Les institutions de services financiers sont confrontées à une série de défis qui dépendent de leur capacité à utiliser la technologie de manière efficace et efficiente dans un monde financier qui évolue rapidement.
Les organisations opèrent à une époque de changements rapides - à la fois en interne et dans l'ensemble de l'industrie - dans un environnement commercial hautement concurrentiel basé sur le cloud. En poursuivant leurs transformations numériques en cours, par exemple, les organisations s'efforcent de contourner les frictions organisationnelles qui entravent les investissements dans les nouvelles technologies, telles que l'intelligence artificielle, qui pourraient accélérer les processus de paiement et d'autres procédures.
Ils ne perdent jamais de vue, bien sûr, la nécessité de rester en conformité avec toute une série d'exigences réglementaires, allant des exigences de la loi Sarbanes-Oxely sur la gestion des documents financiers et des règles de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) sur la protection des données des titulaires de cartes aux protections des informations personnelles contenues dans la loi californienne sur la protection de la vie privée des consommateurs (CCPA) et le règlement général sur la protection des données (GDPR) de l'Union européenne.
Les amendes et les autres coûts liés à la non-conformité peuvent rapidement s'accumuler. Le rapport 2023 d'IBM sur le coût d'une violation de données a révélé que les coûts moyens pour les organisations ayant un "niveau élevé de non-conformité" s'élevaient à 5,05 millions de dollars, soit plus d'un demi-million de dollars de plus que le coût moyen d'une violation de données réelle.
En ce qui concerne les violations de données, les cyberattaques continuent d'être un fléau pour les institutions financières, qui sont le deuxième secteur le plus ciblé par les cyberattaques. À elles seules, les attaques par ransomware ont considérablement augmenté, passant de 34 % en 2021 à 55 % en 2022 et jusqu'à 64 % en 2023, selon le rapport State of Ransomware in Financial Services 2023 de Sophos. Le nombre de compromissions de données (y compris les violations de données et les expositions de données privées) dans le secteur des services financiers américains est passé de 138 en 2020 à 744 en 2023, selon Statista.
Toute défaillance dans l'un de ces domaines - qu'il s'agisse d'efficacité interne, de conformité ou de sécurité - menace la réputation d'une organisation et, par extension, la fidélité des clients, qui est l'élément vital des services financiers. Pour rester compétitives et prospères, les organisations doivent susciter la confiance de leurs clients, et cela commence par la garantie que leurs logiciels, systèmes et processus sont efficaces et efficients. Au cœur de tout cela se trouve un code logiciel sécurisé.
Les développeurs sont soumis à une pression croissante pour créer, mettre à jour et déployer des applications et des services à un rythme plus rapide que jamais. Cela signifie qu'ils doivent développer et travailler avec davantage de code logiciel, qu'il soit écrit par les développeurs internes eux-mêmes, produit par l'IA, glané dans des référentiels de logiciels libres ou fourni par des tiers.
La qualité et la sécurité de ce code sont essentielles pour garantir l'efficacité des opérations, mais il s'agit d'un domaine dans lequel les organisations sont trop souvent défaillantes. Et comme le volume de code augmente, le nombre d'erreurs, de failles et de vulnérabilités ne fera que croître s'il n'est pas corrigé dès le début du cycle de vie du développement logiciel (SDLC).
Les organisations doivent commencer dès le départ à créer un code plus sûr et à corriger les erreurs rapidement. Une formation agile aux meilleures pratiques de codage sécurisé peut jeter les bases d'applications sûres et fiables, ce qui non seulement réduit les risques pour l'organisation, mais contribue aussi à la réussite de l'entreprise.
TENDANCE 1 : OUTILS DE DEVELOPPEMENT DE L'AVI
L'intelligence artificielle, en particulier l'IA générative, devient rapidement omniprésente dans le commerce, l'éducation et la vie quotidienne. Parmi la myriade d'utilisations auxquelles l'IA générative a été appliquée, l'une des fonctions notables a été l'écriture de code. Cette fonction s'est généralement avérée bénéfique, mais elle soulève également une autre question étroitement liée à l'utilisation de l'IA : la sécurité. En tant qu'adopteurs précoces de nouvelles technologies, les institutions financières doivent assurer un équilibre entre les gains de productivité et l'utilisation sûre et responsable de l'IA.
Jusqu'à présent, l'IA a surtout été utilisée pour aider au développement du code, plutôt que pour automatiser le processus de remédiation, par exemple, et son impact a été essentiellement positif. Les personnes interrogées dans le cadre d'une enquête menée par GitHub, qui a révélé que plus de neuf développeurs sur dix basés aux États-Unis utilisaient des outils de codage IA, ont déclaré que les avantages comprenaient des gains de productivité (53 %), la liberté pour les développeurs de se concentrer sur des tâches créatives plutôt que répétitives (51 %) et la prévention de l'épuisement professionnel (41 %).
Les grandes banques et les autres organisations de services financiers sont plus susceptibles que celles d'autres secteurs d'adopter rapidement l'IA. Après tout, les institutions financières sont essentiellement des entreprises technologiques, car elles ont les moyens d'investir dans les nouvelles technologies à grande échelle et sont toujours à la recherche d'un avantage concurrentiel.
Alors que certains craignent que l'IA ne supplante les travailleurs humains, la technologie fonctionne mieux lorsqu'elle est associée à des homologues humains. Mais les développeurs ont besoin de plus qu'une simple approche de cases à cocher pour apprendre à l'utiliser. Ils ont besoin d'une formation précise pour vraiment comprendre les meilleures pratiques de sécurité dans le monde réel, afin qu'ils puissent non seulement écrire du code sécurisé eux-mêmes, mais aussi superviser habilement le travail de leurs assistants IA qui écrivent du code.
Par exemple, un exercice de la formation SCW invite un modèle LLM à modifier le contenu d'un extrait de code réel afin de modifier la fonction du code. L'IA répond en produisant un bloc de code, mais ce bloc est susceptible de faire l'objet de scripts intersites (XXS). La formation garantit que le développeur peut reconnaître cette vulnérabilité.
L'IA et les développeurs peuvent travailler ensemble de manière très productive, mais seulement si les développeurs sont suffisamment bien formés pour s'assurer que l'IA génère un code sécurisé.
En s'entraînant à écrire du code, un modèle d'IA ingérera des milliers d'exemples d'écriture de code, tout comme un autre modèle ingérera des milliers d'exemples de prose ou de poésie avant de pouvoir écrire une histoire ou un poème pour un utilisateur. Mais rien ne garantit que le modèle d'IA ne s'appuie pas sur un exemple contenant des erreurs. Les modèles d'IA n'étant pas transparents quant à leurs processus, les erreurs n'apparaîtront qu'après coup. Et l'IA répétera ces erreurs jusqu'à ce qu'elles soient corrigées.
Une première étude réalisée par des chercheurs en intelligence artificielle a révélé que le code généré par l'intelligence artificielle présentait des failles importantes, notamment des vulnérabilités aux scripts intersites (XSS), une sensibilité aux attaques par injection de code et de nouvelles vulnérabilités spécifiques au code généré par l'intelligence artificielle, telles que celles associées à l'injection d'invite. Si les outils d'IA étaient utilisés sans contrôle pour écrire du code, le mauvais code pourrait se propager rapidement, ce qui aboutirait à un monde où les logiciels, qui présentent déjà de nombreuses vulnérabilités, seraient moins sûrs que jamais.
Il est impératif que les développeurs humains et les modèles d'IA travaillent ensemble au développement du code, en veillant à ce que les meilleures pratiques de codage sécurisé soient respectées, ce qui permet aux institutions financières de bénéficier d'une vitesse et d'une efficacité accrues tout en limitant le risque qui, sans implication humaine, pourrait potentiellement être catastrophique.
La croissance rapide de l'IA, en particulier celle qui utilise de grands modèles de langage (LLM) tels que ChatGPT et les nombreuses autres implémentations d'IA générative capables de créer leur propre contenu, a connu des ratés. Les modèles d'IA ont généré des erreurs, des résultats biaisés et des hallucinations de l'IA, ce qui a entraîné une augmentation des appels à la réglementation. La Maison Blanche, par exemple, a publié un décret sur le développement et l'utilisation de l'IA. Elle a également proposé une charte des droits de l'IA destinée à protéger le public des risques liés à l'IA. Cependant, toute initiative gouvernementale reposera sur la coopération et la collaboration avec les entreprises technologiques qui développent l'IA, dont beaucoup se sont engagées à respecter des normes éthiques.
Le secteur des services financiers est également susceptible de mettre en place des contrôles internes rigoureux. Les organisations sont peut-être toujours à la recherche d'un avantage concurrentiel, mais elles savent que la sécurité de leurs informations, qu'il s'agisse de données internes ou de celles de leurs clients, est primordiale. Elles doivent également s'assurer de satisfaire aux exigences des réglementations, telles que celles de l'Office of the Comptroller of the Currency (OCC) aux États-Unis ou de la Banque centrale européenne (BCE) pour les opérations européennes.
En tant qu'utilisateurs précoces de l'IA, les banques et les institutions financières s'intéresseront à ce que l'IA peut faire pour améliorer l'efficacité, en parrainant des centres d'innovation et d'autres efforts pour explorer les capacités de l'IA. Mais les organisations ont également besoin de contrôles pour garantir la sécurité. L'adoption précoce comporte toujours un risque inhérent, et au fur et à mesure que l'utilisation de l'IA s'étend, les risques et les avantages doivent être équilibrés. Les organisations, par exemple, auraient intérêt à effectuer une analyse des forces, faiblesses, opportunités et menaces (SWOT) dès les premières étapes de l'utilisation de l'IA.
La capacité du secteur financier à utiliser efficacement l'IA dépendra de la sécurité, et pour cela il faut s'assurer que le code créé par l'IA est sécurisé dès le départ. Les organisations doivent s'assurer qu'elles disposent d'ingénieurs hautement qualifiés qui superviseront de près l'écriture du code de l'IA, identifieront les erreurs et les corrigeront rapidement. Le partenariat avec des entreprises qui proposent des formations basées sur la méthode agile et d'autres services garantissant la sécurité et la conformité est un bon premier pas vers la mise en place d'une posture de sécurité solide.
Le paysage des risques évolue en permanence, en particulier au cours du cycle de développement des logiciels. En tant qu'utilisateurs précoces de l'IA, les institutions financières doivent jouer un rôle de premier plan dans l'utilisation sûre et responsable de l'IA. Certaines institutions financières sont suffisamment importantes pour influer sur les politiques gouvernementales. En prenant des mesures pour garantir un code sécurisé en permettant aux modèles d'IA et aux développeurs de travailler ensemble, les institutions peuvent établir des pratiques exemplaires que d'autres industries pourront suivre.
TENDANCE2 : RENFORCEMENT DE LA RÉGLEMENTATION
La nécessité pour les institutions financières de se conformer aux réglementations régissant leurs activités est un facteur important pour la mise en œuvre de pratiques de codage sécurisées. Les institutions disposent d'un large éventail de réglementations applicables, qui varient en fonction du type de transactions qu'elles traitent.
Par exemple, PCI DSS 4.0, la dernière itération de la norme de sécurité des données de l'industrie des paiements, est une norme mondiale conçue pour protéger les données et les transactions relatives aux cartes de crédit et de paiement. Destinée à prévenir les fraudes et autres abus, elle s'applique à toute organisation qui stocke, traite ou transmet des données relatives aux titulaires de cartes. La norme n'est pas une loi, mais elle est appliquée par le biais de contrats, et elle peut aider à prévenir les violations de données, qui sont des violations d'autres réglementations telles que le GDPR.
Un autre règlement, le Digital Operational Resilience Act (DORA), est un cadre européen contraignant de gestion des risques pour le secteur des services financiers, couvrant à la fois les institutions financières et leurs fournisseurs tiers. La loi DORA fixe des normes techniques destinées à unifier les pratiques de gestion des risques au sein de l'UE, créant ainsi une norme universelle.
La Society for Worldwide Interbank Financial Telecommunication, connue sous le nom de Swift, est un effort de coopération qui a établi la norme pour les transferts de fonds dans le secteur financier mondial. Le Customer Security Program (CSP) de Swift a développé le Customer Security Controls Framework (CSCF), qui est mis à jour chaque année. Les 11 000 membres de Swift, répartis dans plus de 200 pays, utilisent le CSCF pour planifier leurs propres contrôles de sécurité et attester de leur niveau de conformité.
Le point commun de ces réglementations est qu'elles tentent de fixer des normes élevées pour la protection des données et des transactions dans le secteur des services financiers. La conformité ne protège pas seulement les données et l'argent des clients, elle aide aussi à protéger les institutions des conséquences d'une sécurité inadéquate, qui peuvent inclure des amendes et des pénalités pour non-conformité, une réputation ternie et la perte de confiance des investisseurs dans le cas d'une violation.
Le codage sécurisé constitue une pierre angulaire solide pour les organisations qui cherchent à répondre aux attentes des réglementations applicables et aux exigences de l'Office of the Comptroller of the Currency (OCC) aux États-Unis ou de la Banque centrale européenne (BCE) en Europe. L'une des raisons fondamentales de l'adoption de la plateforme Secure Code Warriorou de celle d'un autre fournisseur est d'enseigner aux développeurs le codage sécurisé dans un environnement pratique et attrayant.
Ce type de formation fait la différence lorsqu'il s'agit de traiter des exigences réglementaires parfois complexes, en particulier parce qu'elles ne restent pas statiques. Les réglementations évoluent constamment, ajoutant de nouvelles exigences, souvent plus sophistiquées. Selon l'exigence, une réglementation peut ne pas changer radicalement au cours d'une année donnée, mais les organisations peuvent s'attendre à des changements significatifs au moins tous les deux ans.
Par exemple, PCI DSS 4.0, obligatoire à partir du 1er avril 2024, met à jour PCI DSS 3.2.1 (publié en 2022) de plusieurs façons importantes. Elle met en œuvre une approche personnalisée qui donne aux organisations plus de flexibilité pour répondre aux exigences, en se concentrant sur les résultats plutôt que sur les procédures de cases à cocher. Mais elle ajoute également de nouvelles exigences en matière de contrôles d'authentification, de longueur des mots de passe et de comptes partagés, pour ne citer que quelques-unes des nombreuses mises à jour. Elle exige également des organisations qu'elles définissent clairement les rôles et les responsabilités pour répondre à chaque exigence.
Il est important de noter que la version 4.0 exige également que les développeurs travaillant sur des logiciels personnalisés soient formés au moins une fois tous les 12 mois à la sécurité des logiciels, y compris aux techniques de conception et de codage sécurisées et, si des outils de test sont utilisés, à la manière d'utiliser ces outils pour détecter les vulnérabilités. Il stipule également que chaque vulnérabilité identifiée lors d'un test de pénétration doit être corrigée, quelle que soit sa gravité, et que les équipes doivent procéder à un second test de pénétration pour confirmer que les correctifs ont été apportés.
Bien que les changements se fassent généralement de manière progressive, les réglementations sont également déterminées par les événements - une violation majeure peut entraîner des changements soudains et importants. La violation de 87 millions de comptes JPMorgan Chase au milieu des années 1990, par exemple, a bouleversé le paysage réglementaire, les régulateurs ayant revu à la hausse les attentes de la communauté des développeurs/techniciens et exigé des banques qu'elles fournissent des preuves des mesures qu'elles prenaient et de la manière dont elles appliquaient les leçons tirées de la violation.
La qualité du code utilisé pour répondre à ces exigences a un impact significatif sur la performance des nouvelles fonctions et peut entrer en ligne de compte lorsque les entreprises remplissent le long et détaillé rapport de conformité PCI DSS, qui est exigé chaque année. À mesure que les réglementations deviennent plus complexes, l'impact du codage sécurisé s'accroît proportionnellement, ce qui fait une différence substantielle dans la réduction des risques et l'augmentation du contrôle sur les logiciels d'une organisation.
La conformité est essentielle pour les institutions financières, car il est important d'établir la confiance avec les clients. Le codage sécurisé peut également contribuer à améliorer l'expérience du client, car beaucoup de choses dépendent de l'interaction transparente avec un logiciel fiable, ce qui contribue à fidéliser la clientèle.
Le codage utilisé pour créer de nouvelles applications et de nouveaux services a un impact sur l'ensemble de l'entreprise. Il est essentiel pour accroître l'efficacité, gérer les migrations dans le nuage et permettre d'autres capacités dans un environnement commercial en évolution rapide. Mais le code doit absolument être sécurisé et répondre aux exigences de conformité pour que l'entreprise réussisse.
TENDANCE 3 : APPRENTISSAGE AGILE
La prolifération des modèles d'IA a ravivé les craintes que l'intelligence artificielle ne supprime de nombreux emplois. Si les personnes exerçant certaines professions peuvent avoir des raisons de s'inquiéter - qu'il s'agisse de la comptabilité, du service à la clientèle, du secrétariat juridique ou de la création de contenu -, les développeurs de logiciels sont plus susceptibles d'accueillir l'IA comme un assistant utile qui ne leur prendra pas leur travail, mais qui les déchargera de certaines tâches répétitives ou chronophages, telles que l'écriture de codes.
En fait, l'écriture de code ne représente qu'une partie du travail d'un développeur. Dans le 2023 Global DevSecOps Report de GitLab, la plupart des développeurs déclarent passer environ un quart de leur temps à écrire du code. Le reste est réparti entre d'autres tâches, telles que l'amélioration du code (17 %), les tests (11 %) et le fait d'assister à des réunions ou d'effectuer d'autres tâches administratives (17 % également).
L'amélioration du code est un aspect du travail qui deviendra probablement plus important lorsque les modèles d'IA génèreront du code. L'IA accélère la création de code et la rend plus efficace, mais on ne peut pas faire entièrement confiance à ce code. Il existe d'innombrables exemples d'erreurs, de biais et de codes vulnérables générés par les modèles d'IA. Les développeurs compétents en matière de sécurité doivent être étroitement impliqués dans la vérification du code généré par l'IA afin de corriger les vulnérabilités et de s'assurer que leur logiciel respecte les normes de développement.
Pour les développeurs eux-mêmes, travailler avec du code généré par l'IA exige qu'ils affinent leurs compétences existantes - et en acquièrent de nouvelles - en ce qui concerne les meilleures pratiques en matière de sécurité et la capacité à repérer les mauvais modèles de codage. Les développeurs correctement formés seront en mesure de repérer les erreurs d'un modèle d'IA avant son déploiement et de renforcer les avantages de l'utilisation de l'IA pour accélérer le développement.
Les compétences requises sont toutefois complexes et ne peuvent pas être acquises ou renforcées en utilisant simplement des méthodes de formation standard et statiques. Les développeurs ne sont pas connus pour avoir du temps libre au travail - ils sont plus que jamais sous pression pour développer et déployer du code rapidement. Ils doivent être en mesure d'accroître leurs compétences d'une manière qui corresponde au travail qu'ils effectuent déjà.
Les organisations doivent proposer aux développeurs un programme complet de formation basé sur la méthode agile, qui adopte une approche pratique du codage sécurisé et dont il a été démontré qu'il réduisait considérablement le nombre de vulnérabilités dans les logiciels.
La formation agile peut être adaptée pour inclure les langages de programmation que les développeurs rencontreront, depuis l'ancien COBOL encore utilisé jusqu'aux nouveaux outils avancés écrits en Google Go. Elle peut être conçue pour fournir un contenu avancé dans des formats adaptés aux méthodes d'apprentissage préférées des développeurs (visuelles, auditives ou verbales, ainsi que directement pratiques) et à un rythme qui convient le mieux à chaque développeur et à son emploi du temps.
La formation peut également être adaptée aux rôles et aux besoins spécifiques des employés. Une plateforme peut utiliser une boucle de retour d'information pour améliorer le contenu et reconnaître les faiblesses d'un développeur dans un certain domaine, de sorte que le contenu peut être automatiquement ciblé pour aborder ce domaine.
Au lieu de dispenser une formation à la sécurité dans le cadre d'une salle de classe aride et interminable, les programmes d'apprentissage tels que ceux employés par Secure Code Warrior offrent une formation optimale et personnalisée en la divisant en micro-coupures interactives qui impliquent les développeurs dans le contexte de problèmes concrets. Le microapprentissage est également entièrement accessible aux employés lorsqu'ils en ont besoin.
La formation basée sur la méthode agile s'est avérée efficace pour réduire les erreurs de codage. Selon une étude réalisée par Secure Code Warrior, les développeurs retravaillent déjà environ 26 % de leur code avant qu'il ne soit mis en production. Cela représente environ 13,5 heures par semaine et par développeur (environ 700 heures par an) consacrées à l'élimination de la dette technique. Les heures passées à corriger le code nuisent à la productivité et ralentissent les cycles de développement.
Et ces erreurs ne sont pas toutes détectées, puisque 67 % des développeurs admettent avoir livré du code présentant des vulnérabilités. Les entreprises utilisent également du code provenant d'autres sources, telles que l'IA, les référentiels open-source et les tiers. Ces sources contribuent à accroître la productivité à un moment où les organisations ont besoin d'un volume de code plus important que jamais, mais elles augmentent également le risque de vulnérabilités et d'erreurs dans la base de code.
La formation basée sur la méthode agile peut contribuer à enrayer cette tendance. Elle renforce la première ligne de défense, les développeurs étant plus aptes à détecter les failles dans le code, qu'il ait été créé par eux-mêmes, par l'IA ou par des tiers. Dans le cadre de son étude, Secure Code Warrior a examiné les données de 75 000 développeurs (environ 30 % de sa base) et a constaté que les développeurs qui avaient étudié la sécurité à l'aide de sa formation agile présentaient 53 % de vulnérabilités en moins que leurs homologues. Les développeurs qui appliquent ces compétences à la vérification du code généré par l'IA peuvent nettoyer plus rapidement les erreurs de leur partenaire d'IA avant que le logiciel ne soit mis en production.
Grâce à la formation agile de Secure Code Warrior, les développeurs de Workday, qui propose des applications en nuage de gestion des finances, des ressources humaines et du cycle de vie des étudiants et des professeurs, ont eu une idée claire de l'objectif de la formation et ont rapidement appris à identifier et à résoudre les problèmes au sein de leur base de code et du cycle de vie du logiciel.
L'expérience de Workday offre un exemple clair de ce qu'une formation agile et pratique peut faire. Avant de s'associer à Secure Code Warrior, Workday a constaté que ses développeurs n'étaient pas satisfaits de la formation à la sécurité de l'entreprise, basée sur des diaporamas. Mais l'ensemble de la communauté des développeurs a bien réagi à la formation Secure Code Warrior , qui a été adaptée à la fois à leurs besoins et à leurs préférences en matière d'apprentissage. Et les résultats parlent d'eux-mêmes. Pour ne citer qu'un exemple, une équipe de Dublin est passée de 4 662 problèmes de sécurité annuels à aucun en seulement 18 mois.
Dans un paysage de menaces où les attaques sont de plus en plus sophistiquées, les entreprises de services financiers doivent faire tout ce qui est en leur pouvoir pour garantir la sécurité des données et des applications. La création d'un code sécurisé dès le début du cycle de vie du développement logiciel (SDLC) est un élément essentiel de la sécurité. Les développeurs ayant reçu une formation agile appropriée peuvent faire beaucoup pour garantir la sécurité des logiciels tout en réduisant les risques globaux pour leur entreprise.
TENDANCE 4 : CROISSANCE DES APPS ET API TIERS
Dans l'environnement commercial hyperconnecté d'aujourd'hui, aucune entreprise ne fonctionne en vase clos. Les institutions financières concluent des partenariats avec d'autres entreprises pour fournir certains services, utilisent des applications tierces dans leurs communications et transactions quotidiennes et, dans de nombreux cas, font appel à des sous-traitants pour écrire le code des logiciels. Les développeurs au sein des entreprises utilisent également des référentiels de logiciels libres et, de plus en plus, des codes générés par l'IA pour développer des applications.
Quelle que soit la source du logiciel, les personnes qui travaillent avec une société de services financiers s'attendent à ce que toutes les applications qu'elles utilisent présentent le même niveau élevé de sécurité. Lors d'une transaction ou d'un échange d'informations, la société hôte reste responsable des données du client. Et les régulateurs ne permettront pas à une institution de faire porter la responsabilité de la non-conformité à un tiers.
Comment une institution financière peut-elle s'assurer que chaque application est sécurisée et fiable ? Cela commence par un code sécurisé et par l'acquisition par les développeurs des compétences nécessaires pour créer un code logiciel sécurisé dès le début du processus de développement, tout en identifiant lorsque le code tiers qu'ils utilisent n'est pas à la hauteur.
Les entreprises auraient tout intérêt à mettre en œuvre un programme de formation agile et pratique pour enseigner aux développeurs ce qu'est un code sécurisé. Les résultats de ce type de formation sont clairs : les développeurs formés au codage sécurisé produisent un code présentant 53 % de vulnérabilités en moins que ceux qui n'ont pas reçu de formation. De plus, ils détecteront davantage d'erreurs de codage dans le code généré par des tiers.
Même si les développeurs d'une entreprise sont formés à l'écriture de codes sécurisés, les failles potentielles des codes tiers doivent être prises en compte. De nombreuses équipes de développeurs sont composées à la fois d'employés à temps plein (ETP) et de sous-traitants, en particulier dans les grandes institutions dont les sites sont très éloignés les uns des autres, dans tout le pays ou dans le monde entier, y compris les sites principaux, secondaires et tertiaires.
Il y a une vingtaine d'années, le secteur a été fortement incité à externaliser le développement de logiciels afin que les entreprises puissent répondre à la demande de nouvelles applications. Cette tendance a duré cinq ou dix ans avant d'amorcer un retour en arrière, mais des équipes combinées d'ETP et de contractants subsistent encore dans certains sites des institutions financières. Compte tenu du grand nombre d'applications développées en permanence, certaines d'entre elles seront externalisées.
Toutefois, que le code soit développé par des ETP ou par des tiers, les attentes des clients et des autorités de réglementation demeurent. Tous les codes logiciels utilisés par une entreprise doivent répondre aux mêmes normes, ce qui signifie que tous les développeurs doivent avoir le même niveau de compétence.
Les entreprises peuvent avoir des limites contractuelles à l'obligation de formation pour les sous-traitants, bien qu'il soit important d'au moins rendre la formation disponible. Certaines sociétés financières ont créé leurs propres programmes de formation, comme Capital One, qui a lancé son Tech College en 2016. Un certain nombre d'autres banques et sociétés financières, telles que Synchrony Bank et North American Bancard, adoptent l'idée de l'apprentissage continu agile pour augmenter le niveau de leurs talents.
Il est même possible que les entreprises adoptent une approche de type "licence de codage", en exigeant certaines certifications avant d'autoriser les développeurs à accéder à des systèmes spécifiques.
Dans un contexte de pénurie de compétences informatiques, les entreprises ont choisi d'essayer d'améliorer les compétences de leurs employés actuels plutôt que de se disputer les talents sur un marché sous-exploité. La formation est bénéfique à la fois pour les employés, qui peuvent ainsi faire avancer leur carrière, et pour l'entreprise, qui obtient des employés possédant les compétences dont elle a besoin. Les programmes de formation peuvent également contribuer à la fidélisation du personnel en améliorant l'expérience des employés.
La formation continue est importante dans l'environnement actuel. Le paysage de la cybersécurité évolue continuellement et devient de plus en plus sophistiqué. Les exigences des régulateurs changent également chaque année, ce qui accroît la complexité de la mise en conformité. Le non-respect de ces exigences peut entraîner des amendes, d'autres coûts et des atteintes à la réputation qui affectent matériellement l'entreprise.
Les entreprises s'éloignent de la formation à la conformité en tant qu'exercice fastidieux, avec des sessions de formation une fois par an, pour s'orienter vers une formation tout au long de l'année conçue pour augmenter le niveau d'engagement des développeurs et des autres employés en matière de sécurité. La clé est d'avoir une plateforme agile qui donne aux employés la formation dont ils ont besoin quand ils en ont besoin, et dans un format qui convient à leur environnement de travail.
Par exemple, l'entreprise britannique Sage, spécialisée dans les solutions logicielles et qui a adopté la plateforme Secure Code Warrior, organise une formation trimestrielle ciblée sur la technologie avec laquelle les développeurs travaillent à ce moment-là.
La formation est personnalisée autant que possible et adaptée à la façon dont les développeurs aiment travailler, a déclaré Mads Howard, spécialiste de la sécurité chez Sage, lors d'un récent séminaire en ligne avec SCW. Sage encourage également la communication dans les deux sens par le biais d'une boucle de retour d'information. La formation est davantage axée sur l'engagement que sur la conformité à des cases à cocher, avec un calendrier régulier tournaments et des efforts pour associer le programme de formation à d'autres initiatives de l'entreprise destinées à accroître l'engagement des employés sur les questions de sécurité.
Résultat : au cours de l'année écoulée, Sage a constaté une réduction de 82 % du temps moyen nécessaire à la résolution des problèmes logiciels, a indiqué M. Howard. L'entreprise a également constaté un plus grand engagement de la part de ses employés.
Le codage fait partie de la construction d'une culture de la sécurité, a déclaré M. Howard, l'objectif ultime étant d'instaurer la confiance avec les clients. Une culture de la sécurité s'articule autour des attitudes, des perceptions et des croyances des personnes, et elle implique également les personnes de l'ensemble de l'entreprise, y compris les dirigeants. Un programme flexible de formation aux codes sécurisés, qui dispense une formation ciblée sous forme de micro-coupures facilement consommables, peut constituer un élément essentiel de cette culture.
TREND5 : ACCENT MIS SUR LE RETOUR SUR INVESTISSEMENT DANS L'ENSEMBLE DES ÉQUIPES/FOURNISSEURS
L'industrie des services financiers couvre un large éventail de secteurs, allant de la banque et de la gestion financière aux services de cartes de crédit et de paiement numérique. Même l'assurance relève souvent de ce secteur. Les entreprises de chaque secteur sont confrontées à des exigences de conformité différentes, même si elles se chevauchent souvent, en fonction des transactions qu'elles traitent et du fait qu'il s'agit d'entreprises nationales ou multinationales.
Mais quel que soit le domaine dans lequel les entreprises travaillent, les considérations économiques ont un effet sur les stratégies commerciales. Les marchés boursiers se sont bien comportés, mais ils ne sont pas toujours révélateurs de la réussite future. Par ailleurs, le secteur financier est quelque peu inquiet face à l'éventualité d'une récession et à d'autres défis cruciaux.
En conséquence, de nombreuses organisations se serrent la ceinture, recherchent une plus grande efficacité et soulignent l'importance d'un bon retour sur investissement (ROI) pour toute nouvelle dépense. L'un des moyens d'augmenter le retour sur investissement est d'investir dans l'apprentissage sécurisé du code. Dans le cycle de vie du développement logiciel (SDLC), où l'ingénierie et la sécurité se rencontrent, s'assurer de créer un code sécurisé dès le début du processus et corriger les failles le plus tôt possible apportera des gains clairs et quantifiables à l'entreprise.
Les données sont au cœur de toute institution de services financiers, et les coûts liés au traitement de ces données avec des logiciels non sécurisés et inefficaces peuvent s'élever rapidement. Secure Code WarriorL'étude de l'Université de Californie du Sud a révélé que les problèmes de qualité des logiciels coûteraient aux entreprises américaines un total de 2,41 trillions de dollars en 2022. Et les coûts s'étendent jusqu'aux développeurs, qui consacrent de plus en plus de temps à la maintenance et à la correction de la dette technique. Les développeurs consacrent actuellement environ un tiers de leur temps à la maintenance de la dette technique, mais ce chiffre devrait atteindre 40 % d'ici à 2025.
Une formation sur les pratiques de codage sécurisées, basée sur la méthode Agile, peut réduire considérablement ces chiffres négatifs. On a constaté que les développeurs formés à l'adresse Secure Code Warrior introduisaient 53 % de vulnérabilités en moins que leurs collègues qui n'avaient pas suivi la formation, et que les délais de remédiation étaient réduits de moitié. Une grande banque mondiale a constaté une réduction de 50 % des vulnérabilités grâce à la formation SCW, qui a pratiquement éliminé les failles d'injection SQL et le Cross-Site Scripting (XSS).
Les avantages de la formation agile au code sécurisé sont également beaucoup plus importants au fur et à mesure qu'une organisation se déplace vers la gauche. Les coûts de la dette technique, par exemple, sont réduits de moitié si l'on s'en occupe pendant les tests, mais ils sont 14 fois plus réduits si l'on s'en occupe pendant la phase de codage.
L'impact du codage sécurisé peut se traduire par des gains mesurables en termes de retour sur investissement. Dans un exemple, la grande société de technologie financière Envestnet souhaitait aller au-delà de sa formation passive à la sécurité et à la conformité, qui se concentrait principalement sur les dix principaux risques liés aux applications web de l'Open Worldwide Application Security Project (OWASP).
Envestnet a adopté une stratégie shift-left axée sur l'écriture d'un code sécurisé et la résolution des problèmes dès le début du SDLC, mais il fallait d'abord remédier au manque d'engagement des développeurs vis-à-vis de la formation à la sécurité existante dans l'entreprise. Avec SCW, ils ont mis en œuvre un programme pratique à quatre niveaux qui impliquait une formation sur des scénarios du monde réel et attribuait des certificats aux développeurs pour chaque niveau de réussite - non seulement en améliorant la sécurité des applications, mais aussi en aidant les développeurs à faire progresser leur carrière.
Les deux premiers niveaux étaient axés sur la sensibilisation à la sécurité, et les niveaux trois et quatre reconnaissaient les champions de la sécurité. Le programme de formation comprenait le site tournaments, qui a également permis d'accroître le niveau d'engagement des développeurs. Entre les deux premiers tournaments, espacés d'environ six mois, la participation a doublé.
Les résultats : Les développeurs ayant suivi la formation SCW ont corrigé 2,7 fois plus de vulnérabilités que leurs homologues et ont augmenté leur taux de correction de 120 %. Les développeurs formés au SCW ont également résolu les problèmes de vulnérabilité à un taux de 4,5 par développeur, contre un taux de 1,82 par développeur pour leurs pairs qui n'ont pas bénéficié de la formation.
Les programmes de codage sécurisé Agile peuvent être adaptés à chaque entreprise, en fonction du type de services financiers qu'elle fournit, de la taille de ses systèmes et de ses besoins individuels.
Les entreprises doivent rester conformes, par exemple, à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), à la norme de vérification de la sécurité des applications (ASVS) de l'OWASP ou à d'autres exigences. Elles doivent également s'assurer qu'elles écrivent toujours du code sécurisé. Mais ils ont besoin de plus qu'un programme de formation qui se contente de cocher une case, ce qui ne suffira pas à enseigner des méthodes de codage sécurisées ou à atteindre les niveaux d'efficacité accrus qui découlent du fait d'avoir des développeurs hautement formés et sensibilisés à la sécurité.
Une formation pratique qui soutient une stratégie d'introduction d'un code sécurisé dès le début du cycle de développement durable et de son maintien tout au long du cycle de vie du produit réduira les risques et accélérera la mise sur le marché, ce qui augmentera inévitablement le retour sur investissement. Alors que les systèmes, les processus et même les cyberattaques deviennent de plus en plus sophistiqués, le codage sécurisé est plus que nécessaire. Il a le pouvoir de faire une différence cruciale non seulement en matière de sécurité, mais aussi en ce qui concerne les résultats financiers de toute organisation.
CONCLUSION
Les institutions de services financiers travaillent avec des biens très précieux, à savoir l'argent des gens et des informations personnelles très sensibles, mais à certains égards, la chose la plus précieuse que les organisations puissent avoir, c'est la confiance. Elle est essentielle pour attirer et conserver des clients fidèles. Et comme de nombreuses transactions financières sont traitées numériquement, la fiabilité et la sécurité des logiciels dépendent d'un code logiciel sûr.
Dans les environnements complexes de cloud hybride, les organisations financières doivent passer à gauche, en introduisant la sécurité dès le début du cycle de vie du développement logiciel (SDLC). Cela signifie qu'il faut former les développeurs à écrire du code sécurisé et être en mesure d'identifier les vulnérabilités dans le code généré par l'IA ou par des tiers.
Il s'agit d'un changement culturel pour de nombreuses entreprises, où les développeurs sont habitués à travailler à un rythme effréné et à créer de nouvelles applications et de nouveaux services pour répondre à une demande sans cesse croissante. La clé est de créer une culture de la sécurité au sein de l'entreprise et d'engager les développeurs dans une formation agile et pratique au code sécurisé. Les avantages de cette approche sont évidents.
Secure Code Warriora montré que les développeurs qui apprennent les pratiques de codage sécurisées avec le SCW produisent 53 % de vulnérabilités en moins que ceux qui n'ont pas suivi la formation, ce qui représente un gain de temps et d'argent considérable.
Les développeurs perdent actuellement environ un tiers de leur temps à retravailler le code des logiciels, et 67 % d'entre eux admettent avoir livré un code dont ils connaissaient les vulnérabilités. Les clients de SCW ont constaté des gains de 2 à 3 fois en termes de réduction des risques et de productivité des développeurs grâce à l'apprentissage agile.
Et plus une organisation se déplace vers la gauche au cours du cycle de développement durable, plus les économies sont importantes. Les coûts peuvent être réduits de moitié s'ils sont pris en compte lors des tests, mais ils peuvent être divisés par 14 s'ils sont pris en compte lors de la phase de codage.
Une plateforme de formation agile profite à la fois à l'entreprise et aux développeurs. Les développeurs peuvent faire évoluer leur carrière en acquérant de nouvelles compétences, et l'entreprise en bénéficie car les développeurs compétents sont plus enclins à rester dans une entreprise qui offre une formation efficace et une expérience professionnelle plus enrichissante.
D'ailleurs, 92 % des développeurs déclarent vouloir plus de formation. Mais il faut que ce soit le bon type de formation. La formation traditionnelle à la conformité selon le manuel (ou le diaporama) peut susciter des roulements de yeux et une acceptation à contrecœur du respect d'une exigence, mais il a été démontré qu'une plateforme agile telle que celle de SCW suscite l'intérêt des développeurs. La formation peut être adaptée à ce sur quoi ils travaillent et aux langages de programmation qu'ils utilisent. Et le fait de dispenser la formation sous forme de micro-coupures ciblées et faciles à consommer, qui abordent les problèmes réels auxquels les développeurs sont confrontés, accroît la valeur de la formation et le niveau d'engagement.
La formation au code sécurisé peut être la clé de voûte d'un changement de culture vers une organisation privilégiant la sécurité, améliorant ainsi la cybersécurité, les performances et, en fin de compte, la rentabilité d'une institution de services financiers.
Pour en savoir plus, consultez le livre blanc de SCW qui explique le rôle que l'IA peut jouer dans la rédaction du code et pourquoi il est essentiel que les développeurs soient parfaitement formés pour reconnaître les modèles de codage sécurisés et les vulnérabilités qui résultent d'un code non sécurisé.
Télécharger le livre blancLisez le guide pratique pour que votre équipe de développement se conforme à la norme PCI DSS, et découvrez comment les professionnels de la sécurité et les responsables du développement peuvent collaborer pour mettre en place des programmes de sécurité efficaces.
Lire le guideDécouvrez comment Workday s'est concentré sur la création d'un apprentissage agile sécurisé qui a favorisé l'engagement des développeurs et a permis d'atteindre les objectifs d'amélioration de la posture de sécurité globale de Workday.
En savoir plusDécouvrez comment Sage a mis en œuvre les meilleures pratiques pour créer un programme d'apprentissage de code sécurisé, apprenez les choses à faire et à ne pas faire dans un programme d'apprentissage de code sécurisé, et voyez les impacts commerciaux et financiers, y compris les gains de productivité et le temps économisé.
DécouvrezDécouvrez comment Envestnet a adopté un code sécurisé agile learning platform et triplé l'efficacité des développeurs en matière de réduction des vulnérabilités.
ExplorerDécouvrez comment Derek Fisher, responsable de la sécurité des produits chez Envestnet et auteur de "The Application Security Handbook", a travaillé avec Secure Code Warrior pour développer une approche holistique visant à réduire les vulnérabilités grâce à l'activation du code sécurisé agile pour ses équipes de développeurs.
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Explorez les résultats des Devlympics 2023 dans ce rapport. Plongez dans l'engagement des développeurs, les tendances de la pile technologique et des langues dans chaque industrie participante, et les principales vulnérabilités et CWE couvertes lors de l'événement mondial annuel organisé par Secure Code Warrior.
Découvrez comment Sage a renforcé la sécurité grâce à une approche flexible et axée sur les relations, en créant plus de 200 champions de la sécurité et en réalisant une réduction mesurable des risques.