Les avantages de l'analyse comparative des compétences en matière de sécurité pour les développeurs
Les cybermenaces étant de plus en plus répandues et de plus en plus sophistiquées, la cybersécurité met l'accent sur l'importance d'un code sécurisé. La Maison Blanche Stratégie nationale de cybersécurité et de l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) Sécurisé dès la conception cette initiative, ainsi que les initiatives et la législation d'autres pays, place la responsabilité de la sécurité sur les épaules des producteurs de logiciels. Pour garantir la sécurité dès le début du cycle de vie du développement logiciel (SDLC), autrefois considéré comme une bonne chose, il est désormais essentiel pour les entreprises de protéger leurs données et leurs systèmes et d'éviter les répercussions réglementaires en cas de violation.
La clé pour garantir des pratiques de codage sécurisées réside dans la formation des développeurs. Les ingénieurs logiciels reçoivent généralement peu ou pas de formation en cybersécurité. Leur travail, en particulier dans l'environnement DevOps accéléré actuel, a consisté à développer de nouvelles applications, des mises à niveau et des services le plus rapidement possible, de plus en plus à l'aide de modèles d'IA génératifs fonctionnant rapidement, et à laisser les équipes de sécurité résoudre les problèmes de cybersécurité plus tard dans le SDLC. C'est une manière inefficace de corriger la pléthore de failles qui apparaissent avec la création d'une telle quantité de code, ce qui entraîne souvent la publication de vulnérabilités logicielles dans l'écosystème.
Les développeurs doivent être formés pour écrire du code sécurisé dès le départ et être capables de détecter le code non sécurisé généré par l'IA ou lorsqu'il est présent dans les logiciels open source et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes et organisations de développement, il s'agit d'un territoire inconnu. Comment savent-ils que les développeurs reçoivent la formation dont ils ont besoin ? Et cette formation est-elle appliquée régulièrement ?
Certaines entreprises qui suivent une formation pour développeurs ont jugé utile d'établir un ensemble de compétences de base permettant aux développeurs d'acquérir et de mesurer leurs progrès par rapport à des critères de référence clairement définis. Pour contribuer à cet effort, Secure Code Warrior a lancé un test de référence conçu pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le Score de confiance SCW permet aux entreprises de mesurer l'efficacité de la formation sur le terrain et de permettre aux équipes de sécurité, de développement et d'ingénierie de collaborer.
C'est une façon de prouver que la formation au code sécurisé est efficace tout en identifiant les domaines à améliorer.
Les arguments en faveur d'une conception sécurisée
Les éditeurs de logiciels ont toutes les raisons d'intégrer la sécurité au SDLC dès le début du processus. La demande croissante d'applications et de services et la rapidité que l'IA apporte au processus de développement ont s'est avéré utile aux développeurs, qui ont rapidement adopté l'IA générative, mais cela se traduit inévitablement par logiciel buggy rejetés dans le pipeline. Plus il y a de code généré, plus il y a de défauts, et recherches récentes a constaté que près des trois quarts des applications (quelle que soit la manière dont elles ont été créées) contiennent au moins une faille de sécurité, et près de 20 % d'entre elles sont considérées comme critiques.
Rattraper les vulnérabilités plus tard dans le SDLC prend trop de temps et coûte trop cher. L'Institut national des normes et de la technologie (NIST) a trouvé que la correction des défauts pendant les tests prend 15 fois plus de temps que la sécurisation des logiciels au début du SDLC, et que les corriger pendant la phase de déploiement/maintenance peut prendre 30 à 100 fois plus de temps.
Tout cela souligne l'importance d'appliquer la sécurité au début du cycle de développement, qui s'est révélée non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs, qui travaillent avec les équipes de sécurité au lieu de les laisser fonctionner comme des entités distinctes, sont les mieux placés pour intégrer la sécurité au début du SDLC. De plus, les développeurs formés aux meilleures pratiques en matière de sécurité ont réussi à réduire les vulnérabilités. Le problème est que très peu d'entre eux ont été formés.
La beauté des points de repère
Le parcours de base pour les entreprises consiste à établir une base de compétences en matière de sécurité, à proposer des formations et à vérifier, à la fois aux organisations et aux régulateurs, que les développeurs ont acquis les compétences nécessaires. Cela s'est avéré difficile pour de nombreuses organisations de tous les secteurs économiques, mais ce n'est pas obligatoire.
L'un des défis identifiés par les responsables de la sécurité est la difficulté d'étendre un programme de formation à l'ensemble de l'entreprise. Mais les recherches de SCW montrent que les organisations, en particulier celles qui comptent de nombreux développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des petites organisations ont tendance à montrer une grande variation dans la manière dont elles appliquent les principes de sécurité dès la conception. Néanmoins, ils peuvent également bénéficier d'une approche qui inclut des scores de confiance et s'amélioreront probablement plus rapidement.
Trust Score utilise des indicateurs de référence pour mesurer les progrès des apprenants individuels, regroupe leurs scores pour évaluer les performances de l'ensemble de l'équipe et compare les progrès de l'organisation aux repères et aux meilleures pratiques du secteur. Il permet non seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent leurs nouvelles compétences au quotidien. Il met également en évidence les domaines qui doivent être améliorés, afin de permettre à l'organisation d'optimiser ses programmes de formation et de perfectionnement.
À travers les CISA secteurs d'infrastructures critiques pour lesquelles des données étaient disponibles, la plupart des organisations sont à peu près au même niveau en ce qui concerne la mise en œuvre des principes de conception sécurisée. Les scores de confiance pour des secteurs allant des services financiers à la base industrielle de défense en passant par la santé, l'informatique et la fabrication de produits critiques ont chuté dans la même fourchette, soit un peu plus de 300 sur une échelle de 1 000 points. Aucun secteur ne surpasse les autres, malgré l'idée reçue selon laquelle les services financiers, en tant que secteur le plus réglementé, seraient loin devant.
Les secteurs d'infrastructures critiques non inclus dans le classement Trust Score, tels que les opérations chimiques, énergétiques et nucléaires, ne créent généralement pas leurs propres logiciels et s'appuient plutôt sur d'autres secteurs, notamment l'informatique. Cependant, l'importance de maintenir des systèmes sécurisés dans ces secteurs (personne ne souhaite voir une centrale nucléaire être compromise) ne fait que montrer à quel point il est essentiel de sécuriser les logiciels qu'ils utilisent en premier lieu.
Conclusion
La pression réglementaire accrue et les réalités du paysage des cybermenaces ont rendu une approche sécurisée dès la conception impérative pour les organisations qui souhaitent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels sécurisés est en grande partie entre les mains des développeurs, mais ceux-ci ont besoin d'aide sous la forme d'un programme complet de perfectionnement et de formation qui leur fournit la formation dont ils ont besoin et montre comment il est appliqué.
Un programme qui inclut des benchmarks, soutenus par un outil tel que Trust Score, peut fournir une vision claire des progrès critiques d'une équipe de développement. Il s'agit d'une nouvelle approche vitale dont les développeurs et les entreprises pour lesquelles ils travaillent ont besoin pour s'assurer qu'ils améliorent constamment leurs compétences en matière de développement de logiciels sécurisés, tout en répondant aux nouvelles exigences de sécurité dès la conception.
L'attention croissante portée au code sécurisé et aux principes de sécurité dès la conception nécessite que les développeurs soient formés à la cybersécurité dès le début du SDLC, avec des outils tels que le Trust Score de Secure Code Warrior qui permettent de mesurer et d'améliorer leurs progrès.
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démo
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
Les cybermenaces étant de plus en plus répandues et de plus en plus sophistiquées, la cybersécurité met l'accent sur l'importance d'un code sécurisé. La Maison Blanche Stratégie nationale de cybersécurité et de l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) Sécurisé dès la conception cette initiative, ainsi que les initiatives et la législation d'autres pays, place la responsabilité de la sécurité sur les épaules des producteurs de logiciels. Pour garantir la sécurité dès le début du cycle de vie du développement logiciel (SDLC), autrefois considéré comme une bonne chose, il est désormais essentiel pour les entreprises de protéger leurs données et leurs systèmes et d'éviter les répercussions réglementaires en cas de violation.
La clé pour garantir des pratiques de codage sécurisées réside dans la formation des développeurs. Les ingénieurs logiciels reçoivent généralement peu ou pas de formation en cybersécurité. Leur travail, en particulier dans l'environnement DevOps accéléré actuel, a consisté à développer de nouvelles applications, des mises à niveau et des services le plus rapidement possible, de plus en plus à l'aide de modèles d'IA génératifs fonctionnant rapidement, et à laisser les équipes de sécurité résoudre les problèmes de cybersécurité plus tard dans le SDLC. C'est une manière inefficace de corriger la pléthore de failles qui apparaissent avec la création d'une telle quantité de code, ce qui entraîne souvent la publication de vulnérabilités logicielles dans l'écosystème.
Les développeurs doivent être formés pour écrire du code sécurisé dès le départ et être capables de détecter le code non sécurisé généré par l'IA ou lorsqu'il est présent dans les logiciels open source et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes et organisations de développement, il s'agit d'un territoire inconnu. Comment savent-ils que les développeurs reçoivent la formation dont ils ont besoin ? Et cette formation est-elle appliquée régulièrement ?
Certaines entreprises qui suivent une formation pour développeurs ont jugé utile d'établir un ensemble de compétences de base permettant aux développeurs d'acquérir et de mesurer leurs progrès par rapport à des critères de référence clairement définis. Pour contribuer à cet effort, Secure Code Warrior a lancé un test de référence conçu pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le Score de confiance SCW permet aux entreprises de mesurer l'efficacité de la formation sur le terrain et de permettre aux équipes de sécurité, de développement et d'ingénierie de collaborer.
C'est une façon de prouver que la formation au code sécurisé est efficace tout en identifiant les domaines à améliorer.
Les arguments en faveur d'une conception sécurisée
Les éditeurs de logiciels ont toutes les raisons d'intégrer la sécurité au SDLC dès le début du processus. La demande croissante d'applications et de services et la rapidité que l'IA apporte au processus de développement ont s'est avéré utile aux développeurs, qui ont rapidement adopté l'IA générative, mais cela se traduit inévitablement par logiciel buggy rejetés dans le pipeline. Plus il y a de code généré, plus il y a de défauts, et recherches récentes a constaté que près des trois quarts des applications (quelle que soit la manière dont elles ont été créées) contiennent au moins une faille de sécurité, et près de 20 % d'entre elles sont considérées comme critiques.
Rattraper les vulnérabilités plus tard dans le SDLC prend trop de temps et coûte trop cher. L'Institut national des normes et de la technologie (NIST) a trouvé que la correction des défauts pendant les tests prend 15 fois plus de temps que la sécurisation des logiciels au début du SDLC, et que les corriger pendant la phase de déploiement/maintenance peut prendre 30 à 100 fois plus de temps.
Tout cela souligne l'importance d'appliquer la sécurité au début du cycle de développement, qui s'est révélée non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs, qui travaillent avec les équipes de sécurité au lieu de les laisser fonctionner comme des entités distinctes, sont les mieux placés pour intégrer la sécurité au début du SDLC. De plus, les développeurs formés aux meilleures pratiques en matière de sécurité ont réussi à réduire les vulnérabilités. Le problème est que très peu d'entre eux ont été formés.
La beauté des points de repère
Le parcours de base pour les entreprises consiste à établir une base de compétences en matière de sécurité, à proposer des formations et à vérifier, à la fois aux organisations et aux régulateurs, que les développeurs ont acquis les compétences nécessaires. Cela s'est avéré difficile pour de nombreuses organisations de tous les secteurs économiques, mais ce n'est pas obligatoire.
L'un des défis identifiés par les responsables de la sécurité est la difficulté d'étendre un programme de formation à l'ensemble de l'entreprise. Mais les recherches de SCW montrent que les organisations, en particulier celles qui comptent de nombreux développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des petites organisations ont tendance à montrer une grande variation dans la manière dont elles appliquent les principes de sécurité dès la conception. Néanmoins, ils peuvent également bénéficier d'une approche qui inclut des scores de confiance et s'amélioreront probablement plus rapidement.
Trust Score utilise des indicateurs de référence pour mesurer les progrès des apprenants individuels, regroupe leurs scores pour évaluer les performances de l'ensemble de l'équipe et compare les progrès de l'organisation aux repères et aux meilleures pratiques du secteur. Il permet non seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent leurs nouvelles compétences au quotidien. Il met également en évidence les domaines qui doivent être améliorés, afin de permettre à l'organisation d'optimiser ses programmes de formation et de perfectionnement.
À travers les CISA secteurs d'infrastructures critiques pour lesquelles des données étaient disponibles, la plupart des organisations sont à peu près au même niveau en ce qui concerne la mise en œuvre des principes de conception sécurisée. Les scores de confiance pour des secteurs allant des services financiers à la base industrielle de défense en passant par la santé, l'informatique et la fabrication de produits critiques ont chuté dans la même fourchette, soit un peu plus de 300 sur une échelle de 1 000 points. Aucun secteur ne surpasse les autres, malgré l'idée reçue selon laquelle les services financiers, en tant que secteur le plus réglementé, seraient loin devant.
Les secteurs d'infrastructures critiques non inclus dans le classement Trust Score, tels que les opérations chimiques, énergétiques et nucléaires, ne créent généralement pas leurs propres logiciels et s'appuient plutôt sur d'autres secteurs, notamment l'informatique. Cependant, l'importance de maintenir des systèmes sécurisés dans ces secteurs (personne ne souhaite voir une centrale nucléaire être compromise) ne fait que montrer à quel point il est essentiel de sécuriser les logiciels qu'ils utilisent en premier lieu.
Conclusion
La pression réglementaire accrue et les réalités du paysage des cybermenaces ont rendu une approche sécurisée dès la conception impérative pour les organisations qui souhaitent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels sécurisés est en grande partie entre les mains des développeurs, mais ceux-ci ont besoin d'aide sous la forme d'un programme complet de perfectionnement et de formation qui leur fournit la formation dont ils ont besoin et montre comment il est appliqué.
Un programme qui inclut des benchmarks, soutenus par un outil tel que Trust Score, peut fournir une vision claire des progrès critiques d'une équipe de développement. Il s'agit d'une nouvelle approche vitale dont les développeurs et les entreprises pour lesquelles ils travaillent ont besoin pour s'assurer qu'ils améliorent constamment leurs compétences en matière de développement de logiciels sécurisés, tout en répondant aux nouvelles exigences de sécurité dès la conception.
Les cybermenaces étant de plus en plus répandues et de plus en plus sophistiquées, la cybersécurité met l'accent sur l'importance d'un code sécurisé. La Maison Blanche Stratégie nationale de cybersécurité et de l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) Sécurisé dès la conception cette initiative, ainsi que les initiatives et la législation d'autres pays, place la responsabilité de la sécurité sur les épaules des producteurs de logiciels. Pour garantir la sécurité dès le début du cycle de vie du développement logiciel (SDLC), autrefois considéré comme une bonne chose, il est désormais essentiel pour les entreprises de protéger leurs données et leurs systèmes et d'éviter les répercussions réglementaires en cas de violation.
La clé pour garantir des pratiques de codage sécurisées réside dans la formation des développeurs. Les ingénieurs logiciels reçoivent généralement peu ou pas de formation en cybersécurité. Leur travail, en particulier dans l'environnement DevOps accéléré actuel, a consisté à développer de nouvelles applications, des mises à niveau et des services le plus rapidement possible, de plus en plus à l'aide de modèles d'IA génératifs fonctionnant rapidement, et à laisser les équipes de sécurité résoudre les problèmes de cybersécurité plus tard dans le SDLC. C'est une manière inefficace de corriger la pléthore de failles qui apparaissent avec la création d'une telle quantité de code, ce qui entraîne souvent la publication de vulnérabilités logicielles dans l'écosystème.
Les développeurs doivent être formés pour écrire du code sécurisé dès le départ et être capables de détecter le code non sécurisé généré par l'IA ou lorsqu'il est présent dans les logiciels open source et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes et organisations de développement, il s'agit d'un territoire inconnu. Comment savent-ils que les développeurs reçoivent la formation dont ils ont besoin ? Et cette formation est-elle appliquée régulièrement ?
Certaines entreprises qui suivent une formation pour développeurs ont jugé utile d'établir un ensemble de compétences de base permettant aux développeurs d'acquérir et de mesurer leurs progrès par rapport à des critères de référence clairement définis. Pour contribuer à cet effort, Secure Code Warrior a lancé un test de référence conçu pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le Score de confiance SCW permet aux entreprises de mesurer l'efficacité de la formation sur le terrain et de permettre aux équipes de sécurité, de développement et d'ingénierie de collaborer.
C'est une façon de prouver que la formation au code sécurisé est efficace tout en identifiant les domaines à améliorer.
Les arguments en faveur d'une conception sécurisée
Les éditeurs de logiciels ont toutes les raisons d'intégrer la sécurité au SDLC dès le début du processus. La demande croissante d'applications et de services et la rapidité que l'IA apporte au processus de développement ont s'est avéré utile aux développeurs, qui ont rapidement adopté l'IA générative, mais cela se traduit inévitablement par logiciel buggy rejetés dans le pipeline. Plus il y a de code généré, plus il y a de défauts, et recherches récentes a constaté que près des trois quarts des applications (quelle que soit la manière dont elles ont été créées) contiennent au moins une faille de sécurité, et près de 20 % d'entre elles sont considérées comme critiques.
Rattraper les vulnérabilités plus tard dans le SDLC prend trop de temps et coûte trop cher. L'Institut national des normes et de la technologie (NIST) a trouvé que la correction des défauts pendant les tests prend 15 fois plus de temps que la sécurisation des logiciels au début du SDLC, et que les corriger pendant la phase de déploiement/maintenance peut prendre 30 à 100 fois plus de temps.
Tout cela souligne l'importance d'appliquer la sécurité au début du cycle de développement, qui s'est révélée non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs, qui travaillent avec les équipes de sécurité au lieu de les laisser fonctionner comme des entités distinctes, sont les mieux placés pour intégrer la sécurité au début du SDLC. De plus, les développeurs formés aux meilleures pratiques en matière de sécurité ont réussi à réduire les vulnérabilités. Le problème est que très peu d'entre eux ont été formés.
La beauté des points de repère
Le parcours de base pour les entreprises consiste à établir une base de compétences en matière de sécurité, à proposer des formations et à vérifier, à la fois aux organisations et aux régulateurs, que les développeurs ont acquis les compétences nécessaires. Cela s'est avéré difficile pour de nombreuses organisations de tous les secteurs économiques, mais ce n'est pas obligatoire.
L'un des défis identifiés par les responsables de la sécurité est la difficulté d'étendre un programme de formation à l'ensemble de l'entreprise. Mais les recherches de SCW montrent que les organisations, en particulier celles qui comptent de nombreux développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des petites organisations ont tendance à montrer une grande variation dans la manière dont elles appliquent les principes de sécurité dès la conception. Néanmoins, ils peuvent également bénéficier d'une approche qui inclut des scores de confiance et s'amélioreront probablement plus rapidement.
Trust Score utilise des indicateurs de référence pour mesurer les progrès des apprenants individuels, regroupe leurs scores pour évaluer les performances de l'ensemble de l'équipe et compare les progrès de l'organisation aux repères et aux meilleures pratiques du secteur. Il permet non seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent leurs nouvelles compétences au quotidien. Il met également en évidence les domaines qui doivent être améliorés, afin de permettre à l'organisation d'optimiser ses programmes de formation et de perfectionnement.
À travers les CISA secteurs d'infrastructures critiques pour lesquelles des données étaient disponibles, la plupart des organisations sont à peu près au même niveau en ce qui concerne la mise en œuvre des principes de conception sécurisée. Les scores de confiance pour des secteurs allant des services financiers à la base industrielle de défense en passant par la santé, l'informatique et la fabrication de produits critiques ont chuté dans la même fourchette, soit un peu plus de 300 sur une échelle de 1 000 points. Aucun secteur ne surpasse les autres, malgré l'idée reçue selon laquelle les services financiers, en tant que secteur le plus réglementé, seraient loin devant.
Les secteurs d'infrastructures critiques non inclus dans le classement Trust Score, tels que les opérations chimiques, énergétiques et nucléaires, ne créent généralement pas leurs propres logiciels et s'appuient plutôt sur d'autres secteurs, notamment l'informatique. Cependant, l'importance de maintenir des systèmes sécurisés dans ces secteurs (personne ne souhaite voir une centrale nucléaire être compromise) ne fait que montrer à quel point il est essentiel de sécuriser les logiciels qu'ils utilisent en premier lieu.
Conclusion
La pression réglementaire accrue et les réalités du paysage des cybermenaces ont rendu une approche sécurisée dès la conception impérative pour les organisations qui souhaitent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels sécurisés est en grande partie entre les mains des développeurs, mais ceux-ci ont besoin d'aide sous la forme d'un programme complet de perfectionnement et de formation qui leur fournit la formation dont ils ont besoin et montre comment il est appliqué.
Un programme qui inclut des benchmarks, soutenus par un outil tel que Trust Score, peut fournir une vision claire des progrès critiques d'une équipe de développement. Il s'agit d'une nouvelle approche vitale dont les développeurs et les entreprises pour lesquelles ils travaillent ont besoin pour s'assurer qu'ils améliorent constamment leurs compétences en matière de développement de logiciels sécurisés, tout en répondant aux nouvelles exigences de sécurité dès la conception.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Afficher le rapportRéservez une démo
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
Les cybermenaces étant de plus en plus répandues et de plus en plus sophistiquées, la cybersécurité met l'accent sur l'importance d'un code sécurisé. La Maison Blanche Stratégie nationale de cybersécurité et de l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) Sécurisé dès la conception cette initiative, ainsi que les initiatives et la législation d'autres pays, place la responsabilité de la sécurité sur les épaules des producteurs de logiciels. Pour garantir la sécurité dès le début du cycle de vie du développement logiciel (SDLC), autrefois considéré comme une bonne chose, il est désormais essentiel pour les entreprises de protéger leurs données et leurs systèmes et d'éviter les répercussions réglementaires en cas de violation.
La clé pour garantir des pratiques de codage sécurisées réside dans la formation des développeurs. Les ingénieurs logiciels reçoivent généralement peu ou pas de formation en cybersécurité. Leur travail, en particulier dans l'environnement DevOps accéléré actuel, a consisté à développer de nouvelles applications, des mises à niveau et des services le plus rapidement possible, de plus en plus à l'aide de modèles d'IA génératifs fonctionnant rapidement, et à laisser les équipes de sécurité résoudre les problèmes de cybersécurité plus tard dans le SDLC. C'est une manière inefficace de corriger la pléthore de failles qui apparaissent avec la création d'une telle quantité de code, ce qui entraîne souvent la publication de vulnérabilités logicielles dans l'écosystème.
Les développeurs doivent être formés pour écrire du code sécurisé dès le départ et être capables de détecter le code non sécurisé généré par l'IA ou lorsqu'il est présent dans les logiciels open source et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes et organisations de développement, il s'agit d'un territoire inconnu. Comment savent-ils que les développeurs reçoivent la formation dont ils ont besoin ? Et cette formation est-elle appliquée régulièrement ?
Certaines entreprises qui suivent une formation pour développeurs ont jugé utile d'établir un ensemble de compétences de base permettant aux développeurs d'acquérir et de mesurer leurs progrès par rapport à des critères de référence clairement définis. Pour contribuer à cet effort, Secure Code Warrior a lancé un test de référence conçu pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le Score de confiance SCW permet aux entreprises de mesurer l'efficacité de la formation sur le terrain et de permettre aux équipes de sécurité, de développement et d'ingénierie de collaborer.
C'est une façon de prouver que la formation au code sécurisé est efficace tout en identifiant les domaines à améliorer.
Les arguments en faveur d'une conception sécurisée
Les éditeurs de logiciels ont toutes les raisons d'intégrer la sécurité au SDLC dès le début du processus. La demande croissante d'applications et de services et la rapidité que l'IA apporte au processus de développement ont s'est avéré utile aux développeurs, qui ont rapidement adopté l'IA générative, mais cela se traduit inévitablement par logiciel buggy rejetés dans le pipeline. Plus il y a de code généré, plus il y a de défauts, et recherches récentes a constaté que près des trois quarts des applications (quelle que soit la manière dont elles ont été créées) contiennent au moins une faille de sécurité, et près de 20 % d'entre elles sont considérées comme critiques.
Rattraper les vulnérabilités plus tard dans le SDLC prend trop de temps et coûte trop cher. L'Institut national des normes et de la technologie (NIST) a trouvé que la correction des défauts pendant les tests prend 15 fois plus de temps que la sécurisation des logiciels au début du SDLC, et que les corriger pendant la phase de déploiement/maintenance peut prendre 30 à 100 fois plus de temps.
Tout cela souligne l'importance d'appliquer la sécurité au début du cycle de développement, qui s'est révélée non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs, qui travaillent avec les équipes de sécurité au lieu de les laisser fonctionner comme des entités distinctes, sont les mieux placés pour intégrer la sécurité au début du SDLC. De plus, les développeurs formés aux meilleures pratiques en matière de sécurité ont réussi à réduire les vulnérabilités. Le problème est que très peu d'entre eux ont été formés.
La beauté des points de repère
Le parcours de base pour les entreprises consiste à établir une base de compétences en matière de sécurité, à proposer des formations et à vérifier, à la fois aux organisations et aux régulateurs, que les développeurs ont acquis les compétences nécessaires. Cela s'est avéré difficile pour de nombreuses organisations de tous les secteurs économiques, mais ce n'est pas obligatoire.
L'un des défis identifiés par les responsables de la sécurité est la difficulté d'étendre un programme de formation à l'ensemble de l'entreprise. Mais les recherches de SCW montrent que les organisations, en particulier celles qui comptent de nombreux développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des petites organisations ont tendance à montrer une grande variation dans la manière dont elles appliquent les principes de sécurité dès la conception. Néanmoins, ils peuvent également bénéficier d'une approche qui inclut des scores de confiance et s'amélioreront probablement plus rapidement.
Trust Score utilise des indicateurs de référence pour mesurer les progrès des apprenants individuels, regroupe leurs scores pour évaluer les performances de l'ensemble de l'équipe et compare les progrès de l'organisation aux repères et aux meilleures pratiques du secteur. Il permet non seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent leurs nouvelles compétences au quotidien. Il met également en évidence les domaines qui doivent être améliorés, afin de permettre à l'organisation d'optimiser ses programmes de formation et de perfectionnement.
À travers les CISA secteurs d'infrastructures critiques pour lesquelles des données étaient disponibles, la plupart des organisations sont à peu près au même niveau en ce qui concerne la mise en œuvre des principes de conception sécurisée. Les scores de confiance pour des secteurs allant des services financiers à la base industrielle de défense en passant par la santé, l'informatique et la fabrication de produits critiques ont chuté dans la même fourchette, soit un peu plus de 300 sur une échelle de 1 000 points. Aucun secteur ne surpasse les autres, malgré l'idée reçue selon laquelle les services financiers, en tant que secteur le plus réglementé, seraient loin devant.
Les secteurs d'infrastructures critiques non inclus dans le classement Trust Score, tels que les opérations chimiques, énergétiques et nucléaires, ne créent généralement pas leurs propres logiciels et s'appuient plutôt sur d'autres secteurs, notamment l'informatique. Cependant, l'importance de maintenir des systèmes sécurisés dans ces secteurs (personne ne souhaite voir une centrale nucléaire être compromise) ne fait que montrer à quel point il est essentiel de sécuriser les logiciels qu'ils utilisent en premier lieu.
Conclusion
La pression réglementaire accrue et les réalités du paysage des cybermenaces ont rendu une approche sécurisée dès la conception impérative pour les organisations qui souhaitent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels sécurisés est en grande partie entre les mains des développeurs, mais ceux-ci ont besoin d'aide sous la forme d'un programme complet de perfectionnement et de formation qui leur fournit la formation dont ils ont besoin et montre comment il est appliqué.
Un programme qui inclut des benchmarks, soutenus par un outil tel que Trust Score, peut fournir une vision claire des progrès critiques d'une équipe de développement. Il s'agit d'une nouvelle approche vitale dont les développeurs et les entreprises pour lesquelles ils travaillent ont besoin pour s'assurer qu'ils améliorent constamment leurs compétences en matière de développement de logiciels sécurisés, tout en répondant aux nouvelles exigences de sécurité dès la conception.
Table des matières
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démoTéléchargerRessources pour vous aider à démarrer
Sujets et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions d'IA Beat the Boss sont désormais disponibles à la demande
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Déployez des défis de sécurité avancés liés à l'IA et au LLM pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyberrésilience : ce que cela signifie pour le développement de logiciels sécurisés dès la conception
Découvrez ce que la loi européenne sur la cyberrésilience (CRA) exige, à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Enabler 1 donne le coup d'envoi de notre série en 10 parties intitulée Enablers of Success en montrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité pour assurer la maturité à long terme des programmes.
