Les banques australiennes sont les premières à adopter une approche de la sécurité des applications fondée sur le principe de la "première ligne de défense" pour les développeurs

Selon Pieter Danhieux, évangéliste en matière de logiciels sécurisés et cofondateur de la start-up australienne Secure Code Warrior, les banques australiennes sont à la pointe de la lutte mondiale pour développer un solide état d'esprit en matière de sécurité chez leurs développeurs de logiciels.

Danhieux a déclaré que cinq des six principales banques australiennes engageaient désormais activement leurs développeurs à renforcer leurs compétences en codage sécurisé grâce à l'environnement d'apprentissage en ligne, autodidacte et gamifié de Secure Code Warrior, ainsi qu'à examiner les mesures et les rapports en temps réel pour vérifier les forces et les faiblesses de leurs développeurs et de leurs équipes. Le premier contrat a été signé avec une grande banque en août 2016, suivi de contrats avec quatre autres banques depuis lors.

"Les banques traditionnelles ont subi une forte pression de la part de leurs concurrents non traditionnels pour accélérer leur mise sur le marché, améliorer la qualité et accroître la flexibilité. Cela les a amenées à adopter des cadres de développement plus agiles qui se concentrent sur le développement rapide de caractéristiques et de fonctions au détriment de la sécurité", a déclaré M. Danhieux.

"Le coût moyen d'une violation de données s'élève aujourd'hui à 0,6 million de dollars et la probabilité qu'une entreprise soit touchée est d'une sur quatre. La plupart des grandes failles de sécurité dans le monde sont dues à des erreurs de codage qui permettent aux pirates d'obtenir plus de privilèges sur les réseaux informatiques, ce qui leur donne accès à la récolte de données critiques", a-t-il ajouté.

M. Danhieux a cité des violations survenues ces dernières années, notamment à la Qatar National Bank, chez VTech, chez Mossack-Fonseca (Panama Papers) et chez TalkTalk, où des pirates informatiques ont profité de mauvaises pratiques en matière de sécurité des logiciels.

M. Danhieux, hacker éthique de longue date, instructeur principal du SANS Institute et professionnel de la cybersécurité de l'année 2016 de l'AISA, soutient fermement les méthodologies de développement agile qui intègrent la sécurité dès le départ, des pratiques employées par de nombreuses entreprises technologiques et un nombre croissant d'institutions de services financiers.

"Le passage au développement agile présente des avantages considérables en termes de rapidité pour les entreprises et les clients, mais il a créé de nouveaux défis importants en ce qui concerne la prévention des vulnérabilités en matière de sécurité. Chaque développeur doit désormais intégrer la sécurité dans son ADN, afin de maintenir la rapidité tout en réduisant les bogues de sécurité, dont la correction est généralement coûteuse."

Secure Code Warrior a été fondée à Sydney et à Londres en 2015 lorsque Danhieux, son partenaire commercial John Fitzgerald et trois autres professionnels australiens de la cybersécurité ont décidé d'aider les développeurs de logiciels à faire de la sécurité une responsabilité essentielle de leur travail.

"Les outils actuels de sécurité des applications se concentrent sur le passage de la droite à la gauche du cycle de vie du développement logiciel (SDLC), une approche qui soutient la détection et la réaction - détecter les vulnérabilités dans le code écrit et réagir pour les corriger. Nous nous concentrons sur l'extrême gauche du SDLC, en faisant du développeur la première ligne de défense de son organisation et en l'aidant à prévenir les vulnérabilités", a déclaré M. Danhieux.

Cette start-up à la croissance rapide possède désormais des bureaux à Sydney, Londres, en Belgique et à Boston et compte des clients de premier plan dans les domaines des services financiers, des télécommunications et de la technologie dans neuf pays. Elle compte aujourd'hui 10 000 utilisateurs actifs, a doublé le nombre de ses clients et triplé son chiffre d'affaires au cours des six derniers mois.

Craig Davies, directeur général du réseau australien de croissance de la cybersécurité (AustCyber), prévoit que ce type de formation pratique fondée sur des données probantes deviendra une activité fondamentale pour les organisations qui développent des applications.

"Les entreprises qui codent de manière sûre dès le départ réduiront non seulement leurs risques de manière significative, mais éviteront également des coûts et des retards considérables dans l'innovation de leurs produits", déclare M. Davies.

M. Danhieux a été impressionné par les banques australiennes qui, selon lui, ont reconnu que le risque était réel et ont rapidement réduit leur exposition. "Le rythme auquel les nouveaux clients intègrent Secure Code Warrior dans le monde entier montre clairement que les institutions de services financiers reconnaissent partout l'importance d'intégrer l'excellence en matière de sécurité dans chaque ligne de code, et que Secure Code Warrior est une solution facile pour relever le défi rapidement et durablement."

‍