Code de sécurité Insight

Alors que les cybermenaces continuent d'augmenter, les codeurs vont-ils plus loin ? Les développeurs, qui sont les acteurs les plus importants du codage sécurisé, sont-ils prêts à jouer leur rôle dans la protection d'un monde connecté ? Pour répondre à cette question, examinons quelques conclusions tirées d'une récente étude menée par Secure Code Warrior en collaboration avec Evans Data Corp sur les attitudes des développeurs en matière de codage sécurisé, de pratiques de code sécurisé et d'opérations sécurisées.

Compétences en codage sécurisé des développeurs — Perception et réalité

Dans la version à paraître prochainement , passage de la réaction à la prévention : l'évolution de la sécurité des applications. 97 % des développeurs ayant participé à l'enquête estiment avoir reçu une formation suffisante en matière de codage sécurisé et 95 % conviennent que cette formation leur a été utile dans leur carrière. Cependant, avant d'accepter ces affirmations telles quelles, il convient de réfléchir et de se poser quelques questions importantes. Pourquoi les vulnérabilités du code sont-elles encore si répandues ?Pourquoi les développeurs continuent-ils à rencontrer les mêmes vulnérabilités malgré une formation adéquate en matière de codage sécurisé ? Les dix mêmes vulnérabilités logicielles ont-elles été à l'origine de la majorité des violations de sécurité au cours des vingt dernières années ?  

Que se passe-t-il réellement ?

Les développeurs affirment avoir reçu une formation adéquate en matière de sécurité, mais n'est-ce pas là une confiance excessive ? Une chose est sûre : cette auto-évaluation positive contredit l'opinion des développeurs eux-mêmes quant à la difficulté du codage sécurisé. Si la plupart des développeurs affirment avoir reçu une formation utile et suffisante, la majorité des développeurs et des responsables du développement continuent de considérer la mise en œuvre des pratiques de codage sécurisé comme quelque peu difficile.

• Plus de 91 % des responsables du développement affirment qu'il est difficile de mettre en œuvre des pratiques de code sécurisé.
• Plus de 88 % des développeurs estiment que le codage sécurisé est difficile. Les développeurs ne reçoivent pas la formation nécessaire en matière de codage sécurisé, qui est pourtant le facteur humain le plus important dans ce domaine. Cela signifie qu'une formation au codage sécurisé est nécessaire. Une meilleure formation au codage sécurisé et un renforcement de la sécurité permettent d'intégrer la sécurité dans la mentalité des clients.

Pourquoi la mise en œuvre des codes de sécurité est-elle si complexe ?

Les développeurs et les responsables du développement ont été invités à identifier les principales préoccupations liées à la mise en œuvre afin de comprendre pourquoi ils trouvent difficile de mettre en œuvre des codes sécurisés.

En conséquence, 28 % ont déclaré trouver le processus d'apprentissage difficile, tandis que 24 % ont déclaré trouver le processus d'apprentissage ennuyeux.

Ces préoccupations majeures revêtent une importance particulière. Étant donné la complexité du processus d'apprentissage, il est nécessaire de mettre en place une formation plus participative. Les formations suivantes sont également requises. Étant donné que le processus d'apprentissage est fastidieux, il convient davantage aux développeurs. Cela souligne la nécessité d'une formation pour adultes axée sur les développeurs.

« Je souhaite acquérir des connaissances solides et applicables à divers scénarios. Je pense que Secure Code Warrior répondra à mes attentes. »

Ingénieur logiciel senior @ ForgerOck

Lien supprimé

Secure Code Warrior, qui est à l'avant-garde de l'évolution du codage sécurisé, adopte une approche centrée sur l'humain qui rend l'apprentissage des techniques de codage sécurisé positif et gratifiant.Grâce à une formation 100 % pratique, ludique et interactive qui permet d'identifier et de résoudre les problèmes de sécurité pendant le codage, les développeurs peuvent s'immerger pleinement dans les pratiques de codage sécurisé. Toutes ces fonctionnalités permettent de prévenir les vulnérabilités avant qu'elles ne fassent la une des journaux, réduisant ainsi les coûts et les délais de mise en production.

Cependant, nous vous prions de ne pas nous croire sur parole.

Le portail Secure Code Warrior® constitue une excellente plateforme pour se familiariser avec les vulnérabilités de sécurité de diverses technologies. Il offre des fonctionnalités intéressantes et interactives.

Testeur de sécurité, petite et moyenne entreprise de vente au détail
Tweed : 5AC-3CA-F68

« Secure Code Warrior a su mettre en avant l'importance du codage sécurisé de manière très ludique et captivante grâce à la gamification. »

Ingénieur logiciel dans une entreprise de services financiers classée au Global 500
Tweed : B0D-73D-BE3

Et il existe de nombreuses autres sources. Par conséquent, si vous souhaitez examiner de près cette nouvelle approche de la formation aux codes de sécurité et découvrir comment elle peut aider les développeurs à progresser, nous serions ravis de vous la présenter, chers super-héros de la sécurité.

Octobre est depuis longtemps le mois où les organisations redoublent de vigilance en matière de cybersécurité. Mais en 2025, les enjeux sont très différents. Le développement de logiciels assistés par l'IA n'est plus un projet pilote, mais un courant dominant. Ce qui a commencé comme des copilotes de saisie automatique s'est accéléré pour devenir des systèmes d'IA agentiques générant des applications entières. Les développeurs ne sont plus seulement des auteurs de code ; ils sont des réviseurs, des éditeurs et des défenseurs de la production générée par l'IA.

Ce changement est à la fois une opportunité et un risque. L'IA promet une livraison plus rapide, mais elle amplifie également l'exposition, la pression de la conformité et le besoin de pratiques de sécurité résilientes pour les développeurs. Le Mois de la sensibilisation à la cybersécurité ne peut pas continuer à s'appuyer sur les mêmes rappels de phishing et exercices de détection d'escroqueries. Il doit évoluer vers une préparation consciente de l'IA qui permette aux entreprises de sécuriser le code à la vitesse de l'IA.

Pourquoi le mois de la sensibilisation à la cybersécurité doit-il évoluer ?

Depuis deux décennies, le Mois de la sensibilisation à la cybersécurité suit un scénario familier : il met l'accent sur le phishing et les courriels frauduleux, préconise une meilleure hygiène des mots de passe, encourage l'authentification multifactorielle, rappelle aux employés de mettre à jour leurs logiciels et les met en garde contre l'ingénierie sociale. Certaines années, l'accent est mis sur la navigation sécurisée, les ransomwares, la confidentialité des données ou la sécurisation du travail à distance. Ces thèmes sont tous importants, mais ils représentent le même vieux manuel - une liste de thèmes répétés qui ne reflètent plus les risques auxquels les entreprises sont réellement confrontées dans un monde de développement axé sur l'IA.

Pour rester pertinent, le Mois de la sensibilisation à la cybersécurité doit aller au-delà d'une sensibilisation générique et mettre l'accent sur des pratiques axées sur les développeurs - des exercices de codage sécurisés à la révision du code par l'IA - qui reflètent les réalités du cycle de vie du développement logiciel d'aujourd'hui.

Certaines organisations matures ont déjà commencé à s'engager dans cette direction, en incorporant dans leurs efforts de sensibilisation des activités telles que la formation au Top 10 de l'OWASP ou des modules vidéo axés sur les développeurs. Cependant, même ces approches doivent évoluer. La réalité est que l'IA modifie fondamentalement la façon dont le code est créé, révisé et déployé. La sensibilisation doit passer des rappels de surface à la préparation des entreprises à un avenir où le code généré par l'IA est la nouvelle surface d'attaque.

Chez Secure Code Warrior, nous pensons que les développeurs dotés des bonnes compétences en matière de sécurité de l'IA peuvent être 10 fois plus productifs pour l'organisation - mais sans ces compétences, ils peuvent générer 10 fois plus de code, de dette technologique et de vulnérabilités.

Les implications pour les responsables de la sécurité des entreprises sont claires :

• Plus de code, plus d'exposition : L'IA accélère la livraison, mais sans surveillance, elle peut augmenter de façon exponentielle les vulnérabilités et la dette technique, augmentant ainsi le risque pour l'entreprise.
• La gouvernance, pas seulement la conformité : Les gouvernements et les organismes du secteur signalent que les normes actuelles ne suffiront pas. Par exemple, la loi européenne sur l'IA introduit déjà des exigences en matière de transparence, de classification des risques et de surveillance des systèmes d'IA, créant ainsi un précédent que d'autres régions pourraient suivre. Les RSSI doivent anticiper les réglementations futures et s'attaquer de manière proactive à l'IA fantôme en mettant en place des contrôles de visibilité et de gouvernance. 
• Les écarts de compétences se creusent : les développeurs doivent être équipés pour gérer les surfaces d'attaque spécifiques à l'IA, telles que l'injection rapide et les API non sécurisées. En fait, le rapport 2025 Thales Data Threat Report a révélé que près de 70 % des entreprises considèrent le rythme de développement de l'IA comme leur principale préoccupation en matière de sécurité, ce qui souligne le décalage croissant entre l'adoption et l'état de préparation.

Les RSSI ne peuvent plus considérer l'adoption de l'IA comme une initiative secondaire. Elle est désormais au cœur de la manière dont les entreprises construisent, fournissent et sécurisent les logiciels.

La mission du Secure Code Warrior: De la prise de conscience à l'action

Chez Secure Code Warrior, nous pensons que la sensibilisation n'est qu'un point de départ. Les entreprises ont besoin d'actions mesurables pour gérer le risque des développeurs à grande échelle. Notre plateforme permet aux RSSI d'intégrer le codage sécurisé dans l'ADN de l'organisation, en offrant la visibilité et les résultats nécessaires pour réduire les risques et renforcer la résilience.

• Plus de 10 000 leçons de codage sécurisé couvrant plus de 600 vulnérabilités dans plus de 70 langages et frameworks.
• Les défis IA qui simulent de véritables flux de travail d'IA, offrant aux développeurs une pratique réaliste de l'examen et de la sécurisation du code généré par l'IA.
• SCW Trust ^Score® , qui offre aux RSSI une visibilité objective sur la position des développeurs en matière de risques et des progrès mesurables.
• Agent fiduciaire du SCW : AIqui étend l'observabilité et la gouvernance au développement assisté par l'IA, en mettant en lumière l'IA de l'ombre, en reliant le code généré par l'IA à des mesures de risque réelles et en garantissant une adoption responsable. 

Il ne s'agit pas de simples modules de formation, mais de puissants outils d'apprentissage et de gouvernance qui réduisent les risques organisationnels, démontrent la résilience aux conseils d'administration et aux régulateurs, et produisent des résultats avérés - les clients ayant réduit leurs vulnérabilités de 53 % et accéléré leur MTTR de 3 fois.

Cybermon 2025 : L'âge de l'IA

Pour rendre tangible le mois de la sensibilisation à la cybersécurité, Secure Code Warrior organise Cybermon, notre événement annuel du mois d'octobre qui transforme la sensibilisation mondiale en action d'entreprise.

Le thème de cette année, L'âge de l'IA, reflète les changements sismiques en cours dans le développement de logiciels. Cybermon 2025 commence le 6 octobre et permet aux organisations de :

• Testez sous pression vos compétences en matière d'examen de code sécurisé dans des environnements pilotés par l'IA.
• Lancez des campagnes mesurables et ludiques qui démontrent les progrès accomplis aux conseils d'administration et aux régulateurs.
• Favoriser une culture de développement sécurisé alignée sur les priorités de gestion des risques de l'entreprise.

Cybermon aide les RSSI à rendre la sensibilisation opérationnelle, en la transformant d'un slogan en un impact mesurable à l'échelle de l'organisation.

Un appel stratégique à l'action pour les RSSI

Le développement piloté par l'IA n'est plus à l'horizon, il est là. La vitesse de livraison du code augmente, les risques se multiplient et la responsabilité de sécuriser le code généré par l'IA incombe désormais aux dirigeants d'entreprise.

Le mandat est clair :

• Combler le déficit de compétences en matière de sécurité de l'IA.
• Mesurez et réduisez les risques pour les développeurs à grande échelle.
• Abordez de manière proactive l'IA fantôme grâce à des contrôles de visibilité et de gouvernance, en anticipant la probabilité d'une réglementation future. 

Chez Secure Code Warrior, nous nous engageons à aider les RSSI à naviguer dans cette nouvelle ère avec l'expertise, la visibilité et la gouvernance nécessaires pour sécuriser les logiciels à l'échelle de l'entreprise. Avec des capacités telles que SCW Trust ^Score® et Trust Agent : AI, les organisations peuvent transformer la prise de conscience en une résilience mesurable à l'échelle de l'entreprise. En savoir plus sur SCW Trust Agent : AI - Visibilité et gouvernance pour votre SDLC assisté par l'IA.

En ce mois d'octobre, dépassons le stade de la sensibilisation superficielle et entrons dans l'ère de l'IA avec clarté, confiance et résilience - une ligne de code sécurisée à la fois.

‍

La découverte d'une violation malveillante de la chaîne logistique des logiciels a une nouvelle fois mis le secteur de la cybersécurité en état d'alerte. Cette vulnérabilité, qui affecte la bibliothèque de compression de données XZ Utils fournie avec les principales distributions Linux, est répertoriée sous le numéro CVE-2024-3094. Elle résulte en fin de compte de l'insertion délibérée d'une porte dérobée par un administrateur système bénévole qui était jusqu'alors considéré comme fiable. Si elle est exploitée avec succès, elle peut permettre l'exécution de code à distance. (RCE), ce qui pourrait gravement compromettre le processus de compilation des logiciels existants.

Heureusement, un autre administrateur a détecté cette menace avant que le code malveillant ne pénètre dans une version stable de Linux, mais cela reste un problème pour les utilisateurs qui ont commencé à exécuter les versions 5.6.0 et 5.6.1 de XZ Utils dans le cadre de Fedora Rawhide, et les organisations doivent appliquer les correctifs de toute urgence.Si cette découverte n'avait pas été faite à temps, le profil de risque aurait probablement été tel que cette attaque aurait été considérée comme l'une des plus destructrices jamais enregistrées, surpassant même celle de SolarWinds.

Le recours à des bénévoles de la communauté pour maintenir des systèmes critiques est largement documenté, mais rarement discuté jusqu'à ce qu'un problème aussi important que celui-ci fasse surface. Leurs efforts inlassables sont essentiels au maintien des logiciels open source, mais cela met en évidence la nécessité de renforcer le contrôle d'accès aux référentiels logiciels, sans parler de l'importance de mettre l'accent sur les techniques et la sensibilisation à la sécurité au niveau des développeurs.

Qu'est-ce que XZ Utils Backdoor et comment peut-on le contrer ?

Le 29 mars, Red Hat a publié une alerte de sécurité urgente. Elle visait à informer les utilisateurs de Fedora Linux 4.0 et Fedora Rawhide que la dernière version de l'outil de compression « XZ » et de la bibliothèque contenait un code malveillant qui semblait avoir été spécialement conçu pour faciliter l'accès non autorisé de tiers. La manière dont ce code malveillant a été introduit fera l'objet d'une étude approfondie. Cependant, il s'agit d'une pratique d'ingénierie sociale sophistiquée et patiente, menée depuis plusieurs années par un acteur malveillant utilisant un pseudonyme. L'attaquant, connu sous le nom de « Gia Tan », a passé plus de deux ans à contribuer légitimement au projet et à la communauté XZ Utils, gagnant ainsi la confiance des autres responsables de maintenance. Grâce à plusieurs comptes fictifs, il a fini par obtenir le statut d'« administrateur de confiance » après avoir sapé la confiance de Lasse Collin, propriétaire du projet bénévole.

‍

‍

Ce scénario inhabituel illustre parfaitement comment des personnes hautement qualifiées sur le plan technique peuvent devenir les victimes de tactiques utilisées à l'encontre de personnes généralement peu informées, ce qui démontre la nécessité d'une formation précise et axée sur les rôles en matière de sécurité. Ce n'est que grâce à la curiosité et à la vivacité d'esprit d'un ingénieur logiciel Microsoft et d'un administrateur PostgreSQL que le backdoor Andresa été découvert et que la version a été rétrogradée, empêchant ainsi ce qui aurait pu être l'attaque de chaîne d'approvisionnement la plus destructrice de l'histoire récente.

La porte dérobée elle-même est officiellement considérée comme la vulnérabilité la plus grave possible. Registre NIST. Initialement, on pensait qu'elle permettrait de contourner l'authentification SSH, mais des investigations supplémentaires ont révélé qu'elle permettait l'exécution de code à distance non authentifié sur des systèmes Linux vulnérables, notamment Fedora Rawhide, Fedora 41, Kali Linux, OpenSUSE Micro OS, OpenSUSE Tumbleweed et certaines versions de Debian.

Jia Tan semble avoir déployé des efforts considérables pour identifier les paquets malveillants. Ces paquets malveillants, lorsqu'ils sont déclenchés pour se configurer eux-mêmes pendant le processus de compilation, interfèrent avec l'authentification SSHD via systemd. Pour clar ifier, dans certaines circonstances, cette interférence permet potentiellement à un attaquant de contourner l'authentification SSHD et d'obtenir un accès non autorisé à distance à l'ensemble du système.

Microsoft a publié des directives complètes pour rechercher les instances d'exploitation et atténuer leur impact, ainsi que les mesures immédiates recommandées par les agences suivantes. Les développeurs et utilisateurs concernés par la CISA doivent rétrograder XZ Utils vers une version non compromise, telle que XZ Utils 5.4.6 Stable.

Il est extrêmement difficile de prévenir ce type d'attaque. En effet, il est particulièrement difficile de prévenir ce type d'attaque, notamment lorsque des composants open source sont utilisés dans les logiciels, car il est difficile d'avoir une certitude et une transparence quant à la sécurité de la chaîne d'approvisionnement. Nous avons déjà corrigé des vulnérabilités accidentelles dans la chaîne d'approvisionnement logicielle, mais il s'avère que ces risques incluent des bogues de sécurité implantés intentionnellement dans le but de compromettre la sécurité open source.

La plupart des développeurs sont très conscients des questions de sécurité, possèdent de solides connaissances en la matière et ne sont pas particulièrement paranoïaques, ce qui ne leur permet pas de se prémunir contre ce type d'attaques. Il faut presque adopter la mentalité des acteurs malveillants. Cependant, les considérations les plus importantes doivent toujours être centrées sur les référentiels de code source suivants. Il est contrôlé en interne (c'est-à-dire qu'il n'est pas open source). Ces informations ne doivent être accessibles qu'aux personnes disposant des compétences de sécurité appropriées et vérifiées. Les experts en sécurité des applications peuvent envisager des paramètres tels que des contrôles de sécurité au niveau des branches, qui permettent uniquement aux développeurs expérimentés en matière de sécurité de valider les modifications dans la branche principale.

Les responsables de maintenance bénévoles sont des héros, mais maintenir la sécurité des logiciels nécessite beaucoup d'efforts.

Pour ceux qui ne sont pas familiers avec le domaine du génie logiciel, il peut être difficile de comprendre le concept selon lequel une communauté dynamique de bénévoles consacre son temps à la maintenance de systèmes critiques. Cependant, c'est une caractéristique du développement open source qui reste une préoccupation majeure pour les professionnels de la sécurité chargés de protéger la chaîne d'approvisionnement.

Les logiciels open source occupent une place importante dans l'écosystème numérique de presque toutes les entreprises. Les mainteneurs de confiance (qui agissent pour la plupart de bonne foi) sont de véritables héros qui poursuivent sans relâche le progrès technologique et l'intégrité, mais il serait absurde de continuer à les laisser isolés.À l'ère du DevSecOps, la sécurité est une responsabilité partagée, et tous les développeurs doivent disposer des connaissances et des outils appropriés pour résoudre les problèmes de sécurité qui peuvent survenir dans le cadre de leur travail. La sensibilisation à la sécurité et les compétences pratiques doivent être irréprochables dans le processus de développement logiciel, et il incombe aux responsables de la sécurité d'influencer le changement au niveau de l'entreprise.

Bâtissez une culture de la sécurité florissante au sein de votre organisation en vous appuyant sur des informations approfondies. Programme de formation Par Secure Code Warrior.

Il y a neuf ans, j'ai discuté à plusieurs reprises de mon intention de créer une entreprise avec mes amis, ma famille, mes anciens collègues et des investisseurs potentiels. Tous m'ont soutenu, certains sont devenus les anges dont nous avions besoin pour exister, d'autres ont agi avec raison. J'ai cité les statistiques suivantes : 90 % des start-ups finissent par échouer, ce qui signifie qu'une sur cinqdisparaît dans les deux premières années.

Le parcours jusqu'à présent n'a pas été dépourvu d'obstacles, de vents contraires économiques imprévisibles et de risques importants. Cependant, avec mon cofondateur Matthias et l'excellente équipe qui m'entoure, je suis convaincu que nous pouvons surmonter tous les obstacles.

Aujourd'hui marque notre neuvième anniversaire. Dans un contexte où la situation évolue rapidement, je suis toujours très fier et reconnaissant de nos réalisations et de notre positionnement durable dans le domaine de la cybersécurité.

‍

Nouveaux clients, nouvelles opportunités

Il n'est pas facile de se développer dans un tel contexte économique. Cependant, nous continuons à rechercher des moyens d'améliorer notre rapidité et notre efficacité, et d'offrir davantage de valeur à notre clientèle croissante. En 2023, nous avons ajouté de nombreux logos de premier plan à notre liste de clients, mais notre véritable réussite a été de constater leur volonté d'essayer de nouvelles approches pour le développement de logiciels de sécurité, même dans des environnements hérités où le lancement peut s'avérer beaucoup plus difficile.

Ces acteurs majeurs du secteur peuvent jouer un rôle déterminant dans la conduite du changement. Il est essentiel de les surveiller de près si l'on souhaite observer l'évolution des résultats en matière de sécurité.

En 2023, nous avons eu le plaisir d'apprendre les faits suivants :

>> Le tournoi annuel Devlim Global Secure Coding Tournament a connu une croissance de 100 %. Veuillez noter la date et vous inscrire à vos domaines d'intérêt pour le tournoi 2024 qui débutera le 15 octobre.

>> Plus de 400 000 développeurs utilisent la plateforme d'apprentissage Secure Code Warrior.

>> L'analyse des données de 30 % des utilisateurs (environ 75 000 personnes) a révélé que les développeurs qui utilisent Secure Code Warrior pour apprendre et appliquer les méthodes de codage sécurisé introduisent 53 % moins de vulnérabilités dans leur organisation que leurs collègues. C'est remarquable !

Bien que l'IA occupe le devant de la scène et domine les conseils d'administration, nous sommes prêts.

L'année dernière, le battage médiatique autour de l'IA, de l'apprentissage automatique et des modèles linguistiques à grande échelle (LLM) était inévitable. En seulement 12 mois, l'avènement des outils de codage et de sécurité basés sur l'IA a commencé à transformer la manière dont de nombreux développeurs écrivent leur code.

Les nouvelles technologies qui capturent l'esprit du temps et exigent une adoption massive sont remarquablement puissantes, et les outils d'aide au codage par IA continueront d'exister. Cependant, comme cela a été le cas jusqu'à présent , ces technologies ont finalement creusé le fossé entre le développement de logiciels de sécurité et l'efficacité. Alors que les organisations doivent trouver un équilibre entre la vitesse, la connaissance du contexte et la détection des vulnérabilités, la demande de développeurs possédant des compétences en sécurité n'a jamais été aussi forte. Dans ce dernier cas, il est préférable d'être supervisé par une personne expérimentée. D'une certaine manière, c'est l'avenir du pair programming, et l'outil lui-même ouvre de nouvelles perspectives uniques dans le domaine du développement logiciel.

Vous pouvez participer au défi interactif. Découvrez par vous-même l'impact des outils IA/LLM sur la sécurité et ne manquez pas cette opportunité exceptionnelle de vous concentrer sur l'amélioration des technologies de sécurité pour les développeurs. Nous sommes également prêts à collaborer avec les organisations qui accordent la priorité à la sécurité tout en recherchant la rapidité et l'efficacité.

Collaborer avec les responsables de la cybersécurité pour créer des résultats positifs en matière de sécurité axés sur les développeurs.

Depuis neuf ans, nous considérons les ingénieurs logiciels comme le pilier de notre programme de sécurité. L'année 2024, qui marquera notre dixième anniversaire dans ce domaine, sera une année historique et innovante.

Notre feuille de route produit est riche en nouvelles fonctionnalités remarquables, et nous sommes impatients de les partager avec vous. Nous sommes conscients que les responsables de la sécurité seront particulièrement intéressés par la manière dont nous pouvons les aider à atteindre leurs objectifs grâce à notre équipe de développement.

Nous vous remercions de votre soutien continu et de votre accompagnement.

L'apprentissage agile pour le code de sécurité SDLC porte ses fruits.

Cet article est le troisième d'une série de trois articles de blog décrivant les caractéristiques et les avantages d'une plateforme d'apprentissage agile pour la sécurité informatique. Dans la première partie, nous avons présenté le concept d'apprentissage agile et expliqué comment la plateforme Secure Code Warrior illustre plusieurs principes agiles. Dans la deuxième partie, nous avons examiné comment une plateforme d'apprentissage agile remplace la formation traditionnelle en sécurité informatique axée sur la conformité.

La plateforme d'apprentissage agile offre aux apprenants une expérience d'apprentissage qui leur permet d'assimiler et d'utiliser plus efficacement de nouvelles compétences grâce à une formation pratique sur le terrain qui s'intègre véritablement dans leurs tâches quotidiennes. Cette approche pédagogique, telle que celle appliquée par SCW aux développeurs qui acquièrent des compétences en codage sécurisé, distingue SCW des méthodes d'apprentissage traditionnelles et nous différencie.Dans le troisième et dernier article de cette série, nous vous expliquons comment modéliser le retour sur investissement que les organisations peuvent attendre d'une plateforme d'apprentissage agile pour le codage sécurisé, ainsi que les chiffres de l'organisation.

Impact commercial

Les organisations qui adoptent une approche agile pour l'apprentissage des codes de sécurité peuvent bénéficier d'un effet multiplicateur de 2 à 3 sur leur activité grâce aux deux leviers suivants : correction plus rapide des vulnérabilités et réduction des coûts de réparation. 

‍

‍

Plus les vulnérabilités sont corrigées tôt dans le cycle de vie du développement logiciel (SDLC), moins les dommages et les coûts de correction sont élevés. Selon Jim Routh, expert en sécurité qui a précédemment occupé les postes de directeur de la sécurité chez Aetna et de responsable de la sécurité des systèmes d'information chez MassMutual, le coût par défaut augmente de plus de 14 000 dollars lorsque les étapes du SDLC sont effectuées en mode maintenance après la mise en production du logiciel.En résolvant les problèmes pendant la phase de test, il est possible de réduire les coûts de moitié, et en les résolvant pendant la phase de codage, il est possible de les réduire de 14 fois.

‍

‍

Plus les développeurs sont en mesure de corriger rapidement les vulnérabilités ou de les prévenir complètement, moins l'organisation doit supporter de coûts et de risques liés à ses produits logiciels et applications internes. Les organisations qui souhaitent investir dans la prévention des vulnérabilités et la qualité des logiciels fournissent à leurs développeurs une plateforme d'apprentissage agile qui offre une expérience flexible et divers parcours d'apprentissage spécialement conçus pour avoir un impact immédiat sur l'activité.

‍

Source de recherche NIST Le temps nécessaire pour corriger les vulnérabilités varie, mais les estimations du tableau ci-dessous ont été confirmées dans des scénarios réels impliquant de grandes entreprises.

‍

‍

Les clients de SCW ont constaté qu'après la mise en place de nouvelles techniques de codage sécurisé par leur équipe, les développeurs corrigeaient les vulnérabilités jusqu'à 50 à 60 % plus rapidement et généraient 50 % moins de vulnérabilités à haut risque dans le code de production. Bien que l'expérience varie d'une organisation à l'autre, ces résultats ont été observés dans une grande entreprise comptant plus de 5 000 développeurs. L'amélioration de la productivité des développeurs a eu un impact positif sur les bénéfices.

Réduction des coûts d'exploitation : correction plus rapide des vulnérabilités

Pour mieux appréhender l'impact financier d'un processus de développement logiciel plus sécurisé et comprendre comment l'investissement dans une plateforme d'apprentissage agile aide les développeurs à corriger plus rapidement les vulnérabilités, veuillez utiliser le modèle ci-dessous et remplacer les variables en bleu par vos propres valeurs.

 Ligne de base :

‍

Avantages attendus d'une plateforme d'apprentissage agile basée sur le MTTR (temps moyen de réparation)

‍

Valeur préventive : prévention des coûts de réparation

La plateforme d'apprentissage agile aide les développeurs à écrire du code sécurisé dès le début. Le modèle ci-dessous permet d'évaluer l'impact financier de cette approche.

‍

L'approche d'apprentissage agile fait la différence.

La plateforme d'apprentissage agile SCW pour les codes de sécurité est supérieure aux autres méthodes de formation à la sécurité destinées aux développeurs. Les clients SCW ont obtenu d'excellents résultats, qui peuvent bien sûr varier en fonction des coûts individuels et des indicateurs de vulnérabilité propres à chaque situation.Par exemple , chez Investnet, une grande société de services financiers, les développeurs ayant suivi la formation SCW ont corrigé 2,7 fois plus de vulnérabilités que leurs collègues. De plus, un groupe de 1 200 développeurs ayant suivi la formation SCW a augmenté de 120 % le taux de résolution des problèmes en attente.

Comme pour tout investissement dans une solution commerciale, il est essentiel d'évaluer votre situation particulière. Notre équipe peut collaborer avec votre organisation pour évaluer votre situation actuelle et développer un cas d'utilisation personnalisé. Si vous souhaitez évaluer vous-même l'impact, veuillez utiliser le modèle présenté dans ce blog pour examiner les éléments suivants. Dans un récent webinaire client organisé par Sage, une société britannique de logiciels de comptabilité et d'ERP d'une valeur de 2 milliards de dollars explique avoir réduit de 82 % le MTTR des vulnérabilités dans le cadre d'un programme solide visant à instaurer une culture de la sécurité.

Présentation de Secure Code Warrior

Secure Code Warrior fournit aux développeurs les compétences nécessaires pour écrire du code sécurisé. Notre plateforme d'apprentissage est la solution de codage sécurisé la plus efficace, car elle utilise des méthodes d'apprentissage agiles qui permettent aux développeurs d'apprendre, d'appliquer et de maintenir les principes de sécurité logicielle. Plus de 600 entreprises font confiance à Secure Code Warrior pour mettre en œuvre des programmes de sécurité agile, fournir rapidement des logiciels sécurisés et créer une culture de la sécurité axée sur les développeurs. Êtes-vous prêt à en savoir plus ? Veuillez demander une démonstration.

Le temps est précieux. Alors pourquoi le gaspiller ?

Responsable ingénierie - Il est temps de passer à l'action. Combien de temps les développeurs consacrent-ils au codage ? Non, nous ne cherchons pas à vous faire croire que les développeurs passent leurs journées en pyjama à jouer, à grignoter des chips et à regarder Netflix. Cependant, posez-vous la question suivante : combien d'heures par jour votre équipe consacre-t-elle à des tâches significatives ?

Examinons maintenant le temps que les développeurs consacrent chaque semaine au codage. Combien de temps est consacré à la refonte du code existant, à la détection et à la correction des bogues, ainsi qu'à la résolution des problèmes techniques ? Probablement une grande partie.

Nous comprenons ce sentiment. Les développeurs éprouvent souvent un sentiment de frustration lorsqu'ils ne parviennent pas à progresser face aux difficultés et aux écarts insurmontables qu'ils rencontrent dans le cycle de vie actuel du développement logiciel.

• En moyenne, les équipes de développement logiciel révisent environ 26 % du code avant la publication.
• Les développeurs consacrent en moyenne 13,5 heures par semaine uniquement à la dette technique. Cela équivaut à plus de 700 heures par an consacrées à la correction d'erreurs passées.
• Les développeurs consacrent quatre heures par semaine à la correction de « mauvais code ». Cela représente une perte de coûts d'opportunité de 85 milliards de dollars par an.
• 41 % des développeurs ont répondu que les fonctionnalités et la sécurité revêtaient une importance égale au sein de leur organisation.
• 63 % des développeurs estiment qu'il est extrêmement difficile de créer un code sécurisé sans vulnérabilité.

Source : Stripe Report, Developer Index; Enquête sur la sécurité menée par les développeurs 2022

Veuillez vous rappeler la dernière fois où l'équipe AppSec a identifié un code comme non sécurisé lors d'une révision. Considérez les difficultés rencontrées par l'équipe pour corriger cette vulnérabilité. Il est probable qu'elle ait dû consacrer davantage de temps à la recherche d'une solution viable pour résoudre le problème et à déterminer précisément ce qui n'avait pas fonctionné avant de pouvoir le résoudre.

Source : Stripe Report, Developer Index

Ces interruptions et ces reprises incessantes sont non seulement préjudiciables, mais elles réduisent également la productivité et le moral.

Il existe une méthode plus efficace pour coder en toute sécurité et optimiser le temps de traitement.

Nous souhaitons tous consacrer davantage de temps à accomplir nos tâches quotidiennes. Cependant, il est parfois nécessaire de rechercher des méthodes de travail plus efficaces plutôt que de simplement travailler plus intensément avec le temps dont nous disposons.

Au lieu de consacrer du temps à examiner minutieusement du code qui ne vous appartient peut-être pas afin d'identifier des défauts ou des vulnérabilités, ne serait-il pas plus simple de rédiger un code de meilleure qualité dès le départ ?

Les responsables techniques sont actuellement confrontés à des défis considérables dans leur quête de réduction des coûts par tous les moyens possibles. Les licences logicielles, les dépenses imprévues et même les salaires posent des difficultés. Cependant, qu'en serait-il si cela n'était pas nécessaire ? L'inefficacité du processus de développement logiciel est difficile à quantifier, mais elle s'avère finalement coûteuse et complexe à résoudre.

Grâce à une sécurité axée sur les développeurs, ces derniers peuvent améliorer l'efficacité et la productivité au sein du cycle de vie du développement logiciel (SDLC) en prenant en charge la sécurité à toutes les étapes du processus.

Réduire le temps nécessaire à la refonte du code vulnérable ne se limite pas à une simple réduction des coûts, mais représente également une opportunité de réinvestir dans le département concerné. Le temps auparavant perdu peut désormais être utilisé pour créer de nouvelles fonctionnalités innovantes ou améliorer significativement les applications. Les développeurs, qui auparavant se sentaient frustrés par l'absence de progrès, seront désormais motivés par la possibilité de créer de la valeur.

Les développeurs estiment que la surcharge de travail, la suppression de code ou la perte de temps due aux changements de priorités, ainsi que le manque de temps pour corriger le code de mauvaise qualité ont un impact négatif considérable sur la charge de travail. Le manque de connaissances et les solutions de fortune pour corriger les vulnérabilités entraîneront une perte de temps supplémentaire et une augmentation des coûts.

Source : Enquête sur l'état actuel de la sécurité dirigée par les développeurs 2022

La technologie évolue à un rythme très rapide. Il est donc essentiel de fournir aux développeurs des outils leur permettant de suivre le rythme sans prendre de retard. En leur donnant dès le départ les connaissances nécessaires pour coder de manière sécurisée et corriger rapidement les vulnérabilités, vous offrez à votre équipe un avantage à long terme pour résoudre les problèmes complexes liés à la refonte du code et à la dette technique.

Pour que les entreprises puissent évoluer plus rapidement, conserver leur agilité et tirer parti des nouvelles tendances émergentes, il est nécessaire de mieux mobiliser les développeurs existants. La motivation des développeurs à se concentrer davantage sur la sécurité ne doit pas se limiter uniquement aux coûts et aux résultats. Renforcer et intégrer la sécurité à toutes les étapes du cycle de vie du développement logiciel (SDLC) est dans l'intérêt de l'équipe, mais aussi dans l'intérêt professionnel de chaque développeur. Les développeurs qui possèdent les compétences nécessaires pour coder de manière sécurisée seront très recherchés dans les années à venir. En effet, un codage sécurisé réduit le nombre de problèmes à résoudre par la suite.

Commencer par la gauche ne signifie pas seulement agir rapidement, mais aussi permettre aux développeurs de partager la responsabilité de la sécurité sans ralentir le processus. Lorsque les développeurs dotés de compétences en sécurité agissent de manière appropriée, ils peuvent réduire les vulnérabilités qui entraînent des retouches, maintenir la cadence de lancement des logiciels et garantir la qualité du code, ce qui améliore la productivité sans nuire à l'innovation.

Un codage plus intelligent, plus rapide et plus sécurisé

Secure Code Warrior favorise une culture de développement axée sur la sécurité en fournissant les compétences nécessaires pour coder de manière sécurisée. Notre plateforme d'apprentissage principale propose des parcours techniques, des exercices pratiques et des outils contextuels permettant aux développeurs d'acquérir, de développer et de mettre en pratique rapidement les compétences requises pour écrire rapidement du code sécurisé.

Que vous soyez diplômé ou expérimenté, il y a une question que tous les développeurs doivent se poser. Et la réponse est importante. Dans un monde agile, cela revêt une importance croissante, car cela a une incidence directe sur votre réussite dans le domaine du génie logiciel et sur votre valeur pour votre prochain employeur.

C'est une question à un million de dollars. En réalité, c'est une question à plusieurs millions de dollars !

Avez-vous promis de m'aider à coder en toute sécurité ?

Le coût moyen d'une violation de données s'élève actuellement à 3,6 millions de dollars. Cette année, une entreprise sur quatre risque d'être victime d'une violation. Compte tenu de ces faits, de nombreuses personnes expriment leur mécontentement quant au fait que les développeurs ne sortent pas de l'université avec des compétences en codage sécurisé et en sécurité intégrées dans leur ADN.

Pourquoi ? L'ingénierie logicielle est encore une profession relativement récente. L'accent a été mis sur l'enseignement des méthodes permettant d'écrire rapidement du code élégant et fonctionnel, mais peu d'attention a été accordée à la sécurité du code. La rapidité avec laquelle évoluent les méthodologies, les technologies, les langages et les opportunités ne fait qu'aggraver ce déficit technologique majeur.

Étant donné que nous ne modifierons pas rapidement le système éducatif, les développeurs et les entreprises doivent s'attendre à ce que les développeurs acquièrent des compétences en codage sécurisé sur leur lieu de travail. Dans certaines professions, il est possible d'apprendre de ses erreurs, mais dans d'autres, cela peut s'avérer impossible. Il en va de même pour la cybersécurité.

Il est évident que la formation à la sécurité des développeurs opérationnels n'a pas été dispensée de manière adéquate. La plupart des violations de sécurité majeures qui se produisent dans le monde sont dues à des erreurs de codage qui permettent aux pirates informatiques d'obtenir des droits d'accès aux réseaux informatiques et d'accéder à des données précieuses afin de les collecter. Selon le rapport 2017 de Verizon sur les incidents de sécurité (DBIR), 30 % de l'ensemble des violations de sécurité sont directement liées à des failles de sécurité des applications web, une conclusion qui se confirme dans les rapports DBIR depuis 2013.

Enquête mondiale 2017 sur les compétences DevOps Publié en août 2017, ce rapport a confirmé ce que nous savions déjà. 65 % des professionnels DevOps estiment qu'il est essentiel de posséder des connaissances en DevOps pour se lancer dans l'informatique, tandis que 70 % considèrent qu'ils ne reçoivent pas la formation nécessaire dans le cadre de l'enseignement traditionnel pour réussir dans le monde DevOps actuel.

Près de 40 % des responsables du recrutement ayant participé à l'enquête ont déclaré que les développeurs polyvalents et expérimentés possédant des connaissances suffisantes en matière de tests de sécurité étaient les profils les plus difficiles à trouver. 70 % des personnes interrogées ont déclaré que la formation en sécurité qu'elles avaient reçue n'était pas adaptée à leur poste actuel. En réalité, moins de 4 % ont déclaré n'avoir eu aucune opportunité.

J'ai personnellement observé ce phénomène pendant près de dix ans en collaborant avec plusieurs équipes composées de hackers éthiques professionnels. Au cours de cette période difficile, nous avons mené des opérations d'infiltration auprès de grandes entreprises, de start-ups et de services gouvernementaux, et avons systématiquement identifié les mêmes vulnérabilités.

C'est précisément pour cette raison que les développeurs doivent se faire entendre lors du processus de recrutement. Si un employeur potentiel ne prend pas au sérieux la formation à la sécurité des développeurs, il convient de réfléchir à l'opportunité de rejoindre cette entreprise.

La deuxième question à poser concerne la méthode de livraison prévue. S'agit-il d'une expérience interactive et pratique ? Les animations cliquables, les vidéos ou les discussions abstraites sur les vulnérabilités peuvent ne pas être directement utiles pour le codage. Permettent-elles de rester informé en permanence des dernières vulnérabilités ? des animations cliquables ou des discussions abstraites sur les vulnérabilités ne sont pas forcément utiles pour le codage. Est-il possible de recevoir régulièrement des informations actualisées sur les dernières vulnérabilités ? Existe-t-il une guilde ou une communauté de sécurité où l'on peut apprendre ? Y a-t-il des experts en sécurité à qui l'on peut s'adresser en cas de besoin ?

Pour acquérir des compétences en codage sécurisé, il est nécessaire de s'exercer de manière continue à l'aide de problèmes pratiques dans un cadre de codage spécifique et de se confronter à diverses vulnérabilités dans plusieurs scénarios. Par exemple, il n'est pas possible d'apprendre uniquement sur l'injection SQL. Pour identifier ces modèles de codage à risque, il est essentiel d'être confronté à plusieurs reprises à différents types d'exemples.

Un client a demandé aux développeurs de relever un défi quotidien (5 minutes) pendant deux mois.Les tests de compétences réalisés avant et après la formation ont démontré une amélioration de 60 % des compétences en codage sécurisé chez un groupe de plusieurs centaines de développeurs. Cela signifie une réduction des ressources nécessaires pour détecter et corriger les bogues de sécurité en fin de cycle de vie, ce qui se traduit par des économies substantielles à long terme. En d'autres termes, les pirates informatiques ne pourront pas utiliser le code pour compromettre les données de l'entreprise.

Selon une étude réalisée par IDC, il y avait 11 millions de développeurs professionnels dans le monde en 2014. En 2015, Burning Glass a constaté que 7 millions d'emplois exigeaient des compétences en codage et que le secteur de la programmation connaissait une croissance supérieure de 12 % à celle du marché.

Il existe de nombreux emplois dans le domaine des logiciels. Par conséquent, veuillez choisir un employeur qui respecte ses engagements et s'efforce de garantir votre sécurité, celle de ses systèmes et celle de ses clients. De plus, veuillez privilégier une entreprise qui investit dans votre développement.

Que vous soyez diplômé ou expérimenté, il y a une question que tous les développeurs doivent se poser. Et la réponse est importante. Dans un monde agile, cela revêt une importance croissante, car cela a une incidence directe sur votre réussite dans le domaine du génie logiciel et sur votre valeur pour votre prochain employeur.

C'est une question à un million de dollars. En réalité, c'est une question à plusieurs millions de dollars !

Avez-vous promis de m'aider à coder en toute sécurité ?

C'est le prix à payer pour un code médiocre.

Grâce aux progrès technologiques, les développeurs peuvent désormais publier du code plus rapidement et plus facilement que jamais. Si cela peut être intéressant pour l'innovation, cela peut également représenter un défi pour la qualité et la sécurité des logiciels. Justifier les coûts liés à l'investissement dans des outils supplémentaires, des programmes de formation et l'amélioration des compétences des développeurs peut sembler être un « plus » si la vitesse de déploiement du code est maintenue, mais cela peut également être considéré comme une fonctionnalité commerciale essentielle.

Les codes de livraison plus rapides sont peut-être devenus plus faciles à utiliser, mais malheureusement, la sécurité des codes de livraison n'a pas suivi. Les organisations sont plus vulnérables que jamais aux menaces. Le coût mondial de la cybercriminalité est considérable et augmente rapidement.En effet, en 2020, le coût de la cybercriminalité a atteint environ 1 000 milliards de dollars. En moyenne, le coût d'une violation de données s'élève à 4,35 millions de dollars, et il se répartit entre les pertes commerciales liées aux clients existants et potentiels, ainsi que les ressources utilisées pour la détection, l'escalade et la reprise du travail.

Malgré ces coûts considérables, plus de la moitié des organisations n'exigent pas de leurs développeurs qu'ils suivent une formation officielle annuelle sur la sécurité du code.

Les experts en sécurité sont conscients que la recherche et la correction des vulnérabilités peuvent s'apparenter à un jeu de tape-taupe. Même si vous disposez déjà d'un programme de sécurité incluant des stratégies de correction, il existe toujours des possibilités d'amélioration. La plupart des organisations constatent que leur approche de la sécurité n'est pas aussi solide qu'elles le pensaient lorsqu'elles testent leurs capacités de reprise après sinistre ou de sauvegarde.Si le renforcement de la résilience de votre organisation face aux cyberattaques est l'une de vos priorités, il est recommandé de transférer la responsabilité de l'amélioration continue de la sécurité aux développeurs. Le moyen le plus rentable d'atténuer les risques consiste à disposer d'une équipe de développeurs expérimentés et compétents, suffisamment qualifiés pour intégrer la sécurité dès le début du développement et détecter et corriger rapidement les vulnérabilités.

Une idée fausse courante concernant la formation des développeurs est qu'il s'agit simplement d'une dépense commerciale ou d'un coût d'assurance. Klaus Klinger, évangéliste DevSecAware chez Allianz, déclare : « Tout doit commencer au niveau de la direction. Investir dans la formation des développeurs n'est pas une perte, mais un investissement dans la qualité, la productivité et la réputation de l'entreprise. »

Dans ce domaine, il peut souvent être difficile de quantifier le retour sur investissement, mais en fin de compte, ce que les organisations doivent prendre en considération, c'est la manière dont la posture de sécurité contribue à réduire les risques, à simplifier l'approche et à économiser le temps et la productivité des équipes de développeurs.

Comment quantifier le retour sur investissement des coûts liés à la cybersécurité ?

En ce qui concerne le retour sur investissement, il est essentiel de considérer deux aspects : la réduction des coûts grâce à l'atténuation des risques et l'impact de la formation à la sécurité.

Prenons un exemple courant. En raison d'une vulnérabilité ou d'une faille de sécurité, un site de commerce électronique est contraint de fermer pendant plusieurs jours pendant que l'équipe recherche le problème et une solution. Les coûts liés à l'incapacité de résoudre le problème peuvent être quantifiés en termes de perte de revenus due à l'interruption des opérations, d'impact du vol d'identifiants, de perte de confiance des clients (entraînant une baisse des ventes à long terme) et de perte de productivité globale due à la résolution du problème.

Cela se résume finalement à une analyse coûts/bénéfices. Les principaux domaines à évaluer sont le niveau de maturité de la sécurité de l'entreprise, le niveau d'acceptation des risques de l'entreprise et les domaines du code nécessitant une maintenance ou une amélioration.

Les individus se concentrent souvent sur des indicateurs inappropriés pour évaluer le succès et la valeur. Il serait peut-être préférable de moins se préoccuper du retour sur investissement initial du programme et de mesurer plutôt l'impact du programme lui-même.

Mesures visant à démontrer l'impact

Pour définir le retour sur investissement, il est nécessaire d'établir des objectifs mesurables. Cela commence par l'évaluation des connaissances des développeurs en matière de codage sécurisé et par la compréhension des domaines dans lesquels leurs compétences doivent être améliorées.

Le point de départ consiste à prendre des décisions stratégiques sur la manière de mettre en place un programme de formation plus complet en mesurant le niveau de participation. Le plus important est de mesurer l'efficacité. Commencez par examiner le nombre de vulnérabilités détectées dans le cycle de vie du développement logiciel à l'aide d'analyses de code, de programmes de prime aux bogues ou de tests de vulnérabilité existants avant de lancer le programme dans chaque équipe.L'un des moyens les plus simples de vérifier que le programme de formation produit les résultats escomptés consiste à mesurer la réduction globale des vulnérabilités introduites dans la base de code.

‍

Questions clés pour l'évaluation du retour sur investissement :‍

1. Simplifiez-vous votre approche ?

Utilisez-vous davantage d'outils pour résoudre les problèmesou vous attaquez-vous à leur cause profonde ? L'ajout d'outils supplémentaires à votre pile technologique peut créer une approche de type « fromage suisse » qui consiste à rechercher et à corriger les vulnérabilités. De plus, cela augmente les coûts d'exploitation sans avoir beaucoup d'impact sur le code, qui est souvent à l'origine de nombreuses vulnérabilités. Les outils d'analyse et de test d'intrusion doivent absolument faire partie de votre arsenal, mais ils ne doivent pas constituer votre dernière ligne de défense.

2. L'efficacité et la productivité sont-elles en augmentation ?

Le temps consacré à l'examen minutieux et à la refonte du code envoyé par AppSec peut considérablement réduire la productivité. Il est possible de réduire les interventions d'urgence en accordant aux équipes de développeurs les autorisations nécessaires pour qu'elles puissent s'exercer elles-mêmes et en leur apportant le soutien requis. La formation au code sécurisé doit constituer un bon point de référence pour évaluer l'impact positif des programmes de sécurité.

3. Réduisez-vous les risques ?

Identifier et résoudre les vulnérabilités peut s'apparenter à la résolution d'un puzzle complexe. Parfois, cela peut nécessiter plusieurs jours, semaines, voire mois pour aboutir à une solution efficace. AppSec permet aux développeurs d'appliquer des mesures correctives directement à la source, ce qui leur permet de se concentrer sur la surveillance des risques et le renforcement de la posture de sécurité de l'organisation.

4. La vitesse est-elle augmentée tout en maintenant la qualité ?

Une livraison rapide n'est pas toujours la meilleure solution. Résoudre les problèmes et introduire des vulnérabilités dans le code peut entraîner de nombreux problèmes à l'avenir et accumuler une dette technique. Dans ce cas, une réflexion à court terme n'est pas la solution. Il est possible de réduire les risques en protégeant le code dès le début afin d'éviter que les problèmes ne s'aggravent par la suite.

Indicateurs recommandés à suivre :

• Participation - Combien de temps consacrez-vous à la formation et quel est le niveau de participation des développeurs ? Suivent-ils le programme de formation, passent-ils les évaluations et participent-ils aux tournois ?
• Technologie - Quels sont vos points forts ? Quels sont les domaines qui, selon vous, nécessitent des améliorations ?
• Réduction des vulnérabilités - Avez-vous constaté une réduction significative des vulnérabilités lors de la révision du code ? Les retouches nécessaires dans AppSec sont-elles en diminution ?
• Productivité - Combien de temps faut-il pour résoudre un problème ? Avez-vous déjà constaté une amélioration de la productivité ou de la vitesse grâce à la réduction des vulnérabilités ?

Déplacement vers la gauche pour créer de la valeur

Les violations de sécurité et les vulnérabilités augmentent rapidement chaque année. Il est essentiel de commencer par le code et de mettre en place à l'avance une approche globale de la sécurité. Cela offre les avantages suivants :

• Au lieu d'investir dans des outils qui ne résolvent qu'une partie du problème, nous réduisons la complexité en investissant dans notre ressource la plus importante : notre personnel.
• AppSec améliore l'efficacité et l'impact global en limitant les retouches et les modifications généralement identifiables. Le code a été déployé.
• En atténuant les risques et en assurant la conformité réglementaire, vous pouvez éviter des amendes coûteuses, la perte de confiance des clients ou, dans le pire des cas, les coûts liés à une violation des données.

Évitez les décisions à court terme et les corrections hâtives. Elles peuvent entraîner une dette technique et des coûts supplémentaires à l'avenir. Tirez parti de la puissance de l'amélioration technologique pour élaborer des plans à long terme qui permettent aux développeurs de constituer la meilleure ligne de défense contre les vulnérabilités et la cybercriminalité. Vous pourrez ainsi constater directement leur impact et les économies réalisées.

‍

Avec l'augmentation continue des violations de données et des coûts qui en découlent, la quantité de code générée dans le monde entier est trop importante pour être gérée par un seul expert en sécurité. Les entreprises ont besoin de développeurs possédant des compétences en codage sécurisé. Les développeurs sont conscients de la nécessité de posséder des compétences en codage sécurisé pour faire progresser leur carrière. Cependant, les formations actuelles en codage sécurisé ne répondent pas à leurs attentes. Que recherchent donc les développeurs dans le domaine de la formation au codage sécurisé ? Pour répondre à cette question, nous allons examiner quelques conclusions tirées d'une récente étude menée par Secure Code Warrior en collaboration avec Evans Data Corp* sur les attitudes des développeurs à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité.Télécharger le livre blanc Ici).

La réponse concernant le type de formation souhaité par les développeurs est très claire. 75 % des développeurs ont exprimé leur préférence pour une formation pratique systématique, considérée comme la méthode d'apprentissage la plus efficace et la plus satisfaisante. De plus, en ce qui concerne le contenu à inclure dans la formation, les développeurs ont posé plusieurs questions très claires et spécifiques.

• 65 % ont répondu qu'une formation sur les vulnérabilités linguistiques était nécessaire.
• 65 % souhaitent recevoir davantage de formation sur les 10 principaux risques OWASP.
• De nombreux clients souhaitent également se concentrer sur les cadres de sécurité de conformité réglementaire, notamment NIST (58 %), CIS (52 %) et PCI DSS (50 %).
• 78 % souhaitent bénéficier d'un accompagnement et d'un mentorat informels par des collègues dans le cadre de leur formation.
  

Cependant, les développeurs préfèrent nettement les programmes structurés à l'apprentissage non structuré, mais la manière dont le programme est dispensé est déterminante. Bien sûr, cela soulève une autre question importante.

Comment les développeurs préfèrent-ils apprendre ?

Les développeurs ne souhaitent pas rester assis à écouter les explications d'un formateur. Ils préfèrent mettre en pratique ce qu'ils apprennent. Ils souhaitent se concentrer sur des applications concrètes, ce qui est actuellement largement insuffisant dans les programmes de formation existants. À la question de savoir comment améliorer la formation proposée par leur entreprise, 30 % des personnes interrogées ont répondu qu'elles souhaitaient une formation axée sur la mise en pratique, en particulier sur des scénarios professionnels concrets.

La formation des développeurs nécessite une approche humaine qui propose un parcours d'apprentissage guidé comprenant des exercices pratiques et des tâches de codage « ludiques » spécifiques à chaque langage et à chaque framework. La formation « ludique » personnalisée en fonction des rôles renforce l'engagement des développeurs grâce à des modules d'apprentissage configurables qui permettent à l'organisation de cibler les lacunes spécifiques des développeurs.

Pour découvrir comment intégrer la sécurité logicielle au cœur du processus de développement grâce à un parcours technique structuré offrant la formation souhaitée par les développeurs, Demandez une démonstration dès maintenant.

« Grâce à la simulation interactive, il est possible d'identifier les failles de sécurité du code, de réfléchir de manière critique et de trouver une ou plusieurs solutions. J'ai pu observer le code sous un nouvel angle et j'ai trouvé l'expérience très enrichissante. »
Ingénieur logiciel, services financiers‍

*Passage de la réponse à la prévention : l'évolution de la sécurité des applications. Secure Code Warrior et Evans Data Corporation 2020