automatisation peut entraîner des erreurs.Les analyses et les tests ne permettent pas de tout vérifier, et il est possible que le code ne soit pas inspecté, ce qui peut entraîner d'énormes problèmes de qualité (sans parler de la sécurité). Il suffit d'une seule porte dérobée pour qu'un pirate puisse exploiter le système et voler des données. Abandonner le facteur humain dans la gestion de la qualité et de la sécurité peut avoir de graves conséquences.

Un « média heureux » consiste à maintenir l'équilibre des personnes. Les outils doivent servir d'aide à une équipe fiable afin d'atteindre les objectifs du projet. Il est nécessaire de mettre en pratique les éléments suivants.

• Veuillez prévoir suffisamment de temps pour permettre aux personnes concernées de se familiariser avec la chaîne d'outils DevOps qu'elles ont choisie.
• Se concentrer sur une collaboration efficace (et sur la manière dont les outils peuvent la faciliter)
• Que ce soit en matière de technologie, de connaissances ou d'outils, veuillez combler toutes les lacunes du processus.

En résumé, il est préférable de ne pas se contenter d'utiliser un « outil » et de faire de son mieux.

DevOps n'est pas un simple mot à la mode, mais une véritable culture. Êtes-vous en train de la développer ?

La gestion du changement est une tâche complexe. La crainte de l'inconnu peut empêcher même les membres les plus compétents d'une équipe de perfectionner leurs compétences et d'élargir leurs horizons.

Comme vous le savez, il ne suffit pas de déclarer « Mettons en place le DevOps » et de demander à l'équipe opérationnelle de déplacer ses bureaux pour que, comme par magie, un processus efficace soit mis en place. Beaucoup de personnes seront déconcertées et les membres de l'équipe qui travaillent depuis longtemps dans l'entreprise risquent d'être mécontents. Il est essentiel de communiquer clairement les attentes et de définir la « marche à suivre ». Le DevOps est non seulement une méthodologie de développement, mais aussi un mouvement culturel. L'équipe doit adopter une mentalité collaborative qui transcende les différents départements.

À quoi ressemble une excellente culture DevOps ?

• Les individus peuvent mettre à profit leur expertise non seulement auprès des dirigeants, mais également dans le cadre des processus.
• Une communication ouverte, honnête et respectueuse entre les équipes
• Chaque personne est responsable de l'objectif général consistant à intégrer la qualité et la sécurité dans le processus de développement.
• Tout le monde partage la même compréhension de la définition du DevOps dans le domaine des affaires, de la feuille de route, ainsi que de la méthode, de la cible et de la raison d'être du rôle de chaque individu.

Depuis plusieurs années, j'insiste sur l'importance d'instaurer une culture de sécurité positive au sein des équipes de développement, et il en va de même pour DevOps.

Pour mettre en œuvre les meilleures pratiques en matière de sécurité, identifier les vulnérabilités détectées et sensibiliser votre équipe à l'importance de la protection des données, il est essentiel de disposer des outils, des connaissances et du soutien appropriés. L'utilisation de DevOps nécessite la mise en place d'une base culturelle propice au changement positif. En d'autres termes, il est nécessaire de veiller à ce que chacun comprenne son rôle, sa valeur, ses attentes, les objectifs globaux du projet et les étapes du processus.

Avez-vous maîtrisé cela ? C'est remarquable. Maintenant, changeons de perspective et élargissons l'aspect sécurité pour faire de DevSecOps le plan ultime pour l'excellence logicielle.

Ennuyant, ennuyeux, ennuyeux ! C'est l'une des principales réactions que l'on entend de la part des développeurs chaque fois que l'on évoque la formation au code sécurisé. Chez Secure Code Warrior, nous sommes convaincus qu'il existe une meilleure approche. C'est pourquoi nous avons collaboré avec Evans Data Corp. pour mener une étude primaire sur l'attitude des développeurs à l'égard du codage sécurisé, des pratiques de code sécurisé et des opérations sécurisées (télécharger le livre blanc). Ici).

Dans la version qui sera bientôt disponible , transition de la réponse à la prévention : évolution de la sécurité des applications. Nous avons interrogé les développeurs sur les principaux problèmes actuels liés à la formation au code sécurisé et avons obtenu des réponses.

Formation susceptible de compromettre les compétences des développeurs

Parmi les développeurs ayant participé à l'enquête, 40 % ont estimé que le codage sécurisé était enseigné de manière trop théorique. 40 % ont également estimé que la formation était trop théorique, sans rapport avec leur travail et insuffisante en termes de « pratique ». Enfin, 30 % ont répondu que la formation sur les langages et les frameworks utilisés quotidiennement était insuffisante. Il s'agit là d'un problème grave, car cela signifie que la formation actuelle sur le codage sécurisé est inadaptée à la situation et n'a aucun rapport significatif avec le travail quotidien des développeurs.

Le principal défi auquel sont confrontés la plupart des développeurs est de rester vigilants tout en menant des activités faciles, sans inspiration et inefficaces, qui ne permettent pas de donner la priorité à la sécurité.

La formation en milieu isolé empêche les développeurs d'établir un lien cognitif entre le laboratoire et le monde réel.

Les trois éléments que les développeurs recherchent dans une formation sur le code de sécurité :

1. Les développeurs expriment majoritairement le souhait de bénéficier d'une formation plus pratique et plus adaptée à leur travail quotidien.
2. 65 % des développeurs indiquent qu'ils ont besoin de plus de formation. Vulnérabilités par langage et OWASP Top 10.
3. Parmi les développeurs ayant participé à l'enquête, 75 % ont indiqué qu'ils préféraient une formation pratique systématique.

Formation visant à renforcer les compétences des développeurs

En matière de formation pratique, les développeurs s'appuient sur un certain niveau d'expérience et de connaissances existantes. Cela implique la nécessité d'un apprentissage « échafaudé ». Il s'agit d'une formation structurée, c'est-à-dire échafaudée, qui s'appuie sur les connaissances déjà acquises par les développeurs. La formation échafaudée permet de dynamiser et d'améliorer l'expérience antérieure tout en continuant à acquérir de nouvelles compétences par petites étapes. Elle peut donc constituer un outil idéal pour l'apprentissage pratique.

Transmission de compétences techniques approfondies

En ce qui concerne la formation à la sécurité des développeurs, nous savons que les développeurs préfèrent les méthodes d'apprentissage pratiques à l'apprentissage statique basé sur la théorie. À cet égard, il est essentiel d'apprendre à coder en toute sécurité dans un environnement très pertinent et adapté à la situation. Secure Code Warrior, qui est à l'avant-garde des changements dans le domaine du codage sécurisé, propose des formations pratiques adaptées aux langages de programmation et aux cadres concernés, et et permet aux développeurs de résoudre des problèmes similaires à ceux qu'ils rencontrent dans le monde réel. Le contenu pédagogique comprend plus de 5 500 exercices et missions couvrant plus de 147 types de vulnérabilités, dont les 10 principales vulnérabilités OWASP, les 10 principales vulnérabilités mobiles OWASP, les 10 principales vulnérabilités API OWASP et les 25 principales vulnérabilités CWE/SANS.

Pour découvrir l'impact potentiel sur votre équipe et sa capacité à fournir plus rapidement des codes de sécurité, Veuillez prendre rendez-vous pour une démonstration. dès maintenant.

Les entreprises du monde entier sont en pleine mutation. Étant donné l'importance accordée au numérique, il n'est pas exagéré de dire que la plupart des organisations sont en réalité des éditeurs de logiciels. Les grandes entreprises disposent de vastes équipes de développement chargées du développement et du déploiement continus de fonctionnalités dans un environnement DevOps agile. Ces fonctionnalités doivent répondre à la vitesse de l'innovation et aux attentes des clients, de sorte que la sécurité est souvent considérée comme un obstacle plutôt que comme une nécessité.Cependant, la dépendance vis-à-vis des logiciels ayant atteint un niveau sans précédent, exposant ainsi les entreprises à des risques et des violations potentielles de la cybersécurité, ce scénario ne peut perdurer.

L'équipe de sécurité ne s'agrandit plus et, même si cela était possible, elle manque d'expertise. Un ratio supérieur à 1:100 n'est pas suffisant. On ne peut considérer que les experts en sécurité exclusifs constituent la seule solution pour répondre aux cybermenaces.

Dans ce webinaire animé par Stephen Allor, directeur de Secure Code Warrior (Amérique du Nord), et Russ Wolfe, responsable de la cybersécurité chez Capital One, nous examinerons les défis actuels auxquels sont confrontés les DevOps et nous explorerons comment des institutions financières telles que Capital One encouragent la participation des équipes de développement au codage sécurisé, améliorent leurs compétences et créent efficacement une culture de sécurité positive afin de réussir leur transition.

Vous constaterez ce qui suit.

• Si vous êtes victime d'une « faille de sécurité »
• Les raisons pour lesquelles la sécurité est plus renforcée aujourd'hui qu'il y a plusieurs décennies
• La conception traditionnelle de la sécurité des applications comme une simple « case à cocher » pour la conformité réglementaire et les raisons pour lesquelles cette approche ne peut être que superficielle.
• Pourquoi la sécurité doit être intégrée aux critères d'évaluation de la qualité des applications : une application non sécurisée ne peut être considérée comme de haute qualité, indépendamment de sa conception ou de ses fonctionnalités.
• Les raisons pour lesquelles l'industrie n'a pas intégré la sécurité logicielle dans la mentalité et la culture des développeurs généraux (et pourquoi cela doit changer)
• En raison de l'absence de partage des techniques de codage sécurisé, les mêmes vulnérabilités continuent d'apparaître.
• Les raisons pour lesquelles les outils d'analyse des applications ne détectent pas toutes les vulnérabilités et pourquoi il est plus judicieux de prévenir les vulnérabilités en faisant appel à des ingénieurs/développeurs en sécurité informatique dûment formés.
• Problèmes liés à l'augmentation de la vulnérabilité des logiciels et causes profondes
• Pour réduire les risques de manière significative, il est nécessaire de modifier l'approche qui ne se concentre pas uniquement sur les étudiants.
• Pourquoi la plupart des formations en sécurité n'ont-elles pas d'impact sur les points forts des développeurs et quel type de formation est nécessaire pour que les développeurs obtiennent des résultats exceptionnels ?
• Les raisons pour lesquelles la conformité et les attentes en matière de mise en œuvre dans le domaine de l'ingénierie logicielle sont à la traîne par rapport à d'autres domaines de l'ingénierie, et comment trouver des solutions à ce problème.
• Comment Russ Wolfe et son équipe chez Capital One ont conçu un programme de certification axé sur une formation ludique et gamifiée permettant aux développeurs de s'impliquer, d'apprendre à partir de code source réel et d'atteindre les normes de référence en matière de bonnes pratiques de sécurité.
• Comment ce programme de certification favorise-t-il la participation, la conservation des informations et l'apprentissage continu ?
• Comment les développeurs peuvent-ils améliorer rapidement leurs compétences en suivant une formation et en respectant les principales politiques de sécurité grâce à des mesures incitatives ?
• Méthodes pour identifier les champions de la sécurité et encourager la participation à la formation par le biais d'évaluations.

Veuillez visionner le webinaire dès maintenant. Découvrez les avantages du développement sécurisé dès le départ grâce à des outils et des connaissances axés sur les pratiques de sécurité positives, disponibles dans le cours à la demande.

Découvrez comment des institutions financières telles que Capital One impliquent leurs équipes de développement dans le codage sécurisé et améliorent leurs compétences afin de créer efficacement une culture de sécurité positive et de réussir leur transition.

Le nombre croissant et la sophistication accrue des cyberattaques ont accéléré le changement dans tous les secteurs et toutes les industries à travers le monde. Tout le monde s'efforce de maintenir la sécurité en suivant les processus et procédures aussi rapidement que possible. Cette situation a donné lieu à la mise en œuvre de mesures totalement nouvelles en matière de cyberdéfense. À l'instar de DevSecOps, la sécurité est intégrée au système même qui crée les nouveaux logiciels et applications.

La plupart de ces changements entravent les communautés sensibles. Il est important de considérer que ce sont les personnes qui créent et codent les nouveaux logiciels et applications qui doivent réfléchir à la manière de créer un environnement de codage plus sûr. En fin de compte, il n'est pas possible de faire un premier pas vers la création d'un nouvel environnement.

◆ Comment la communauté des développeurs perçoit-elle cette responsabilité ? Auparavant, l'évaluation se basait presque exclusivement sur la vitesse de codage. Comment les développeurs envisagent-ils désormais leur nouveau rôle de champions de la sécurité ? Est-il envisageable que la direction de l'entreprise s'engage à fournir une formation de qualité, une rémunération adéquate et la reconnaissance nécessaire pour assumer cette nouvelle responsabilité importante ?

En partenariat avec Evans Data Corporation, nous avons mené une enquête auprès de la communauté mondiale des développeurs sur la perception des pratiques de sécurité, les comportements, ainsi que l'impact et la pertinence dans le cycle de vie du développement logiciel (SDLC). Les résultats ont été très surprenants.

Enquête 2022 sur la sécurité menée par les développeurs

L'enquête sur les politiques de sécurité menée par les développeurs Secure Code Warriors a été réalisée en décembre 2021 par Evans Data Corporation.Elle a été menée auprès de 1 200 développeurs de logiciels actifs en Asie-Pacifique, en Europe et en Amérique du Nord, qui ont été interrogés sur la sécurité, la formation, le soutien, les attributions et d'autres questions. L'enquête a été pondérée afin d'obtenir des résultats mondiaux précis. Les répondants comprenaient des développeurs de nouvelles applications et des responsables au sein de la communauté des développeurs.

Quelques découvertes remarquables

Un livre blanc détaillé décrivant tous les aspects de l'enquête (Défis et opportunités pour la sécurité des logiciels) et un rapport (Sécurité dirigée par les développeurs, 2022) seront publiés le lundi 11 avril. Le livre blanc comprend une analyse des résultats et des compromis soulevés par la communauté en matière de pratiques de sécurité, ainsi que des réflexions approfondies.

Certaines de ces questions peuvent susciter des interrogations non seulement chez les personnes qui travaillent avec les développeurs de l'organisation, mais également chez les membres de la communauté. Cela a bien sûr été le cas pour nous.

Seuls 14 % des répondants ont maintenu la sécurité de leurs applications. Ils ont continué à tout miser sur des indicateurs tels que les performances des applications, la réputation et la conformité des systèmes.

La sécurité n'est pas considérée comme une priorité, et 67 % des modèles ayant répondu à l'enquête ont admis laisser dans le code les vulnérabilités et les cas d'abus qu'ils identifient habituellement. Cela s'explique par le fait que la priorité est donnée aux fonctionnalités plutôt qu'à la sécurité, et que le temps est compté. Il n'y avait donc pas de formation ni de connaissances sur les méthodes de résolution des problèmes.

La plupart des développeurs ne définissent pas les composants du code de sécurité au sein de leur organisation et ne bénéficient pas de la formation ou du soutien adéquat pour remédier à cette situation.

Cependant, malgré certains résultats négatifs, il était évident que les attitudes étaient en train de changer. La majorité des développeurs (66 %) s'attendaient à ce que la sécurité devienne plus importante au cours des 12 à 18 prochains mois, et 82 % des personnes interrogées ont exprimé leur respect pour les personnes intelligentes.

À travers l'enquête, ####################################### jour ######################

Nous vous invitons à consulter le livre blanc et le rapport détaillant les résultats complets de l'enquête, ainsi que les commentaires des experts sur les problèmes liés aux pratiques de sécurité actuelles et les opportunités qui s'offrent aux organisations pour optimiser leur sécurité et, à terme, leur définition logicielle.

Veuillez vérifier Secure Code Warrior Découvrez notre blog pour en savoir plus sur la cybersécurité dans un environnement de plus en plus menaçant et sur les moyens de mieux protéger vos clients grâce à des technologies innovantes et à la formation.

‍

Au cours des dernières années, la sécurité des réseaux, les données sensibles des clients représentant des téraoctets, la réputation inestimable des marques et bien d'autres éléments ont été sacrifiés sur l'autel de la rapidité de mise sur le marché. Sous la pression croissante d'accélérer le lancement de nouvelles fonctionnalités, les équipes se sont concentrées sur le développement rapide, sans vraiment prendre conscience des vulnérabilités ou des risques considérables que peuvent entraîner leur complexité et leur dispersion. Plus que jamais, de nouvelles méthodes de travail sont nécessaires.C'est pourquoi, en 2020, Secure Code Warrior s'est associé à Evans Data Corp. pour mener une étude fondamentale* sur l'attitude des développeurs et des gestionnaires à l'égard du codage sécurisé, des pratiques de code sécurisé et des opérations sécurisées (télécharger une copie du livre blanc). Ici).

Indicateurs de performance pour la réussite d'un projet — À quel niveau la sécurité est-elle appropriée ?

Les développeurs et les administrateurs considèrent que le code de sécurité est important, mais pas autant que d'autres éléments. Lorsqu'on leur a demandé quelle était la priorité la plus importante dans le processus de développement logiciel :

• 76 % des performances des applications désignées
• 62 % ont sélectionné les caractéristiques et fonctionnalités suivantes :
• Et j'ai sélectionné un code de sécurité légèrement supérieur à 50 %.
  

Par rapport aux autres indicateurs de performance liés à la réussite des projets, le codage sécurisé ne représente actuellement qu'un tiers.

Il n'est pas surprenant que les développeurs actuels évaluent le succès d'un projet uniquement à l'aide d'indicateurs de performance qui évaluent le code une fois le projet terminé.

Cependant, lorsque l'on interroge les personnes interrogées sur la manière dont cela pourrait évoluer à l'avenir, le tableau s'inverse complètement. La manière dont les organisations considèrent la sécurité comme un indicateur de réussite est en train de changer. Le codage sécurisé prend de plus en plus d'importance.

Interrogés sur la priorité la plus importante pour mesurer le succès futur d'un projet, 79 % des répondants ont convenu que l'importance du codage sécurisé allait augmenter. Il est intéressant de noter qu'un pourcentage encore plus élevé a répondu que l'importance de la sécurité allait dépasser celle des autres indicateurs de performance.Tout comme le mouvement vers la « gauche », la sensibilisation au codage sécurisé augmente également. De par sa nature, le codage sécurisé implique de prendre en compte la sécurité beaucoup plus tôt dans le cycle de vie du développement logiciel (SDLC). En d'autres termes, cela signifie qu'il ne faut pas reporter la sécurité à plus tard, mais plutôt la mettre en place de manière proactive dès le début du développement du logiciel.

Alors que les DSI s'efforcent d'améliorer l'agilité de leur organisation, les capacités de codage sécurisé deviendront un outil d'innovation essentiel. Les DSI et les RSSI doivent déterminer avec soin si les équipes de développement constituent la première ligne de défense ou la ligne de front.

Ces informations ont une incidence significative sur la manière dont les organisations forment leurs développeurs. Les équipes doivent se familiariser avec les vulnérabilités récemment découvertes et les étudier dans leur langage/cadre de travail respectif. En résumé, elles doivent comprendre comment identifier et corriger les vulnérabilités connues du code dans le contexte de leur utilisation quotidienne.

À la pointe de l'évolution du codage sécurisé, Secure Code Warrior adopte une approche humaine qui encourage activement les développeurs à apprendre et à maîtriser les techniques de codage sécurisé. Si vous souhaitez découvrir comment votre équipe peut recommencer à zéro sans compromettre la sécurité et accélérer la publication de code sécurisé, veuillez réserver une démonstration dès maintenant.

‍

Transition de la réponse à la prévention : l'évolution de la sécurité des applications. Secure Code Warrior et Evans Data Corporation 2020