DevSecOps dans la région DACH : principaux résultats des programmes pilotes de codage sécurisé
Les meilleures pratiques en matière de cybersécurité sont un sujet d'actualité depuis plus de dix ans et font l'objet de nombreuses discussions au niveau gouvernemental dans la plupart des régions du monde. Les cyberattaques sont essentiellement une réalité quotidienne, et toute entité stockant de précieuses données privées en ligne est une cible potentielle. Rien qu'en Allemagne, le ministère fédéral de l'Éducation et de la Recherche estime que 96 % des petites et moyennes entreprises ont déjà été confrontées à un incident de sécurité informatique. Le même rapport souligne le besoin urgent de recherches, de législation et de sensibilisation en matière de cybersécurité, avec un appel définitif à l'inclusion d'une formation à la sécurité plus poussée dans les domaines de l'informatique et des domaines liés à l'informatique.
Avec l'avènement de GDPR, ainsi qu'une stratégie révisée à la suite d'une attaque en plusieurs étapes qui a révélé les données sensibles de nombreuses personnalités publiques, ainsi que des serveurs du gouvernement fédéral allemand, il est clair que la sensibilisation et les actions en matière de cybersécurité sont au cœur des préoccupations des dirigeants de la région DACH. Le piratage de fin 2018 a été exécuté par un étudiant de 20 ans relativement peu qualifié, son principal point d'accès à des informations hautement sensibles étant simplement possible en devinant des mots de passe. Bien qu'il s'agisse d'un exploit d'authentification extrêmement préoccupant, il a mis en évidence la nécessité d'une bien meilleure sensibilisation à la sécurité au niveau du gouvernement, des entreprises et de la société. Un rapport de 2019 a souligné que L'Allemagne était à la traîne en termes d'initiatives de défense contre la cybersécurité, en s'appuyant sur la législation comme principale tactique. Cependant, avec l'arrivée de DevSecOps en tant que méthodologie de développement idéale, de nombreuses entreprises ont reconnu la nécessité d'une formation pratique, de la création de logiciels sécurisés dès la conception et de programmes de sensibilisation à la sécurité à l'échelle de l'entreprise.
Le cœur de la sécurité logicielle en DACH
Des organisations comme GUÊPE et ONGLET publier des classements vérifiés des vulnérabilités les plus fréquentes. Dans tous les langages, l'injection SQL occupe la première place et, bien qu'elle date de plusieurs décennies, il s'agit d'une faille courante et souvent exploitée avec des conséquences désastreuses.
Logiciel bancaire Swiss BPC, SmartVista, a été alerté d'une vulnérabilité dans SQLi par SwissCert, il est toutefois resté intact pendant des mois malgré le risque de révéler des données sensibles sur les clients, y compris les numéros de cartes de crédit. L'injection SQL peut entraîner et entraîne des violations dangereuses, tout comme le Violation de plusieurs ministères et universités en 2017 aux États-Unis et au Royaume-Uni. La plupart de ces incidents sont dus à des processus de validation des entrées laxistes, qui permettent à un attaquant d'insérer du code malveillant depuis le front-end d'une application. Une autre source de vulnérabilité courante est l'utilisation de code fournisseur non sécurisé qui n'est pas contrôlé pour détecter les bogues de sécurité, et des failles sont ainsi introduites dans un environnement de production préalablement scanné et effacé. Aucun de ces points d'accès n'est spécifique à la région DACH. Il s'agit plutôt d'exemples mondiaux de mauvaises pratiques de sécurité qui ne peuvent pas perdurer alors que le monde produit davantage de code.
Il est impératif de corriger les problèmes dès qu'ils sont découverts, et la décision de SmartVista de traîner les pieds aurait pu être désastreuse. Bien que la DACH ait connu son lot de violations, des directives plus ciblées et un soutien en matière de sensibilisation à la sécurité et de formation pourraient éviter que des problèmes potentiels au niveau organisationnel ne deviennent incontrôlables, ce qui nécessitera une législation beaucoup plus spécifique en matière de formation évaluée pour les développeurs.
Toutes les formations au code sécurisé ne sont pas créées de la même manière.
De nombreuses directives de cybersécurité dans le monde sont de plus en plus complètes, mais elles restent peu spécifiques lorsqu'il s'agit de définir une formation à la sécurité efficace. Le Directive NIS dans l'UE inclut l'exigence de « sensibilisation, de formation et d'éducation » au niveau national, mais l'adoption précipitée d'une solution de formation peut ne pas avoir le résultat escompté en termes de réduction tangible des risques si des éléments clés ne sont pas inclus dans le cadre du renforcement des compétences des développeurs et du changement organisationnel.
Les solutions pédagogiques varient, et la formation doit être spécifique au travail quotidien du développeur (y compris la capacité d'apprendre dans la langue et le cadre de son choix) tout en restant engageante et mesurable dans le temps.
Les solutions de formation statiques, telles que la formation vidéo assistée par ordinateur, sont souvent trop génériques et rarement revisitées ou évaluées en fonction de leur efficacité en matière de sensibilisation et de compétence pour empêcher les vulnérabilités de saisir le code au fur et à mesure de son écriture. Entraînement dynamique, est toutefois essentiel pour améliorer les compétences des développeurs à l'aide d'exemples contextuels, en plus de fournir des mesures qui influencent les processus d'atténuation des activités. Il est fréquemment mis à jour, favorise un niveau élevé de rétention des connaissances et contribue à la formation de développeurs soucieux de la sécurité qui contribuent à une culture de sécurité positive sur leur lieu de travail.
Points de données Secure Code Warrior provenant des pilotes DACH :
Ema Rimeike, directrice des ventes (maîtrise en cybersécurité) de Secure Code Warrior, a travaillé en étroite collaboration avec des organisations de la région DACH, en organisant des programmes pilotes pour les développeurs afin d'évaluer les compétences internes des développeurs en matière de codage sécurisé, leur engagement envers les meilleures pratiques de sécurité, ainsi que la culture de sécurité globale de l'entreprise. Grâce à une formation au code sécurisé dynamique et gamifiée, ses principales conclusions laissent entrevoir un avenir prometteur lorsque les développeurs disposeront des connaissances et des outils nécessaires à une réduction des vulnérabilités réussie dès le début du SDLC.
Au cours de ses programmes pilotes, elle a rassemblé des statistiques basées sur 90 minutes en moyenne passées par utilisateur sur la plateforme Secure Code Warrior (SCW), dans lequel ils ont joué 15 défis de codage sécurisé (des leçons de petite taille, ludiques et à votre rythme) :
Les utilisateurs ont passé en moyenne 5,5 minutes pour relever un défi, contre 3 minutes en moyenne pour les autres pilotes SCW mondiaux.
- Précision par rapport à la confiance : les pilotes du DACH ont enregistré un pourcentage moyen compris entre 88 et 92 % de confiance dans leurs réponses aux défis, mais la précision de ces réponses se situait entre 53 et 66 %
- Plus de 75 % des participants interrogés préfèrent les méthodes de formation gamifiées (ou dynamiques), par opposition aux approches statiques telles que la formation assistée par ordinateur (TCC).
- Parmi les vulnérabilités les plus fréquemment constatées, nous avons vu Défauts d'injection, Mauvaise configuration de la sécurité, Scripting intersite (XSS), Utilisation inappropriée de la plateforme, Contrôle d'accès, Authentification, Corruption de la mémoire, Falsification de demandes intersites, Protection insuffisante de la couche de transport et Redirections et transferts non validés
Ce n'est un secret pour personne qu'en général, de nombreux habitants de la région DACH apprécient une solide éthique de travail et l'accent mis sur la précision, et les développeurs qui ont essayé le programme pilote ne font pas exception. Ces données témoignent de leur méconnaissance de ce type d'entraînement, mais aussi de leur désir de continuer à jouer, d'améliorer leur score et d'éviter d'utiliser la fonction « indice » disponible. Leur désir d'apprendre et de s'améliorer est évident, mais cela montre également qu'il reste encore beaucoup à faire pour mettre en œuvre une formation et une sensibilisation efficaces au sein de l'organisation elle-même.
Une formation de qualité visant à réduire les risques et à neutraliser les vulnérabilités n'est pas un exercice ponctuel, mais bien plus qu'une question de conformité. Les responsables et le personnel d'AppSec doivent déployer un effort pour déployer un programme de sensibilisation à la sécurité assorti d'une stratégie et d'un soutien qui reflètent les objectifs de sécurité fondamentaux et visent à les maintenir à long terme. Il s'agit en fait de l'épine dorsale d'un processus DevSecOps réussi avec des développeurs soucieux de la sécurité.
Que révèle un programme pilote à une organisation ?
Les programmes pilotes de Secure Code Warrior constituent un outil extrêmement précieux pour donner aux entreprises un aperçu de leur état de sécurité actuel (généralement entre 65 et 75 %), ainsi que des domaines à améliorer immédiatement. Ils révèlent :
- Clarification des vulnérabilités qui doivent être traitées en priorité, ainsi que de la question de savoir si cette orientation doit être appliquée à une équipe, une unité commerciale ou un langage de programmation en particulier
- Un éventail de renseignements précis et plus large sur les facteurs de risque de cybersécurité au sein de leur SDLC, incluant le facteur humain du développement logiciel.
- En tirant parti de la plateforme SCW, les organisations pourraient prédire les résultats potentiels des tests internes et avoir la possibilité d'atténuer ces risques dès le départ, en préparant les équipes avant même qu'elles ne soient affectées à un projet spécifique.
Dans les organisations qui ont commencé à déployer des programmes de sécurité complets et efficaces, la direction approuve généralement 1 à 1,5 heure par semaine de développement professionnel pour aider leurs développeurs à améliorer leurs connaissances en matière de codage sécurisé. Cependant, nous constatons que les entreprises s'éloignent du « temps passé à se concentrer sur la plateforme » au profit de « quelles équipes de développement logiciel présentent les risques les plus élevés et les plus faibles pour l'entreprise ». Cela est étroitement lié à la certification et à l'obtention de ceintures formalisées, à la découverte de champions de la sécurité et à des programmes de mentorat pour de meilleurs résultats. L'allocation de temps, associée à une évaluation constructive et positive, est absolument essentielle pour créer des développeurs soucieux de la sécurité qui non seulement apprécient la sécurité, mais réduisent de manière mesurable les risques pour l'entreprise.
Comment les organisations utilisent-elles déjà Secure Code Warrior ?
Plusieurs entreprises utilisent déjà Secure Code Warrior pour sensibiliser, renforcer les compétences des développeurs et développer une culture de sécurité positive.
Par exemple, dans un cas d'utilisation, une équipe formée sur la plateforme a utilisé SCW pour révéler ses forces et ses faiblesses en matière de sécurité :
Action du développeur : Les développeurs ont pu constater leurs propres résultats, indiquant les domaines sur lesquels ils devraient se concentrer et les moyens de s'autogérer, et rythmer la formation pour atténuer les vulnérabilités spécifiques ou les lacunes en matière de connaissances qui les aideront dans les futures versions de logiciels.
Action de gestion : Ils ont analysé les forces et les faiblesses générales au niveau de l'équipe et ont été en mesure de prescrire une approche ludique qui aborde les sujets de préoccupation spécifiques. Cela a créé un parcours éducatif bidirectionnel qui permet d'acquérir rapidement des connaissances pertinentes.
Résultat : Une fois les pentests effectués au niveau de l'équipe, toutes les vulnérabilités sont visibles, et la comparaison des résultats précédents a permis de valider facilement si la formation avait permis de réduire les bogues de sécurité courants.
Cela nous ramène aux étapes initiales du développement logiciel, au cours desquelles les objectifs d'amélioration continue de l'équipe avant la formation et l'introduction des meilleures pratiques de sécurité dès le début peuvent être efficaces, faciles à déployer et faire gagner du temps sur l'ensemble du périmètre de développement.
Équipes de projet DevSecOps
Dans un environnement DevSecOps idéal, plusieurs unités commerciales sont représentées au sein d'une équipe de projet pour décider et obtenir les principaux résultats, dont les meilleures pratiques en matière de sécurité.
En termes de recherche et de planification préalables au projet, la plateforme SCW peut évaluer les compétences en matière de sécurité de l'équipe de développement proposée avant que celle-ci ne commence à travailler, en prédisant les résultats des tests d'intrusion éventuels et les retards liés à la sécurité dans le SDLC, avec suffisamment de temps pour s'y préparer de manière adéquate. Une formation spécifique au code et à la structure du projet peut être créée pour que l'équipe puisse y travailler, y compris un processus d'évaluation/certification qui vérifie les compétences générales en matière de sensibilisation à la sécurité, nécessitant une note de passage prédéfinie avant qu'elles ne soient intégrées aux livrables du projet.
Cette approche présente une immense valeur commerciale pour réduire les coûts liés à la correction des vulnérabilités, atténuer les risques de sécurité, gagner du temps lors des pentests, réduire le coût des programmes de primes coûteux et améliorer les compétences de la cohorte de développement de manière centralisée, durable, évolutive et unifiée.
Conclusion :
Les entreprises sont de plus en plus pressées de donner la priorité à la sécurité, de protéger leurs données et de se conformer à des réglementations de plus en plus strictes à l'échelle mondiale, mais en particulier pour les organisations opérant dans l'UE conformément aux directives strictes du RGPD.
Pour les entreprises de la région DACH, il est clair qu'elles mettent en place des voies de sécurité viables en reliant les efforts et les résultats de formation aux activités du monde réel liées à la prévention des risques, y compris la réduction des vulnérabilités courantes dans le code qu'elles produisent.
Pour élaborer une analyse de rentabilisation réellement quantifiable en faveur d'une augmentation des budgets de sécurité, de la sensibilisation et de la conformité globale, la formation doit être engageante pour les développeurs, cohérente, adaptable et mesurable. Suivre les étapes actuelles de la capacité à adapter la formation appropriée, identifier les champions de la sécurité et mesurer les performances des équipes au fil du temps sont autant d'initiatives vitales, et de nombreuses entreprises avant-gardistes de la région DACH en tirent parti grâce à un projet pilote SCW complet.
De nombreuses entreprises rencontrent des difficultés avec des indicateurs de performance de sécurité trop génériques. Grâce à une utilisation cohérente et à long terme de la plateforme SCW, les entreprises pourraient utiliser des évaluations précises, des cours et des mesures de gestion pour découvrir :
- Réduction des vulnérabilités au fil du temps
- Réduction des coûts liés à la correction des vulnérabilités au fil du temps
- Développement des compétences individuelles et en équipe au fil du temps
- Réduction des coûts et du temps lors de la phase de pentesting
Quels sont les indicateurs que votre organisation suit actuellement, à quelle fréquence sont-ils remesurés et ont-ils connu une nette amélioration au fil du temps ? Dans quelle mesure vos initiatives de formation sont-elles intégrées au flux de travail existant pour les développeurs ?
L'approche dynamique, ludique et complète de SCW est considérée comme un élément crucial du flux de travail du cycle de vie du développement logiciel sécurisé. Les entreprises fournissent à leurs développeurs les outils et les formations appropriés, et intègrent le SCW dans leur flux de travail SSDLC.
Avec l'avènement du RGPD, ainsi que la révision de la stratégie suite à une attaque en plusieurs étapes qui a révélé les données sensibles de nombreuses personnalités publiques, ainsi que des serveurs du gouvernement fédéral allemand, il est clair que la sensibilisation et les actions en matière de cybersécurité sont au cœur des préoccupations des dirigeants de la région DACH.
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démo
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Les meilleures pratiques en matière de cybersécurité sont un sujet d'actualité depuis plus de dix ans et font l'objet de nombreuses discussions au niveau gouvernemental dans la plupart des régions du monde. Les cyberattaques sont essentiellement une réalité quotidienne, et toute entité stockant de précieuses données privées en ligne est une cible potentielle. Rien qu'en Allemagne, le ministère fédéral de l'Éducation et de la Recherche estime que 96 % des petites et moyennes entreprises ont déjà été confrontées à un incident de sécurité informatique. Le même rapport souligne le besoin urgent de recherches, de législation et de sensibilisation en matière de cybersécurité, avec un appel définitif à l'inclusion d'une formation à la sécurité plus poussée dans les domaines de l'informatique et des domaines liés à l'informatique.
Avec l'avènement de GDPR, ainsi qu'une stratégie révisée à la suite d'une attaque en plusieurs étapes qui a révélé les données sensibles de nombreuses personnalités publiques, ainsi que des serveurs du gouvernement fédéral allemand, il est clair que la sensibilisation et les actions en matière de cybersécurité sont au cœur des préoccupations des dirigeants de la région DACH. Le piratage de fin 2018 a été exécuté par un étudiant de 20 ans relativement peu qualifié, son principal point d'accès à des informations hautement sensibles étant simplement possible en devinant des mots de passe. Bien qu'il s'agisse d'un exploit d'authentification extrêmement préoccupant, il a mis en évidence la nécessité d'une bien meilleure sensibilisation à la sécurité au niveau du gouvernement, des entreprises et de la société. Un rapport de 2019 a souligné que L'Allemagne était à la traîne en termes d'initiatives de défense contre la cybersécurité, en s'appuyant sur la législation comme principale tactique. Cependant, avec l'arrivée de DevSecOps en tant que méthodologie de développement idéale, de nombreuses entreprises ont reconnu la nécessité d'une formation pratique, de la création de logiciels sécurisés dès la conception et de programmes de sensibilisation à la sécurité à l'échelle de l'entreprise.
Le cœur de la sécurité logicielle en DACH
Des organisations comme GUÊPE et ONGLET publier des classements vérifiés des vulnérabilités les plus fréquentes. Dans tous les langages, l'injection SQL occupe la première place et, bien qu'elle date de plusieurs décennies, il s'agit d'une faille courante et souvent exploitée avec des conséquences désastreuses.
Logiciel bancaire Swiss BPC, SmartVista, a été alerté d'une vulnérabilité dans SQLi par SwissCert, il est toutefois resté intact pendant des mois malgré le risque de révéler des données sensibles sur les clients, y compris les numéros de cartes de crédit. L'injection SQL peut entraîner et entraîne des violations dangereuses, tout comme le Violation de plusieurs ministères et universités en 2017 aux États-Unis et au Royaume-Uni. La plupart de ces incidents sont dus à des processus de validation des entrées laxistes, qui permettent à un attaquant d'insérer du code malveillant depuis le front-end d'une application. Une autre source de vulnérabilité courante est l'utilisation de code fournisseur non sécurisé qui n'est pas contrôlé pour détecter les bogues de sécurité, et des failles sont ainsi introduites dans un environnement de production préalablement scanné et effacé. Aucun de ces points d'accès n'est spécifique à la région DACH. Il s'agit plutôt d'exemples mondiaux de mauvaises pratiques de sécurité qui ne peuvent pas perdurer alors que le monde produit davantage de code.
Il est impératif de corriger les problèmes dès qu'ils sont découverts, et la décision de SmartVista de traîner les pieds aurait pu être désastreuse. Bien que la DACH ait connu son lot de violations, des directives plus ciblées et un soutien en matière de sensibilisation à la sécurité et de formation pourraient éviter que des problèmes potentiels au niveau organisationnel ne deviennent incontrôlables, ce qui nécessitera une législation beaucoup plus spécifique en matière de formation évaluée pour les développeurs.
Toutes les formations au code sécurisé ne sont pas créées de la même manière.
De nombreuses directives de cybersécurité dans le monde sont de plus en plus complètes, mais elles restent peu spécifiques lorsqu'il s'agit de définir une formation à la sécurité efficace. Le Directive NIS dans l'UE inclut l'exigence de « sensibilisation, de formation et d'éducation » au niveau national, mais l'adoption précipitée d'une solution de formation peut ne pas avoir le résultat escompté en termes de réduction tangible des risques si des éléments clés ne sont pas inclus dans le cadre du renforcement des compétences des développeurs et du changement organisationnel.
Les solutions pédagogiques varient, et la formation doit être spécifique au travail quotidien du développeur (y compris la capacité d'apprendre dans la langue et le cadre de son choix) tout en restant engageante et mesurable dans le temps.
Les solutions de formation statiques, telles que la formation vidéo assistée par ordinateur, sont souvent trop génériques et rarement revisitées ou évaluées en fonction de leur efficacité en matière de sensibilisation et de compétence pour empêcher les vulnérabilités de saisir le code au fur et à mesure de son écriture. Entraînement dynamique, est toutefois essentiel pour améliorer les compétences des développeurs à l'aide d'exemples contextuels, en plus de fournir des mesures qui influencent les processus d'atténuation des activités. Il est fréquemment mis à jour, favorise un niveau élevé de rétention des connaissances et contribue à la formation de développeurs soucieux de la sécurité qui contribuent à une culture de sécurité positive sur leur lieu de travail.
Points de données Secure Code Warrior provenant des pilotes DACH :
Ema Rimeike, directrice des ventes (maîtrise en cybersécurité) de Secure Code Warrior, a travaillé en étroite collaboration avec des organisations de la région DACH, en organisant des programmes pilotes pour les développeurs afin d'évaluer les compétences internes des développeurs en matière de codage sécurisé, leur engagement envers les meilleures pratiques de sécurité, ainsi que la culture de sécurité globale de l'entreprise. Grâce à une formation au code sécurisé dynamique et gamifiée, ses principales conclusions laissent entrevoir un avenir prometteur lorsque les développeurs disposeront des connaissances et des outils nécessaires à une réduction des vulnérabilités réussie dès le début du SDLC.
Au cours de ses programmes pilotes, elle a rassemblé des statistiques basées sur 90 minutes en moyenne passées par utilisateur sur la plateforme Secure Code Warrior (SCW), dans lequel ils ont joué 15 défis de codage sécurisé (des leçons de petite taille, ludiques et à votre rythme) :
Les utilisateurs ont passé en moyenne 5,5 minutes pour relever un défi, contre 3 minutes en moyenne pour les autres pilotes SCW mondiaux.
- Précision par rapport à la confiance : les pilotes du DACH ont enregistré un pourcentage moyen compris entre 88 et 92 % de confiance dans leurs réponses aux défis, mais la précision de ces réponses se situait entre 53 et 66 %
- Plus de 75 % des participants interrogés préfèrent les méthodes de formation gamifiées (ou dynamiques), par opposition aux approches statiques telles que la formation assistée par ordinateur (TCC).
- Parmi les vulnérabilités les plus fréquemment constatées, nous avons vu Défauts d'injection, Mauvaise configuration de la sécurité, Scripting intersite (XSS), Utilisation inappropriée de la plateforme, Contrôle d'accès, Authentification, Corruption de la mémoire, Falsification de demandes intersites, Protection insuffisante de la couche de transport et Redirections et transferts non validés
Ce n'est un secret pour personne qu'en général, de nombreux habitants de la région DACH apprécient une solide éthique de travail et l'accent mis sur la précision, et les développeurs qui ont essayé le programme pilote ne font pas exception. Ces données témoignent de leur méconnaissance de ce type d'entraînement, mais aussi de leur désir de continuer à jouer, d'améliorer leur score et d'éviter d'utiliser la fonction « indice » disponible. Leur désir d'apprendre et de s'améliorer est évident, mais cela montre également qu'il reste encore beaucoup à faire pour mettre en œuvre une formation et une sensibilisation efficaces au sein de l'organisation elle-même.
Une formation de qualité visant à réduire les risques et à neutraliser les vulnérabilités n'est pas un exercice ponctuel, mais bien plus qu'une question de conformité. Les responsables et le personnel d'AppSec doivent déployer un effort pour déployer un programme de sensibilisation à la sécurité assorti d'une stratégie et d'un soutien qui reflètent les objectifs de sécurité fondamentaux et visent à les maintenir à long terme. Il s'agit en fait de l'épine dorsale d'un processus DevSecOps réussi avec des développeurs soucieux de la sécurité.
Que révèle un programme pilote à une organisation ?
Les programmes pilotes de Secure Code Warrior constituent un outil extrêmement précieux pour donner aux entreprises un aperçu de leur état de sécurité actuel (généralement entre 65 et 75 %), ainsi que des domaines à améliorer immédiatement. Ils révèlent :
- Clarification des vulnérabilités qui doivent être traitées en priorité, ainsi que de la question de savoir si cette orientation doit être appliquée à une équipe, une unité commerciale ou un langage de programmation en particulier
- Un éventail de renseignements précis et plus large sur les facteurs de risque de cybersécurité au sein de leur SDLC, incluant le facteur humain du développement logiciel.
- En tirant parti de la plateforme SCW, les organisations pourraient prédire les résultats potentiels des tests internes et avoir la possibilité d'atténuer ces risques dès le départ, en préparant les équipes avant même qu'elles ne soient affectées à un projet spécifique.
Dans les organisations qui ont commencé à déployer des programmes de sécurité complets et efficaces, la direction approuve généralement 1 à 1,5 heure par semaine de développement professionnel pour aider leurs développeurs à améliorer leurs connaissances en matière de codage sécurisé. Cependant, nous constatons que les entreprises s'éloignent du « temps passé à se concentrer sur la plateforme » au profit de « quelles équipes de développement logiciel présentent les risques les plus élevés et les plus faibles pour l'entreprise ». Cela est étroitement lié à la certification et à l'obtention de ceintures formalisées, à la découverte de champions de la sécurité et à des programmes de mentorat pour de meilleurs résultats. L'allocation de temps, associée à une évaluation constructive et positive, est absolument essentielle pour créer des développeurs soucieux de la sécurité qui non seulement apprécient la sécurité, mais réduisent de manière mesurable les risques pour l'entreprise.
Comment les organisations utilisent-elles déjà Secure Code Warrior ?
Plusieurs entreprises utilisent déjà Secure Code Warrior pour sensibiliser, renforcer les compétences des développeurs et développer une culture de sécurité positive.
Par exemple, dans un cas d'utilisation, une équipe formée sur la plateforme a utilisé SCW pour révéler ses forces et ses faiblesses en matière de sécurité :
Action du développeur : Les développeurs ont pu constater leurs propres résultats, indiquant les domaines sur lesquels ils devraient se concentrer et les moyens de s'autogérer, et rythmer la formation pour atténuer les vulnérabilités spécifiques ou les lacunes en matière de connaissances qui les aideront dans les futures versions de logiciels.
Action de gestion : Ils ont analysé les forces et les faiblesses générales au niveau de l'équipe et ont été en mesure de prescrire une approche ludique qui aborde les sujets de préoccupation spécifiques. Cela a créé un parcours éducatif bidirectionnel qui permet d'acquérir rapidement des connaissances pertinentes.
Résultat : Une fois les pentests effectués au niveau de l'équipe, toutes les vulnérabilités sont visibles, et la comparaison des résultats précédents a permis de valider facilement si la formation avait permis de réduire les bogues de sécurité courants.
Cela nous ramène aux étapes initiales du développement logiciel, au cours desquelles les objectifs d'amélioration continue de l'équipe avant la formation et l'introduction des meilleures pratiques de sécurité dès le début peuvent être efficaces, faciles à déployer et faire gagner du temps sur l'ensemble du périmètre de développement.
Équipes de projet DevSecOps
Dans un environnement DevSecOps idéal, plusieurs unités commerciales sont représentées au sein d'une équipe de projet pour décider et obtenir les principaux résultats, dont les meilleures pratiques en matière de sécurité.
En termes de recherche et de planification préalables au projet, la plateforme SCW peut évaluer les compétences en matière de sécurité de l'équipe de développement proposée avant que celle-ci ne commence à travailler, en prédisant les résultats des tests d'intrusion éventuels et les retards liés à la sécurité dans le SDLC, avec suffisamment de temps pour s'y préparer de manière adéquate. Une formation spécifique au code et à la structure du projet peut être créée pour que l'équipe puisse y travailler, y compris un processus d'évaluation/certification qui vérifie les compétences générales en matière de sensibilisation à la sécurité, nécessitant une note de passage prédéfinie avant qu'elles ne soient intégrées aux livrables du projet.
Cette approche présente une immense valeur commerciale pour réduire les coûts liés à la correction des vulnérabilités, atténuer les risques de sécurité, gagner du temps lors des pentests, réduire le coût des programmes de primes coûteux et améliorer les compétences de la cohorte de développement de manière centralisée, durable, évolutive et unifiée.
Conclusion :
Les entreprises sont de plus en plus pressées de donner la priorité à la sécurité, de protéger leurs données et de se conformer à des réglementations de plus en plus strictes à l'échelle mondiale, mais en particulier pour les organisations opérant dans l'UE conformément aux directives strictes du RGPD.
Pour les entreprises de la région DACH, il est clair qu'elles mettent en place des voies de sécurité viables en reliant les efforts et les résultats de formation aux activités du monde réel liées à la prévention des risques, y compris la réduction des vulnérabilités courantes dans le code qu'elles produisent.
Pour élaborer une analyse de rentabilisation réellement quantifiable en faveur d'une augmentation des budgets de sécurité, de la sensibilisation et de la conformité globale, la formation doit être engageante pour les développeurs, cohérente, adaptable et mesurable. Suivre les étapes actuelles de la capacité à adapter la formation appropriée, identifier les champions de la sécurité et mesurer les performances des équipes au fil du temps sont autant d'initiatives vitales, et de nombreuses entreprises avant-gardistes de la région DACH en tirent parti grâce à un projet pilote SCW complet.
De nombreuses entreprises rencontrent des difficultés avec des indicateurs de performance de sécurité trop génériques. Grâce à une utilisation cohérente et à long terme de la plateforme SCW, les entreprises pourraient utiliser des évaluations précises, des cours et des mesures de gestion pour découvrir :
- Réduction des vulnérabilités au fil du temps
- Réduction des coûts liés à la correction des vulnérabilités au fil du temps
- Développement des compétences individuelles et en équipe au fil du temps
- Réduction des coûts et du temps lors de la phase de pentesting
Quels sont les indicateurs que votre organisation suit actuellement, à quelle fréquence sont-ils remesurés et ont-ils connu une nette amélioration au fil du temps ? Dans quelle mesure vos initiatives de formation sont-elles intégrées au flux de travail existant pour les développeurs ?
L'approche dynamique, ludique et complète de SCW est considérée comme un élément crucial du flux de travail du cycle de vie du développement logiciel sécurisé. Les entreprises fournissent à leurs développeurs les outils et les formations appropriés, et intègrent le SCW dans leur flux de travail SSDLC.
Les meilleures pratiques en matière de cybersécurité sont un sujet d'actualité depuis plus de dix ans et font l'objet de nombreuses discussions au niveau gouvernemental dans la plupart des régions du monde. Les cyberattaques sont essentiellement une réalité quotidienne, et toute entité stockant de précieuses données privées en ligne est une cible potentielle. Rien qu'en Allemagne, le ministère fédéral de l'Éducation et de la Recherche estime que 96 % des petites et moyennes entreprises ont déjà été confrontées à un incident de sécurité informatique. Le même rapport souligne le besoin urgent de recherches, de législation et de sensibilisation en matière de cybersécurité, avec un appel définitif à l'inclusion d'une formation à la sécurité plus poussée dans les domaines de l'informatique et des domaines liés à l'informatique.
Avec l'avènement de GDPR, ainsi qu'une stratégie révisée à la suite d'une attaque en plusieurs étapes qui a révélé les données sensibles de nombreuses personnalités publiques, ainsi que des serveurs du gouvernement fédéral allemand, il est clair que la sensibilisation et les actions en matière de cybersécurité sont au cœur des préoccupations des dirigeants de la région DACH. Le piratage de fin 2018 a été exécuté par un étudiant de 20 ans relativement peu qualifié, son principal point d'accès à des informations hautement sensibles étant simplement possible en devinant des mots de passe. Bien qu'il s'agisse d'un exploit d'authentification extrêmement préoccupant, il a mis en évidence la nécessité d'une bien meilleure sensibilisation à la sécurité au niveau du gouvernement, des entreprises et de la société. Un rapport de 2019 a souligné que L'Allemagne était à la traîne en termes d'initiatives de défense contre la cybersécurité, en s'appuyant sur la législation comme principale tactique. Cependant, avec l'arrivée de DevSecOps en tant que méthodologie de développement idéale, de nombreuses entreprises ont reconnu la nécessité d'une formation pratique, de la création de logiciels sécurisés dès la conception et de programmes de sensibilisation à la sécurité à l'échelle de l'entreprise.
Le cœur de la sécurité logicielle en DACH
Des organisations comme GUÊPE et ONGLET publier des classements vérifiés des vulnérabilités les plus fréquentes. Dans tous les langages, l'injection SQL occupe la première place et, bien qu'elle date de plusieurs décennies, il s'agit d'une faille courante et souvent exploitée avec des conséquences désastreuses.
Logiciel bancaire Swiss BPC, SmartVista, a été alerté d'une vulnérabilité dans SQLi par SwissCert, il est toutefois resté intact pendant des mois malgré le risque de révéler des données sensibles sur les clients, y compris les numéros de cartes de crédit. L'injection SQL peut entraîner et entraîne des violations dangereuses, tout comme le Violation de plusieurs ministères et universités en 2017 aux États-Unis et au Royaume-Uni. La plupart de ces incidents sont dus à des processus de validation des entrées laxistes, qui permettent à un attaquant d'insérer du code malveillant depuis le front-end d'une application. Une autre source de vulnérabilité courante est l'utilisation de code fournisseur non sécurisé qui n'est pas contrôlé pour détecter les bogues de sécurité, et des failles sont ainsi introduites dans un environnement de production préalablement scanné et effacé. Aucun de ces points d'accès n'est spécifique à la région DACH. Il s'agit plutôt d'exemples mondiaux de mauvaises pratiques de sécurité qui ne peuvent pas perdurer alors que le monde produit davantage de code.
Il est impératif de corriger les problèmes dès qu'ils sont découverts, et la décision de SmartVista de traîner les pieds aurait pu être désastreuse. Bien que la DACH ait connu son lot de violations, des directives plus ciblées et un soutien en matière de sensibilisation à la sécurité et de formation pourraient éviter que des problèmes potentiels au niveau organisationnel ne deviennent incontrôlables, ce qui nécessitera une législation beaucoup plus spécifique en matière de formation évaluée pour les développeurs.
Toutes les formations au code sécurisé ne sont pas créées de la même manière.
De nombreuses directives de cybersécurité dans le monde sont de plus en plus complètes, mais elles restent peu spécifiques lorsqu'il s'agit de définir une formation à la sécurité efficace. Le Directive NIS dans l'UE inclut l'exigence de « sensibilisation, de formation et d'éducation » au niveau national, mais l'adoption précipitée d'une solution de formation peut ne pas avoir le résultat escompté en termes de réduction tangible des risques si des éléments clés ne sont pas inclus dans le cadre du renforcement des compétences des développeurs et du changement organisationnel.
Les solutions pédagogiques varient, et la formation doit être spécifique au travail quotidien du développeur (y compris la capacité d'apprendre dans la langue et le cadre de son choix) tout en restant engageante et mesurable dans le temps.
Les solutions de formation statiques, telles que la formation vidéo assistée par ordinateur, sont souvent trop génériques et rarement revisitées ou évaluées en fonction de leur efficacité en matière de sensibilisation et de compétence pour empêcher les vulnérabilités de saisir le code au fur et à mesure de son écriture. Entraînement dynamique, est toutefois essentiel pour améliorer les compétences des développeurs à l'aide d'exemples contextuels, en plus de fournir des mesures qui influencent les processus d'atténuation des activités. Il est fréquemment mis à jour, favorise un niveau élevé de rétention des connaissances et contribue à la formation de développeurs soucieux de la sécurité qui contribuent à une culture de sécurité positive sur leur lieu de travail.
Points de données Secure Code Warrior provenant des pilotes DACH :
Ema Rimeike, directrice des ventes (maîtrise en cybersécurité) de Secure Code Warrior, a travaillé en étroite collaboration avec des organisations de la région DACH, en organisant des programmes pilotes pour les développeurs afin d'évaluer les compétences internes des développeurs en matière de codage sécurisé, leur engagement envers les meilleures pratiques de sécurité, ainsi que la culture de sécurité globale de l'entreprise. Grâce à une formation au code sécurisé dynamique et gamifiée, ses principales conclusions laissent entrevoir un avenir prometteur lorsque les développeurs disposeront des connaissances et des outils nécessaires à une réduction des vulnérabilités réussie dès le début du SDLC.
Au cours de ses programmes pilotes, elle a rassemblé des statistiques basées sur 90 minutes en moyenne passées par utilisateur sur la plateforme Secure Code Warrior (SCW), dans lequel ils ont joué 15 défis de codage sécurisé (des leçons de petite taille, ludiques et à votre rythme) :
Les utilisateurs ont passé en moyenne 5,5 minutes pour relever un défi, contre 3 minutes en moyenne pour les autres pilotes SCW mondiaux.
- Précision par rapport à la confiance : les pilotes du DACH ont enregistré un pourcentage moyen compris entre 88 et 92 % de confiance dans leurs réponses aux défis, mais la précision de ces réponses se situait entre 53 et 66 %
- Plus de 75 % des participants interrogés préfèrent les méthodes de formation gamifiées (ou dynamiques), par opposition aux approches statiques telles que la formation assistée par ordinateur (TCC).
- Parmi les vulnérabilités les plus fréquemment constatées, nous avons vu Défauts d'injection, Mauvaise configuration de la sécurité, Scripting intersite (XSS), Utilisation inappropriée de la plateforme, Contrôle d'accès, Authentification, Corruption de la mémoire, Falsification de demandes intersites, Protection insuffisante de la couche de transport et Redirections et transferts non validés
Ce n'est un secret pour personne qu'en général, de nombreux habitants de la région DACH apprécient une solide éthique de travail et l'accent mis sur la précision, et les développeurs qui ont essayé le programme pilote ne font pas exception. Ces données témoignent de leur méconnaissance de ce type d'entraînement, mais aussi de leur désir de continuer à jouer, d'améliorer leur score et d'éviter d'utiliser la fonction « indice » disponible. Leur désir d'apprendre et de s'améliorer est évident, mais cela montre également qu'il reste encore beaucoup à faire pour mettre en œuvre une formation et une sensibilisation efficaces au sein de l'organisation elle-même.
Une formation de qualité visant à réduire les risques et à neutraliser les vulnérabilités n'est pas un exercice ponctuel, mais bien plus qu'une question de conformité. Les responsables et le personnel d'AppSec doivent déployer un effort pour déployer un programme de sensibilisation à la sécurité assorti d'une stratégie et d'un soutien qui reflètent les objectifs de sécurité fondamentaux et visent à les maintenir à long terme. Il s'agit en fait de l'épine dorsale d'un processus DevSecOps réussi avec des développeurs soucieux de la sécurité.
Que révèle un programme pilote à une organisation ?
Les programmes pilotes de Secure Code Warrior constituent un outil extrêmement précieux pour donner aux entreprises un aperçu de leur état de sécurité actuel (généralement entre 65 et 75 %), ainsi que des domaines à améliorer immédiatement. Ils révèlent :
- Clarification des vulnérabilités qui doivent être traitées en priorité, ainsi que de la question de savoir si cette orientation doit être appliquée à une équipe, une unité commerciale ou un langage de programmation en particulier
- Un éventail de renseignements précis et plus large sur les facteurs de risque de cybersécurité au sein de leur SDLC, incluant le facteur humain du développement logiciel.
- En tirant parti de la plateforme SCW, les organisations pourraient prédire les résultats potentiels des tests internes et avoir la possibilité d'atténuer ces risques dès le départ, en préparant les équipes avant même qu'elles ne soient affectées à un projet spécifique.
Dans les organisations qui ont commencé à déployer des programmes de sécurité complets et efficaces, la direction approuve généralement 1 à 1,5 heure par semaine de développement professionnel pour aider leurs développeurs à améliorer leurs connaissances en matière de codage sécurisé. Cependant, nous constatons que les entreprises s'éloignent du « temps passé à se concentrer sur la plateforme » au profit de « quelles équipes de développement logiciel présentent les risques les plus élevés et les plus faibles pour l'entreprise ». Cela est étroitement lié à la certification et à l'obtention de ceintures formalisées, à la découverte de champions de la sécurité et à des programmes de mentorat pour de meilleurs résultats. L'allocation de temps, associée à une évaluation constructive et positive, est absolument essentielle pour créer des développeurs soucieux de la sécurité qui non seulement apprécient la sécurité, mais réduisent de manière mesurable les risques pour l'entreprise.
Comment les organisations utilisent-elles déjà Secure Code Warrior ?
Plusieurs entreprises utilisent déjà Secure Code Warrior pour sensibiliser, renforcer les compétences des développeurs et développer une culture de sécurité positive.
Par exemple, dans un cas d'utilisation, une équipe formée sur la plateforme a utilisé SCW pour révéler ses forces et ses faiblesses en matière de sécurité :
Action du développeur : Les développeurs ont pu constater leurs propres résultats, indiquant les domaines sur lesquels ils devraient se concentrer et les moyens de s'autogérer, et rythmer la formation pour atténuer les vulnérabilités spécifiques ou les lacunes en matière de connaissances qui les aideront dans les futures versions de logiciels.
Action de gestion : Ils ont analysé les forces et les faiblesses générales au niveau de l'équipe et ont été en mesure de prescrire une approche ludique qui aborde les sujets de préoccupation spécifiques. Cela a créé un parcours éducatif bidirectionnel qui permet d'acquérir rapidement des connaissances pertinentes.
Résultat : Une fois les pentests effectués au niveau de l'équipe, toutes les vulnérabilités sont visibles, et la comparaison des résultats précédents a permis de valider facilement si la formation avait permis de réduire les bogues de sécurité courants.
Cela nous ramène aux étapes initiales du développement logiciel, au cours desquelles les objectifs d'amélioration continue de l'équipe avant la formation et l'introduction des meilleures pratiques de sécurité dès le début peuvent être efficaces, faciles à déployer et faire gagner du temps sur l'ensemble du périmètre de développement.
Équipes de projet DevSecOps
Dans un environnement DevSecOps idéal, plusieurs unités commerciales sont représentées au sein d'une équipe de projet pour décider et obtenir les principaux résultats, dont les meilleures pratiques en matière de sécurité.
En termes de recherche et de planification préalables au projet, la plateforme SCW peut évaluer les compétences en matière de sécurité de l'équipe de développement proposée avant que celle-ci ne commence à travailler, en prédisant les résultats des tests d'intrusion éventuels et les retards liés à la sécurité dans le SDLC, avec suffisamment de temps pour s'y préparer de manière adéquate. Une formation spécifique au code et à la structure du projet peut être créée pour que l'équipe puisse y travailler, y compris un processus d'évaluation/certification qui vérifie les compétences générales en matière de sensibilisation à la sécurité, nécessitant une note de passage prédéfinie avant qu'elles ne soient intégrées aux livrables du projet.
Cette approche présente une immense valeur commerciale pour réduire les coûts liés à la correction des vulnérabilités, atténuer les risques de sécurité, gagner du temps lors des pentests, réduire le coût des programmes de primes coûteux et améliorer les compétences de la cohorte de développement de manière centralisée, durable, évolutive et unifiée.
Conclusion :
Les entreprises sont de plus en plus pressées de donner la priorité à la sécurité, de protéger leurs données et de se conformer à des réglementations de plus en plus strictes à l'échelle mondiale, mais en particulier pour les organisations opérant dans l'UE conformément aux directives strictes du RGPD.
Pour les entreprises de la région DACH, il est clair qu'elles mettent en place des voies de sécurité viables en reliant les efforts et les résultats de formation aux activités du monde réel liées à la prévention des risques, y compris la réduction des vulnérabilités courantes dans le code qu'elles produisent.
Pour élaborer une analyse de rentabilisation réellement quantifiable en faveur d'une augmentation des budgets de sécurité, de la sensibilisation et de la conformité globale, la formation doit être engageante pour les développeurs, cohérente, adaptable et mesurable. Suivre les étapes actuelles de la capacité à adapter la formation appropriée, identifier les champions de la sécurité et mesurer les performances des équipes au fil du temps sont autant d'initiatives vitales, et de nombreuses entreprises avant-gardistes de la région DACH en tirent parti grâce à un projet pilote SCW complet.
De nombreuses entreprises rencontrent des difficultés avec des indicateurs de performance de sécurité trop génériques. Grâce à une utilisation cohérente et à long terme de la plateforme SCW, les entreprises pourraient utiliser des évaluations précises, des cours et des mesures de gestion pour découvrir :
- Réduction des vulnérabilités au fil du temps
- Réduction des coûts liés à la correction des vulnérabilités au fil du temps
- Développement des compétences individuelles et en équipe au fil du temps
- Réduction des coûts et du temps lors de la phase de pentesting
Quels sont les indicateurs que votre organisation suit actuellement, à quelle fréquence sont-ils remesurés et ont-ils connu une nette amélioration au fil du temps ? Dans quelle mesure vos initiatives de formation sont-elles intégrées au flux de travail existant pour les développeurs ?
L'approche dynamique, ludique et complète de SCW est considérée comme un élément crucial du flux de travail du cycle de vie du développement logiciel sécurisé. Les entreprises fournissent à leurs développeurs les outils et les formations appropriés, et intègrent le SCW dans leur flux de travail SSDLC.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Afficher le rapportRéservez une démo
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Les meilleures pratiques en matière de cybersécurité sont un sujet d'actualité depuis plus de dix ans et font l'objet de nombreuses discussions au niveau gouvernemental dans la plupart des régions du monde. Les cyberattaques sont essentiellement une réalité quotidienne, et toute entité stockant de précieuses données privées en ligne est une cible potentielle. Rien qu'en Allemagne, le ministère fédéral de l'Éducation et de la Recherche estime que 96 % des petites et moyennes entreprises ont déjà été confrontées à un incident de sécurité informatique. Le même rapport souligne le besoin urgent de recherches, de législation et de sensibilisation en matière de cybersécurité, avec un appel définitif à l'inclusion d'une formation à la sécurité plus poussée dans les domaines de l'informatique et des domaines liés à l'informatique.
Avec l'avènement de GDPR, ainsi qu'une stratégie révisée à la suite d'une attaque en plusieurs étapes qui a révélé les données sensibles de nombreuses personnalités publiques, ainsi que des serveurs du gouvernement fédéral allemand, il est clair que la sensibilisation et les actions en matière de cybersécurité sont au cœur des préoccupations des dirigeants de la région DACH. Le piratage de fin 2018 a été exécuté par un étudiant de 20 ans relativement peu qualifié, son principal point d'accès à des informations hautement sensibles étant simplement possible en devinant des mots de passe. Bien qu'il s'agisse d'un exploit d'authentification extrêmement préoccupant, il a mis en évidence la nécessité d'une bien meilleure sensibilisation à la sécurité au niveau du gouvernement, des entreprises et de la société. Un rapport de 2019 a souligné que L'Allemagne était à la traîne en termes d'initiatives de défense contre la cybersécurité, en s'appuyant sur la législation comme principale tactique. Cependant, avec l'arrivée de DevSecOps en tant que méthodologie de développement idéale, de nombreuses entreprises ont reconnu la nécessité d'une formation pratique, de la création de logiciels sécurisés dès la conception et de programmes de sensibilisation à la sécurité à l'échelle de l'entreprise.
Le cœur de la sécurité logicielle en DACH
Des organisations comme GUÊPE et ONGLET publier des classements vérifiés des vulnérabilités les plus fréquentes. Dans tous les langages, l'injection SQL occupe la première place et, bien qu'elle date de plusieurs décennies, il s'agit d'une faille courante et souvent exploitée avec des conséquences désastreuses.
Logiciel bancaire Swiss BPC, SmartVista, a été alerté d'une vulnérabilité dans SQLi par SwissCert, il est toutefois resté intact pendant des mois malgré le risque de révéler des données sensibles sur les clients, y compris les numéros de cartes de crédit. L'injection SQL peut entraîner et entraîne des violations dangereuses, tout comme le Violation de plusieurs ministères et universités en 2017 aux États-Unis et au Royaume-Uni. La plupart de ces incidents sont dus à des processus de validation des entrées laxistes, qui permettent à un attaquant d'insérer du code malveillant depuis le front-end d'une application. Une autre source de vulnérabilité courante est l'utilisation de code fournisseur non sécurisé qui n'est pas contrôlé pour détecter les bogues de sécurité, et des failles sont ainsi introduites dans un environnement de production préalablement scanné et effacé. Aucun de ces points d'accès n'est spécifique à la région DACH. Il s'agit plutôt d'exemples mondiaux de mauvaises pratiques de sécurité qui ne peuvent pas perdurer alors que le monde produit davantage de code.
Il est impératif de corriger les problèmes dès qu'ils sont découverts, et la décision de SmartVista de traîner les pieds aurait pu être désastreuse. Bien que la DACH ait connu son lot de violations, des directives plus ciblées et un soutien en matière de sensibilisation à la sécurité et de formation pourraient éviter que des problèmes potentiels au niveau organisationnel ne deviennent incontrôlables, ce qui nécessitera une législation beaucoup plus spécifique en matière de formation évaluée pour les développeurs.
Toutes les formations au code sécurisé ne sont pas créées de la même manière.
De nombreuses directives de cybersécurité dans le monde sont de plus en plus complètes, mais elles restent peu spécifiques lorsqu'il s'agit de définir une formation à la sécurité efficace. Le Directive NIS dans l'UE inclut l'exigence de « sensibilisation, de formation et d'éducation » au niveau national, mais l'adoption précipitée d'une solution de formation peut ne pas avoir le résultat escompté en termes de réduction tangible des risques si des éléments clés ne sont pas inclus dans le cadre du renforcement des compétences des développeurs et du changement organisationnel.
Les solutions pédagogiques varient, et la formation doit être spécifique au travail quotidien du développeur (y compris la capacité d'apprendre dans la langue et le cadre de son choix) tout en restant engageante et mesurable dans le temps.
Les solutions de formation statiques, telles que la formation vidéo assistée par ordinateur, sont souvent trop génériques et rarement revisitées ou évaluées en fonction de leur efficacité en matière de sensibilisation et de compétence pour empêcher les vulnérabilités de saisir le code au fur et à mesure de son écriture. Entraînement dynamique, est toutefois essentiel pour améliorer les compétences des développeurs à l'aide d'exemples contextuels, en plus de fournir des mesures qui influencent les processus d'atténuation des activités. Il est fréquemment mis à jour, favorise un niveau élevé de rétention des connaissances et contribue à la formation de développeurs soucieux de la sécurité qui contribuent à une culture de sécurité positive sur leur lieu de travail.
Points de données Secure Code Warrior provenant des pilotes DACH :
Ema Rimeike, directrice des ventes (maîtrise en cybersécurité) de Secure Code Warrior, a travaillé en étroite collaboration avec des organisations de la région DACH, en organisant des programmes pilotes pour les développeurs afin d'évaluer les compétences internes des développeurs en matière de codage sécurisé, leur engagement envers les meilleures pratiques de sécurité, ainsi que la culture de sécurité globale de l'entreprise. Grâce à une formation au code sécurisé dynamique et gamifiée, ses principales conclusions laissent entrevoir un avenir prometteur lorsque les développeurs disposeront des connaissances et des outils nécessaires à une réduction des vulnérabilités réussie dès le début du SDLC.
Au cours de ses programmes pilotes, elle a rassemblé des statistiques basées sur 90 minutes en moyenne passées par utilisateur sur la plateforme Secure Code Warrior (SCW), dans lequel ils ont joué 15 défis de codage sécurisé (des leçons de petite taille, ludiques et à votre rythme) :
Les utilisateurs ont passé en moyenne 5,5 minutes pour relever un défi, contre 3 minutes en moyenne pour les autres pilotes SCW mondiaux.
- Précision par rapport à la confiance : les pilotes du DACH ont enregistré un pourcentage moyen compris entre 88 et 92 % de confiance dans leurs réponses aux défis, mais la précision de ces réponses se situait entre 53 et 66 %
- Plus de 75 % des participants interrogés préfèrent les méthodes de formation gamifiées (ou dynamiques), par opposition aux approches statiques telles que la formation assistée par ordinateur (TCC).
- Parmi les vulnérabilités les plus fréquemment constatées, nous avons vu Défauts d'injection, Mauvaise configuration de la sécurité, Scripting intersite (XSS), Utilisation inappropriée de la plateforme, Contrôle d'accès, Authentification, Corruption de la mémoire, Falsification de demandes intersites, Protection insuffisante de la couche de transport et Redirections et transferts non validés
Ce n'est un secret pour personne qu'en général, de nombreux habitants de la région DACH apprécient une solide éthique de travail et l'accent mis sur la précision, et les développeurs qui ont essayé le programme pilote ne font pas exception. Ces données témoignent de leur méconnaissance de ce type d'entraînement, mais aussi de leur désir de continuer à jouer, d'améliorer leur score et d'éviter d'utiliser la fonction « indice » disponible. Leur désir d'apprendre et de s'améliorer est évident, mais cela montre également qu'il reste encore beaucoup à faire pour mettre en œuvre une formation et une sensibilisation efficaces au sein de l'organisation elle-même.
Une formation de qualité visant à réduire les risques et à neutraliser les vulnérabilités n'est pas un exercice ponctuel, mais bien plus qu'une question de conformité. Les responsables et le personnel d'AppSec doivent déployer un effort pour déployer un programme de sensibilisation à la sécurité assorti d'une stratégie et d'un soutien qui reflètent les objectifs de sécurité fondamentaux et visent à les maintenir à long terme. Il s'agit en fait de l'épine dorsale d'un processus DevSecOps réussi avec des développeurs soucieux de la sécurité.
Que révèle un programme pilote à une organisation ?
Les programmes pilotes de Secure Code Warrior constituent un outil extrêmement précieux pour donner aux entreprises un aperçu de leur état de sécurité actuel (généralement entre 65 et 75 %), ainsi que des domaines à améliorer immédiatement. Ils révèlent :
- Clarification des vulnérabilités qui doivent être traitées en priorité, ainsi que de la question de savoir si cette orientation doit être appliquée à une équipe, une unité commerciale ou un langage de programmation en particulier
- Un éventail de renseignements précis et plus large sur les facteurs de risque de cybersécurité au sein de leur SDLC, incluant le facteur humain du développement logiciel.
- En tirant parti de la plateforme SCW, les organisations pourraient prédire les résultats potentiels des tests internes et avoir la possibilité d'atténuer ces risques dès le départ, en préparant les équipes avant même qu'elles ne soient affectées à un projet spécifique.
Dans les organisations qui ont commencé à déployer des programmes de sécurité complets et efficaces, la direction approuve généralement 1 à 1,5 heure par semaine de développement professionnel pour aider leurs développeurs à améliorer leurs connaissances en matière de codage sécurisé. Cependant, nous constatons que les entreprises s'éloignent du « temps passé à se concentrer sur la plateforme » au profit de « quelles équipes de développement logiciel présentent les risques les plus élevés et les plus faibles pour l'entreprise ». Cela est étroitement lié à la certification et à l'obtention de ceintures formalisées, à la découverte de champions de la sécurité et à des programmes de mentorat pour de meilleurs résultats. L'allocation de temps, associée à une évaluation constructive et positive, est absolument essentielle pour créer des développeurs soucieux de la sécurité qui non seulement apprécient la sécurité, mais réduisent de manière mesurable les risques pour l'entreprise.
Comment les organisations utilisent-elles déjà Secure Code Warrior ?
Plusieurs entreprises utilisent déjà Secure Code Warrior pour sensibiliser, renforcer les compétences des développeurs et développer une culture de sécurité positive.
Par exemple, dans un cas d'utilisation, une équipe formée sur la plateforme a utilisé SCW pour révéler ses forces et ses faiblesses en matière de sécurité :
Action du développeur : Les développeurs ont pu constater leurs propres résultats, indiquant les domaines sur lesquels ils devraient se concentrer et les moyens de s'autogérer, et rythmer la formation pour atténuer les vulnérabilités spécifiques ou les lacunes en matière de connaissances qui les aideront dans les futures versions de logiciels.
Action de gestion : Ils ont analysé les forces et les faiblesses générales au niveau de l'équipe et ont été en mesure de prescrire une approche ludique qui aborde les sujets de préoccupation spécifiques. Cela a créé un parcours éducatif bidirectionnel qui permet d'acquérir rapidement des connaissances pertinentes.
Résultat : Une fois les pentests effectués au niveau de l'équipe, toutes les vulnérabilités sont visibles, et la comparaison des résultats précédents a permis de valider facilement si la formation avait permis de réduire les bogues de sécurité courants.
Cela nous ramène aux étapes initiales du développement logiciel, au cours desquelles les objectifs d'amélioration continue de l'équipe avant la formation et l'introduction des meilleures pratiques de sécurité dès le début peuvent être efficaces, faciles à déployer et faire gagner du temps sur l'ensemble du périmètre de développement.
Équipes de projet DevSecOps
Dans un environnement DevSecOps idéal, plusieurs unités commerciales sont représentées au sein d'une équipe de projet pour décider et obtenir les principaux résultats, dont les meilleures pratiques en matière de sécurité.
En termes de recherche et de planification préalables au projet, la plateforme SCW peut évaluer les compétences en matière de sécurité de l'équipe de développement proposée avant que celle-ci ne commence à travailler, en prédisant les résultats des tests d'intrusion éventuels et les retards liés à la sécurité dans le SDLC, avec suffisamment de temps pour s'y préparer de manière adéquate. Une formation spécifique au code et à la structure du projet peut être créée pour que l'équipe puisse y travailler, y compris un processus d'évaluation/certification qui vérifie les compétences générales en matière de sensibilisation à la sécurité, nécessitant une note de passage prédéfinie avant qu'elles ne soient intégrées aux livrables du projet.
Cette approche présente une immense valeur commerciale pour réduire les coûts liés à la correction des vulnérabilités, atténuer les risques de sécurité, gagner du temps lors des pentests, réduire le coût des programmes de primes coûteux et améliorer les compétences de la cohorte de développement de manière centralisée, durable, évolutive et unifiée.
Conclusion :
Les entreprises sont de plus en plus pressées de donner la priorité à la sécurité, de protéger leurs données et de se conformer à des réglementations de plus en plus strictes à l'échelle mondiale, mais en particulier pour les organisations opérant dans l'UE conformément aux directives strictes du RGPD.
Pour les entreprises de la région DACH, il est clair qu'elles mettent en place des voies de sécurité viables en reliant les efforts et les résultats de formation aux activités du monde réel liées à la prévention des risques, y compris la réduction des vulnérabilités courantes dans le code qu'elles produisent.
Pour élaborer une analyse de rentabilisation réellement quantifiable en faveur d'une augmentation des budgets de sécurité, de la sensibilisation et de la conformité globale, la formation doit être engageante pour les développeurs, cohérente, adaptable et mesurable. Suivre les étapes actuelles de la capacité à adapter la formation appropriée, identifier les champions de la sécurité et mesurer les performances des équipes au fil du temps sont autant d'initiatives vitales, et de nombreuses entreprises avant-gardistes de la région DACH en tirent parti grâce à un projet pilote SCW complet.
De nombreuses entreprises rencontrent des difficultés avec des indicateurs de performance de sécurité trop génériques. Grâce à une utilisation cohérente et à long terme de la plateforme SCW, les entreprises pourraient utiliser des évaluations précises, des cours et des mesures de gestion pour découvrir :
- Réduction des vulnérabilités au fil du temps
- Réduction des coûts liés à la correction des vulnérabilités au fil du temps
- Développement des compétences individuelles et en équipe au fil du temps
- Réduction des coûts et du temps lors de la phase de pentesting
Quels sont les indicateurs que votre organisation suit actuellement, à quelle fréquence sont-ils remesurés et ont-ils connu une nette amélioration au fil du temps ? Dans quelle mesure vos initiatives de formation sont-elles intégrées au flux de travail existant pour les développeurs ?
L'approche dynamique, ludique et complète de SCW est considérée comme un élément crucial du flux de travail du cycle de vie du développement logiciel sécurisé. Les entreprises fournissent à leurs développeurs les outils et les formations appropriés, et intègrent le SCW dans leur flux de travail SSDLC.
Table des matières
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démoTéléchargerRessources pour vous aider à démarrer
Sujets et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions d'IA Beat the Boss sont désormais disponibles à la demande
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Déployez des défis de sécurité avancés liés à l'IA et au LLM pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyberrésilience : ce que cela signifie pour le développement de logiciels sécurisés dès la conception
Découvrez ce que la loi européenne sur la cyberrésilience (CRA) exige, à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Enabler 1 donne le coup d'envoi de notre série en 10 parties intitulée Enablers of Success en montrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité pour assurer la maturité à long terme des programmes.
