Mise en place d'une approche cohérente de la sécurité dirigée par les développeurs
En réponse à des failles de sécurité majeures, telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, des efforts de sécurité plus efficaces dirigés par les développeurs sont de plus en plus sollicités. Les organisations de toutes tailles commencent à remettre en question leur « chaîne d'approvisionnement logicielle » et exigent que les développeurs qui élaborent leurs logiciels aient des compétences et des connaissances en matière de sécurité vérifiées.
Même le gouvernement des États-Unis appelle à de meilleures pratiques de sécurité dirigées par les développeurs et à un renforcement de la chaîne d'approvisionnement logicielle. Ces concepts constituent un élément clé d'un décret sur l'amélioration de la cybersécurité du pays publié par le président Biden.
Dans l'ensemble, la communauté des développeurs s'est montrée réceptive à l'idée de déplacer la sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC) grâce à des programmes et à des mouvements tels que DevSecOps. Lors d'une récente enquête, la communauté des développeurs a déclaré qu'elle appréciait la formation en matière de sécurité qu'elle avait reçue pour soutenir cet effort.
Vulnérabilités logicielles continuent d'être exploités, et même les développeurs admettent qu'ils laissent parfois des vulnérabilités dans leur code.
Pourquoi ?
L'enquête a confirmé que la rédaction de code de qualité était une priorité absolue pour la communauté du développement. Cependant, l'enquête a également identifié plusieurs raisons pour lesquelles la formation dispensée aux développeurs, bien que considérée comme utile, est loin d'atteindre l'objectif de sécurisation de la chaîne d'approvisionnement logicielle. 33 % ont déclaré qu'ils présentaient toujours des vulnérabilités dans leur code car, même après la formation dispensée, ils ne savaient toujours pas comment identifier ou corriger les vulnérabilités connues. Et une écrasante majorité de 92 % ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Il est clair que la communauté des développeurs apprécie la formation qui leur est dispensée. Cependant, lorsqu'on les a interrogés sur les obstacles à l'adoption de pratiques de codage sécurisées, le manque de temps a été cité comme principale raison, suivi par un cinquième des personnes interrogées citant l'absence d'une approche cohérente comme cause. La formation était davantage perçue comme un événement ponctuel que comme une partie d'un effort stratégique continu visant à intégrer la sécurité dans les flux de travail des développeurs et à l'utiliser au quotidien.
Les développeurs ne sont donc pas en mesure de développer et de conserver des compétences de codage sécurisées dans le cadre d'un programme cohérent et continu au sein de leurs organisations. Nous pouvons également conclure que la formation actuellement reçue n'est pas particulièrement efficace ou complète étant donné que de nombreux développeurs affirment ne pas être en mesure d'identifier et de corriger les vulnérabilités courantes.
92 % des développeurs ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 92 à 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Que peuvent faire les organisations pour remédier à la situation ?
Il est intéressant de constater que les développeurs ont déclaré à une écrasante majorité qu'ils avaient besoin de plus de formation en matière de sécurité. Bien qu'ils aient apprécié la formation qu'ils ont reçue, il se peut qu'ils soient simplement satisfaits de tout ce qu'ils peuvent obtenir.
Lorsqu'on leur a demandé de commenter les moyens d'améliorer leur formation, leurs véritables réflexions sur la question ont commencé à faire surface. En général, la plupart des formations dispensées aux développeurs étaient limitées, non interactives, ne ciblaient que légèrement leurs responsabilités professionnelles et ne faisaient pas partie d'un plan global ou continu visant à améliorer les compétences et la sensibilisation de leur organisation en matière de sécurité. Selon les développeurs interrogés, si les organisations souhaitent améliorer l'efficacité de la formation proposée, elle doit être présentée comme faisant partie d'une approche globale visant à mettre davantage l'accent sur la sécurité dans l'ensemble du SDLC. De plus, les développeurs avaient des demandes spécifiques pour valoriser leur formation. L'une des suggestions les plus populaires était d'inclure davantage de cas d'utilisation et d'exemples pratiques de situations qu'ils étaient susceptibles de rencontrer du point de vue de la sécurité. Une autre réponse populaire pour améliorer l'efficacité a été que l'enseignement couvre à terme des scénarios de plus en plus complexes ou difficiles, une initiative qui nécessiterait probablement également une approche plus cohérente et un plan à long terme pour l'apprentissage continu et le développement des compétences. Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif. En général, les formations dans le cadre desquelles les utilisateurs se contentent de regarder une vidéo ou d'écouter une conférence sans possibilité d'apprentissage pratique et contextuel ne sont pas considérées comme efficaces ou particulièrement utiles lorsqu'il s'agit d'enseigner une compétence complexe et (perçue comme étant) difficile, telle que le codage sécurisé.
Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif.
Quels autres éléments sont importants lors de l'adoption d'une approche de sécurité cohérente ?
La formation est bien entendu essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Et il est indispensable de veiller à ce que l'apprentissage soit continu, interactif, pertinent et contextuel. Mais une approche véritablement cohérente visant à améliorer la sensibilisation à la sécurité va encore plus loin.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs. Par exemple, les développeurs sont traditionnellement évalués en fonction de la rapidité avec laquelle ils peuvent coder. Cependant, une approche cohérente de la sécurité peut impliquer de modifier ces indicateurs et valeurs de longue date. Au lieu de cela, les évaluations pourraient mettre l'accent non plus sur la récompense de la vitesse brute, mais plutôt sur les développeurs capables de créer un code de qualité qui soit également sécurisé, c'est-à-dire exempt de vulnérabilités.
Cela pourrait également impliquer la communauté des développeurs elle-même dans le cadre de cet effort. Au lieu de simplement confier la sécurité aux développeurs, envisagez de créer ou de nommer des champions de la sécurité issus de la communauté. Il s'agirait de développeurs talentueux et sensibilisés à la sécurité qui se distingueront soit en matière de formation, soit dans le cadre de nouvelles évaluations de métriques ciblées. Ils devraient également être disposés à aider d'autres développeurs à améliorer leurs compétences, améliorant ainsi la communauté du développement de l'intérieur.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Pour en savoir plus
Livre blanc : Les défis (et opportunités) liés à l'amélioration de la sécurité logicielle
Livre blanc : L'approche préventive de la sécurité logicielle axée sur les développeurs
Livre blanc : Le DevSecOps Superbowl : comment les champions de la sécurité peuvent aider votre équipe à remporter la victoire contre les vulnérabilités à un stade avancé
Rapport : L'état de la sécurité pilotée par les développeurs 2022
En réponse à des failles de sécurité majeures, telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, des efforts de sécurité plus efficaces dirigés par les développeurs sont de plus en plus sollicités. Les organisations de toutes tailles commencent à remettre en question leur « chaîne d'approvisionnement logicielle » et exigent que les développeurs qui élaborent leurs logiciels aient des compétences et des connaissances en matière de sécurité vérifiées.
Secure Code Warrior makes secure coding a positive and engaging experience for developers as they increase their skills. We guide each coder along their own preferred learning pathway, so that security-skilled developers become the everyday superheroes of our connected world.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démo
Secure Code Warrior makes secure coding a positive and engaging experience for developers as they increase their skills. We guide each coder along their own preferred learning pathway, so that security-skilled developers become the everyday superheroes of our connected world.
This article was written by Secure Code Warrior's team of industry experts, committed to empowering developers with the knowledge and skills to build secure software from the start. Drawing on deep expertise in secure coding practices, industry trends, and real-world insights.
En réponse à des failles de sécurité majeures, telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, des efforts de sécurité plus efficaces dirigés par les développeurs sont de plus en plus sollicités. Les organisations de toutes tailles commencent à remettre en question leur « chaîne d'approvisionnement logicielle » et exigent que les développeurs qui élaborent leurs logiciels aient des compétences et des connaissances en matière de sécurité vérifiées.
Même le gouvernement des États-Unis appelle à de meilleures pratiques de sécurité dirigées par les développeurs et à un renforcement de la chaîne d'approvisionnement logicielle. Ces concepts constituent un élément clé d'un décret sur l'amélioration de la cybersécurité du pays publié par le président Biden.
Dans l'ensemble, la communauté des développeurs s'est montrée réceptive à l'idée de déplacer la sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC) grâce à des programmes et à des mouvements tels que DevSecOps. Lors d'une récente enquête, la communauté des développeurs a déclaré qu'elle appréciait la formation en matière de sécurité qu'elle avait reçue pour soutenir cet effort.
Vulnérabilités logicielles continuent d'être exploités, et même les développeurs admettent qu'ils laissent parfois des vulnérabilités dans leur code.
Pourquoi ?
L'enquête a confirmé que la rédaction de code de qualité était une priorité absolue pour la communauté du développement. Cependant, l'enquête a également identifié plusieurs raisons pour lesquelles la formation dispensée aux développeurs, bien que considérée comme utile, est loin d'atteindre l'objectif de sécurisation de la chaîne d'approvisionnement logicielle. 33 % ont déclaré qu'ils présentaient toujours des vulnérabilités dans leur code car, même après la formation dispensée, ils ne savaient toujours pas comment identifier ou corriger les vulnérabilités connues. Et une écrasante majorité de 92 % ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Il est clair que la communauté des développeurs apprécie la formation qui leur est dispensée. Cependant, lorsqu'on les a interrogés sur les obstacles à l'adoption de pratiques de codage sécurisées, le manque de temps a été cité comme principale raison, suivi par un cinquième des personnes interrogées citant l'absence d'une approche cohérente comme cause. La formation était davantage perçue comme un événement ponctuel que comme une partie d'un effort stratégique continu visant à intégrer la sécurité dans les flux de travail des développeurs et à l'utiliser au quotidien.
Les développeurs ne sont donc pas en mesure de développer et de conserver des compétences de codage sécurisées dans le cadre d'un programme cohérent et continu au sein de leurs organisations. Nous pouvons également conclure que la formation actuellement reçue n'est pas particulièrement efficace ou complète étant donné que de nombreux développeurs affirment ne pas être en mesure d'identifier et de corriger les vulnérabilités courantes.
92 % des développeurs ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 92 à 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Que peuvent faire les organisations pour remédier à la situation ?
Il est intéressant de constater que les développeurs ont déclaré à une écrasante majorité qu'ils avaient besoin de plus de formation en matière de sécurité. Bien qu'ils aient apprécié la formation qu'ils ont reçue, il se peut qu'ils soient simplement satisfaits de tout ce qu'ils peuvent obtenir.
Lorsqu'on leur a demandé de commenter les moyens d'améliorer leur formation, leurs véritables réflexions sur la question ont commencé à faire surface. En général, la plupart des formations dispensées aux développeurs étaient limitées, non interactives, ne ciblaient que légèrement leurs responsabilités professionnelles et ne faisaient pas partie d'un plan global ou continu visant à améliorer les compétences et la sensibilisation de leur organisation en matière de sécurité. Selon les développeurs interrogés, si les organisations souhaitent améliorer l'efficacité de la formation proposée, elle doit être présentée comme faisant partie d'une approche globale visant à mettre davantage l'accent sur la sécurité dans l'ensemble du SDLC. De plus, les développeurs avaient des demandes spécifiques pour valoriser leur formation. L'une des suggestions les plus populaires était d'inclure davantage de cas d'utilisation et d'exemples pratiques de situations qu'ils étaient susceptibles de rencontrer du point de vue de la sécurité. Une autre réponse populaire pour améliorer l'efficacité a été que l'enseignement couvre à terme des scénarios de plus en plus complexes ou difficiles, une initiative qui nécessiterait probablement également une approche plus cohérente et un plan à long terme pour l'apprentissage continu et le développement des compétences. Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif. En général, les formations dans le cadre desquelles les utilisateurs se contentent de regarder une vidéo ou d'écouter une conférence sans possibilité d'apprentissage pratique et contextuel ne sont pas considérées comme efficaces ou particulièrement utiles lorsqu'il s'agit d'enseigner une compétence complexe et (perçue comme étant) difficile, telle que le codage sécurisé.
Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif.
Quels autres éléments sont importants lors de l'adoption d'une approche de sécurité cohérente ?
La formation est bien entendu essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Et il est indispensable de veiller à ce que l'apprentissage soit continu, interactif, pertinent et contextuel. Mais une approche véritablement cohérente visant à améliorer la sensibilisation à la sécurité va encore plus loin.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs. Par exemple, les développeurs sont traditionnellement évalués en fonction de la rapidité avec laquelle ils peuvent coder. Cependant, une approche cohérente de la sécurité peut impliquer de modifier ces indicateurs et valeurs de longue date. Au lieu de cela, les évaluations pourraient mettre l'accent non plus sur la récompense de la vitesse brute, mais plutôt sur les développeurs capables de créer un code de qualité qui soit également sécurisé, c'est-à-dire exempt de vulnérabilités.
Cela pourrait également impliquer la communauté des développeurs elle-même dans le cadre de cet effort. Au lieu de simplement confier la sécurité aux développeurs, envisagez de créer ou de nommer des champions de la sécurité issus de la communauté. Il s'agirait de développeurs talentueux et sensibilisés à la sécurité qui se distingueront soit en matière de formation, soit dans le cadre de nouvelles évaluations de métriques ciblées. Ils devraient également être disposés à aider d'autres développeurs à améliorer leurs compétences, améliorant ainsi la communauté du développement de l'intérieur.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Pour en savoir plus
Livre blanc : Les défis (et opportunités) liés à l'amélioration de la sécurité logicielle
Livre blanc : L'approche préventive de la sécurité logicielle axée sur les développeurs
Livre blanc : Le DevSecOps Superbowl : comment les champions de la sécurité peuvent aider votre équipe à remporter la victoire contre les vulnérabilités à un stade avancé
Rapport : L'état de la sécurité pilotée par les développeurs 2022
En réponse à des failles de sécurité majeures, telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, des efforts de sécurité plus efficaces dirigés par les développeurs sont de plus en plus sollicités. Les organisations de toutes tailles commencent à remettre en question leur « chaîne d'approvisionnement logicielle » et exigent que les développeurs qui élaborent leurs logiciels aient des compétences et des connaissances en matière de sécurité vérifiées.
Même le gouvernement des États-Unis appelle à de meilleures pratiques de sécurité dirigées par les développeurs et à un renforcement de la chaîne d'approvisionnement logicielle. Ces concepts constituent un élément clé d'un décret sur l'amélioration de la cybersécurité du pays publié par le président Biden.
Dans l'ensemble, la communauté des développeurs s'est montrée réceptive à l'idée de déplacer la sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC) grâce à des programmes et à des mouvements tels que DevSecOps. Lors d'une récente enquête, la communauté des développeurs a déclaré qu'elle appréciait la formation en matière de sécurité qu'elle avait reçue pour soutenir cet effort.
Vulnérabilités logicielles continuent d'être exploités, et même les développeurs admettent qu'ils laissent parfois des vulnérabilités dans leur code.
Pourquoi ?
L'enquête a confirmé que la rédaction de code de qualité était une priorité absolue pour la communauté du développement. Cependant, l'enquête a également identifié plusieurs raisons pour lesquelles la formation dispensée aux développeurs, bien que considérée comme utile, est loin d'atteindre l'objectif de sécurisation de la chaîne d'approvisionnement logicielle. 33 % ont déclaré qu'ils présentaient toujours des vulnérabilités dans leur code car, même après la formation dispensée, ils ne savaient toujours pas comment identifier ou corriger les vulnérabilités connues. Et une écrasante majorité de 92 % ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Il est clair que la communauté des développeurs apprécie la formation qui leur est dispensée. Cependant, lorsqu'on les a interrogés sur les obstacles à l'adoption de pratiques de codage sécurisées, le manque de temps a été cité comme principale raison, suivi par un cinquième des personnes interrogées citant l'absence d'une approche cohérente comme cause. La formation était davantage perçue comme un événement ponctuel que comme une partie d'un effort stratégique continu visant à intégrer la sécurité dans les flux de travail des développeurs et à l'utiliser au quotidien.
Les développeurs ne sont donc pas en mesure de développer et de conserver des compétences de codage sécurisées dans le cadre d'un programme cohérent et continu au sein de leurs organisations. Nous pouvons également conclure que la formation actuellement reçue n'est pas particulièrement efficace ou complète étant donné que de nombreux développeurs affirment ne pas être en mesure d'identifier et de corriger les vulnérabilités courantes.
92 % des développeurs ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 92 à 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Que peuvent faire les organisations pour remédier à la situation ?
Il est intéressant de constater que les développeurs ont déclaré à une écrasante majorité qu'ils avaient besoin de plus de formation en matière de sécurité. Bien qu'ils aient apprécié la formation qu'ils ont reçue, il se peut qu'ils soient simplement satisfaits de tout ce qu'ils peuvent obtenir.
Lorsqu'on leur a demandé de commenter les moyens d'améliorer leur formation, leurs véritables réflexions sur la question ont commencé à faire surface. En général, la plupart des formations dispensées aux développeurs étaient limitées, non interactives, ne ciblaient que légèrement leurs responsabilités professionnelles et ne faisaient pas partie d'un plan global ou continu visant à améliorer les compétences et la sensibilisation de leur organisation en matière de sécurité. Selon les développeurs interrogés, si les organisations souhaitent améliorer l'efficacité de la formation proposée, elle doit être présentée comme faisant partie d'une approche globale visant à mettre davantage l'accent sur la sécurité dans l'ensemble du SDLC. De plus, les développeurs avaient des demandes spécifiques pour valoriser leur formation. L'une des suggestions les plus populaires était d'inclure davantage de cas d'utilisation et d'exemples pratiques de situations qu'ils étaient susceptibles de rencontrer du point de vue de la sécurité. Une autre réponse populaire pour améliorer l'efficacité a été que l'enseignement couvre à terme des scénarios de plus en plus complexes ou difficiles, une initiative qui nécessiterait probablement également une approche plus cohérente et un plan à long terme pour l'apprentissage continu et le développement des compétences. Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif. En général, les formations dans le cadre desquelles les utilisateurs se contentent de regarder une vidéo ou d'écouter une conférence sans possibilité d'apprentissage pratique et contextuel ne sont pas considérées comme efficaces ou particulièrement utiles lorsqu'il s'agit d'enseigner une compétence complexe et (perçue comme étant) difficile, telle que le codage sécurisé.
Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif.
Quels autres éléments sont importants lors de l'adoption d'une approche de sécurité cohérente ?
La formation est bien entendu essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Et il est indispensable de veiller à ce que l'apprentissage soit continu, interactif, pertinent et contextuel. Mais une approche véritablement cohérente visant à améliorer la sensibilisation à la sécurité va encore plus loin.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs. Par exemple, les développeurs sont traditionnellement évalués en fonction de la rapidité avec laquelle ils peuvent coder. Cependant, une approche cohérente de la sécurité peut impliquer de modifier ces indicateurs et valeurs de longue date. Au lieu de cela, les évaluations pourraient mettre l'accent non plus sur la récompense de la vitesse brute, mais plutôt sur les développeurs capables de créer un code de qualité qui soit également sécurisé, c'est-à-dire exempt de vulnérabilités.
Cela pourrait également impliquer la communauté des développeurs elle-même dans le cadre de cet effort. Au lieu de simplement confier la sécurité aux développeurs, envisagez de créer ou de nommer des champions de la sécurité issus de la communauté. Il s'agirait de développeurs talentueux et sensibilisés à la sécurité qui se distingueront soit en matière de formation, soit dans le cadre de nouvelles évaluations de métriques ciblées. Ils devraient également être disposés à aider d'autres développeurs à améliorer leurs compétences, améliorant ainsi la communauté du développement de l'intérieur.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Pour en savoir plus
Livre blanc : Les défis (et opportunités) liés à l'amélioration de la sécurité logicielle
Livre blanc : L'approche préventive de la sécurité logicielle axée sur les développeurs
Livre blanc : Le DevSecOps Superbowl : comment les champions de la sécurité peuvent aider votre équipe à remporter la victoire contre les vulnérabilités à un stade avancé
Rapport : L'état de la sécurité pilotée par les développeurs 2022
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Afficher le rapportRéservez une démo
Secure Code Warrior makes secure coding a positive and engaging experience for developers as they increase their skills. We guide each coder along their own preferred learning pathway, so that security-skilled developers become the everyday superheroes of our connected world.
This article was written by Secure Code Warrior's team of industry experts, committed to empowering developers with the knowledge and skills to build secure software from the start. Drawing on deep expertise in secure coding practices, industry trends, and real-world insights.
En réponse à des failles de sécurité majeures, telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, des efforts de sécurité plus efficaces dirigés par les développeurs sont de plus en plus sollicités. Les organisations de toutes tailles commencent à remettre en question leur « chaîne d'approvisionnement logicielle » et exigent que les développeurs qui élaborent leurs logiciels aient des compétences et des connaissances en matière de sécurité vérifiées.
Même le gouvernement des États-Unis appelle à de meilleures pratiques de sécurité dirigées par les développeurs et à un renforcement de la chaîne d'approvisionnement logicielle. Ces concepts constituent un élément clé d'un décret sur l'amélioration de la cybersécurité du pays publié par le président Biden.
Dans l'ensemble, la communauté des développeurs s'est montrée réceptive à l'idée de déplacer la sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC) grâce à des programmes et à des mouvements tels que DevSecOps. Lors d'une récente enquête, la communauté des développeurs a déclaré qu'elle appréciait la formation en matière de sécurité qu'elle avait reçue pour soutenir cet effort.
Vulnérabilités logicielles continuent d'être exploités, et même les développeurs admettent qu'ils laissent parfois des vulnérabilités dans leur code.
Pourquoi ?
L'enquête a confirmé que la rédaction de code de qualité était une priorité absolue pour la communauté du développement. Cependant, l'enquête a également identifié plusieurs raisons pour lesquelles la formation dispensée aux développeurs, bien que considérée comme utile, est loin d'atteindre l'objectif de sécurisation de la chaîne d'approvisionnement logicielle. 33 % ont déclaré qu'ils présentaient toujours des vulnérabilités dans leur code car, même après la formation dispensée, ils ne savaient toujours pas comment identifier ou corriger les vulnérabilités connues. Et une écrasante majorité de 92 % ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Il est clair que la communauté des développeurs apprécie la formation qui leur est dispensée. Cependant, lorsqu'on les a interrogés sur les obstacles à l'adoption de pratiques de codage sécurisées, le manque de temps a été cité comme principale raison, suivi par un cinquième des personnes interrogées citant l'absence d'une approche cohérente comme cause. La formation était davantage perçue comme un événement ponctuel que comme une partie d'un effort stratégique continu visant à intégrer la sécurité dans les flux de travail des développeurs et à l'utiliser au quotidien.
Les développeurs ne sont donc pas en mesure de développer et de conserver des compétences de codage sécurisées dans le cadre d'un programme cohérent et continu au sein de leurs organisations. Nous pouvons également conclure que la formation actuellement reçue n'est pas particulièrement efficace ou complète étant donné que de nombreux développeurs affirment ne pas être en mesure d'identifier et de corriger les vulnérabilités courantes.
92 % des développeurs ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 92 à 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Que peuvent faire les organisations pour remédier à la situation ?
Il est intéressant de constater que les développeurs ont déclaré à une écrasante majorité qu'ils avaient besoin de plus de formation en matière de sécurité. Bien qu'ils aient apprécié la formation qu'ils ont reçue, il se peut qu'ils soient simplement satisfaits de tout ce qu'ils peuvent obtenir.
Lorsqu'on leur a demandé de commenter les moyens d'améliorer leur formation, leurs véritables réflexions sur la question ont commencé à faire surface. En général, la plupart des formations dispensées aux développeurs étaient limitées, non interactives, ne ciblaient que légèrement leurs responsabilités professionnelles et ne faisaient pas partie d'un plan global ou continu visant à améliorer les compétences et la sensibilisation de leur organisation en matière de sécurité. Selon les développeurs interrogés, si les organisations souhaitent améliorer l'efficacité de la formation proposée, elle doit être présentée comme faisant partie d'une approche globale visant à mettre davantage l'accent sur la sécurité dans l'ensemble du SDLC. De plus, les développeurs avaient des demandes spécifiques pour valoriser leur formation. L'une des suggestions les plus populaires était d'inclure davantage de cas d'utilisation et d'exemples pratiques de situations qu'ils étaient susceptibles de rencontrer du point de vue de la sécurité. Une autre réponse populaire pour améliorer l'efficacité a été que l'enseignement couvre à terme des scénarios de plus en plus complexes ou difficiles, une initiative qui nécessiterait probablement également une approche plus cohérente et un plan à long terme pour l'apprentissage continu et le développement des compétences. Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif. En général, les formations dans le cadre desquelles les utilisateurs se contentent de regarder une vidéo ou d'écouter une conférence sans possibilité d'apprentissage pratique et contextuel ne sont pas considérées comme efficaces ou particulièrement utiles lorsqu'il s'agit d'enseigner une compétence complexe et (perçue comme étant) difficile, telle que le codage sécurisé.
Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif.
Quels autres éléments sont importants lors de l'adoption d'une approche de sécurité cohérente ?
La formation est bien entendu essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Et il est indispensable de veiller à ce que l'apprentissage soit continu, interactif, pertinent et contextuel. Mais une approche véritablement cohérente visant à améliorer la sensibilisation à la sécurité va encore plus loin.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs. Par exemple, les développeurs sont traditionnellement évalués en fonction de la rapidité avec laquelle ils peuvent coder. Cependant, une approche cohérente de la sécurité peut impliquer de modifier ces indicateurs et valeurs de longue date. Au lieu de cela, les évaluations pourraient mettre l'accent non plus sur la récompense de la vitesse brute, mais plutôt sur les développeurs capables de créer un code de qualité qui soit également sécurisé, c'est-à-dire exempt de vulnérabilités.
Cela pourrait également impliquer la communauté des développeurs elle-même dans le cadre de cet effort. Au lieu de simplement confier la sécurité aux développeurs, envisagez de créer ou de nommer des champions de la sécurité issus de la communauté. Il s'agirait de développeurs talentueux et sensibilisés à la sécurité qui se distingueront soit en matière de formation, soit dans le cadre de nouvelles évaluations de métriques ciblées. Ils devraient également être disposés à aider d'autres développeurs à améliorer leurs compétences, améliorant ainsi la communauté du développement de l'intérieur.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Pour en savoir plus
Livre blanc : Les défis (et opportunités) liés à l'amélioration de la sécurité logicielle
Livre blanc : L'approche préventive de la sécurité logicielle axée sur les développeurs
Livre blanc : Le DevSecOps Superbowl : comment les champions de la sécurité peuvent aider votre équipe à remporter la victoire contre les vulnérabilités à un stade avancé
Rapport : L'état de la sécurité pilotée par les développeurs 2022
Table des matières
Secure Code Warrior makes secure coding a positive and engaging experience for developers as they increase their skills. We guide each coder along their own preferred learning pathway, so that security-skilled developers become the everyday superheroes of our connected world.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démoTéléchargerRessources pour vous aider à démarrer
Sujets et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions d'IA Beat the Boss sont désormais disponibles à la demande
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Déployez des défis de sécurité avancés liés à l'IA et au LLM pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyberrésilience : ce que cela signifie pour le développement de logiciels sécurisés dès la conception
Découvrez ce que la loi européenne sur la cyberrésilience (CRA) exige, à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Enabler 1 donne le coup d'envoi de notre série en 10 parties intitulée Enablers of Success en montrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité pour assurer la maturité à long terme des programmes.
