Paysafe contribue à transformer les transactions financières en une expérience basée sur la confiance. Nous comprenons également que pour fournir une plateforme sécurisée et fluide qui traite plus de 15,2 milliards de dollars de transactions par an, il ne suffit pas de se conformer aux normes réglementaires de base. Au cours des quatre dernières années, Paysafe a continué à promouvoir une approche holistique de la gestion des risques liés aux développeurs grâce à son partenariat avec Secure Code Warrior. Le programme de sécurité des applications a eu un impact positif sur l'ensemble des besoins de l'entreprise, notamment :
Principaux enseignements
- Une réduction significative des vulnérabilités identifiées avec le premier scan SAST pendant les premiers cycles de développement du code.
- Jusqu'à 45 % d'amélioration de la productivité des développeurs, grâce à la réduction du temps passé à retravailler le code.
- Un SCW Trust Score® de premier plan, classé quatrième dans le secteur des services financiers.
- Une meilleure connectivité et un meilleur alignement entre les équipes AppSec et les équipes de développement
Mission : Renforcement des normes de code de sécurité à l'échelle de Paysafe
Paysafe, fournisseur multinational de services de paiement en ligne, a toujours considéré le codage sécurisé comme une priorité stratégique allant au-delà de la simple conformité aux exigences PCI DSS.L'objectif de Paysafe était non seulement d'offrir des sessions de formation en classe animées par des experts et des évaluations techniques dans le cadre de ses efforts initiaux, mais aussi d'étendre continuellement la portée et l'ampleur de ses initiatives en matière de codage sécurisé afin de garantir une approche de pointe en matière de sécurité des applications et de permettre aux ingénieurs d'écrire du code sécurisé dès le départ.
« Il n'est pas toujours facile pour nous de cocher les cases correspondant aux formations que nous avons suivies. Notre objectif est de permettre à nos employés de rester informés de l'état d'avancement de leur développement. Nous nous efforçons constamment de nous améliorer et d'en faire toujours plus. Nous encourageons la collaboration entre les équipes d'ingénierie et de sécurité. Les équipes capables de se développer de manière autonome peuvent obtenir davantage d'informations et concevoir un code de meilleure qualité », a déclaré Boyan Hristov, partenaire en développement des ressources humaines chez Paysafe.
La vision de Paysafe était de former des ingénieurs sensibilisés à la sécurité, capables de déjouer les menaces et d'appliquer les pratiques de codage sécurisé à toutes les étapes du cycle de vie du développement logiciel. Pour soutenir cette vision, il était nécessaire de mettre en place un programme évolutif, participatif et continu, capable non seulement de fournir des preuves d'audit pour la conformité PCI, mais aussi de conduire un changement culturel profond et durable.Ce programme comprenait une expérience d'apprentissage ludique, des tournois réguliers et une formation continue visant à encourager la participation des développeurs et à les inciter à rester à la pointe des tendances en matière de sécurité dans le secteur.
Solution : une approche de pointe utilisant Security Code Warrior
Paysafe a adopté la plateforme de gestion des risques des développeurs Secure Code Warrior afin d'étendre ses pratiques de codage sécurisé, d'impliquer ses ingénieurs et de les aider à intégrer la sécurité dès le début du cycle de développement. Le programme Security Champion a évolué au fil du temps, Secure Code Warrior jouant un rôle essentiel dans la réalisation des objectifs de prévention des risques cybernétiques.
Paysafe a permis aux développeurs de participer de manière organique à la plateforme, en encourageant les activités ludiques telles que les tournois et en proposant des récompenses attrayantes afin de susciter l'intérêt et l'engagement des développeurs. Lors du lancement initial du programme, plusieurs évaluations ont été rendues obligatoires afin de garantir la conformité aux exigences PCI, tandis que d'autres contenus et activités étaient proposés en option.
À mesure que le programme gagnait en popularité, la direction a fourni un soutien supplémentaire afin de mieux coordonner les objectifs des équipes de développement et de sécurité de l'information. Cela a permis à l'équipe Paysafe de faire passer le programme au niveau supérieur et de mettre en place un programme de certification plus officiel, comprenant des indicateurs de performance clés (KPI) et des incitations à la réussite.
La phase suivante du programme se concentre sur les dix principaux thèmes de l'OWASP, la norme industrielle. Grâce à la phase de certification, les développeurs peuvent atteindre différents niveaux de performance. Le programme a désormais atteint un nouveau niveau d'ampleur et de maturité, et les normes applicables aux développeurs, qu'ils soient salariés ou indépendants, ont été globalement relevées.
«Nous accordons une grande importance au partenariat que nous avons établi avec SCW au cours des quatre dernières années », déclare Alan Osborne, directeur de la sécurité de l'information chez Paysafe. « Cela nous a permis de fournir une formation personnalisée sur la sécurité des applications et de renforcer les relations entre les équipes de sécurité et d'ingénierie, sur la base d'un engagement commun à développer des codes sécurisés dès que possible dans le cycle de vie du développement logiciel (SDLC). »
Grâce au soutien et à la coordination continus du CISO, du CTO et de la direction dans tous les domaines de l'ingénierie, Paysafe a continué à développer le programme en collaboration avec Secure Code Warrior. Aujourd'hui, ce programme est étroitement lié aux besoins de l'entreprise, offre des résultats tangibles et est très pertinent et engageant pour les équipes internes.
Résultat : nouvelle norme relative au code de sécurité à l'échelle de l'organisation
L'initiative de sécurité des applications de Paysafe a évolué depuis son lancement il y a quatre ans. Grâce à son partenariat avec Secure Code Warrior, Paysafe a démontré l'impact significatif qu'une approche holistique de la gestion des risques liés aux développeurs peut avoir sur l'ensemble d'une organisation.
L'analyse des données de scan SAST par Paysafe a révélé que les applications développées par les équipes formées à Secure Code Warrior présentaient une réduction significative des vulnérabilités détectées lors du scan initial. Les équipes dont les développeurs utilisaient plus activement la plateforme SCW ont vu le nombre de vulnérabilités détectées lors du premier scan diminuer davantage.
Les équipes les plus actives et les plus impliquées dans Secure Code Warrior ont vu les vulnérabilités détectées lors des premières phases de développement diminuer considérablement d'année en année. Cela souligne la valeur ajoutée d'une formation technique continue pour renforcer les habitudes de codage sécurisé. En créant dès le départ un code sécurisé, les équipes ont pu gagner un temps considérable dans l'utilisation du SDLC.En prévenant les vulnérabilités du code dès le début du développement, il n'a pas été nécessaire d'identifier, d'enregistrer et de retravailler les vulnérabilités du code, ce qui a permis d'économiser des milliers d'heures de développement. En conséquence, la productivité des développeurs a augmenté de 45 %, ce qui a démontré les avantages de l'amélioration des compétences en matière de code sécurisé et a contribué à améliorer le processus de développement quotidien. Il s'agit d'une opportunité gagnant-gagnant pour les équipes d'ingénierie et d'AppSec.
Paysafe s'est distingué par son engagement en faveur du code sécuriséet s'est classé quatrièmeau classement SCW Trust Score. Bien que Paysafe soit fier de cette réussite dans le cadre du benchmark des servicesbancaires et financiers, ses efforts en faveur de l'initiative Secure Code ne s'arrêtent pas là. Fort des résultats obtenus grâce à son partenariat avec Secure Code Warrior, Paysafe souhaite développer davantage le programme.
Alan Osborne, directeur de la sécurité de l'information chez Paysafe, déclare : « Secure Code Warrior a contribué à améliorer la productivité des développeurs, à accélérer la mise sur le marché des produits et des améliorations, et à réduire considérablement les coûts et les risques au fil du temps. « Nous avons démontré que le codage sécurisé, qui repose sur une meilleure formation des développeurs, n'est pas simplement un atout, mais un investissement éprouvé qui renforce les compétences, l'expérience et les capacités des développeurs tout en offrant un retour sur investissement tangible. »
Ensuite, Paysafe vise à renforcer ses normes de sécurité en intégrant des mesures supplémentaires de gouvernance et de gestion des risques dans ses processus, ce qui permettra à SCW Trust Agent de consolider son partenariat de longue date avec Secure Code Warrior et de démontrer son engagement en faveur de l'excellence en matière de cybersécurité.
%20(1).avif)