Sage est une multinationale britannique de logiciels d'entreprise qui fournit aux entreprises des logiciels et des services simples et faciles à utiliser pour la paie, les ressources humaines et les finances. En 2017, elle est la deuxième société technologique du Royaume-Uni, le troisième fournisseur mondial de logiciels de planification des ressources d'entreprise et le premier fournisseur des petites entreprises, avec plus de 6 millions de clients dans le monde.

Situation 

Avant de travailler avec Secure Code Warrior, Sage a commencé à définir son réseau de champions de la sécurité pendant environ 10 ans. Malgré le solide réseau de développeurs axés sur la sécurité, la formation était sporadique et n'était pas structurée de manière à se concentrer sur la réduction des risques. 

Sage a reconnu qu'il était important de consacrer du temps à l'établissement de relations et à l'intégration de la sécurité sur une période de temps avec une approche flexible. Le programme de Sage a lié ses objectifs à la réduction des risques et à l'impact matériel de ce programme. Lors du pilotage du programme avec certaines unités commerciales, l'accent a été mis sur la manière de mesurer la réduction des risques et de la répercuter sur l'entreprise afin d'obtenir l'adhésion des développeurs et de la direction générale. 

Action

Mads Howard, responsable de la sécurité centrée sur les personnes chez Sage, a travaillé avec des développeurs pour comprendre les profils des champions de la sécurité. Elle a rencontré des développeurs dans chaque unité opérationnelle et a mené des entretiens avec eux pour comprendre ce qui les motive, comment ils aiment apprendre et quelles sont les limites qu'ils voient dans leur travail. Avec son équipe, elle s'est efforcée d'établir des relations avec les développeurs et leurs chefs d'équipe, et a insisté sur l'importance de faire preuve de souplesse dans leur approche.

Mads met l'accent sur l'établissement de relations,

"Nous avons passé beaucoup de temps à établir des relations avec les chefs d'équipe de développement, les chefs d'équipe d'ingénierie et les chefs de produit - les personnes qui contrôlent le temps consacré à l'éducation pendant les cycles de sprint.

Selon Mads, il s'agissait également d'étendre leur réseau de champions de la sécurité,

"Le réseau des champions de la sécurité a été considéré comme un élément clé de ce programme. Pour que les produits puissent passer par ce programme, nous avons dû prendre au sérieux le rôle d'un champion de la sécurité et lui fournir une solide formation en la matière. 

L'objectif des équipes de sécurité globale de Sage était de mettre en œuvre un programme de contrôle de la sécurité qui prenne en compte les besoins d'apprentissage des développeurs dans un environnement technologique complexe et de choisir un partenaire qui travaille en parallèle avec leurs outils de sécurité existants pour aider à la gestion des vulnérabilités. 

Il était important que l'éducation soit considérée comme un aspect important d'un programme de contrôle de sécurité mature. Ils se sont concentrés sur la mesure de la réduction des risques : 

• Amélioration de la note de risque
• Âge de la vulnérabilité Réduction de l'arriéré de vulnérabilités
• Temps de résolution
• Pas de vulnérabilités fermées vs. vulnérabilités ouvertes
• Nombre de problèmes par ligne de code écrit par Sage (pas de tiers)

Pour Mads,

"La prochaine étape pour Sage en tant qu'entreprise est de démontrer que l'amélioration des compétences par le biais d'un programme de codage sécurisé intégré dans les flux de travail des développeurs permet de réduire les risques de manière mesurable".

Résultats

Mads a souligné l'importance du partenariat et des conseils que Secure Code Warrior lui a fournis, à elle et à son équipe,

"Je dirais honnêtement que nous n'aurions pas été en mesure d'aller aussi loin et de construire une sorte de programme qui a ce niveau de maturité en termes de différentes couches ou d'équipe de développement à travers différentes technologies sans le soutien de Secure Code Warrior." 

Une fois que Mads et son équipe ont terminé leurs entretiens et obtenu l'adhésion des développeurs, elle a commencé à mettre en œuvre Secure Code Warrior dans le cadre d'un programme plus large de culture de la sécurité. 

Les résultats, selon Mads, sont les suivants,

"Sage compte aujourd'hui plus de 200 champions de la sécurité inscrits au programme, et si un champion de la sécurité consacre 3,5 heures par semaine (ou 10 % de son temps) à l'acquisition de compétences, il peut plaider en faveur d'un programme de codage sécurisé, d'une formation continue et de la valeur qu'il leur apporte." 

Avec l'adhésion des dirigeants et des objectifs mesurables en matière de réduction des risques, Mads a pu commencer à mesurer le succès non seulement en fonction du nombre de personnes sur une plateforme et des heures de jeu, mais aussi en fonction du temps nécessaire pour corriger les vulnérabilités, de l'âge des vulnérabilités, puis en comparant avec les nouvelles fonctionnalités qui ont été développées pour les clients afin d'obtenir un point de vue holistique sur la réduction des vulnérabilités. Pour une équipe, l'impact ressenti a été énorme, avec une réduction de 82 % du temps moyen pour corriger une vulnérabilité.. 

Toutefois, Howard a ajouté que ce qui importait le plus était ce qui n'était pas quantifiable, à savoir l'engagement et la volonté des équipes de s'impliquer dans le programme.

Principaux enseignements

L'expérience de Sage souligne la pertinence d'une formation à la sécurité bien planifiée et exécutée, l'importance d'une approche flexible et intégrée - une leçon à retenir pour toute organisation visant à mettre en place un programme de codage robuste et sécurisé. Selon Mads, il est important de se rappeler que c'est en travaillant avec les développeurs, et non contre eux, que l'on peut mettre en œuvre un programme de contrôle de la sécurité efficace et intégrer la sécurité dans la culture de l'entreprise. 

• La création d'une culture de la sécurité ne se fait pas du jour au lendemain. Il est important de consacrer du temps à l'établissement de relations et à l'intégration de la sécurité sur une certaine période, et d'y consacrer des ressources. 
• Reliez tout à la réduction des risques et concentrez-vous sur l'impact matériel d'un programme de codage sécurisé.
• Concentrez-vous sur la manière dont vous pouvez mesurer cette réduction des risques pour la répercuter sur l'entreprise, afin que le programme soit perçu comme ayant un impact et une réussite tant par les développeurs que par les dirigeants. 

Pour les développeurs qui souhaitent devenir des champions de la sécurité, elle et son équipe ont également donné ce conseil : 

• Créez autour de vous un réseau de personnes intéressées par la sécurité et participez à des conférences et à des exposés. Passez du temps à vous informer sur les sujets qui vous intéressent. 
• Gardez à l'esprit que la culture d'une organisation ne changera pas du jour au lendemain et qu'il faudra du temps pour qu'elle se développe et mûrisse. 

‍

Au cours du webinaire, elle aborde les sujets suivants

• Méthodes possibles pour localiser les développeurs
• Défis rencontrés par les clients du SCW
• Agent fiduciaire : Des engagements pour la découverte des développeurs
• Prochaines étapes pour les nouveaux clients
  ‍

La gestion des risques pour les développeurs est une approche holistique et proactive de la sécurité des applications, axée sur les contributeurs au code plutôt que sur les bits et les octets de la couche d'application elle-même.

Mesurez, gérez et atténuez de manière proactive les risques liés à la sécurité des développeurs tout au long du cycle de développement durable afin d'améliorer la posture de sécurité, de publier les logiciels plus rapidement et de réduire les vulnérabilités de 53 % ou plus.

La philosophie qui sous-tend la gestion des risques pour les développeurs est la suivante : en améliorant les compétences des contributeurs au code et en appliquant la gouvernance aux compétences de codage sécurisé de manière programmatique, les avantages et l'impact des initiatives de codage sécurisé menées par les développeurs augmentent de manière exponentielle.

Paysafe aide à transformer les transactions financières en expériences ancrées dans la confiance, et sait que fournir une plate-forme sécurisée et transparente qui traite plus de 152 milliards de dollars en volume de transactions annualisées exige bien plus que le respect des normes de conformité de base. Au cours des quatre dernières années, Paysafe a continué à adopter une approche holistique de la gestion des risques pour les développeurs grâce à son partenariat avec Secure Code Warrior, son programme de sécurité des applications ayant un impact positif sur les besoins globaux de l'entreprise, notamment :    

‍
Le défi : élever les normes du code sécurisé dans l'ensemble de Paysafe

En tant que fournisseur multinational de paiements en ligne, Paysafe a toujours considéré le codage sécurisé comme une priorité stratégique qui va au-delà du simple respect des exigences de conformité PCI DSS. Bien que des sessions de formation formelles en salle de classe dirigées par des experts et des évaluations de compétences aient fait partie de leurs premiers efforts, l'objectif de Paysafe a toujours été d'étendre continuellement la portée et l'échelle de son initiative de codage sécurisé, en garantissant une approche de premier ordre de la sécurité des applications et en veillant à ce que les ingénieurs écrivent un code sécurisé dès le départ.

"Pour nous, il n'a jamais été question de simplement cocher une case indiquant que nous avons fourni une formation. Notre objectif est de tenir notre personnel au courant des développements en cours. Nous nous efforçons toujours d'être meilleurs et de faire plus. Nous voulons que les équipes d'ingénieurs et les équipes de sécurité collaborent. Les équipes qui peuvent se développer elles-mêmes sont mieux informées et conçoivent un meilleur code", a déclaré Boyan Hristov, partenaire en développement du personnel chez Paysafe.

La vision de Paysafe était de déplacer la sécurité vers la gauche, en développant des ingénieurs sensibilisés à la sécurité qui intègrent des pratiques de codage sécurisées à chaque étape du cycle de vie du développement logiciel. Pour ce faire, ils avaient besoin d'un programme évolutif, engageant et continu qui fournirait non seulement des preuves d'audit à des fins de conformité PCI, mais qui conduirait également à un changement culturel profond et durable. Ce programme comprenait des expériences d'apprentissage ludiques, des tournaments réguliers et une formation continue pour aider les développeurs à s'impliquer et les pousser à rester à la pointe des tendances en matière de sécurité dans l'industrie.

La solution : Une approche de pointe avec Secure Code Warrior

Paysafe a adopté la plateforme de gestion des risques pour les développeurs de Secure Code Warriorpour aider à mettre en place des pratiques de codage sécurisées, à impliquer les ingénieurs et à intégrer la sécurité plus tôt dans le cycle de vie du développement. Leur programme de champions de la sécurité s'est développé au fil du temps, Secure Code Warrior jouant un rôle essentiel dans la réalisation des objectifs de prévention des cyber-risques.

Paysafe a permis aux développeurs de s'engager organiquement avec la plateforme, en encourageant les activités ludiques comme les tournaments avec des prix alléchants pour impliquer les développeurs et les enthousiasmer. Lors du lancement initial du programme, certaines évaluations ont été rendues obligatoires pour répondre aux exigences de conformité PCI et d'autres contenus et activités ont été proposés en option.

Au fur et à mesure que le programme prenait de l'ampleur, la direction a apporté un soutien supplémentaire, en alignant davantage les objectifs des équipes de développement et d'infosécurité. Cela a permis à l'équipe de Paysafe de faire passer le programme au niveau supérieur et d'introduire des programmes de certification plus formels avec des indicateurs clés de performance et des incitations à la réussite. 

La phase suivante du programme s'est concentrée sur les thèmes du Top 10 de l'OWASP, avec des étapes de certification permettant aux développeurs de progresser à travers différents niveaux d'accomplissement. Aujourd'hui, le programme a atteint un nouveau niveau d'envergure et de maturité, élevant les normes de base pour les développeurs dans tous les domaines, des employés à temps plein aux travailleurs occasionnels.

‍"Nous apprécions grandement le partenariat que nous avons établi avec SCW au cours des quatre dernières années. Ensemble, nous avons pu dispenser une formation ciblée sur la sécurité des applications et favoriser des relations plus étroites entre nos équipes de sécurité et d'ingénierie, ancrées dans un engagement commun à développer un code sécurisé dès la première fois, et le plus tôt possible dans le SDLC", déclare Alan Osborne, directeur de la sécurité de l'information chez Paysafe.

Avec le soutien continu et l'alignement du CISO, du CTO et des leaders exécutifs de l'ingénierie, Paysafe s'est associé à Secure Code Warrior pour faire évoluer continuellement son programme. Aujourd'hui, le programme est étroitement aligné sur les besoins de l'entreprise, fournit des résultats tangibles et reste pertinent et engageant pour les équipes internes.

Résultats : Une nouvelle norme pour un code sécurisé dans l'ensemble de l'organisation

Les initiatives de Paysafe en matière de sécurité des applications se sont améliorées depuis le début de leur parcours il y a quatre ans. Grâce au partenariat avec Secure Code Warrior, Paysafe a démontré l'impact considérable qu'une approche holistique de la gestion des risques pour les développeurs peut avoir dans l'ensemble de l'organisation. 

L'analyse par Paysafe des données d'analyse SAST a montré que les applications développées par des équipes formées à Secure Code Warrior présentaient une réduction notable des vulnérabilités détectées lors des premières analyses de développement. Le nombre de vulnérabilités détectées lors de la première analyse a encore diminué dans les équipes où les développeurs étaient plus activement impliqués dans la plateforme SCW. 

L'équipe ayant le plus haut niveau d'activité et d'engagement dans Secure Code Warrior a vu une réduction significative, d'une année sur l'autre, des vulnérabilités trouvées au cours des premières phases de développement - soulignant la valeur ajoutée de la formation continue, basée sur les compétences, dans le renforcement des habitudes de codage sécurisé. La création d'un code sécurisé dès le départ a permis à leur équipe et à d'autres équipes tout au long du cycle de développement durable de gagner un temps considérable. Des milliers d'heures de développement ont été économisées en éliminant la nécessité d'identifier, d'enregistrer et de retravailler les vulnérabilités du code en les prévenant dès le début du développement. La productivité des développeurs s'en est trouvée améliorée de 45 %, ce qui a permis de démontrer les avantages de l'amélioration des compétences en matière de code sécurisé et du processus de développement quotidien. Les équipes d'ingénierie et d'AppSec sont gagnantes sur toute la ligne.

L'engagement de Paysafe en faveur d'un code sécurisé lui a permis de se démarquer et d'atteindre la quatrième place du SCW Trust ^Score® dans le domaine des services bancaires et financiers. Bien qu'il s'agisse d'une réalisation dont ils sont fiers, l'engagement de Paysafe envers les initiatives de code sécurisé ne s'arrête pas là. Encouragé par les résultats obtenus grâce au partenariat avec Secure Code Warrior, Paysafe cherche à améliorer encore le programme.

"Secure Code Warrior nous a permis d'accroître la productivité de nos développeurs, d'accélérer notre capacité à mettre sur le marché des produits et des améliorations, et de réduire considérablement les coûts et les risques au fil du temps", déclare Alan Osborne, directeur de la sécurité de l'information chez Paysafe. "Nous avons démontré que le codage sécurisé, grâce à une formation améliorée des développeurs, n'est pas seulement une bonne chose à avoir, mais un investissement éprouvé qui offre un réel retour sur investissement tout en renforçant les compétences, l'expérience et les capacités de nos développeurs.

Paysafe vise à rendre ses normes de sécurité plus opérationnelles en intégrant des mesures supplémentaires de gouvernance et de gestion des risques dans son processus. SCW Trust Agent renforce son partenariat de longue date avec Secure Code Warrior et démontre son engagement en faveur de l'excellence en matière de cybersécurité.

Innovez rapidement et en toute sécurité - Trust Agent : AI

L'adoption généralisée des outils de codage de l'IA introduit une nouvelle couche de risque critique dans votre cycle de développement. Sans visibilité ni gouvernance, vous êtes exposé à l'"IA de l'ombre" et à un afflux de code non sécurisé. Agent de confiance : AI offre l'observabilité et le contrôle approfondis dont vous avez besoin pour gérer en toute confiance l'adoption de l'IA sans sacrifier la sécurité. En corrélant l'utilisation des outils d'IA avec les compétences de codage sécurisé des développeurs, notre solution vous aide à identifier et à atténuer les risques au niveau de l'engagement, ce qui vous permet d'innover plus rapidement et de manière plus sécurisée que jamais.

Téléchargez notre one-pager dès aujourd'hui pour découvrir comment SCW Trust Agent : AI peut vous aider à renforcer votre posture de sécurité, à optimiser votre cycle de vie de développement et à réduire considérablement les vulnérabilités.

‍

Transformez votre gouvernance du code sécurisé : Gagnez en contrôle et en visibilité sur chaque engagement 

Êtes-vous sûr que chaque ligne de code engagée est soutenue par un développeur possédant les compétences nécessaires en matière de codage sécurisé ? De nombreuses organisations sont confrontées à cette lacune critique, ce qui entraîne des vulnérabilités évitables et une réduction de la vitesse de développement. SCW Trust Agent offre une visibilité inégalée sur vos référentiels de code, en analysant les livraisons directement par rapport aux compétences des développeurs en matière de sécurité. Grâce à des points de contrôle, Trust Agent vous permet d'appliquer une gouvernance au niveau des livraisons, avec des politiques visant à garantir que les contributeurs au code possèdent les connaissances en matière de code sécurisé dont vous avez besoin pour vos applications critiques. 

Téléchargez dès aujourd'hui notre one-pager pour découvrir comment SCW Trust Agent peut vous aider à renforcer votre posture de sécurité, à optimiser votre cycle de vie de développement et à réduire de manière significative les vulnérabilités.

Les organisations abordent souvent la sécurité avec l'objectif de réduire leur profil de risque de manière organique - généralement en identifiant les développeurs qui peuvent devenir des champions de la sécurité. Cependant, le défi de l'identification et du développement des champions de la sécurité est de construire un programme qui peut évoluer dans le temps et donner aux développeurs les moyens de contribuer à l'amélioration de la posture de sécurité globale d'une organisation.