Contexte Envestnet, Inc. est une société fintech cotée en bourse avec 5,3 billions de dollars d'actifs et plus de 18,5 millions de comptes d'investisseurs. La mission d'Envestnet est de donner aux conseillers et aux prestataires de services financiers les moyens de faire du bien-être financier une réalité pour tous, grâce à une technologie, des solutions et une intelligence innovantes. Envestnet s'est imposée comme l'un des leaders du marché de la technologie de gestion de patrimoine avec sa plateforme de conseil phare qui intègre les services et les logiciels utilisés par les conseillers financiers dans la gestion de patrimoine à travers le monde.
L'engagement d'Envestnet envers les meilleures pratiques de gestion des données comprend le contrôle continu de sa plateforme de gestion de patrimoine par le biais de mesures de conformité basées sur le risque qui peuvent rapidement identifier et remédier à tout problème de conformité ou à toute défaillance potentielle. Envestnet ouvre la voie à la protection des données de ses clients en adoptant des mesures de sécurité de classe mondiale dans la prestation de ses services.
Découvrez comment Derek Fisher, responsable de la sécurité des produits chez Envestnet et auteur de "The Application Security Handbook ", a travaillé avec Secure Code Warrior pour développer une approche holistique visant à réduire les vulnérabilités grâce à l'activation du code sécurisé agile pour ses équipes de développeurs. Derek travaille dans le domaine de la sécurité des applications depuis plus de dix ans, où il a vu de nombreux succès et échecs en matière de sécurité. Il apporte son expertise unique dans le développement d'un environnement d'apprentissage du code sécurisé pour les développeurs d'Envestnet.
Situation Lorsque Derek a pris ses fonctions dans le domaine de la sécurité des applications, il souhaitait aller plus loin que le top 10 de l'OWASP et la formation de base en matière de conformité. L'entreprise disposait de certains processus SDLC sécurisés, mais ils étaient largement axés sur la recherche de vulnérabilités, sans nécessairement les traiter à la source.
Selon Derek, "nous connaissons tous assez bien la formation annuelle sur la conformité à laquelle nous sommes tous soumis dans n'importe quelle organisation. C'est généralement ce que j'appelle "la mort par Powerpoint", un tas de diapositives et peut-être une page assessment à la fin... c'est vraiment inefficace et cela prend beaucoup de temps. Nous avions des formations, mais elles étaient basées sur la conformité habituelle, avec quelques formations spécifiques à la sécurité basées sur des diapositives et des enregistrements audio. Nous avons remarqué que les développeurs n'étaient pas très impliqués et qu'ils n'apprenaient pas grand-chose de ce matériel, et nous avons donc dû changer de stratégie".
Cette ancienne stratégie consistant à former simplement les développeurs par le biais d'une formation passive, axée sur la conformité à l'OWASP, était particulièrement pénible pour Derek et son équipe, car ils ne pouvaient pas mesurer l'impact de la formation, de sorte qu'ils se sont retrouvés à consacrer de plus en plus de temps à la gestion des vulnérabilités.
Derek a reconnu qu'il était important d'examiner la source des vulnérabilités - le code non sécurisé envoyé en production par les développeurs - et qu'il ne suffisait pas d'ajouter d'autres outils pour résoudre le problème.
Au lieu de cela, Derek et son équipe se sont concentrés en 2020 sur l'atténuation des vulnérabilités, dans le but d'écrire un code plus sûr dès le départ. Derek et son équipe ont adopté une stratégie de "déplacement vers la gauche" pour traiter les vulnérabilités et y remédier beaucoup plus tôt dans le cycle de développement durable, lorsqu'il est beaucoup moins coûteux d'y remédier.
Mais d'abord, ils devaient s'attaquer au faible engagement historique des développeurs sur les App Sectraining existants. Il voulait éviter d'appliquer une mentalité de "case à cocher" à sa stratégie d'apprentissage du code sécurisé et offrir aux développeurs d'Envestnet une expérience d'apprentissage du code sécurisé plus efficace et plus agile.
"Une fois que j'ai vu SCW et ce qu'il peut faire, j'ai su qu'une approche plus pratique et plus interactive était la bonne pour nous. Je voulais que les ingénieurs et les développeurs sortent de cette formation avec une connaissance plus pratique des problèmes réels. Nous voulions créer une mémoire musculaire : "Voilà quelque chose que j'ai déjà vu en formation, je sais comment aborder ce problème de codage que je vois". La plateforme Secure Code Warrior nous a permis de fournir ce type d'environnement dans lequel les ingénieurs et les développeurs peuvent se mettre au travail et vraiment comprendre quelles sont les bonnes pratiques de codage sécurisé, à quoi ressemblent les mauvaises et comment résoudre rapidement les vulnérabilités." Derek Fisher, responsable de la sécurité des produits chez EnvestnetAction Derek tenait particulièrement à mettre en œuvre une stratégie de ceinturage récompensant l'amélioration des compétences en matière de code sécurisé par des certifications. Le programme à quatre niveaux se concentre sur la construction d'une base solide de sensibilisation à la sécurité (niveaux 1 et 2) et ouvre ensuite la voie aux développeurs pour qu'ils deviennent des champions de la sécurité (niveaux 3 et 4). Cela a permis de résoudre le problème de l'impossibilité de mesurer comment les développeurs retenaient les concepts de code sécurisé tout en garantissant que les développeurs sensibilisés à la sécurité disposaient d'un plan de carrière leur permettant d'améliorer leurs compétences en relevant des défis plus complexes en matière de sécurité.
Ils l'ont testé dans le cadre d'un petit projet pilote et ont sollicité les réactions des développeurs concernés. Les réactions ont été très positives. Derek l'a noté,
"Vous n'obtenez pas toujours un retour d'information positif - je ne saurais trop insister sur ce point - chaque fois que vous obtenez un retour d'information positif sur une formation, c'est inhabituel. C'est un bon indicateur que c'est le bon outil". Envestnet a organisé son premier tournament au printemps 2021 et a noté des résultats plus positifs du point de vue de l'engagement des développeurs. Derek a ensuite lancé une série de courses intégrés dans leur LMS pour les développeurs DB, Front End, API et Cloud. Au moment où Envestnet a organisé son deuxième tournament à l'automne 2021, le nombre total de développeurs participants avait doublé.
Selon Derek, Envestnet a constaté une forte traction avec tournaments parce que,
"Nous savons tous que la compétition est une source de motivation. Nous voulons tous nous assurer que nos pairs reconnaissent nos performances dans certains domaines et cela motive vraiment les gens à participer et à obtenir de bons résultats sur ces sites tournaments. Cela et l'intégration avec nos outils de développement nous ont vraiment montré la valeur de Secure Code Warrior." Derek et l'équipe ont également travaillé à l'intégration de Secure Code Warrior avec Jira, de sorte que lorsque certaines vulnérabilités apparaissent de manière répétée, le développeur peut accéder à des conseils de remédiation immédiats directement dans son ticket Jira, sans quitter son environnement familier. Les développeurs disposaient ainsi d'un contexte précieux et d'une formation à la demande sur la manière de remédier à cette vulnérabilité, là où c'était nécessaire et au moment de l'impact. L'équipe de Derek a également travaillé avec Secure Code Warrior pour sponsoriser un événement de la Journée de la sécurité, ce qui a permis d'élargir le soutien du PDG et de renforcer l'importance de l'ingénierie et de la sécurité dans le succès d'Envestnet. Grâce à ce type de soutien de la part des dirigeants et des développeurs, Envestnet a pu étendre son programme jusqu'à ce qu'il soit devenu ce qu'il est aujourd'hui. Aujourd'hui, Envestnet a inscrit au programme tous les champions de la sécurité qu'elle a identifiés et 60 % de l'ensemble de l'équipe a obtenu la certification de niveau 1 ou 2.
Résultats Envestnet a notamment mesuré son succès en examinant les équipes qui avaient suivi l'expérience d'apprentissage du SCW et en déterminant si elles produisaient moins de vulnérabilités et/ou si elles les corrigeaient plus rapidement. Ce qu'ils ont trouvé est impressionnant :
Les développeurs formés au SCW ont corrigé 2,7 fois plus de vulnérabilités que leurs pairs. 100 développeurs formés au SCW ont corrigé 450 vulnérabilités en peu de temps. 1 200 développeurs formés par le SCW ont permis à Envestnet d'augmenter la remédiation de 120% dans leur file d'attente respective. En un an, sur deux lignes de produits, les développeurs formés au SCW ont résolu les problèmes liés aux vulnérabilités à raison de 4,5 par développeur, contre 1,82 par développeur pour leurs homologues qui n'ont résolu que les vulnérabilités. Tous les champions de la sécurité ont suivi leur programme de certification en 2022. 60 % des développeurs sensibilisés à la sécurité ont suivi les niveaux 1 et 2.
Principaux enseignements Derek donne ce conseil à ceux qui commencent leur parcours d'apprentissage du code sécurisé :
"Notre travail en matière de sécurité consiste à réduire les risques au sein de l'organisation. C'est notre vrai nord et c'est ce que nous nous efforçons toujours de faire. Une vulnérabilité critique peut ne pas représenter le risque le plus élevé ou l'impact le plus important pour votre organisation. Il peut s'agir de deux vulnérabilités moyennes, d'une faible et d'une forte, réunies pour créer une chaîne qui a beaucoup plus d'impact. Plus les vulnérabilités s'accumulent au fil du temps, plus le risque augmente. Avec Secure Code Warrior, vous pouvez garder une longueur d'avance et adopter une approche proactive pour atténuer cette chaîne potentielle de vulnérabilités grâce à un apprentissage agile du code sécurisé". Ne vous contentez pas de tester les vulnérabilités et d'en rendre compte - cela ne fait que créer du bruit pour vos développeurs. Au contraire, l'AppSec doit être un partenaire des développeurs et s'assurer de leur adhésion avant de mettre en œuvre une stratégie d'apprentissage sécurisé du code. Rome ne s'est pas construite en un jour. Votre programme devra évoluer en fonction de l'évolution de votre profil de risque, de votre entreprise et de votre technologie et de vos outils La stratégie à long terme la plus efficace consiste à améliorer le niveau de sécurité des personnes qui vous entourent afin de réduire le nombre total de vulnérabilités créées.