Informations relatives au code de sécurité

Au cours de ma carrière dans le développement logiciel et la sécurité, j'ai eu l'occasion de collaborer avec de nombreux responsables de la sécurité des applications, directeurs de la sécurité de l'information, directeurs informatiques et experts en cybersécurité, qui travaillent dans diverses entreprises à travers le monde.

Dans ce monde numérique en constante évolution, quelle que soit leur situation, l'expérience de leur équipe ou le temps écoulé, une question demeure inchangée : ils ont rarement l'occasion de participer activement au développement de l'équipe en matière de sécurité. La sécurité reste un sujet sensible, source de conflits entre les équipes et véritable source de difficultés pour le secteur.

Cependant, la sécurité logicielle revêt une importance trop capitale dans notre approche globale pour que nous continuions dans cette voie. Nous devons nous efforcer de modifier notre mode de communication afin que la sécurité devienne un élément indispensable du quotidien professionnel de chaque développeur. Je considère que l'une des meilleures façons d'y parvenir consiste à responsabiliser les développeurs en matière de sécurité et à interagir avec eux, notamment par le biais de la ludification.

La situation actuelle

Lorsque les développeurs quittent l'université, ils possèdent peu de connaissances pratiques en matière de code sécurisé, et les postes qu'ils occupent accordent rarement la priorité à la formation à la sécurité (si tel est le cas, celle-ci fait généralement partie de vidéos obligatoires sur la conformité en matière de santé et de sécurité, qui sont si ennuyeuses que personne ne s'intéresse au codage sécurisé).Souvent, leur première expérience en matière de sécurité consiste à auditer ou à tester un rapport d'erreurs qui interrompt soudainement une future publication et devient immédiatement la priorité absolue de leur réflexion créative. Ils se retrouvent alors en désaccord avec les personnes chargées des rapports de sécurité, si bien que dans leur esprit, « sécurité » devient synonyme de « critique ».

Honnêtement, il est regrettable que cette perception négative de la sécurité logicielle soit si répandue. Après tout, les meilleurs souvenirs de ma carrière sont liés à l'apprentissage de la sécurité logicielle. Au début de ma carrière de hacker, j'ai participé à des conférences où j'ai non seulement pu tester mes compétences avec mes pairs (et, pour être franc, m'exhiber un peu), mais aussi rencontrer des personnes partageant les mêmes idées que moi, qui aimaient autant que moi détruire des logiciels, et passer de bons moments avec elles.

BruCon, DefCon, BlackHat... Ces événements offrent à des personnes comme moi la possibilité de mettre en pratique nos compétences dans le cadre de compétitions amicales. Bien que je n'aie jamais admis avoir participé à de telles activités, certains démontrent leurs compétences en matière de piratage informatique en accédant aux téléphones portables d'autres participants et en affichant leurs informations sur l'écran de démonstration à la vue de tous. Cela devient un jeu qui consiste à identifier ces vulnérabilités, à les exploiter et à les corriger afin d'améliorer les logiciels.Il y a quelques années, j'ai eu l'opportunité de rencontrer des centaines d'enfants du Moyen-Orient et de leur enseigner la cybersécurité. Je me souviens notamment d'une élève de huit ans qui apprenait le craquage de mots de passe et le codage base64 tout en jouant à un jeu.

La ludification est également utilisée pour enseigner les compétences en programmation. Des établissements d'enseignement du monde entier utilisent cette méthode pour enseigner la programmation aux jeunes enfants, et ce jusqu'au niveau secondaire. Aujourd'hui, des enfants âgés de seulement quatre ans participent régulièrement à des événements tels que CodeCamp, et il existe denombreux programmes en ligne de qualité qui enseignent aux enfants à programmer en Python et dans d'autres langages. J'ai même acheté un outil de programmation sans écran, le Cubetto, pourma fille de quatre ans.

Cependant, malgré tous ces avantages et progrès, il existe encore des lacunes. Personne n'a envisagé la possibilité d'utiliser la gamification pour former les développeurs à l'écriture de code sécurisé.

Bien... Presque personne. Il y a quelques années, j'ai réalisé que nous devions renouveler notre inspiration en matière de sécurité, afin de vraiment motiver les développeurs à s'impliquer et à se lancer dans l'aventure.

Gamification : une direction simple à suivre.

J'ai une motivation profonde pour améliorer et renforcer les connaissances des développeurs en matière de sécurité, et c'est cette passion qui m'a poussé à créer Secure Code Warrior. La sécurité des logiciels est extrêmement importante et vraiment passionnante.

Je ne suis pas seul.

La ludification peut rendre les tâches les plus banales plus intéressantes et maintenir un niveau d'engagement suffisant pour que les gens aient envie de continuer à jouer, de gagner et de progresser. Il suffit de voir le chemin parcouru par Pokémon ! Même les personnes les plus paresseuses quittent leur canapé pour partir à la recherche de créatures fictives, ou encore FitBit qui fait de l'atteinte d'un certain nombre de pas l'objectif quotidien de nombreuses personnes... Si ces objectifs ne sont pas atteints, si la série de victoires prend fin ou si les badges ne sont pas obtenus, cela peut générer un sentiment de déception très réel.

Par conséquent, revenons à la formation à la sécurité. Nous avons démontré à de nombreux clients que la ludification est essentielle pour transformer véritablement la culture de sécurité au sein de leur organisation, établir des ponts entre les équipes AppSec et développement, et les aider globalement à créer des logiciels de meilleure qualité.

À l'heure actuelle, la sécurité n'est pas la priorité absolue des développeurs. En ajoutant des éléments conviviaux, compétitifs et captivants à la méthode d'entraînement, vous les incitez non seulement à « jouer », mais aussi à revenir pour gagner plus de points, battre des records, devenir plus précis et défier leurs coéquipiers.

Nous savons déjà qu'une formation réussie se présente comme suit :

• Les développeurs peuvent travailler avec du code réel et leur propre langage/cadre.
• Le défi est court et couvre toutes les failles de sécurité courantes.
• Les défis sont en constante évolution et actualisation, ce qui permet aux développeurs de continuer à développer leurs compétences au fil du temps.
• Les défis présentent différents niveaux de complexité, ce qui permet aux développeurs expérimentés comme aux développeurs moins expérimentés de participer.
• Les développeurs et leurs responsables peuvent consulter les progrès réalisés, notamment les défis qu'ils ont relevés, leurs points forts et leurs points faibles, le temps consacré à la formation et leur niveau global de précision.

L'un de nos principaux clients a démontré la véritable puissance de la plateforme de gamification lors de son lancement, en fournissant aux développeurs des équipements thématiques pour leurs équipes, en offrant des récompenses exceptionnelles aux gagnants et en faisant de leur tournoi une journée mémorable. Depuis, ils ont organisé des compétitions internationales et, à ce jour, toute leur équipe continue de s'entraîner rigoureusement.

Votre propre révolution logicielle commence ici. Le secteur bancaire australien est à l'avant-garde de l'adoption de la formation ludique pour lutter contre les codes de mauvaise qualité, en utilisant une approche véritablement innovante qui peut bouleverser la formation traditionnelle (ou ennuyeuse) - découvrez ce que nos clients leur ont fait subir lors du tournoi de niveau supérieur. Êtes-vous prêt à faire passer votre équipe au niveau supérieur avec nous ?

Nous devons nous efforcer de modifier notre approche afin que la sécurité devienne une composante essentielle du travail de chaque développeur. Je considère que l'une des meilleures façons d'y parvenir consiste à responsabiliser les développeurs en matière de sécurité et à interagir avec eux, notamment par le biais de la ludification.

Le 3 septembre, certains membres de mon équipe et moi-même avons assisté à une cérémonie de remise de prix remarquable, organisée par le CSO australien. L'un des premiers événements de ce type en Australie, le prix 2019 Women in Security Awards est le fruit du travail remarquable de certains des experts en sécurité les plus respectés du secteur. Il s'agit d'une célébration de la contribution des femmes dans le domaine de la cybersécurité et d'une plateforme indispensable pour mettre en avant le talent et l'innovation exceptionnels de ces femmes qui travaillent souvent dans l'ombre et accomplissent un travail remarquable.

Je suis très fier de dire que Fatemah Beydoun, vice-présidente de la réussite client (alias Chief Awesome) chez Secure Code Warrior, a joué un rôle essentiel lors de cette journée. Elle a prononcé un discours intitulé « Future Guidance: How We Can Do Better in Cultivating Female Cybersecurity Talent » (Orientations pour l'avenir : comment mieux former les femmes aux métiers de la cybersécurité) devant un public très réceptif. Même si douze minutes ne suffisent pas pour révéler son influence à long terme sur notre entreprise et l'ensemble du secteur de la cybersécurité, elle a déjà constaté (sans parler de favorisé) des changements positifs essentiels.

Une approche plus inclusive.

« Lorsque j'ai débuté ma carrière dans ce secteur, » explique Fatma, « j'étais l'une des rares femmes au sein de l'équipe que j'ai rejointe. De nombreuses occasions de réseautage étaient également centrées sur les hommes, ce qui rendait difficile pour moi de m'intégrer, de rencontrer les bonnes personnes et de démontrer ma valeur ajoutée à l'entreprise. J'ai tenté de modifier cette dynamique en créant un espace plus inclusif.

Par exemple, lorsque je participais à des événements professionnels, je constatais que de nombreux stands adoptaient une approche promotionnelle pour attirer l'attention. En théorie, cela ne me dérangeait pas, mais j'étais souvent ignorée, car je ne correspondais manifestement pas au marché cible. Au début de ma carrière, j'étais responsable de l'organisation d'événements et je me suis promis que nous pouvions trouver des moyens plus inclusifs et plus intéressants d'attirer l'attention sur nos propres événements », explique-t-elle.

Fatemah et moi-même collaborons depuis longtemps, et elle a toujours encouragé l'inclusion et la diversité au sein de notre entreprise. Cela a toujours ouvert davantage de voies aux femmes pour rejoindre l'équipe, permettant ainsi la reconnaissance de contributions essentielles et le renforcement de l'équipe grâce à des approches, des perspectives et des parcours variés.

Fatima a déclaré : « Évidemment, personne ne souhaite être une femme symbolique. » « Cependant, le problème réside peut-être dans le fait que certaines équipes de direction moins diversifiées ont tendance à confier des postes de direction à des personnes qui leur ressemblent, avec lesquelles elles peuvent établir des liens personnels. Ces mêmes cadres peuvent bénéficier des contributions des femmes, basées sur leurs performances et leurs compétences, mais celles-ci ont souvent du mal à se faire remarquer.Elle ajoute que si l'on sensibilise les équipes de direction à la force que peut apporter la diversité (qui ne se limite pas au genre), elles sont généralement très disposées à ouvrir la voie et à commencer à promouvoir les femmes qui sont prêtes, disposées et capables de faire un excellent travail pour l'organisation. »

Flexibilité sur le lieu de travail : un élément essentiel pour la réussite.

Lorsque j'ai créé ma propre entreprise, j'ai rapidement compris que les meilleurs résultats étaient obtenus lorsque les membres de l'équipe disposaient d'une certaine marge de manœuvre. La flexibilité est importante pour tout le monde, mais les politiques favorables à la conciliation entre vie professionnelle et vie familiale contribuent à retenir les talents essentiels.

L'une des premières politiques mises en place ici est la « politique relative aux nourrissons au travail », qui permet aux nouvelles mères de reprendre le travail dès que possible, tout en bénéficiant de la flexibilité nécessaire pour prendre des rendez-vous et en amenant leur bébé au travail sans crainte d'être jugées.

Fatima a déclaré : « Je ne souhaite pas avoir à choisir entre mon rôle de mère et ma carrière professionnelle. Le fait de pouvoir emmener mon jeune fils au travail est une initiative très positive qui me fait me sentir soutenue et valorisée. » « Mes compétences ne disparaissent pas après l'accouchement. En tant que membre fondatrice d'une start-up, il est tout à fait normal de vouloir reprendre le travail ! »

Elle a même discuté avec ABC News des avantages du travail flexible :

Avez-vous une culture de mentorat florissante ?

Pour permettre à quiconque de démarrer une carrière prometteuse et de maintenir son élan, il est judicieux de trouver un mentor. Dans de nombreux domaines tels que les technologies de l'information, la cybersécurité et les secteurs à prédominance masculine, il existe un déséquilibre considérable entre les femmes et les hommes aux postes de direction, ce qui peut représenter un défi.

Bien qu'il soit important pour les femmes de se voir représentées à des postes de direction, les hommes peuvent également contribuer en promouvant les femmes talentueuses au sein de leur équipe et en les guidant autant que possible.

« Les équipes de direction peuvent avoir un impact considérable sur la diversité au sein d'une organisation et garantir que les femmes exceptionnelles bénéficient de la même reconnaissance et des mêmes opportunités de carrière que les autres. J'ai pu le constater chez Yvette Leggins, responsable de la cybersécurité chez Jetstar. Elle est une championne des femmes qui, grâce à sa réussite et à son travail acharné, a su rendre la pareille et aider d'autres femmes à prendre confiance en elles pour atteindre les plus hauts échelons », explique Fatma.

À l'heure actuelle, Secure Code Warrior vient de célébrer le cap des 100 employés. Je suis fier de dire que plus de 50 % de notre personnel est composé de femmes, et Fatemah est un modèle et un mentor exceptionnel pour toutes.

Toutes les entreprises peuvent trouver une force considérable dans la diversité de leurs équipes. Les opinions variées provenant de tous les horizons peuvent être l'élément clé nécessaire pour transformer une bonne idée en une excellente idée. Comme toujours, l'union fait la force.

Il existe une théorie largement répandue selon laquelle les cafards peuvent survivre dans pratiquement toutes les conditions, même à une explosion nucléaire. Bien que cette théorie soit en partie correcte, leur constitution physique simple les rend extrêmement résistants au froid et difficiles à éliminer dans la plupart des conditions.

J'ai souvent réfléchi à la question suivante : si les cafards présentaient une vulnérabilité similaire dans le monde numérique, ce serait sans doute une faille SQL Injection (SQLi) dans le code. Cette faille est connue depuis plus de vingt ans, mais les organisations continuent d'en être victimes. Les attaques contre des cibles spécifiques sont coûteuses et résultent souvent d'injections SQL, comme l'illustre l'exemple du piratage électoral dans l'Illinois, où 200 000 dossiers d'électeurs ont été compromis. Cela a conduit le FBI à recommander à tous les responsables informatiques de mettre en place des mesures de protection contre les injections SQL. Les attaques ciblées à grande échelle sont le résultat d'injections SQL, comme l'illustre le piratage électoral dans l'Illinois, où 200 000 dossiers d'électeurs ont été compromis, ce qui a incité le FBI à recommander à tous les administrateurs informatiques de prendre rapidement des mesures pour renforcer la sécurité.

Le rapport Hacker Intelligence Initiative d'Imperva révèle qu'entre 2005 et 2011, 83 % de toutes les violations de données signalées ont été causées par des attaques SQLi. Aujourd'hui, les vulnérabilités d'injection restent la première menace aux États-Unis selon le top 10 de l'OWASP. Elles sont relativement simples, mais elles persistent.

Il semble paradoxal que les mêmes vulnérabilités continuent d'apparaître dans un grand nombre d'analyses de sécurité des applications. Nous comprenons leur fonctionnement et savons comment les prévenir. Comment cela est-il possible ? En réalité, la sécurité de nos logiciels peut encore être considérablement améliorée.

Le rapport sur la sécurité des logiciels de Veracode, basé sur 400 000 analyses d'applications réalisées en 2017, révèle une statistique alarmante : seulement 30 % des applications respectent les dix principales politiques de l'OWASP. Au cours des cinq dernières années, ce thème est resté constant, près d'un tiers des nouvelles applications analysées présentant des injections SQL. Cela démontre qu'il s'agit d'un problème généralisé ;nous n'avons pas tiré les leçons de nos erreurs, et les responsables de la sécurité des systèmes d'information semblent rencontrer des difficultés pour recruter suffisamment de personnel spécialisé dans la sécurité. En général, le ratio entre les experts en sécurité des applications et les développeurs est inférieur à 1 pour 100.

Pourquoi la sécurité logicielle est-elle vitale ?

La pénurie de professionnels de la sécurité n'est plus un secret, mais nous devons également tenir compte du fait que les développeurs ne corrigent pas les problèmes lorsqu'ils surviennent et qu'ils ne sont manifestement pas en mesure d'éviter les vulnérabilités dès le départ. Le même rapport Veracode révèle que, sur l'ensemble des vulnérabilités de développement, seules 14,4 % des mesures d'atténuation ont été documentées. En d'autres termes,la plupart des vulnérabilités sont soumises sans qu'aucune mesure d'atténuation n'ait été développée. Moins d'un tiers des vulnérabilités sont corrigées dans les 90 premiers jours, et 42 % des vulnérabilités ne sont jamais corrigées pendant le développement.

J'ai eu l'occasion de m'entretenir avec des professionnels de la sécurité, des responsables de la sécurité des systèmes d'information et des PDG. Il est intéressant de noter que j'ai constaté que de nombreuses entreprises sont tellement découragées par les vulnérabilités non corrigées détectées (ainsi que par le problème des fausses alertes) qu'elles ont complètement cessé de les analyser, préférant croiser les doigts et espérer que tout se passera pour le mieux.

Pourquoi les professionnels de la sécurité des applications ont-ils permis que cela se produise ?

Il ne fait aucun doute que les professionnels de la sécurité des applications sont pleinement conscients des problèmes liés au code. Après tout, c'est l'une de leurs compétences clés qui les rend si précieux au sein de leur équipe. Cependant, ils sont souvent confrontés à divers obstacles.

Par exemple, un responsable AppSec peut identifier un problème et demander au développeur : « Pouvez-vous corriger le code ? ». La réponse à cette question importante varie d'une organisation à l'autre, mais en général, les développeurs sont tellement occupés à respecter des délais de livraison stricts qu'ils n'ont tout simplement pas le temps de résoudre ces problèmes, ni les outils adéquats pour les aider. Les professionnels AppSec peuvent eux-mêmes identifier les vulnérabilités, mais ils ne disposent généralement pas des compétences et/ou des autorisations nécessaires pour les corriger sur le terrain.

Nous devons également reconnaître que chaque problème nécessite un processus pour trouver une solution, la mettre en œuvre et la tester.le mettre en œuvre, puis le tester. Même le plus petit problème détecté dans le code nécessite un temps considérable pour être corrigé, sans parler des ressources nécessaires. Plus de 700 vulnérabilités peuvent être introduites dans un logiciel, et il est tout simplement impossible pour quiconque de se prémunir contre toutes ces vulnérabilités. C'est précisément pour cette raison que la plupart des entreprises s'en tiennent à se concentrer uniquement sur le top 10 de l'OWASP. Parallèlement, les développeurs continuent de créer des fonctionnalités, ce qui les amène à introduire sans cesse des vulnérabilités dans le code qu'ils écrivent.

Quelle est la solution ?

Le fait est que nous ne fournissons pas aux développeurs les outils et la formation nécessaires pour réussir à coder de manière sécurisée. Aucune réglementation n'oblige les organisations à s'assurer que leurs développeurs possèdent les compétences suffisantes en matière de sécurité. La triste réalité est que la plupart des universités et des organismes de formation ne préparent pas non plus les développeurs débutants au codage sécurisé.

Lorsqu'une personne souhaite piloter un avion, elle doit suivre un processus très strict qui garantit qu'elle a reçu une formation, acquis de l'expérience pratique, passé un examen médical, acquis des connaissances en matière de sécurité et subi des contrôles avant de pouvoir voler. Personne n'oserait imaginer qu'une telle personne puisse être laissée sans surveillance sans avoir suivi une préparation aussi complète et sans avoir fait l'objet d'une vérification de ses compétences, mais c'est pourtant ce qui se produit quotidiennement dans le domaine de la programmation.

Nous devons consacrer du temps à former les développeurs à la rédaction de code sécurisé. Cependant, dans le monde actuel, où le développement logiciel évolue rapidement et où les développeurs et les professionnels de la sécurité compétents sont en demande, cela ne semble jamais être une priorité. Il est temps de changer la donne.

Les dernières actualités proviennent du Forum économique mondial, qui affirme : « Il n'y a pas d'économie numérique sans sécurité ». Le contenu qui accompagne cette déclaration soutient que la sécurité doit être au cœur de toute stratégie de transformation numérique. « La sécurité est essentielle pour protéger les entreprises, leur permettre d'innover et de développer de nouveaux produits et services. Au-delà de son rôle défensif, la sécurité offre également aux entreprises un avantage stratégique en termes de croissance. »

L'amélioration des compétences et des résultats en matière de codage sécurisé permettra aux organisations de bénéficier d'une solide couche de protection réseau et les aidera à créer un code de meilleure qualité et plus rapide. Les développeurs n'ont pas besoin de devenir des experts en sécurité, mais ils doivent acquérir des compétences actives et pratiques pour constituer la première ligne de défense contre les cyberattaques. Les développeurs peuvent devenir les prochains héros de la sécurité et de l'innovation. Ce sont des personnes très intelligentes, des solutionneurs créatifs et généralement désireux de développer leurs compétences. Ils peuvent tirer parti de leurs atouts grâce à une formation professionnelle appropriée et s'engager à respecter des normes de sécurité logicielle plus élevées. Veuillez consulter notre livre blanc pour en savoir plus.

Lorsqu'une personne souhaite piloter un avion, elle doit suivre un processus très strict qui garantit qu'elle a reçu une formation, acquis de l'expérience pratique, passé un examen médical, acquis des connaissances en matière de sécurité et subi des contrôles avant de pouvoir voler. Personne n'oserait imaginer qu'une telle personne puisse être laissée sans surveillance sans avoir suivi une préparation aussi complète et sans avoir fait l'objet d'une vérification de ses compétences, mais c'est pourtant ce qui se produit quotidiennement dans le domaine de la programmation.

La culture populaire fait souvent référence aux IA et aux robots malveillants, ainsi qu'aux appareils électriques qui prennent le contrôle de leurs hôtes humains. Cela relève du domaine de la science-fiction et de l'imaginaire, mais avec la généralisation de l'Internet des objets et des appareils connectés dans nos foyers, les discussions sur la cybersécurité et la sécurité doivent également s'intensifier. Les logiciels sont omniprésents, et il est facile d'oublier à quel point nous dépendons de quelques lignes de code pour accomplir toutes ces tâches ingénieuses qui nous apportent tant d'innovations et de commodités. Tout comme les logiciels basés sur le Web et les appareils mobiles, si un attaquant découvre du code vulnérable dans un système embarqué, il peut l'exploiter.les API et les appareils mobiles, si un attaquant découvre du code vulnérable dans un système embarqué, il l'exploitera.

Bien qu'il soit peu probable que des armées de robots viennent asservir l'humanité (cependant, les robots Tesla sont quelque peu préoccupants), des cyberattaques malveillantes restent possibles. Certaines de nos voitures, avions et équipements médicaux dépendent encore de codes informatiques embarqués complexes pour exécuter des tâches critiques. La possibilité que ces objets soient piratés est non seulement alarmante, mais peut également mettre des vies en danger.

Comme pour tous les autres types de logiciels, les développeurs sont les premiers à interagir avec le code, dès le début de la phase de création. Comme pour tous les autres types de logiciels, cela peut constituer un terrain propice aux vulnérabilités courantes potentielles, qui peuvent ne pas être détectées avant la mise en service du produit.

Les développeurs ne sont pas des experts en sécurité, et aucune entreprise ne devrait attendre d'eux qu'ils jouent ce rôle. Cependant, ils peuvent disposer d'un arsenal plus puissant pour faire face aux menaces qui les concernent. À mesure que nos besoins technologiques évoluent, les systèmes embarqués (généralement écrits en C et C++) seront de plus en plus utilisés. Il est donc essentiel que les développeurs reçoivent une formation spécialisée en sécurité sur les outils utilisés dans cet environnement.

Des friteuses à air chaud qui explosent, des véhicules volés... Allons-nous rester les bras croisés ?

Bien qu'il existe des normes et des réglementations entourant tous les aspects de la sécurité informatique, il est nécessaire de réaliser des progrès plus précis et significatifs dans tous les domaines de la sécurité logicielle afin de garantir notre sécurité. Il peut sembler improbable d'envisager un problème causé par le piratage d'une friteuse à air chaud, mais cela s'est produit sous la forme d'une attaque par exécution de code à distance (permettant à un acteur malveillant d'élever la température à un niveau dangereux), tout comme une faille permettant la prise de contrôle d'un véhicule.

Les véhicules, en particulier, sont extrêmement complexes et intègrent de nombreux systèmes embarqués, chacun étant responsable de microfonctions. Des essuie-glaces automatiques aux fonctions du moteur et des freins,tout y est. Les véhicules connectés, associés à des technologies de communication de plus en plus nombreuses (telles que le Wi-Fi, le Bluetooth et le GPS), représentent une infrastructure numérique complexe exposée à de multiples vecteurs d'attaque. D'ici 2023, on prévoit que 76,3 millions de véhicules connectés circuleront dans le monde, ce quiconstitue une base solide pour une véritable sécurité.

MISRA est une organisation clé qui s'occupe activement des menaces pesant sur les systèmes embarqués. Elle a élaboré des lignes directrices visant à promouvoir la sécurité, la fiabilité, la portabilité et la confiance dans le code des environnements de systèmes embarqués. Ces lignes directrices constituent la norme à laquelle chaque entreprise doit s'efforcer de se conformer dans ses projets de systèmes embarqués.

Cependant, pour créer et exécuter du code conforme à cette norme d'excellence, il faut des ingénieurs en systèmes embarqués qui aient confiance dans leurs outils (sans parler de leur conscience de la sécurité).

Pourquoi l'amélioration des compétences en matière de sécurité des systèmes embarqués est-elle si spécifique ?

Selon les normes actuelles, les langages de programmation C et C++ sont considérés comme obsolètes, mais ils restent largement utilisés. Ils constituent le cœur fonctionnel des bibliothèques de codes des systèmes embarqués, et le C/C++ embarqué continue de jouer un rôle important dans le monde des appareils connectés.

Bien que ces langages aient des origines assez anciennes et présentent des vulnérabilités similaires en termes de problèmes courants tels que les injections de bogues et les débordements de tampon, pour que les développeurs parviennent réellement à atténuer les failles de sécurité dans les systèmes embarqués, ils doivent acquérir une expérience pratique du code qui imite leur environnement de travail. Une formation générique au langage C dans le cadre des pratiques de sécurité générales n'est tout simplement pas aussi efficace et mémorable que le temps passé à travailler dans un environnement C embarqué.

Étant donné que les véhicules modernes contiennent entre une dizaine et plus d'une centaine de systèmes embarqués, il est impératif de former les développeurs de manière précise afin qu'ils sachent où rechercher les informations dans l'IDE et comment les corriger.

La protection des systèmes embarqués à partir de la base est la responsabilité de chacun.

La situation actuelle dans de nombreuses organisations est telle que la vitesse de développement prime sur la sécurité, du moins en ce qui concerne les responsabilités des développeurs. Ils sont rarement évalués en fonction de leur capacité à produire un code sécurisé, mais plutôt sur leur capacité à développer rapidement des fonctionnalités exceptionnelles, ce qui est considéré comme la norme. La demande en logiciels ne fera qu'augmenter, mais cette culture nous prédispose à des échecs dans la défense contre les vulnérabilités et les cyberattaques qu'elles permettent.

Si les développeurs n'ont pas reçu de formation, ce n'est pas de leur faute. Un membre de l'équipe AppSec doit contribuer à combler cette lacune en recommandant à l'ensemble de la communauté des développeurs des programmes de perfectionnement des compétences appropriés, accessibles et évaluables. Dès le début d'un projet de développement logiciel, la sécurité doit être une priorité absolue, et chacun, en particulier les développeurs, doit prendre en compte le rôle qu'il doit jouer.

Expérience personnelle des problèmes de sécurité des systèmes embarqués

Les débordements de tampon, les vulnérabilités d'injection et les erreurs de logique métier constituent des pièges courants dans le développement des systèmes embarqués. Lorsqu'ils sont profondément enfouis dans le labyrinthe des microcontrôleurs d'un véhicule ou d'un appareil unique, cela peut s'avérer catastrophique du point de vue de la sécurité.

Les débordements de tampon sont particulièrement courants. Si vous souhaitez en savoir plus sur la manière dont ils peuvent compromettre la friteuse à air chaud dont nous avons parlé précédemment (en permettant l'exécution de code à distance), veuillez consulter ce rapport sur CVE-2020-28592.

Il est temps de découvrir par vous-même ce qu'est une véritable vulnérabilité de type « buffer overflow » dans du code C/C++ embarqué. Relevez ce défi et voyez si vous pouvez trouver, identifier et corriger le mauvais modèle de codage à l'origine de cette erreur insidieuse :

. Comment vous en sortez-vous ? Visitez www.securecodewarrior.com pour une formation précise et efficace sur la sécurité des systèmes embarqués.

Cet article a été initialement publié sur Devops.com. Il a été mis à jour et modifié.

Tout comme les termes « blockchain », « big data » et « disruption numérique », le terme « DevOps » est un autre mot à la mode actuellement utilisé par les services informatiques des grandes organisations.

De nombreuses personnes ont déjà pris conscience (à juste titre) de la nécessité d'accélérer le cycle de vie du développement logiciel, d'adopter un processus plus précis, étroitement lié aux objectifs commerciaux, afin de clarifier les flux de travail et la collaboration entre les équipes de développement et d'exploitation. Le DevOps est essentiellement un développement « agile », dans lequel tous les développeurs évoluent et sont prêts à répondre aux besoins d'innovation et de déploiement rapide des entreprises modernes. Pour les professionnels de la sécurité, il s'agit d'une initiative remarquable : nous pouvons intégrer la sécurité plus tôt dans le processus, ce qui réduit le coût de la correction des erreurs et évite des catastrophes potentielles.

Le problème est que peu d'entreprises parviennent réellement à mettre en œuvre avec succès le DevOps. Sans le soutien, la formation et la compréhension appropriés de l'ensemble de l'entreprise, cela peut rapidement devenir un projet coûteux et inefficace... Vous savez, l'un de ces projets dont on préfère ne pas parler.

Alors, quel est le problème ? Il s'agit d'une discussion intéressante, et je suis convaincu qu'il existe plusieurs approches pour mettre en œuvre DevOps qui faciliteront le processus. Une planification efficace ne se résume pas à de nouveaux outils sophistiqués, à des titres prestigieux et à des réunions d'équipe. Cela n'est pas toujours facile, mais à long terme, il est préférable de consacrer du temps à corriger une stratégie inefficace (ou à la mettre en œuvre correctement dès le départ). En fin de compte, cela permettra d'obtenir des logiciels de meilleure qualité et plus sécurisés.

Permettez-nous de décomposer cela :

Veuillez relâcher le cordon du tablier « Agile ».

Il existe une idée fausse selon laquelle les organisations doivent choisir entre l'agilité et DevOps, s'engager dans une voie ou dans l'autre, sans jamais revenir en arrière.

Le problème est que le processus de développement fonctionne le mieux lorsqu'il est envisagé et mis en œuvre comme un tout. DevOps n' est pas une refonte du développement agile ; il s'agit plutôt d'une extension du développement agile. Lorsque les gens s'attendent à ce que le processus change, les rouages ont tendance à se désolidariser, soit en devenant complètement agiles, soit en s'éloignant complètement de l'agilité.

L'agilité soutient le principe des équipes interfonctionnelles, réunissant dès le début les concepteurs, les testeurs et les développeurs, et s'engageant à maintenir des canaux de communication ouverts tout au long du projet. L'objectif est de mettre fin aux livraisons isolées et de réduire les doublons, deux avantages du processus DevOps. Cependant, DevOps va plus loin en intégrant les systèmes, la sécurité et les opérations afin d'offrir un ensemble de compétences de bout en bout, avec pour objectif final de fournir aux clients un logiciel pleinement fonctionnel.

Dans le cadre de la transition inévitable vers un processus davantage axé sur DevOps, le risque d'un développement isolé peut réapparaître. Il est généralement possible de faire collaborer l'équipe agile initiale, tandis que les nouveaux membres des équipes de sécurité et d'exploitation continuent de trouver leur place dans le système informatique. Cependant, personne ne sait exactement comment les inclure, quelles tâches leur attribuer et quels sont leurs objectifs généraux.

Sans objectifs clairs, une intégration interfonctionnelle et une communication directe avec toutes les parties prenantes, DevOps ne peut fonctionner. Bien sûr, il y aura une période d'ajustement qui nécessitera une gestion minutieuse du changement, mais parvenir à un consensus sur les améliorations apportées par les fonctionnalités DevOps représente la moitié du chemin vers la réussite.

Heureusement, DevOps accorde également une importance croissante aux meilleures pratiques en matière de sécurité, en les intégrant dans ses processus, en démystifiant cette étape et en comblant le fossé entre les équipes de sécurité et les autres. Comme je l'ai mentionné précédemment, nous avons encore un long chemin à parcourir pour doter les développeurs de compétences en matière de codage sécurisé dès le début, mais la mise en œuvre réussie de l'approche DevOps constitue une excellente base pour développer les compétences en matière de sécurité au sein des équipes de développement.

L'automatisation n'est pas la solution à tout (et n'est pas non plus la plus sûre).

Dans une certaine mesure, une autre caractéristique de l'approche DevOps est l'automatisation du processus de développement logiciel. Le principe de l'intégration continue et de la livraison continue (CI/CD) est la pierre angulaire de ce concept et, comme vous pouvez le deviner, il repose fortement sur les outils. Les outils d'

s sont remarquables, c'est certain. Ils peuvent apporter une vitesse sans précédent au processus de livraison de logiciels, en gérant de manière relativement transparente les éléments de stockage, de test, de maintenance et de référentiel de code.

Cependant, même si un jour les robots pourraient nous priver de tous nos emplois et nous emprisonner, ce n'est certainement pas encore le cas. Une dépendance excessive aux outils et à l'automatisation ouvre la porte à des erreurs. Les analyses et les tests peuvent ne pas détecter tout, le code peut ne pas être vérifié, ce qui pose d'énormes problèmes de qualité (sans parler de sécurité). Il suffit d'une seule porte dérobée pour qu'un attaquant puisse exploiter et voler des données, et renoncer à l'intervention humaine dans les contrôles de qualité et de sécurité peut avoir des conséquences désastreuses.

Le « point d'équilibre » est un outil permettant d'assurer l'équilibre entre les personnes. Cet outil doit servir d'assistant à votre équipe de confiance afin d'atteindre les objectifs du projet. Vous devez :

• Veuillez prévoir suffisamment de temps pour permettre aux personnes concernées de se familiariser avec la chaîne d'outils DevOps sélectionnée.
• Se concentrer sur une collaboration efficace (et sur la manière dont les outils peuvent la faciliter)
• Combler toutes les lacunes dans le processus, qu'elles soient liées aux compétences/connaissances ou aux outils.

En résumé, il ne suffit pas de se dire « reprenez courage » et d'espérer obtenir le meilleur résultat possible.

DevOps n'est pas un mot à la mode, mais une culture. Êtes-vous en train de vous développer ?

Même dans les meilleures conditions, la gestion du changement peut s'avérer difficile. La crainte de l'inconnu peut empêcher même les membres les plus talentueux de l'équipe de développer leurs compétences et d'élargir leurs horizons.

Vous voyez, il ne suffit pas de dire « Passons au DevOps » et de demander à l'équipe opérationnelle de déménager ses bureaux pour que le processus fonctionne comme par magie. Beaucoup de gens seront déconcertés et les membres de l'équipe en poste depuis longtemps seront mécontents. Une communication claire est essentielle, tout comme le fait de « montrer l'exemple ». Le DevOps est à la fois une méthode de développement et un mouvement culturel que l'équipe doit vivre et respirer dans un esprit de collaboration interfonctionnelle.

À quoi ressemble une excellente culture DevOps ?

• Les individus ont le droit d'apporter leur expertise au processus, et pas seulement les dirigeants.
• Communication ouverte, honnête et respectueuse entre les équipes
• Chaque individu est responsable de l'intégration de la qualité et de la sécurité dans l'objectif global du processus de développement.
• Tout le monde s'accorde sur la définition du DevOps dans l'entreprise, la feuille de route et le rôle, le contenu et les raisons de chacun.

Depuis plusieurs années, j'insiste sur l'importance de développer une culture de sécurité proactive au sein des équipes de développement, et DevOps ne fait pas exception.

Les outils, les connaissances et le soutien appropriés sont essentiels pour mettre en œuvre les meilleures pratiques en matière de sécurité, réduire le nombre de vulnérabilités détectées et sensibiliser les équipes à l'importance de la protection des données. Avec DevOps, il est nécessaire de créer une culture propice au changement positif : veiller à ce que chacun comprenne son rôle, sa valeur et ses attentes, ainsi que les objectifs généraux du projet et les étapes du processus.

Avez-vous acquis ces connaissances ? C'est remarquable. Maintenant, concentrons-nous sur l'amélioration de la sécurité et faisons de DevSecOps le plan ultime pour créer des logiciels d'excellence.

Ennui, ennui, ennui ! C'est l'une des principales réactions que vous entendrez de la part des développeurs chaque fois que vous évoquerez la formation au code sécurisé. Chez Secure Code Warriorestimons qu'il doit exister une meilleure approche. C'est pourquoi nous avons collaboré avec Evans Data Corp. afin de mener une étude préliminaire sur l'attitude des développeurs vis-à-vis du codage sécurisé, des pratiques de code sécurisé et des opérations sécurisées (téléchargez votre exemplaire du livre blanc). Ici).

Dans la prochaine version , « De la réaction à la prévention : l'évolution de la sécurité des applications »,les développeurs ont été interrogés sur les principaux problèmes rencontrés dans leur formation actuelle au code de sécurité. Les réponses sont très instructives.

Formation décevante pour les développeurs

40 % des développeurs interrogés estiment que la sécurité du code est enseignée de manière abstraite. 40 % considèrent que la formation est trop théorique, sans rapport avec leur travail et insuffisamment pratique. 30 % estiment que le cadre linguistique qu'ils utilisent quotidiennement manque de formation. Cela est préoccupant, car cela indique que la formation actuelle en matière de sécurité du code est hors contexte et n'a aucun rapport significatif avec le travail quotidien des développeurs.

Pour de nombreux développeurs, le principal défi consiste à rester vigilant dans le cadre d'activités monotones et peu motivantes, qui ne sont ni efficaces ni susceptibles de les inciter à accorder la priorité à la sécurité.

Une formation en milieu isolé empêche les développeurs d'établir un lien cognitif entre le laboratoire et le monde réel.

Les développeurs souhaitent acquérir trois éléments grâce à la formation sur la sécurité du code :

1. La grande majorité des développeurs ont indiqué qu'ils souhaitaient une formation plus pratique, plus en phase avec leur travail quotidien.
2. 65 % des développeurs indiquent avoir besoin de plus de formation sur les vulnérabilités spécifiques aux langages et sur le top 10 de l'OWASP.
3. 75 % des développeurs interrogés préfèrent une formation structurée en cours d'emploi.

Formation visant à renforcer les capacités des développeurs

En matière de formation en cours d'emploi, les développeurs apportent un certain niveau d'expérience et de connaissances existantes. Cela indique la nécessité d'un apprentissage « échafaudé ». Il s'agit d'une formation structurée (ou échafaudée) qui vise à s'appuyer sur les connaissances déjà acquises par les développeurs. L'enseignement échafaudé permet à la fois d'activer et de renforcer toute expérience antérieure, tout en continuant à développer progressivement de nouvelles compétences. Cela en fait un moyen idéal pour l'apprentissage en cours d'emploi.

Enseigner la persévérance

En matière de formation à la sécurité des développeurs, nous comprenons que les développeurs préfèrent apprendre par la pratique plutôt que par un apprentissage théorique statique et fastidieux. En ce sens, il est essentiel d'apprendre à programmer en toute sécurité dans un contexte hautement pertinent. En tant que promoteur de la transformation du codage sécurisé,Secure Code Warrior propose une formation pratique et contextualisée dans les langages et les frameworks de programmation pertinents, avec des défis qui reproduisent ceux auxquels les développeurs sont confrontés dans le monde réel. Le contenu pédagogique comprend plus de 5 500 défis et tâches couvrant plus de 147 types de vulnérabilités différentes, dont les 10 principales vulnérabilités OWASP, les 10 principales vulnérabilités OWASP Mobile, les 10 principales vulnérabilités OWASP API et les 25 principales vulnérabilités CWE/SANS.

Si vous souhaitez en savoir plus sur l'impact potentiel sur votre équipe et sa capacité à fournir plus rapidement un code sécurisé, Veuillez réserver une démonstration dès maintenant. dès maintenant.

Partout dans le monde, les entreprises sont en pleine transformation. Compte tenu de l'importance accordée aux activités numériques, il est juste de dire que la plupart des organisations sont en réalité des éditeurs de logiciels. Les grandes entreprises comptent parmi leurs employés d'importantes équipes de développement chargées de développer et de déployer en permanence des fonctionnalités dans un environnement DevOps agile. La fourniture de ces fonctionnalités doit suivre le rythme de l'innovation et répondre aux attentes des clients, de sorte que la sécurité est souvent considérée comme un obstacle plutôt que comme une nécessité.Cependant, étant donné que notre dépendance vis-à-vis des logiciels atteint des niveaux sans précédent (et que nous sommes donc confrontés à des vulnérabilités et des risques potentiels en matière de cybersécurité), cette situation ne peut perdurer.

La taille de l'équipe de sécurité n'a pas augmenté, et même si cela était possible, l'expertise requise serait insuffisante. Un ratio supérieur à 1:100 est tout simplement insuffisant ; les experts en sécurité spécialisés ne peuvent être considérés comme la seule solution aux menaces informatiques.

Notre webinaire, animé par Stephen Allor, directeur de Security Code Warriors (Amériques), et Lars Wolf, directeur de la cybersécurité chez Capital One, a permis d'approfondir les défis actuels liés au DevOps et les mesures prises par des institutions financières telles que Capital One pour attirer des équipes de développement et améliorer leurs compétences en matière de codage sécurisé, afin de favoriser efficacement une culture de la sécurité proactive et de réussir la transition vers la gauche.

Vous constaterez que :

• Si vous êtes une personne peu informée en matière de sécurité
• Pourquoi la sécurité était-elle plus forte il y a plusieurs décennies qu'aujourd'hui ?
• L'approche traditionnelle consistant à considérer la sécurité des applications comme une simple case à cocher en matière de conformité, et pourquoi cela ne peut être considéré que comme superficiel.
• L'évaluation de la qualité des applications doit inclure la sécurité dans ses critères de référence ; une application non sécurisée ne peut être considérée comme de haute qualité, quelles que soient sa conception ou ses fonctionnalités.
• Pourquoi la sécurité logicielle n'est-elle pas encore intégrée dans la mentalité et la culture des développeurs ordinaires (et pourquoi cela doit changer)
• Comment le manque de partage des compétences en matière de codage sécurisé peut entraîner la réapparition répétée des mêmes vulnérabilités
• Pourquoi les outils d'analyse des applications ne détectent-ils pas toutes les vulnérabilités, et pourquoi est-il plus judicieux de contourner ces vulnérabilités en faisant appel à des ingénieurs/développeurs en sécurité dûment formés ?
• Le problème croissant des vulnérabilités logicielles et ses causes profondes
• Pour réduire réellement les risques, il est nécessaire de modifier les méthodes, et non pas les étudiants.
• Pourquoi la plupart des formations en sécurité ne parviennent pas à exploiter les atouts des développeurs, et quelle formation doivent-ils suivre pour se démarquer ?
• Les raisons pour lesquelles la conformité et l'établissement des attentes en matière d'ingénierie logicielle sont à la traîne par rapport aux autres branches de l'ingénierie, et comment nous pouvons créer des solutions.
• Comment Ras Wolf et son équipe chez Capital One ont conçu un programme de certification autour d'une formation ludique et intéressante afin de maintenir l'engagement des développeurs, d'apprendre le code source du monde réel et d'atteindre les normes de sécurité optimales.
• Comment ce programme de certification favorise-t-il la participation, la rétention des informations et l'apprentissage continu ?
• Comment les mesures incitatives peuvent-elles aider les développeurs à atteindre les niveaux de formation requis, à améliorer rapidement leurs compétences et à se conformer aux politiques de sécurité essentielles ?
• Évaluer comment aider à identifier les agents de sécurité et améliorer la participation à la formation.

Nous vous invitons à visionner notre webinairepour découvrir les avantages du « left shift » et fournir aux développeurs les outils et les connaissances nécessaires pour coder de manière sécurisée dès le début, en mettant l'accent sur les pratiques de sécurité proactives.

Comprendre les mesures prises par des institutions financières telles que Capital One pour attirer les équipes de développement et améliorer leurs compétences en matière de codage sécurisé, afin de cultiver efficacement une culture de sécurité proactive et de réussir la transition vers la gauche.

L'augmentation du nombre et de la complexité des cyberattaques a entraîné des changements dans tous les domaines et tous les secteurs à l'échelle mondiale. Chacun s'efforce de « se déplacer vers la gauche », c'est-à-dire d'intégrer la sécurité dès le début dans tous les processus et toutes les procédures. Cette situation a même donné lieu à de nouveaux mouvements visant à améliorer la défense des réseaux , tels que DevSecOps,où la sécurité est intégrée dans la structure de création de nouveaux logiciels et applications.

La plupart de ces changements reposent sur les épaules de la communauté des développeurs. Étant donné qu'ils sont les créateurs, les programmeurs et les rédacteurs de nouveaux logiciels et applications, il semble judicieux de leur demander d'adopter des pratiques de codage plus sécurisées. Après tout, on ne peut pas aller plus loin à gauche que lors de la création initiale d'une nouvelle application.

Cependant, quelle est la position de la communauté des développeurs vis-à-vis de cette responsabilité ? Traditionnellement, les développeurs sont évalués presque exclusivement en fonction de leur rapidité à écrire du code. Comment perçoivent-ils aujourd'hui leur nouveau rôle de défenseurs de la sécurité ? Est-ce qu'ils ont le sentiment que la direction de leur entreprise soutient ces efforts par le biais de formations de qualité, de récompenses plus importantes et de la reconnaissance qu'ils méritent pour assumer cette nouvelle responsabilité cruciale ?

Pour la deuxième année consécutive, nous avons collaboré avec Evans Data Corp. afin de mener une enquête approfondie auprès de la communauté mondiale des développeurs. Cette enquête portait sur les compétences, les connaissances et les comportements en matière de pratiques de codage sécurisé, ainsi que sur leur impact et leur pertinence perçus dans le cycle de vie du développement logiciel (SDLC). Les résultats sont surprenants à bien des égards.

Enquête 2022 sur la sécurité axée sur les développeurs

Evans Data Corp a mené une enquête sur la sécurité axée sur les développeurs, intitulée « Security Code Warriors », en décembre 2021. Elle a interrogé 1 200 développeurs de logiciels actifs travaillant dans la région Asie-Pacifique, en Europe et en Amérique du Nord sur des questions relatives au codage de logiciels, à la sensibilisation à la sécurité, à la formation, au soutien, à la motivation et à d'autres sujets. L'enquête était disponible en anglais et a été traduite si nécessaire afin d'obtenir une perspective mondiale précise. Les personnes interrogées comprenaient des développeurs créant de nouvelles applications et des responsables au sein de la communauté des développeurs.formation, le soutien, la motivation et d'autres questions. L'enquête était disponible en anglais et a été traduite lorsque nécessaire afin d'obtenir une perspective mondiale précise. Les personnes interrogées comprenaient des développeurs créant de nouvelles applications ainsi que des responsables au sein de la communauté des développeurs.

Quelques découvertes surprenantes

Le livre blanc détaillé (Les défis (et opportunités) liés à l'amélioration de la sécurité des logiciels) et le rapport (État de la sécurité axée sur les développeurs en 2022) approfondiront tous les aspects de l'enquête et seront publiés le lundi 11 avril. Le livre blanc comprend notre analyse des résultats de l'enquête et des préoccupations soulevées par la communauté concernant les pratiques de codage sécurisé, et fournit aux organisations des recommandations pour aider leurs équipes de développement à améliorer la sécurité des logiciels.

Certaines de ces difficultés peuvent susciter des interrogations chez toute personne travaillant avec des développeurs au sein d'une organisation ou au sein de la communauté des développeurs, et c'est effectivement le cas.

Par exemple, seulement 14 % des personnes interrogées considèrent actuellement la sécurité des applications comme une priorité absolue. En revanche, les indicateurs plus traditionnels tels que les performances des applications et la priorité accordée aux caractéristiques et fonctionnalités restent leur principale préoccupation.

La priorité accordée à la sécurité est si faible que 67 % des développeurs interrogés admettent laisser fréquemment des vulnérabilités et des failles connues dans leur code. Ils agissent ainsi soit parce que les délais sont serrés et qu'ils privilégient les fonctionnalités au détriment de la sécurité, soit parce qu'ils ne disposent pas de la formation ou des connaissances nécessaires pour corriger les problèmes de sécurité.

Dans de nombreux cas, les développeurs indiquent que leur organisation n'a pas défini ce qui constitue un code sécurisé et ne fournit pas suffisamment de formation ou de soutien pour remédier à cette situation.

Cependant, malgré certaines constatations négatives, il est évident que les mentalités évoluent. La grande majorité des développeurs (66 %) prévoient que la sécurité deviendra une priorité plus importante au cours des 12 à 18 prochains mois, tandis que 82 % des responsables du recrutement interrogés se disent intéressés par l'embauche de développeurs ayant des connaissances en sécurité plutôt que de développeurs sans ces connaissances.

Bien que les résultats de l'enquête montrent clairement que la communauté des développeurs et les organisations qui collaborent avec eux sont confrontées à des changements considérables, il est réjouissant de constater que des plans à court et à long terme se mettent rapidement en place.

Veuillez rester à l'écoute pour obtenir le livre blanc et le rapport détaillant les résultats complets de l'enquête, ainsi que les commentaires des experts sur les défis actuels liés aux pratiques de codage sécurisé et les opportunités que les organisations peuvent saisir pour améliorer les compétences des développeurs en matière de sécurité et, par conséquent, la sécurité des logiciels.

Veuillez consulter les champions du code de sécurité Le blog fournit des informations supplémentaires sur la cybersécurité et les menaces croissantes, et explique comment utiliser des technologies innovantes et des formations pour mieux protéger votre organisation et vos clients.

‍

Au cours des dernières années, de nombreux éléments ont été sacrifiés sur l'autel de la mise sur le marché rapide, tels que la cybersécurité, des téraoctets de données clients sensibles et la réputation inestimable des marques. La pression considérable pour accélérer la mise sur le marché de nouvelles fonctionnalités et capacités a conduit des équipes complexes et dispersées à se concentrer sur le développement rapide, sans vraiment se rendre compte des vulnérabilités ou des risques considérables qu'elles pouvaient créer. Plus que jamais, une nouvelle façon de travailler s'impose. C'est pourquoi, en 2020, Secure Code Warrior s'est associé à Evans Data Corporation pour mener une étude préliminaire* sur les attitudes des développeurs et de leurs responsables à l'égard du codage sécurisé, des pratiques de code sécurisé et des opérations sécurisées (téléchargez votre exemplaire du livre blanc). Ici).

Indicateurs de performance clés pour la réussite du projet : où se situe la sécurité ?

Les développeurs et les responsables considèrent que la sécurité du code est importante, mais pas autant que d'autres facteurs. Lorsque nous avons interrogé les développeurs et les responsables sur les priorités les plus importantes dans le processus de développement logiciel :

• 76 % des performances des applications de nomination
• 62 % ont sélectionné les caractéristiques et les fonctionnalités.
• Il existe également un code de sécurité sélectionné légèrement supérieur à 50 %.
  

Par rapport aux autres indicateurs de performance utilisés pour mesurer la réussite des projets, la sécurité du codage n'occupe actuellement que la troisième place.

À l'heure actuelle (ce qui n'est peut-être pas surprenant), les développeurs évaluent la réussite d'un projet en fonction d'indicateurs de performance qui ne peuvent être évalués qu'une fois le projet terminé.

Cependant, lorsqu'on leur demande comment l'avenir pourrait évoluer, la situation change radicalement. La manière dont les organisations utilisent la sécurité comme indicateur de réussite est en train de changer. Le codage sécurisé est devenu une priorité absolue.

Interrogés sur les priorités les plus importantes pour mesurer le succès des projets futurs, 79 % des répondants ont déclaré que la sécurité du code allait gagner en importance. Il est intéressant de noter qu'une proportion plus importante de personnes considèrent que la sécurité va gagner en importance à l'avenir par rapport à tout autre indicateur de performance. La sensibilisation à la sécurité du code s'améliore et le mouvement « Shift Left » (déplacement vers la gauche) continue de gagner du terrain. Par nature, la pratique de la sécurité du code implique de prendre en compte la sécurité dès les premières étapes du cycle de vie du développement logiciel (SDLC).Cela implique d'intégrer activement la sécurité dans le logiciel dès le début, plutôt que de la laisser pour plus tard.

Alors que les directeurs informatiques s'efforcent d'améliorer la flexibilité organisationnelle, les compétences en matière de codage sécurisé deviendront un outil d'innovation essentiel. Les directeurs informatiques et les responsables de la sécurité des systèmes d'information doivent déterminer si leurs équipes de développement constituent la première ligne de risque ou la première ligne de défense.

Cette perspective a une incidence significative sur la manière dont les organisations forment leurs développeurs. Les équipes doivent être informées des vulnérabilités récemment découvertes et apprendre à les identifier dans leur propre langage/cadre. En résumé, elles doivent savoir comment localiser, identifier et corriger les vulnérabilités connues dans le code dans leur environnement de travail quotidien.

En tant que promoteur du changement en matière de codage sécurisé, Secure Code Warrior adopte une approche centrée sur l'humain, encourageant activement les développeurs à acquérir et à développer leurs compétences en codage sécurisé. Si vous souhaitez découvrir l'impact potentiel sur la capacité de votre équipe à démarrer à gauche et à livrer plus rapidement du code sécurisé sans compromettre la sécurité, veuillez réserver une démonstration dès maintenant.

‍

*De la réaction à la prévention : évolution du paysage de la sécurité des applications. Security Code Warriors et Evans Data Corporation, 2020