Secure Code Warrior Recherche : Les industries d'infrastructures critiques progressent dans la préparation des développeurs à la conception sécurisée

Une nouvelle analyse réalisée en collaboration avec le Paladin Global Institute met en évidence le besoin critique de perfectionnement des développeurs pour mesurer correctement les progrès réalisés en matière de conception sécurisée. 

‍

BOSTON - 15 octobre 2024 - Aujourd'hui, Secure Code WarriorAujourd'hui, la société de gestion de la sécurité, leader mondial de la sécurité axée sur les développeurs, a publié de nouvelles conclusions sur l'amélioration des compétences des développeurs et son impact sur les initiatives Secure-by-Design (SBD) des entreprises. Depuis avril 2024, plus de 200 entreprises, dont Secure Code Warrior, ont signé l'engagement Secure-by-Design. La nouvelle analyse montre que les entreprises des secteurs des infrastructures critiques, tels que les services financiers, la défense, les soins de santé et l'informatique, font des progrès dans la préparation de leurs développeurs pour faire avancer leurs initiatives SBD. Secure Code Warrior a constaté que les équipes de développeurs de ces secteurs ont une posture de sécurité moyenne - telle que mesurée par le SCW Trust Score, une référence mondiale qui quantifie les compétences des équipes de développeurs en matière de sécurité - qui est plus élevée que celle des autres secteurs d'activité. 

Les responsables de la sécurité de l'information (CISO) ont de plus en plus de mal à prouver le véritable retour sur investissement dans les premières phases de leurs initiatives de SMD. Ces dernières années, l'absence d'un point de référence permettant d'évaluer la manière dont les organisations se situent par rapport aux normes de l'industrie a constitué un défi majeur. Pour que les initiatives de conception sécurisée fonctionnent, il faut non seulement donner aux développeurs les compétences nécessaires pour garantir la sécurité du code, mais aussi assurer à l'industrie et aux organismes de réglementation gouvernementaux que ces compétences sont bien en place.

"Aujourd'hui plus que jamais, nous avons la responsabilité nationale de veiller à ce que des programmes de perfectionnement des SMD soient mis en place", a déclaré Chris Inglis, conseiller stratégique principal chez Paladin Capital Group et ancien directeur national de la cybernétique. "La réduction des risques est au cœur de cette dernière analyse, et Secure Code Warrior mène la charge pour améliorer l'apprentissage de la sécurité des développeurs, prévenir les cyberattaques et renforcer l'infrastructure critique de notre pays".

Principales conclusions : l'analyse deSecure Code Warriorsur l'amélioration des compétences des développeurs dans les secteurs des infrastructures critiques est basée sur plus de 20 millions de points de données, provenant de 600 entreprises clientes et de plus de 250 000 développeurs actifs dans le monde entier. L'analyse a révélé que :

• Le nombre total de développeurs actuellement impliqués dans des initiatives d'amélioration des compétences dans le cadre des SMD est inférieur à 4 % de l'ensemble des développeurs dans le monde.
• Certains secteurs d'infrastructures critiques, comme le secteur des services financiers, affichaient le niveau de sécurité le plus élevé, mesuré par le SCW TrustScore, par rapport à la moyenne des infrastructures non critiques. Par exemple, le score de confiance moyen des services financiers était de 336. 
• Il est toutefois surprenant de constater que, malgré les exigences en matière de conformité et de réglementation, le secteur des services financiers présente un niveau de sécurité similaire à celui de plusieurs autres secteurs critiques. 
• Les initiatives de renforcement des compétences Secure-by-Design à grande et à petite échelle peuvent être couronnées de succès, et la recherche montre que les initiatives à petite échelle peuvent être mises en œuvre rapidement et fonctionner plus vite. Mais pour que ces initiatives soient couronnées de succès et produisent un retour sur investissement mesurable plus rapidement, les études montrent qu'un mandat doit être mis en place.
• Lorsque des initiatives de perfectionnement sont fermement mises en place, les risques introduits par les développeurs dans les applications sont considérablement réduits. L'analyse a montré que les développeurs participant à de vastes initiatives de perfectionnement (plus de 7 000 développeurs dans une seule entreprise) peuvent réduire les vulnérabilités de 47 à 53 %, comme on peut s'y attendre.

La conception sécurisée gagne du terrain dans le monde entier, à mesure que les pays intègrent des lignes directrices similaires dans leurs stratégies de cybersécurité. Toutefois, il sera difficile de fournir des valeurs par défaut sécurisées aux développeurs et d'encourager une main-d'œuvre de développeurs de logiciels qui comprend la sécurité sans les bons points de données pour informer un référentiel de compétences des développeurs. Un programme de perfectionnement agile peut trouver un écho auprès des développeurs, lorsqu'il s'appuie sur des bases établies, avec des sessions pratiques qui traitent des problèmes concrets auxquels les développeurs sont confrontés.

"À l'heure où les cybermenaces mondiales sont sans précédent, ces nouvelles conclusions démontrent la nécessité de renforcer les initiatives de développement durable dans l'ensemble de notre infrastructure numérique afin de réduire les vulnérabilités critiques", a déclaré Kemba Walden, président du Paladin Global Institute et ancien directeur national intérimaire de la cybernétique. "Cette étude lance un appel clair à l'action en faveur d'une amélioration des compétences du personnel et de la création de critères de référence pour atteindre les objectifs essentiels en matière de cybersécurité.

"Les lignes de base et les repères peuvent grandement optimiser la posture de sécurité d'une organisation en faisant du codage sécurisé une partie essentielle de son ADN", a déclaré Matias Madou, cofondateur et directeur de la technologie, Secure Code Warrior. "Pour savoir si une initiative SBD fait de réels progrès, vous devez avoir la preuve quantitative que les efforts de perfectionnement des développeurs sont efficaces et qu'ils intègrent les meilleures pratiques de sécurité dans leurs habitudes de travail. Vous devez avoir la certitude que les développeurs ont vraiment gagné leur licence de codage".

De nombreux responsables de la sécurité insistent sur la difficulté d'adapter la plupart des éléments d'un programme de sécurité d'entreprise, en particulier ceux qui impliquent une mise à niveau continue et le site assessment du personnel. Il s'agit d'une préoccupation légitime, mais dans le sillage de plusieurs réformes législatives et lignes directrices mondiales exigeant que les développeurs aient des compétences vérifiées en matière de sécurité, elle doit être surmontée. De nombreuses organisations dans le monde entier prennent des mesures et ont mis en œuvre des initiatives de perfectionnement à grande échelle qui ont un impact significatif. 

Pour en savoir plus sur la dernière analyse de Secure Code Warrioret sur le SCW Trust Score, cliquez ici.

‍

A propos de Secure Code Warrior:

Secure Code Warrior est une plateforme de codage sécurisé qui établit les normes qui assurent la sécurité de notre monde numérique. Pour ce faire, nous proposons le premier site agile au monde Plateforme D'apprentissage qui offre la solution de codage sécurisé la plus efficace pour que les développeurs apprennent, appliquent et conservent les principes de sécurité des logiciels. Plus de 600 entreprises font confiance à Secure Code Warrior pour mettre en œuvre des programmes de sécurité de l'apprentissage agile et s'assurer que les applications qu'elles publient sont exemptes de vulnérabilités.

Pour plus d'informations sur Secure Code Warrior, visitez www.securecodewarrior.com.