Notre plateforme vous permet d'encourager un réseau de cybersécurité centré sur la communauté avec des concours de codage et tournaments, mettant en évidence les vulnérabilités du monde réel et les pratiques de codage sécurisées.

‍

DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior

DigitalOcean offre des ressources informatiques évolutives et une suite de solutions cloud qui permettent aux développeurs de déployer, de gérer et de faire évoluer leurs applications sans effort. Les produits et services de DigitalOcean sont fournis par ses équipes de R&D qui se concentrent sur la fourniture de nouveaux produits permettant aux développeurs et aux entreprises de consacrer plus de temps à la création de logiciels qui changent le monde.

Situation

DigitalOcean a connu une croissance rapide au fil des ans, et ses équipes d'ingénieurs se sont agrandies pour soutenir cette croissance, ce qui a entraîné des défis en matière de sécurité. Avec des équipes plus nombreuses, DigitalOcean a cherché des moyens de s'assurer que ses développeurs étaient capables d'identifier les schémas courants apparaissant lors des revues de conception, afin de pouvoir les empêcher de manière proactive de se reproduire. En fin de compte, ils voulaient un programme qui leur permettrait de développer leurs compétences en matière de sécurité des logiciels et qui les mettrait dans un état d'esprit proactif et offensif lorsqu'il s'agit de sécuriser le code.

"Nous avions besoin d'une solution spécifique aux développeurs, pratique et axée sur les risques auxquels notre organisation était confrontée.

Action

L'équipe de sécurité des produits de DigitalOcean se concentre sur la gestion holistique des vulnérabilités et avait besoin d'une solution pratique qui permettrait aux développeurs d'apprendre, de tester et d'appliquer leurs connaissances - essentiellement en développant leur muscle de sécurité pour les questions pertinentes à leur organisation.

En utilisant Secure Code Warrior, ils ont personnalisé le bon programme de codage sécurisé qui se concentre sur les vulnérabilités spécifiques qu'ils ont identifiées comme prévalentes au cours de leurs examens de sécurité et de conception.

L'élaboration de programmes à partir de ces éléments de base a fourni à leurs équipes de développement une base solide pour se concentrer sur les problèmes identifiés. Le site agile Secure Code Warrior Plateforme D'apprentissage a permis aux développeurs d'examiner et d'identifier le code présentant des vulnérabilités, et de comprendre l'impact du code en "voyant la vulnérabilité en mouvement" grâce à des modules d'apprentissage. Cette combinaison s'est avérée efficace pour renforcer la position et la base de connaissances des développeurs en matière de sécurité.

Résultats

L'un des résultats les plus notables a été la capacité à renforcer rapidement et régulièrement les pratiques de codage sécurisées, ce qui a conduit à une diminution marquée de la dette de sécurité au sein des équipes. Dans l'ensemble, DigitalOcean a constaté que les équipes formées avec SCW étaient non seulement plus aptes à identifier et à atténuer les problèmes de sécurité, mais qu'elles avaient également la confiance nécessaire pour repousser les limites de l'innovation sans compromettre la sécurité.

Cette réduction de la dette de sécurité s'est traduite par une augmentation de la productivité et de l'efficacité, car les développeurs ont passé moins de temps à corriger les failles de sécurité et plus de temps à se concentrer sur le développement de nouvelles fonctionnalités et d'améliorations. L'amélioration de la posture de sécurité de ces équipes a également permis à DigitalOcean de fournir à ses clients des produits de meilleure qualité et plus sûrs, renforçant ainsi son avantage concurrentiel dans le secteur.

Prochaines étapes

Pour l'avenir, DigitalOcean se réjouit du potentiel de SCW Trust Score pour améliorer encore ses capacités de formation et d'analyse comparative en matière de sécurité. SCW Trust Score permettra à DigitalOcean d'établir des comparaisons détaillées entre les équipes et les départements, fournissant une image claire de leur posture de sécurité globale.
En continuant à évoluer et à s'adapter au paysage de la sécurité en constante évolution, DigitalOcean est convaincu que ses équipes d'ingénieurs et de développeurs continueront non seulement à réduire la dette de sécurité, mais aussi à utiliser le surplus de sécurité qu'ils gagnent avec Secure Code Warrior pour repousser les limites de la productivité, de la vélocité et de l'innovation des développeurs.

‍

Ouvrir la version PDF
‍

Visibilité et contrôle pour renforcer la sécurité axée sur les développeurs

Avec des informations puissantes sur chaque livraison et sur les compétences des développeurs en matière de code sécurisé.

‍

Qu'est-ce que l'agent fiduciaire SCW ?

Une stratégie efficace de sécurisation dès la conception dépend des développeurs qui mettent en œuvre ses principes depuis la conception initiale jusqu'à la production. Cette dynamique nécessite le plus haut niveau de compétences en matière de sécurité au sein des équipes de développement. Les développeurs ont besoin de connaissances et de compétences linguistiques spécifiques pour mettre en œuvre les meilleures pratiques dans le code qu'ils produisent, identifier de manière proactive les vulnérabilités et remédier aux menaces. Mais trop souvent, il existe un fossé entre les compétences en matière de sécurité spécifiques à une langue et le code que les développeurs écrivent. Ce décalage crée des angles morts dans la posture de sécurité globale d'une organisation, augmente la probabilité de vulnérabilités basées sur le code et peut finalement bloquer la mise en place d'une culture de sécurité axée sur les développeurs. SCW Trust Agent est une offre révolutionnaire qui donne aux organisations une visibilité unique sur l'ensemble de leur référentiel de code, en capturant chaque validation et en l'analysant par rapport au profil de code sécurisé du développeur. 

SCW Trust Agent s'appuie sur les informations fournies par SCW Trust Score pour analyser l'efficacité avec laquelle votre programme de sécurité est appliqué dans chaque engagement.

‍

Valeur et avantages

• Renforcer le dispositif de sécurité
• Optimiser le cycle de développement
• Développer la sécurité axée sur les développeurs
• Assurer la conformité réglementaire 
• Visibilité et contrôle en un seul endroit
• Apprentissage de codes sécurisés

‍

Des informations exploitables

Des vues détaillées des modifications de code, de leurs auteurs et de leurs connaissances et compétences en matière de sécurité spécifiques à chaque langue. Plus des tableaux de bord au niveau de l'équipe et du répertoire qui offrent un aperçu de l'alignement des compétences de sécurité des équipes de développement et des modifications de code dans l'ensemble de l'organisation.  

Configuration de la politique

Les politiques et leur degré de restriction global peuvent être définis en fonction de la sensibilité et des exigences du projet, ce qui permet de garantir des compétences en matière de sécurité spécifiques à la langue sans ralentir la livraison du logiciel.

Prise en charge étendue du dépôt de code

Déployez SCW Trust Agent dans n'importe quel outil de gestion de code source basé sur Git, notamment Github, GitLab, Bitbucket, Azure Repos, etc.

Apprentissage agile du code sécurisé

SCW Trust Agent est soutenu par SCW Agile Plateforme D'apprentissage, qui fournit aux développeurs des informations sur les compétences en matière de sécurité et les outils dont ils ont besoin pour développer leurs connaissances et leurs compétences. 

Évaluer votre infrastructure et vos processus pour répondre aux exigences de la norme PCI-DSS

Principales mises à jour et délais pour les nouvelles exigences de la norme PCI-DSS 4.0

La norme PCI-DSS 4.0 introduit des mises à jour visant à renforcer la sécurité des données des titulaires de cartes, en tenant compte des risques actuels et des avancées technologiques dans le secteur des cartes de paiement. Les révisions permettent aux organisations d'adopter des mesures de sécurité personnalisées si elles démontrent leur conformité avec les objectifs de sécurité, en étendant l'authentification multifactorielle à tous les accès dans l'environnement des données des titulaires de cartes, et en renforçant le cryptage sur tous les réseaux. En outre, l'accent est davantage mis sur l'analyse et l'atténuation continues des risques, ainsi que sur l'amélioration des capacités de détection et de réaction rapides aux incidents de sécurité. Ces nouvelles exigences sont assorties d'une période de transition afin de laisser aux organisations le temps d'adopter la nouvelle version tout en continuant à se conformer aux normes existantes.

Pourquoi les RSSI doivent-ils donner la priorité aux dernières mises à jour de la norme pci-dss ?

L'adhésion à ces normes actualisées est cruciale non seulement pour maintenir la conformité, mais aussi pour se protéger contre les menaces et les risques cybernétiques nouveaux et émergents. En appliquant ces normes, les organisations peuvent se prémunir contre les violations, protégeant ainsi leur réputation et évitant des amendes potentiellement élevées en cas de non-conformité.

Date d'entrée en vigueur de la norme DSS 4.0 : Mars 2024 ; actualisation en mars 2025.

La norme PCI-DSS 4.0 souligne l'importance d'intégrer des processus de sécurité continus dans les activités quotidiennes de l'entreprise.

La conformité ne peut pas être une simple question de temps assessment. Cette approche est essentielle pour les RSSI chargés de promouvoir une culture de sensibilisation à la sécurité et une gestion proactive des risques au sein de leur organisation. L'adoption de la norme PCI-DSS 4.0 contribue également à accroître la valeur de l'entreprise en créant une infrastructure de sécurité solide qui sous-tend des environnements de paiement sûrs et sécurisés.

Vos développeurs sont-ils prêts à fournir des logiciels conformes ?

Les développeurs font partie intégrante - mais souvent sous-utilisée - de l'atteinte d'un niveau d'excellence en matière de sécurité des logiciels. Il est essentiel que les développeurs comprennent l'ensemble de la norme PCI DSS 4.0 et ce qu'ils peuvent contrôler et intégrer dans le cadre de leur approche par défaut de la création d'un logiciel.

L'exigence 6 de la norme PCI DSS décrit les attentes en matière de développement et de maintenance de logiciels sécurisés.

Il s'agit d'une série d'éléments allant des normes de développement sécurisées à la formation des développeurs en passant par la gestion de la configuration et du contrôle des modifications. Toutes les organisations qui développent des logiciels utilisés dans un réseau de données de titulaires de cartes (CHD) sont tenues de se conformer à ces mandats.

Comme indiqué dans l'exigence 6.2.2, le personnel chargé du développement de logiciels travaillant sur des logiciels sur mesure et personnalisés est formé au moins une fois tous les 12 mois comme suit :

• sur la sécurité des logiciels en rapport avec leur fonction et les langages de développement.
• Y compris la conception de logiciels sécurisés et les techniques de codage sécurisées.
• Y compris la manière d'utiliser les outils de test de sécurité pour détecter les vulnérabilités dans les logiciels.

La norme précise en outre que la formation doit comprendre au moins les éléments suivants :

• Langages de développement utilisés
• Conception de logiciels sécurisés
• Techniques de codage sécurisé
• Utilisation de techniques/méthodes pour trouver des vulnérabilités dans le code
• Procédures visant à empêcher la réintroduction de vulnérabilités précédemment résolues

En outre, les développeurs doivent connaître TOUTES les techniques d'attaque (décrites dans l'exigence 6.2.4.), y compris une liste de catégories d'attaques conçues pour servir d'exemples :

• Les attaques par injection, y compris les attaques SQL, LDAP, XPath ou d'autres commandes, paramètres, objets, fautes ou failles de type injection.
• Attaques contre les données et les structures de données, y compris les tentatives de manipulation des tampons, des pointeurs, des données d'entrée ou des données partagées.
• Attaques contre l'utilisation de la cryptographie, y compris les tentatives d'exploitation d'implémentations cryptographiques, d'algorithmes, de suites de chiffrement ou de modes de fonctionnement faibles, peu sûrs ou inappropriés.
• Attaques contre la logique d'entreprise, y compris les tentatives d'abus ou de contournement des caractéristiques et fonctionnalités de l'application par la manipulation des API, des protocoles et canaux de communication, des fonctionnalités côté client ou d'autres fonctions et ressources du système/de l'application. Il s'agit notamment de scripts intersites (XSS) et de falsifications de requêtes intersites (CSRF).
• Les attaques contre les mécanismes de contrôle d'accès, y compris les tentatives de contournement ou d'abus des mécanismes d'identification, d'authentification ou d'autorisation, ou les tentatives d'exploitation des faiblesses dans la mise en œuvre de ces mécanismes.
• Attaques par l'intermédiaire de toute vulnérabilité "à haut risque" identifiée dans le cadre du processus d'identification des vulnérabilités, tel que défini dans l'exigence 6.3.1.

Comment Secure Code Warrior peut vous aider à atteindre la conformité PCI-DSS 4.0

L'option la plus efficace pour la formation est une approche agile Plateforme D'apprentissage où la conformité devient un produit d'un programme global d'apprentissage du code sécurisé. Plus précisément, Secure Code Warrior peut aider votre entreprise à réduire les vulnérabilités et à améliorer la productivité des développeurs par les moyens suivants :

• Fournir une compréhension solide et cohérente de la manière de préserver la sécurité des données PCI en comblant les lacunes en matière de connaissances et en fournissant une formation précise dans les langages et les cadres utilisés par vos développeurs. Pour en savoir plus, consultez notre site Plateforme D'apprentissage.
• Offrir un processus continu, mesuré et établi de vérification des compétences pour s'assurer que la formation a été assimilée et mise en pratique. En savoir plus sur nos parcours de formation au code sécurisé prêts à l'emploi pour les développeurs.
• Dispenser des formations par le biais de méthodes d'apprentissage agiles qui fournissent des micro-éclairs d'apprentissage contextuels juste à temps. Les formations génériques et peu fréquentes ne sont plus viables et n'auront pas l'impact souhaité sur la réduction des vulnérabilités. En savoir plus sur les vulnérabilités prises en charge.
• Aide à la documentation de la formation à la sécurité et des normes de codage, utile pour démontrer la conformité lors des audits PCI-DSS. Pour une analyse plus détaillée de PCI-DSS 4.0, consultez notre livre blanc, PCI DSS 4.0 Unraveled.

‍

Ouvrir la version PDF

Une première dans l'industrie qui quantifie l'impact de votre programme de codage sécurisé.

Les équipes logicielles des entreprises sont soumises à une pression accrue pour fournir un code de qualité et sécurisé plus rapidement et sans faille avant la production. C'est ainsi qu'est né le concept de sécurité pilotée par les développeurs, un mouvement puissant qui se traduit par une productivité accrue des développeurs, un mouvement accéléré tout au long du cycle de développement du logiciel et une innovation accrue, ce qui conduit en fin de compte à la croissance de l'entreprise. Dans le monde des programmes d'apprentissage sécurisés, même si elles suivent des programmes de code sécurisé identiques, les équipes produisent souvent un spectre d'expertise, englobant les plus performants, les moins performants et ceux qui ont besoin d'un soutien supplémentaire. Mais comment savoir à quoi ressemble une bonne performance - et par rapport à quoi ? Les organisations ont besoin d'un point de référence qui définisse la courbe en cloche du niveau de sécurité de leurs développeurs. Un score qui peut être utilisé comme mesure de base de l'état actuel de leur programme d'apprentissage de la sécurité, évaluer son efficacité et permettre aux équipes d'optimiser leurs performances.

Valeur et avantages

• Des données simples, efficaces et significatives
• Mesurer le succès du programme de sécurité
• Amélioration de la qualité des logiciels
• Amélioration des relations au sein de l'équipe
• Aperçu des compétences en matière de codage sécurisé
• Des utilisateurs engagés et des développeurs fidélisés

Établir une analyse comparative de l'état actuel de votre programme de sécurité

Comparez votre programme de sécurité à celui de vos homologues du secteur afin d'établir une norme conforme à vos objectifs commerciaux. L'utilisation de points de référence fournit une base de comparaison des performances, ce qui permet de prendre des décisions fondées sur des données et d'offrir des possibilités d'amélioration continue pour optimiser votre posture de sécurité.

Mesuré dans le contexte des pairs, de la concurrence et des organisations mondiales

Le score de confiance SCW mesure l'efficacité de votre programme de sécurité en agrégeant les niveaux de compétences individuels des apprenants, pour calculer le score de confiance de votre organisation. Avec des références adaptées aux secteurs de la banque et des services financiers, de la technologie et de l'industrie mondiale, le rapport fournit des informations sur le score de confiance de votre entreprise, la distribution des références sectorielles et la distribution des niveaux de compétences des apprenants, avec des options de forage et de filtrage personnalisables.

Faites confiance au référentiel de compétences en matière de sécurité le plus complet du secteur

Le score de confiance SCW est une solution inédite qui s'appuie sur un algorithme dynamique, tirant parti de plus de 20 millions de points de données d'apprentissage collectés auprès de plus de 600 entreprises et 250 000 apprenants. Il prend en compte un ensemble d'activités d'apprentissage réalisées au sein de notre plateforme, telles que la profondeur des connaissances acquises sur le Top 10 de l'OWASP. Ces informations inégalées aident les organisations à mesurer leurs performances par rapport à d'autres en toute confiance.

‍

Obtenir le PDF

‍

Les institutions de services financiers sont confrontées à une série de défis qui dépendent de leur capacité à utiliser la technologie de manière efficace et efficiente dans un monde financier qui évolue rapidement.

Les organisations opèrent à une époque de changements rapides - à la fois en interne et dans l'ensemble de l'industrie - dans un environnement commercial hautement concurrentiel basé sur le cloud. En poursuivant leurs transformations numériques en cours, par exemple, les organisations s'efforcent de contourner les frictions organisationnelles qui entravent les investissements dans les nouvelles technologies, telles que l'intelligence artificielle, qui pourraient accélérer les processus de paiement et d'autres procédures. 

Toutefois, il faut aussi mieux comprendre comment cette croissance influe sur la capacité à maintenir un environnement de codage sûr.

Dans ce guide sur les tendances en matière de sécurité pour les sociétés de services financiers, vous découvrirez :

• Comment les outils de développement de l'IA influencent le cycle de développement des logiciels.
• L'importance d'une réglementation accrue pour les services financiers et son impact sur votre équipe.
• Ce que l'apprentissage agile peut faire pour le codage sécurisé de votre équipe.
• Comment la croissance des applications tierces contribuera à votre paysage de sécurité.
• Pourquoi l'accent mis sur le retour sur investissement dans les équipes ne doit pas vous inquiéter lorsqu'il s'agit de formation.

‍

PCI DSS 4.0 dévoilée : Saisissez l'opportunité d'améliorer les compétences des développeurs en matière de sécurité

Si vous êtes responsable de l'AppSec ou du développement, vous avez probablement déjà remarqué que la plupart des développeurs ne sont pas très enthousiastes à l'idée de suivre une formation sur la conformité. Même le mot "conformité" fait bâiller la plupart d'entre eux. Il s'agit pourtant d'un exercice vital, et nous devons faire mieux pour capter le cœur et l'esprit de la cohorte des développeurs.

Le développement de logiciels sécurisés n'est plus un " avantage " pour une entreprise ; il devrait être une priorité pour toutes les organisations. Et si cette organisation détient de grandes quantités d'informations sensibles sur les clients, elle est mûre pour les cyberattaques coûteuses. Les développeurs sont les premiers à manipuler le code et, à ce titre, ils devraient être tout aussi impliqués que le reste de l'équipe dans les mesures de conformité en matière de sécurité.

C 'est l'occasion pour les développeurs et les professionnels de l'AppSec de s'unir pour améliorer la qualité du code. Lentement, le monde se rend compte que, jusqu'à présent, les développeurs n'ont pas vraiment eu les bons outils à leur disposition pour faire de la sécurité une priorité (et les spécialistes de la sécurité cloisonnés ne peuvent pas assumer seuls cette responsabilité). Toutefois, à mesure que le secteur évolue vers un avenir DevSecOps amélioré par l'IA, où la sécurité est une responsabilité partagée, ils peuvent acquérir les compétences nécessaires pour aider à endiguer le flux de vulnérabilités récurrentes.

L'échéance de 2025 pour se conformer à la norme PCI DSS 4.0 est la plus grande opportunité pour l'industrie d'élever les développeurs avec les compétences et la pile technologique nécessaires pour avoir un impact positif sur la sécurité des logiciels à partir de la base. Ces dernières directives sont les plus souples à ce jour, et il est temps de créer un programme de sécurité puissant et personnalisé qui place les développeurs aux commandes d'un changement significatif.

Lisez le guide pratique pour que votre équipe de développement soit en conformité avec la norme PCI DSS :

• Ce que le développeur moderne doit faire pour se conformer à la norme PCI DSS 4.0.
• Comment les professionnels de la sécurité et les responsables du développement peuvent collaborer pour mettre en place des programmes de sécurité redoutables, axés sur les développeurs.
• Recommandations étape par étape des initiatives de formation les plus efficaces et les plus gratifiantes pour réduire définitivement les vulnérabilités.

‍