Comment Thales a mis en œuvre une sécurité pilotée par les développeurs
Contexte
Le groupe Thales est une multinationale française qui conçoit, développe et fabrique des systèmes électriques, ainsi que des appareils et des équipements pour les secteurs de l'aérospatiale, de la défense, des transports et de la sécurité. Viswanath S. Chirravuri est le directeur technique de la sécurité logicielle chez Thales. Viswanath, ou Vis, a débuté sa carrière dans la sécurité en tant que programmeur. Il est aujourd'hui haut responsable de la sécurité chez Thales, avec plus de 18 ans d'expérience dans le secteur de la sécurité, et détient plus de 30 certifications, dont CISSP, PMP et GSE. Il a formé plus de 3 000 professionnels du logiciel dans plus de 18 pays. En outre, Vis a remporté plus de 10 pièces de défi SANS lors de tournois internationaux de cybersécurité (tels que Netwars) et est un membre actif du conseil consultatif du GIAC. Nous avons discuté avec Vis pour savoir comment il a aligné les personnes, les processus et la technologie pour développer un programme d'apprentissage de code sécurisé réussi chez Thales.
Situation
Lorsque Vis a rejoint Thales, il a coaché des unités commerciales pour qu'elles examinent la source des vulnérabilités découvertes lors de tests internes en tant que solution possible pour réduire l'arriéré de dettes technologiques. L'équipe chargée de la sécurité des applications a fait appel à 7 fournisseurs différents avec lesquels elle travaillait pour renforcer sa position en matière de sécurité, des outils IAST/DAST aux outils de test informatique. Vis souhaitait comprendre les tendances du marché et gérer les menaces de manière évolutive afin de développer des stratégies d'atténuation grâce à une forte intégration entre les processus et la technologie. Cela impliquait de passer d'une approche purement basée sur les outils à une stratégie comportant une forte composante d'apprentissage. Il a remarqué que de nombreux développeurs n'avaient ni connaissances ni compétences en matière de sécurité. Son approche initiale était de proposer une formation en classe aux développeurs sur des sujets tels que le Top 10 de l'OWASP, mais il s'est vite rendu compte que cela n'allait pas évoluer compte tenu des déplacements nécessaires pour enseigner en personne et de la nécessité de toucher des milliers de développeurs à travers le monde. Vis a noté que :
« Il y aura toujours un déséquilibre dans le rapport entre sécurité et développement. Même si j'avais un ratio de sécurité de 1:1 par rapport aux développeurs, je ne pourrais pas les maintenir engagés en permanence. Pour tenir nos développeurs informés des nouveaux vecteurs d'attaque, des meilleures pratiques, des nouveaux langages et des vulnérabilités récemment découvertes, nous devions être en mesure de promouvoir l'auto-apprentissage par les développeurs et de leur permettre de suivre leur propre rythme. S'ils ont besoin d'aide, je pourrais les aider, mais je me suis rendu compte que je ne pouvais pas être la personne qui leur apprendrait à corriger toutes les vulnérabilités qu'ils trouvent. »
Au départ, les responsables du développement se sont montrés réticents quant au temps que les développeurs devraient consacrer à l'apprentissage sécurisé du code, étant donné que de nombreux développeurs partaient de zéro. Vis devait gérer la perception selon laquelle un engagement en faveur d'un apprentissage sécurisé du code risquait de perturber les cycles de publication des logiciels ou de ralentir les sprints critiques. Il avait besoin de trouver un moyen de motiver correctement l'organisation à consacrer du temps à l'apprentissage agile du code sécurisé. Vis a adopté une attitude axée sur les personnes pour remédier aux vulnérabilités à la source, « Les gens disent souvent que la sécurité fait perdre du temps au développement. Pour moi, si vous développez quelque chose et que ce n'est pas sûr, c'était une perte de temps au départ. Vous devez toujours développer des logiciels de manière à les sécuriser et à ne pas avoir à corriger les vulnérabilités qui auraient pu être facilement évitées. Nous devrions tous avoir pour objectif commun d'envoyer un code fiable. »
Action
Vis avait deux objectifs principaux en tête : sécuriser ses logiciels et sensibiliser les équipes de développement de Thales à la sécurité. Il était essentiel de mettre en œuvre un programme permettant aux développeurs d'être indépendants et de se former à leur propre rythme. La stratégie de Vis était de créer une communauté de sécurité au fil du temps, en s'efforçant de lier le codage sécurisé aux politiques de l'entreprise et en élaborant un mandat pour l'apprentissage sécurisé du code dans l'organisation. En encourageant une culture de communauté mettant en relation les développeurs, les testeurs, les architectes et les ingénieurs, il a constaté un effet multiplicateur de motivation. Des champions de la sécurité passionnés par la sécurité sont apparus dans le cadre de leur travail quotidien et ont contribué à faire connaître les pratiques de codage sécurisé au sein de l'organisation. Vis a évalué plus d'une douzaine de fournisseurs de formations en sécurité et est devenue cliente de SCW en 2019. Pour Thales, le fait de pouvoir compter sur un fournisseur couvrant tous les langages de programmation et tous les frameworks de son environnement au lieu d'une solution fragmentaire a constitué un avantage considérable. Vis s'est appuyé sur l'énorme volume de contenu de Secure Code Warrior pour créer des formations et un apprentissage à leur rythme permettant aux développeurs du programme de sécurité d'accéder à :
« Le top 10 de l'OWASP ne se résume pas à dix choses que vous devez savoir. La profondeur et la diversité des vulnérabilités couvertes par l'OWASP, combinées au grand nombre de langages de programmation, peuvent être écrasantes. Le large éventail de défis et la couverture que nous avons sur ces sujets ont joué un rôle clé dans le choix de SCW. Ils ajoutent toujours de nouvelles choses. La profondeur, la diversité des sujets, le contenu actualisé et l'accent mis sur les principes de conception de code sécurisé distinguent vraiment SCW. Grâce à eux, il ne s'agit pas d'une formation à usage unique, mais nous avons eu l'opportunité de créer un programme continu. »
Vis et son équipe ont structuré quatre niveaux du déploiement du programme d'apprentissage sécurisé du code, avec des étapes différentes pour chaque rôle d'ingénieur :
Il est important de noter que SCW est devenu la source de vérité pour les corrections de vulnérabilités. Au lieu de se fier aux recherches Google susceptibles de vous amener à résoudre les problèmes, Vis a publié à la fois des directives de l'équipe AppSec et celles de la bibliothèque de contenu de SCW afin que les développeurs puissent référencer une source fiable et authentique pour les corrections de vulnérabilités dans le code. Selon Vis :
« Les développeurs ne devraient pas être libres de décider comment corriger une vulnérabilité et potentiellement introduire une nouvelle vulnérabilité au cours du processus. Nous avons intégré des vidéos SCW à notre LMS via l'intégration SCORM de SCW pour nous assurer que les développeurs apprenaient à corriger la vulnérabilité de la bonne manière. Cela nous a également permis de nous assurer que les développeurs fournissant des logiciels sécurisés étaient reconnus. Nous leur demandons d'atteindre un certain niveau de sécurité en matière de codage et nous pouvons suivre ce niveau grâce aux vulnérabilités qu'ils corrigent et ne réintroduisent pas. De cette façon, le dur labeur qu'ils ont accompli est reconnu et valorisé au sein de l'entreprise. »
Résultats
Vis et son équipe publient une newsletter mensuelle à code sécurisé dans laquelle ils peuvent reconnaître le meilleur apprenant de l'entreprise. Ils utilisent SCW pour examiner les scores d'évaluation, la participation aux tournois et les défis rencontrés afin d'amplifier ce résultat. Cela motive d'autres développeurs à apprendre également. Les KPI qu'il a initialement définis visaient à réduire le nombre total de vulnérabilités sur 2 ans. Après la mise en œuvre du SCW, il a noté une ligne de tendance à la baisse. Ces vulnérabilités ne sont pas réintroduites au niveau du code source. Vis le dit ainsi :
« Les KPI que nous présentons à notre direction reflètent cette sélection éclairée que nous avons faite. Nous sommes fiers de proposer une formation au code sécurisée qui donne confiance à nos clients. Nous sommes reconnus pour notre programme complet de formation au code sécurisé et sommes respectés par nos clients et nos pairs. Un tel programme ajoute beaucoup de valeur à votre entreprise. »
Principaux points à retenir
Vis a reconnu que les personnes, les processus et la technologie ont tous un rôle à jouer dans toute initiative de sécurité. En mettant l'accent sur la sécurité du logiciel, les connaissances des développeurs et le respect de la conformité, il est possible de mettre en place un apprentissage agile pour un programme de code sécurisé qui réduit les vulnérabilités du code source au fil du temps. Vis propose ces recommandations aux professionnels de son domaine qui souhaitent renforcer les compétences en sécurité des équipes de développeurs.
Dans cette étude de cas, découvrez comment Thales a développé des approches relatives aux personnes, aux processus et à la technologie pour un programme d'apprentissage du code sécurisé agile afin d'inciter les développeurs à devenir des champions actifs de la sécurité.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démo
Contexte
Le groupe Thales est une multinationale française qui conçoit, développe et fabrique des systèmes électriques, ainsi que des appareils et des équipements pour les secteurs de l'aérospatiale, de la défense, des transports et de la sécurité. Viswanath S. Chirravuri est le directeur technique de la sécurité logicielle chez Thales. Viswanath, ou Vis, a débuté sa carrière dans la sécurité en tant que programmeur. Il est aujourd'hui haut responsable de la sécurité chez Thales, avec plus de 18 ans d'expérience dans le secteur de la sécurité, et détient plus de 30 certifications, dont CISSP, PMP et GSE. Il a formé plus de 3 000 professionnels du logiciel dans plus de 18 pays. En outre, Vis a remporté plus de 10 pièces de défi SANS lors de tournois internationaux de cybersécurité (tels que Netwars) et est un membre actif du conseil consultatif du GIAC. Nous avons discuté avec Vis pour savoir comment il a aligné les personnes, les processus et la technologie pour développer un programme d'apprentissage de code sécurisé réussi chez Thales.
Situation
Lorsque Vis a rejoint Thales, il a coaché des unités commerciales pour qu'elles examinent la source des vulnérabilités découvertes lors de tests internes en tant que solution possible pour réduire l'arriéré de dettes technologiques. L'équipe chargée de la sécurité des applications a fait appel à 7 fournisseurs différents avec lesquels elle travaillait pour renforcer sa position en matière de sécurité, des outils IAST/DAST aux outils de test informatique. Vis souhaitait comprendre les tendances du marché et gérer les menaces de manière évolutive afin de développer des stratégies d'atténuation grâce à une forte intégration entre les processus et la technologie. Cela impliquait de passer d'une approche purement basée sur les outils à une stratégie comportant une forte composante d'apprentissage. Il a remarqué que de nombreux développeurs n'avaient ni connaissances ni compétences en matière de sécurité. Son approche initiale était de proposer une formation en classe aux développeurs sur des sujets tels que le Top 10 de l'OWASP, mais il s'est vite rendu compte que cela n'allait pas évoluer compte tenu des déplacements nécessaires pour enseigner en personne et de la nécessité de toucher des milliers de développeurs à travers le monde. Vis a noté que :
« Il y aura toujours un déséquilibre dans le rapport entre sécurité et développement. Même si j'avais un ratio de sécurité de 1:1 par rapport aux développeurs, je ne pourrais pas les maintenir engagés en permanence. Pour tenir nos développeurs informés des nouveaux vecteurs d'attaque, des meilleures pratiques, des nouveaux langages et des vulnérabilités récemment découvertes, nous devions être en mesure de promouvoir l'auto-apprentissage par les développeurs et de leur permettre de suivre leur propre rythme. S'ils ont besoin d'aide, je pourrais les aider, mais je me suis rendu compte que je ne pouvais pas être la personne qui leur apprendrait à corriger toutes les vulnérabilités qu'ils trouvent. »
Au départ, les responsables du développement se sont montrés réticents quant au temps que les développeurs devraient consacrer à l'apprentissage sécurisé du code, étant donné que de nombreux développeurs partaient de zéro. Vis devait gérer la perception selon laquelle un engagement en faveur d'un apprentissage sécurisé du code risquait de perturber les cycles de publication des logiciels ou de ralentir les sprints critiques. Il avait besoin de trouver un moyen de motiver correctement l'organisation à consacrer du temps à l'apprentissage agile du code sécurisé. Vis a adopté une attitude axée sur les personnes pour remédier aux vulnérabilités à la source, « Les gens disent souvent que la sécurité fait perdre du temps au développement. Pour moi, si vous développez quelque chose et que ce n'est pas sûr, c'était une perte de temps au départ. Vous devez toujours développer des logiciels de manière à les sécuriser et à ne pas avoir à corriger les vulnérabilités qui auraient pu être facilement évitées. Nous devrions tous avoir pour objectif commun d'envoyer un code fiable. »
Action
Vis avait deux objectifs principaux en tête : sécuriser ses logiciels et sensibiliser les équipes de développement de Thales à la sécurité. Il était essentiel de mettre en œuvre un programme permettant aux développeurs d'être indépendants et de se former à leur propre rythme. La stratégie de Vis était de créer une communauté de sécurité au fil du temps, en s'efforçant de lier le codage sécurisé aux politiques de l'entreprise et en élaborant un mandat pour l'apprentissage sécurisé du code dans l'organisation. En encourageant une culture de communauté mettant en relation les développeurs, les testeurs, les architectes et les ingénieurs, il a constaté un effet multiplicateur de motivation. Des champions de la sécurité passionnés par la sécurité sont apparus dans le cadre de leur travail quotidien et ont contribué à faire connaître les pratiques de codage sécurisé au sein de l'organisation. Vis a évalué plus d'une douzaine de fournisseurs de formations en sécurité et est devenue cliente de SCW en 2019. Pour Thales, le fait de pouvoir compter sur un fournisseur couvrant tous les langages de programmation et tous les frameworks de son environnement au lieu d'une solution fragmentaire a constitué un avantage considérable. Vis s'est appuyé sur l'énorme volume de contenu de Secure Code Warrior pour créer des formations et un apprentissage à leur rythme permettant aux développeurs du programme de sécurité d'accéder à :
« Le top 10 de l'OWASP ne se résume pas à dix choses que vous devez savoir. La profondeur et la diversité des vulnérabilités couvertes par l'OWASP, combinées au grand nombre de langages de programmation, peuvent être écrasantes. Le large éventail de défis et la couverture que nous avons sur ces sujets ont joué un rôle clé dans le choix de SCW. Ils ajoutent toujours de nouvelles choses. La profondeur, la diversité des sujets, le contenu actualisé et l'accent mis sur les principes de conception de code sécurisé distinguent vraiment SCW. Grâce à eux, il ne s'agit pas d'une formation à usage unique, mais nous avons eu l'opportunité de créer un programme continu. »
Vis et son équipe ont structuré quatre niveaux du déploiement du programme d'apprentissage sécurisé du code, avec des étapes différentes pour chaque rôle d'ingénieur :
Il est important de noter que SCW est devenu la source de vérité pour les corrections de vulnérabilités. Au lieu de se fier aux recherches Google susceptibles de vous amener à résoudre les problèmes, Vis a publié à la fois des directives de l'équipe AppSec et celles de la bibliothèque de contenu de SCW afin que les développeurs puissent référencer une source fiable et authentique pour les corrections de vulnérabilités dans le code. Selon Vis :
« Les développeurs ne devraient pas être libres de décider comment corriger une vulnérabilité et potentiellement introduire une nouvelle vulnérabilité au cours du processus. Nous avons intégré des vidéos SCW à notre LMS via l'intégration SCORM de SCW pour nous assurer que les développeurs apprenaient à corriger la vulnérabilité de la bonne manière. Cela nous a également permis de nous assurer que les développeurs fournissant des logiciels sécurisés étaient reconnus. Nous leur demandons d'atteindre un certain niveau de sécurité en matière de codage et nous pouvons suivre ce niveau grâce aux vulnérabilités qu'ils corrigent et ne réintroduisent pas. De cette façon, le dur labeur qu'ils ont accompli est reconnu et valorisé au sein de l'entreprise. »
Résultats
Vis et son équipe publient une newsletter mensuelle à code sécurisé dans laquelle ils peuvent reconnaître le meilleur apprenant de l'entreprise. Ils utilisent SCW pour examiner les scores d'évaluation, la participation aux tournois et les défis rencontrés afin d'amplifier ce résultat. Cela motive d'autres développeurs à apprendre également. Les KPI qu'il a initialement définis visaient à réduire le nombre total de vulnérabilités sur 2 ans. Après la mise en œuvre du SCW, il a noté une ligne de tendance à la baisse. Ces vulnérabilités ne sont pas réintroduites au niveau du code source. Vis le dit ainsi :
« Les KPI que nous présentons à notre direction reflètent cette sélection éclairée que nous avons faite. Nous sommes fiers de proposer une formation au code sécurisée qui donne confiance à nos clients. Nous sommes reconnus pour notre programme complet de formation au code sécurisé et sommes respectés par nos clients et nos pairs. Un tel programme ajoute beaucoup de valeur à votre entreprise. »
Principaux points à retenir
Vis a reconnu que les personnes, les processus et la technologie ont tous un rôle à jouer dans toute initiative de sécurité. En mettant l'accent sur la sécurité du logiciel, les connaissances des développeurs et le respect de la conformité, il est possible de mettre en place un apprentissage agile pour un programme de code sécurisé qui réduit les vulnérabilités du code source au fil du temps. Vis propose ces recommandations aux professionnels de son domaine qui souhaitent renforcer les compétences en sécurité des équipes de développeurs.
Contexte
Le groupe Thales est une multinationale française qui conçoit, développe et fabrique des systèmes électriques, ainsi que des appareils et des équipements pour les secteurs de l'aérospatiale, de la défense, des transports et de la sécurité. Viswanath S. Chirravuri est le directeur technique de la sécurité logicielle chez Thales. Viswanath, ou Vis, a débuté sa carrière dans la sécurité en tant que programmeur. Il est aujourd'hui haut responsable de la sécurité chez Thales, avec plus de 18 ans d'expérience dans le secteur de la sécurité, et détient plus de 30 certifications, dont CISSP, PMP et GSE. Il a formé plus de 3 000 professionnels du logiciel dans plus de 18 pays. En outre, Vis a remporté plus de 10 pièces de défi SANS lors de tournois internationaux de cybersécurité (tels que Netwars) et est un membre actif du conseil consultatif du GIAC. Nous avons discuté avec Vis pour savoir comment il a aligné les personnes, les processus et la technologie pour développer un programme d'apprentissage de code sécurisé réussi chez Thales.
Situation
Lorsque Vis a rejoint Thales, il a coaché des unités commerciales pour qu'elles examinent la source des vulnérabilités découvertes lors de tests internes en tant que solution possible pour réduire l'arriéré de dettes technologiques. L'équipe chargée de la sécurité des applications a fait appel à 7 fournisseurs différents avec lesquels elle travaillait pour renforcer sa position en matière de sécurité, des outils IAST/DAST aux outils de test informatique. Vis souhaitait comprendre les tendances du marché et gérer les menaces de manière évolutive afin de développer des stratégies d'atténuation grâce à une forte intégration entre les processus et la technologie. Cela impliquait de passer d'une approche purement basée sur les outils à une stratégie comportant une forte composante d'apprentissage. Il a remarqué que de nombreux développeurs n'avaient ni connaissances ni compétences en matière de sécurité. Son approche initiale était de proposer une formation en classe aux développeurs sur des sujets tels que le Top 10 de l'OWASP, mais il s'est vite rendu compte que cela n'allait pas évoluer compte tenu des déplacements nécessaires pour enseigner en personne et de la nécessité de toucher des milliers de développeurs à travers le monde. Vis a noté que :
« Il y aura toujours un déséquilibre dans le rapport entre sécurité et développement. Même si j'avais un ratio de sécurité de 1:1 par rapport aux développeurs, je ne pourrais pas les maintenir engagés en permanence. Pour tenir nos développeurs informés des nouveaux vecteurs d'attaque, des meilleures pratiques, des nouveaux langages et des vulnérabilités récemment découvertes, nous devions être en mesure de promouvoir l'auto-apprentissage par les développeurs et de leur permettre de suivre leur propre rythme. S'ils ont besoin d'aide, je pourrais les aider, mais je me suis rendu compte que je ne pouvais pas être la personne qui leur apprendrait à corriger toutes les vulnérabilités qu'ils trouvent. »
Au départ, les responsables du développement se sont montrés réticents quant au temps que les développeurs devraient consacrer à l'apprentissage sécurisé du code, étant donné que de nombreux développeurs partaient de zéro. Vis devait gérer la perception selon laquelle un engagement en faveur d'un apprentissage sécurisé du code risquait de perturber les cycles de publication des logiciels ou de ralentir les sprints critiques. Il avait besoin de trouver un moyen de motiver correctement l'organisation à consacrer du temps à l'apprentissage agile du code sécurisé. Vis a adopté une attitude axée sur les personnes pour remédier aux vulnérabilités à la source, « Les gens disent souvent que la sécurité fait perdre du temps au développement. Pour moi, si vous développez quelque chose et que ce n'est pas sûr, c'était une perte de temps au départ. Vous devez toujours développer des logiciels de manière à les sécuriser et à ne pas avoir à corriger les vulnérabilités qui auraient pu être facilement évitées. Nous devrions tous avoir pour objectif commun d'envoyer un code fiable. »
Action
Vis avait deux objectifs principaux en tête : sécuriser ses logiciels et sensibiliser les équipes de développement de Thales à la sécurité. Il était essentiel de mettre en œuvre un programme permettant aux développeurs d'être indépendants et de se former à leur propre rythme. La stratégie de Vis était de créer une communauté de sécurité au fil du temps, en s'efforçant de lier le codage sécurisé aux politiques de l'entreprise et en élaborant un mandat pour l'apprentissage sécurisé du code dans l'organisation. En encourageant une culture de communauté mettant en relation les développeurs, les testeurs, les architectes et les ingénieurs, il a constaté un effet multiplicateur de motivation. Des champions de la sécurité passionnés par la sécurité sont apparus dans le cadre de leur travail quotidien et ont contribué à faire connaître les pratiques de codage sécurisé au sein de l'organisation. Vis a évalué plus d'une douzaine de fournisseurs de formations en sécurité et est devenue cliente de SCW en 2019. Pour Thales, le fait de pouvoir compter sur un fournisseur couvrant tous les langages de programmation et tous les frameworks de son environnement au lieu d'une solution fragmentaire a constitué un avantage considérable. Vis s'est appuyé sur l'énorme volume de contenu de Secure Code Warrior pour créer des formations et un apprentissage à leur rythme permettant aux développeurs du programme de sécurité d'accéder à :
« Le top 10 de l'OWASP ne se résume pas à dix choses que vous devez savoir. La profondeur et la diversité des vulnérabilités couvertes par l'OWASP, combinées au grand nombre de langages de programmation, peuvent être écrasantes. Le large éventail de défis et la couverture que nous avons sur ces sujets ont joué un rôle clé dans le choix de SCW. Ils ajoutent toujours de nouvelles choses. La profondeur, la diversité des sujets, le contenu actualisé et l'accent mis sur les principes de conception de code sécurisé distinguent vraiment SCW. Grâce à eux, il ne s'agit pas d'une formation à usage unique, mais nous avons eu l'opportunité de créer un programme continu. »
Vis et son équipe ont structuré quatre niveaux du déploiement du programme d'apprentissage sécurisé du code, avec des étapes différentes pour chaque rôle d'ingénieur :
Il est important de noter que SCW est devenu la source de vérité pour les corrections de vulnérabilités. Au lieu de se fier aux recherches Google susceptibles de vous amener à résoudre les problèmes, Vis a publié à la fois des directives de l'équipe AppSec et celles de la bibliothèque de contenu de SCW afin que les développeurs puissent référencer une source fiable et authentique pour les corrections de vulnérabilités dans le code. Selon Vis :
« Les développeurs ne devraient pas être libres de décider comment corriger une vulnérabilité et potentiellement introduire une nouvelle vulnérabilité au cours du processus. Nous avons intégré des vidéos SCW à notre LMS via l'intégration SCORM de SCW pour nous assurer que les développeurs apprenaient à corriger la vulnérabilité de la bonne manière. Cela nous a également permis de nous assurer que les développeurs fournissant des logiciels sécurisés étaient reconnus. Nous leur demandons d'atteindre un certain niveau de sécurité en matière de codage et nous pouvons suivre ce niveau grâce aux vulnérabilités qu'ils corrigent et ne réintroduisent pas. De cette façon, le dur labeur qu'ils ont accompli est reconnu et valorisé au sein de l'entreprise. »
Résultats
Vis et son équipe publient une newsletter mensuelle à code sécurisé dans laquelle ils peuvent reconnaître le meilleur apprenant de l'entreprise. Ils utilisent SCW pour examiner les scores d'évaluation, la participation aux tournois et les défis rencontrés afin d'amplifier ce résultat. Cela motive d'autres développeurs à apprendre également. Les KPI qu'il a initialement définis visaient à réduire le nombre total de vulnérabilités sur 2 ans. Après la mise en œuvre du SCW, il a noté une ligne de tendance à la baisse. Ces vulnérabilités ne sont pas réintroduites au niveau du code source. Vis le dit ainsi :
« Les KPI que nous présentons à notre direction reflètent cette sélection éclairée que nous avons faite. Nous sommes fiers de proposer une formation au code sécurisée qui donne confiance à nos clients. Nous sommes reconnus pour notre programme complet de formation au code sécurisé et sommes respectés par nos clients et nos pairs. Un tel programme ajoute beaucoup de valeur à votre entreprise. »
Principaux points à retenir
Vis a reconnu que les personnes, les processus et la technologie ont tous un rôle à jouer dans toute initiative de sécurité. En mettant l'accent sur la sécurité du logiciel, les connaissances des développeurs et le respect de la conformité, il est possible de mettre en place un apprentissage agile pour un programme de code sécurisé qui réduit les vulnérabilités du code source au fil du temps. Vis propose ces recommandations aux professionnels de son domaine qui souhaitent renforcer les compétences en sécurité des équipes de développeurs.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Afficher le rapportRéservez une démo
Contexte
Le groupe Thales est une multinationale française qui conçoit, développe et fabrique des systèmes électriques, ainsi que des appareils et des équipements pour les secteurs de l'aérospatiale, de la défense, des transports et de la sécurité. Viswanath S. Chirravuri est le directeur technique de la sécurité logicielle chez Thales. Viswanath, ou Vis, a débuté sa carrière dans la sécurité en tant que programmeur. Il est aujourd'hui haut responsable de la sécurité chez Thales, avec plus de 18 ans d'expérience dans le secteur de la sécurité, et détient plus de 30 certifications, dont CISSP, PMP et GSE. Il a formé plus de 3 000 professionnels du logiciel dans plus de 18 pays. En outre, Vis a remporté plus de 10 pièces de défi SANS lors de tournois internationaux de cybersécurité (tels que Netwars) et est un membre actif du conseil consultatif du GIAC. Nous avons discuté avec Vis pour savoir comment il a aligné les personnes, les processus et la technologie pour développer un programme d'apprentissage de code sécurisé réussi chez Thales.
Situation
Lorsque Vis a rejoint Thales, il a coaché des unités commerciales pour qu'elles examinent la source des vulnérabilités découvertes lors de tests internes en tant que solution possible pour réduire l'arriéré de dettes technologiques. L'équipe chargée de la sécurité des applications a fait appel à 7 fournisseurs différents avec lesquels elle travaillait pour renforcer sa position en matière de sécurité, des outils IAST/DAST aux outils de test informatique. Vis souhaitait comprendre les tendances du marché et gérer les menaces de manière évolutive afin de développer des stratégies d'atténuation grâce à une forte intégration entre les processus et la technologie. Cela impliquait de passer d'une approche purement basée sur les outils à une stratégie comportant une forte composante d'apprentissage. Il a remarqué que de nombreux développeurs n'avaient ni connaissances ni compétences en matière de sécurité. Son approche initiale était de proposer une formation en classe aux développeurs sur des sujets tels que le Top 10 de l'OWASP, mais il s'est vite rendu compte que cela n'allait pas évoluer compte tenu des déplacements nécessaires pour enseigner en personne et de la nécessité de toucher des milliers de développeurs à travers le monde. Vis a noté que :
« Il y aura toujours un déséquilibre dans le rapport entre sécurité et développement. Même si j'avais un ratio de sécurité de 1:1 par rapport aux développeurs, je ne pourrais pas les maintenir engagés en permanence. Pour tenir nos développeurs informés des nouveaux vecteurs d'attaque, des meilleures pratiques, des nouveaux langages et des vulnérabilités récemment découvertes, nous devions être en mesure de promouvoir l'auto-apprentissage par les développeurs et de leur permettre de suivre leur propre rythme. S'ils ont besoin d'aide, je pourrais les aider, mais je me suis rendu compte que je ne pouvais pas être la personne qui leur apprendrait à corriger toutes les vulnérabilités qu'ils trouvent. »
Au départ, les responsables du développement se sont montrés réticents quant au temps que les développeurs devraient consacrer à l'apprentissage sécurisé du code, étant donné que de nombreux développeurs partaient de zéro. Vis devait gérer la perception selon laquelle un engagement en faveur d'un apprentissage sécurisé du code risquait de perturber les cycles de publication des logiciels ou de ralentir les sprints critiques. Il avait besoin de trouver un moyen de motiver correctement l'organisation à consacrer du temps à l'apprentissage agile du code sécurisé. Vis a adopté une attitude axée sur les personnes pour remédier aux vulnérabilités à la source, « Les gens disent souvent que la sécurité fait perdre du temps au développement. Pour moi, si vous développez quelque chose et que ce n'est pas sûr, c'était une perte de temps au départ. Vous devez toujours développer des logiciels de manière à les sécuriser et à ne pas avoir à corriger les vulnérabilités qui auraient pu être facilement évitées. Nous devrions tous avoir pour objectif commun d'envoyer un code fiable. »
Action
Vis avait deux objectifs principaux en tête : sécuriser ses logiciels et sensibiliser les équipes de développement de Thales à la sécurité. Il était essentiel de mettre en œuvre un programme permettant aux développeurs d'être indépendants et de se former à leur propre rythme. La stratégie de Vis était de créer une communauté de sécurité au fil du temps, en s'efforçant de lier le codage sécurisé aux politiques de l'entreprise et en élaborant un mandat pour l'apprentissage sécurisé du code dans l'organisation. En encourageant une culture de communauté mettant en relation les développeurs, les testeurs, les architectes et les ingénieurs, il a constaté un effet multiplicateur de motivation. Des champions de la sécurité passionnés par la sécurité sont apparus dans le cadre de leur travail quotidien et ont contribué à faire connaître les pratiques de codage sécurisé au sein de l'organisation. Vis a évalué plus d'une douzaine de fournisseurs de formations en sécurité et est devenue cliente de SCW en 2019. Pour Thales, le fait de pouvoir compter sur un fournisseur couvrant tous les langages de programmation et tous les frameworks de son environnement au lieu d'une solution fragmentaire a constitué un avantage considérable. Vis s'est appuyé sur l'énorme volume de contenu de Secure Code Warrior pour créer des formations et un apprentissage à leur rythme permettant aux développeurs du programme de sécurité d'accéder à :
« Le top 10 de l'OWASP ne se résume pas à dix choses que vous devez savoir. La profondeur et la diversité des vulnérabilités couvertes par l'OWASP, combinées au grand nombre de langages de programmation, peuvent être écrasantes. Le large éventail de défis et la couverture que nous avons sur ces sujets ont joué un rôle clé dans le choix de SCW. Ils ajoutent toujours de nouvelles choses. La profondeur, la diversité des sujets, le contenu actualisé et l'accent mis sur les principes de conception de code sécurisé distinguent vraiment SCW. Grâce à eux, il ne s'agit pas d'une formation à usage unique, mais nous avons eu l'opportunité de créer un programme continu. »
Vis et son équipe ont structuré quatre niveaux du déploiement du programme d'apprentissage sécurisé du code, avec des étapes différentes pour chaque rôle d'ingénieur :
Il est important de noter que SCW est devenu la source de vérité pour les corrections de vulnérabilités. Au lieu de se fier aux recherches Google susceptibles de vous amener à résoudre les problèmes, Vis a publié à la fois des directives de l'équipe AppSec et celles de la bibliothèque de contenu de SCW afin que les développeurs puissent référencer une source fiable et authentique pour les corrections de vulnérabilités dans le code. Selon Vis :
« Les développeurs ne devraient pas être libres de décider comment corriger une vulnérabilité et potentiellement introduire une nouvelle vulnérabilité au cours du processus. Nous avons intégré des vidéos SCW à notre LMS via l'intégration SCORM de SCW pour nous assurer que les développeurs apprenaient à corriger la vulnérabilité de la bonne manière. Cela nous a également permis de nous assurer que les développeurs fournissant des logiciels sécurisés étaient reconnus. Nous leur demandons d'atteindre un certain niveau de sécurité en matière de codage et nous pouvons suivre ce niveau grâce aux vulnérabilités qu'ils corrigent et ne réintroduisent pas. De cette façon, le dur labeur qu'ils ont accompli est reconnu et valorisé au sein de l'entreprise. »
Résultats
Vis et son équipe publient une newsletter mensuelle à code sécurisé dans laquelle ils peuvent reconnaître le meilleur apprenant de l'entreprise. Ils utilisent SCW pour examiner les scores d'évaluation, la participation aux tournois et les défis rencontrés afin d'amplifier ce résultat. Cela motive d'autres développeurs à apprendre également. Les KPI qu'il a initialement définis visaient à réduire le nombre total de vulnérabilités sur 2 ans. Après la mise en œuvre du SCW, il a noté une ligne de tendance à la baisse. Ces vulnérabilités ne sont pas réintroduites au niveau du code source. Vis le dit ainsi :
« Les KPI que nous présentons à notre direction reflètent cette sélection éclairée que nous avons faite. Nous sommes fiers de proposer une formation au code sécurisée qui donne confiance à nos clients. Nous sommes reconnus pour notre programme complet de formation au code sécurisé et sommes respectés par nos clients et nos pairs. Un tel programme ajoute beaucoup de valeur à votre entreprise. »
Principaux points à retenir
Vis a reconnu que les personnes, les processus et la technologie ont tous un rôle à jouer dans toute initiative de sécurité. En mettant l'accent sur la sécurité du logiciel, les connaissances des développeurs et le respect de la conformité, il est possible de mettre en place un apprentissage agile pour un programme de code sécurisé qui réduit les vulnérabilités du code source au fil du temps. Vis propose ces recommandations aux professionnels de son domaine qui souhaitent renforcer les compétences en sécurité des équipes de développeurs.
Table des matières
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démoTéléchargerRessources pour vous aider à démarrer
Sujets et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions d'IA Beat the Boss sont désormais disponibles à la demande
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Déployez des défis de sécurité avancés liés à l'IA et au LLM pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyberrésilience : ce que cela signifie pour le développement de logiciels sécurisés dès la conception
Découvrez ce que la loi européenne sur la cyberrésilience (CRA) exige, à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Enabler 1 donne le coup d'envoi de notre série en 10 parties intitulée Enablers of Success en montrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité pour assurer la maturité à long terme des programmes.
