Le score de confiance révèle la valeur des initiatives de renforcement des compétences sécurisées dès la conception
Un moyen sûr d'améliorer la posture de sécurité de votre entreprise consiste à améliorer les compétences des développeurs en matière de meilleures pratiques de codage sécurisé, dans un cadre comprenant des bases de référence et des points de référence conçus pour fournir aux développeurs les parcours d'apprentissage spécifiques dont ils ont besoin. Le codage sécurisé n'est toutefois pas une solution ponctuelle : il doit devenir un mode de vie, inscrit dans l'ADN d'une organisation. Les développeurs doivent non seulement se déplacer vers la gauche ou commencer à gauche, mais ils doivent également rester sur la gauche.
Il ne suffit pas de fournir une formation. Les entreprises doivent confirmer que les développeurs ont complètement assimilé leur formation et qu'ils suivent les meilleures pratiques au début du cycle de vie du développement logiciel (SDLC) dans le cadre de leur routine quotidienne. Vous devez suivre les performances des développeurs et mesurer leurs progrès par rapport aux normes internes et aux critères de référence du secteur, afin de mesurer efficacement le retour sur investissement de vos investissements dans la formation.
Secure Code Warrior's Score de confiance fournit une visibilité sur les performances de chaque développeur et regroupe les données pour fournir une évaluation des performances globales de votre organisation. Il montre l'efficacité des programmes de renforcement des compétences tout en identifiant les domaines nécessitant des améliorations. De plus, il permet de garantir la conformité à l'ensemble des exigences de conformité réglementaires, qu'elles proviennent du Règlement général sur la protection des données (GDPR), la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), la loi californienne sur la protection de la vie privée des consommateurs (CCPA), ou autres.
Nos recherches ont montré que la formation au code sécurisé fonctionne. Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité pour réduire les vulnérabilités et comment rendre l'initiative encore plus efficace.
La formation améliore la sécurité, si les développeurs l'obtiennent
Pendant des années, l'utilisation des meilleures pratiques de sécurité au début du SDLC a semblé être une ambition dans l'industrie du logiciel. C'est bien de l'avoir un jour, mais ce n'est pas une priorité aujourd'hui. Cependant, la rapidité croissante du développement des logiciels, ainsi que l'accélération des cybermenaces sophistiquées et destructrices, souvent basées sur le ciblage de vulnérabilités logicielles, ont rendu le codage sécurisé essentiel. L'Agence de cybersécurité et de sécurité des infrastructures (CISA) place le code sécurisé au premier plan avec son Sécurisé dès la conception initiative, qui est en train de devenir international mouvement.
Nos recherches l'ont prouvé : la corrélation entre une approche sécurisée dès la conception et la réduction des vulnérabilités logicielles est claire. Nous avons analysé les données de réduction des vulnérabilités provenant de 26 % de la clientèle de SCW et avons constaté que la formation des développeurs entraînait une réduction des vulnérabilités logicielles allant de 22 % à 84 %. Cette fourchette découlait de variables telles que la taille des entreprises impliquées (les petites entreprises comptant relativement peu de développeurs ont produit une gamme de résultats plus spectaculaire) et la question de savoir si un groupe d'apprentissage s'est concentré sur un problème spécifique, auquel cas il a éliminé un pourcentage plus élevé de failles.
Les résultats obtenus auprès des grandes entreprises étaient plutôt cohérents. Les entreprises comptant 7 000 développeurs ou plus peuvent s'attendre à une réduction des vulnérabilités de 47 % à 53 % grâce au renforcement des compétences des développeurs en matière de sécurité. Par exemple, une entreprise statistiquement moyenne comptant plus de 10 000 développeurs (qui n'est pas la plus performante sur la plateforme ni l'une des entreprises les plus performantes) a enregistré une réduction de 53 % de ses vulnérabilités.
Bien entendu, la formation la plus efficace ne repose pas sur une approche globale et universelle. Il doit être adapté à l'environnement de travail des développeurs et aux types de développement qu'ils effectuent.
Les entreprises devraient commencer par acquérir les compétences de base dont les développeurs doivent disposer pour rendre l'écriture de code sécurisé aussi naturelle que la simple écriture de code. Les programmes de renforcement des compétences devraient consister en une formation pratique et agile dans des scénarios du monde réel qui correspondent au type de travail qu'ils effectuent et aux langues qu'ils utilisent. Et il devrait être suffisamment flexible pour intégrer les sessions de formation à leurs horaires de travail.
Pour les développeurs, les compétences ne se limitent pas à l'écriture de code. Ils doivent être en mesure de vérifier les logiciels créés par des assistants d'intelligence artificielle et des tiers, tels que les référentiels open source. Les développeurs ont créé éviter toute utilisation de modèles d'IA génératifs, et ils ont généralement salué ses avantages en les aidant à créer plus de code plus rapidement. Cependant, bien que 76 % des personnes interrogées à un Sondage Snyk ont déclaré que le code généré par l'IA était plus sûr que le code produit par des humains, 56,4 % ont tout de même déclaré que l'IA introduisait des erreurs parfois ou fréquemment. Et la même enquête a révélé que 80 % des développeurs omettent d'appliquer les politiques de sécurité du code d'IA, ce qui suggère que les problèmes de code dans le code d'IA ne sont pas résolus.
Dans le cadre d'une approche sécurisée dès la conception, les développeurs, travaillant avec les équipes de sécurité plutôt que séparément de celles-ci, aborderont ces problèmes dès le début du SDLC, en identifiant et en corrigeant les failles avant que le code ne soit mis en production.
Le Trust Score mesure les performances individuelles et celles de l'entreprise
Il est également essentiel que la formation soit continue. Les entreprises doivent adopter une culture axée sur la sécurité qui s'applique partout, des plus hauts échelons de l'entreprise aux échelons les plus élevés. Il devrait se concentrer sur l'amélioration continue et l'application des meilleures pratiques de sécurité dans l'ensemble du SDLC. La technologie et les cybercriminels ne cessent d'évoluer, tout comme la cybersécurité. Pour les entreprises qui produisent des logiciels, des développeurs formés à la sécurité constituent la base.
C'est pourquoi il est tout aussi important de démontrer que la formation est efficace que la formation elle-même. Trust Score fournit non seulement une visibilité sur les performances des développeurs individuellement et de l'organisation dans son ensemble, mais il permet également aux organisations d'analyser les données de performance pour se concentrer sur des langages, des équipes de développeurs ou des catégories de logiciels spécifiques. Les données issues des résultats de performance individuels et agrégés permettent également d'identifier les domaines dans lesquels la formation doit être améliorée, par exemple si elle n'a pas l'effet escompté sur les performances quotidiennes des développeurs.
Trust Score a permis aux entreprises d'évaluer les performances des développeurs et de confirmer s'ils ont acquis — et utilisent — les compétences nécessaires en matière de sécurité, en s'assurant qu'ils ont obtenu leur licence de code. Il permet aux entreprises d'accorder en toute confiance à des développeurs qualifiés l'accès à leurs données les plus sensibles et à leurs projets logiciels critiques, tout en refusant cet accès à ceux qui ne sont pas encore prêts à utiliser les outils.
Preuve de l'évolution de la culture de sécurité
La cybersécurité n'est plus seulement une question de sécurité. Il s'agit d'un problème commercial qui affecte l'intégrité de l'actif le plus précieux de nombreuses organisations : leurs données. Une violation grave affecte les activités, la réputation et, potentiellement, la viabilité d'une organisation. L'importance de la cybersécurité n'a pas échappé aux organismes de réglementation, qui mettent en œuvre des réglementations de plus en plus strictes et se sont montrés prêts à engager des poursuites contre les RSSI et, potentiellement, d'autres membres de la haute direction, au point même d'engager des poursuites pénales, comme dans les cas de Uber et Vents solaires.
L'adoption d'une culture de sécurité à l'échelle de l'entreprise est essentielle dans l'environnement actuel. Et comme la valeur d'une entreprise repose en grande partie sur ses données, ses applications et ses services, le codage sécurisé est au cœur de cette culture. Une formation ciblée et un renforcement des compétences dans le cadre d'un état d'esprit culturel, ainsi que la preuve que la formation a contribué à changer la culture, peuvent aider les organisations à renforcer leurs postures de sécurité.
Les programmes de sécurité pilotés par les développeurs ont de la valeur. La preuve se trouve dans Score de confiance.
Nos recherches ont montré que la formation au code sécurisé fonctionne. Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité pour réduire les vulnérabilités et comment rendre l'initiative encore plus efficace.
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démo
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
Un moyen sûr d'améliorer la posture de sécurité de votre entreprise consiste à améliorer les compétences des développeurs en matière de meilleures pratiques de codage sécurisé, dans un cadre comprenant des bases de référence et des points de référence conçus pour fournir aux développeurs les parcours d'apprentissage spécifiques dont ils ont besoin. Le codage sécurisé n'est toutefois pas une solution ponctuelle : il doit devenir un mode de vie, inscrit dans l'ADN d'une organisation. Les développeurs doivent non seulement se déplacer vers la gauche ou commencer à gauche, mais ils doivent également rester sur la gauche.
Il ne suffit pas de fournir une formation. Les entreprises doivent confirmer que les développeurs ont complètement assimilé leur formation et qu'ils suivent les meilleures pratiques au début du cycle de vie du développement logiciel (SDLC) dans le cadre de leur routine quotidienne. Vous devez suivre les performances des développeurs et mesurer leurs progrès par rapport aux normes internes et aux critères de référence du secteur, afin de mesurer efficacement le retour sur investissement de vos investissements dans la formation.
Secure Code Warrior's Score de confiance fournit une visibilité sur les performances de chaque développeur et regroupe les données pour fournir une évaluation des performances globales de votre organisation. Il montre l'efficacité des programmes de renforcement des compétences tout en identifiant les domaines nécessitant des améliorations. De plus, il permet de garantir la conformité à l'ensemble des exigences de conformité réglementaires, qu'elles proviennent du Règlement général sur la protection des données (GDPR), la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), la loi californienne sur la protection de la vie privée des consommateurs (CCPA), ou autres.
Nos recherches ont montré que la formation au code sécurisé fonctionne. Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité pour réduire les vulnérabilités et comment rendre l'initiative encore plus efficace.
La formation améliore la sécurité, si les développeurs l'obtiennent
Pendant des années, l'utilisation des meilleures pratiques de sécurité au début du SDLC a semblé être une ambition dans l'industrie du logiciel. C'est bien de l'avoir un jour, mais ce n'est pas une priorité aujourd'hui. Cependant, la rapidité croissante du développement des logiciels, ainsi que l'accélération des cybermenaces sophistiquées et destructrices, souvent basées sur le ciblage de vulnérabilités logicielles, ont rendu le codage sécurisé essentiel. L'Agence de cybersécurité et de sécurité des infrastructures (CISA) place le code sécurisé au premier plan avec son Sécurisé dès la conception initiative, qui est en train de devenir international mouvement.
Nos recherches l'ont prouvé : la corrélation entre une approche sécurisée dès la conception et la réduction des vulnérabilités logicielles est claire. Nous avons analysé les données de réduction des vulnérabilités provenant de 26 % de la clientèle de SCW et avons constaté que la formation des développeurs entraînait une réduction des vulnérabilités logicielles allant de 22 % à 84 %. Cette fourchette découlait de variables telles que la taille des entreprises impliquées (les petites entreprises comptant relativement peu de développeurs ont produit une gamme de résultats plus spectaculaire) et la question de savoir si un groupe d'apprentissage s'est concentré sur un problème spécifique, auquel cas il a éliminé un pourcentage plus élevé de failles.
Les résultats obtenus auprès des grandes entreprises étaient plutôt cohérents. Les entreprises comptant 7 000 développeurs ou plus peuvent s'attendre à une réduction des vulnérabilités de 47 % à 53 % grâce au renforcement des compétences des développeurs en matière de sécurité. Par exemple, une entreprise statistiquement moyenne comptant plus de 10 000 développeurs (qui n'est pas la plus performante sur la plateforme ni l'une des entreprises les plus performantes) a enregistré une réduction de 53 % de ses vulnérabilités.
Bien entendu, la formation la plus efficace ne repose pas sur une approche globale et universelle. Il doit être adapté à l'environnement de travail des développeurs et aux types de développement qu'ils effectuent.
Les entreprises devraient commencer par acquérir les compétences de base dont les développeurs doivent disposer pour rendre l'écriture de code sécurisé aussi naturelle que la simple écriture de code. Les programmes de renforcement des compétences devraient consister en une formation pratique et agile dans des scénarios du monde réel qui correspondent au type de travail qu'ils effectuent et aux langues qu'ils utilisent. Et il devrait être suffisamment flexible pour intégrer les sessions de formation à leurs horaires de travail.
Pour les développeurs, les compétences ne se limitent pas à l'écriture de code. Ils doivent être en mesure de vérifier les logiciels créés par des assistants d'intelligence artificielle et des tiers, tels que les référentiels open source. Les développeurs ont créé éviter toute utilisation de modèles d'IA génératifs, et ils ont généralement salué ses avantages en les aidant à créer plus de code plus rapidement. Cependant, bien que 76 % des personnes interrogées à un Sondage Snyk ont déclaré que le code généré par l'IA était plus sûr que le code produit par des humains, 56,4 % ont tout de même déclaré que l'IA introduisait des erreurs parfois ou fréquemment. Et la même enquête a révélé que 80 % des développeurs omettent d'appliquer les politiques de sécurité du code d'IA, ce qui suggère que les problèmes de code dans le code d'IA ne sont pas résolus.
Dans le cadre d'une approche sécurisée dès la conception, les développeurs, travaillant avec les équipes de sécurité plutôt que séparément de celles-ci, aborderont ces problèmes dès le début du SDLC, en identifiant et en corrigeant les failles avant que le code ne soit mis en production.
Le Trust Score mesure les performances individuelles et celles de l'entreprise
Il est également essentiel que la formation soit continue. Les entreprises doivent adopter une culture axée sur la sécurité qui s'applique partout, des plus hauts échelons de l'entreprise aux échelons les plus élevés. Il devrait se concentrer sur l'amélioration continue et l'application des meilleures pratiques de sécurité dans l'ensemble du SDLC. La technologie et les cybercriminels ne cessent d'évoluer, tout comme la cybersécurité. Pour les entreprises qui produisent des logiciels, des développeurs formés à la sécurité constituent la base.
C'est pourquoi il est tout aussi important de démontrer que la formation est efficace que la formation elle-même. Trust Score fournit non seulement une visibilité sur les performances des développeurs individuellement et de l'organisation dans son ensemble, mais il permet également aux organisations d'analyser les données de performance pour se concentrer sur des langages, des équipes de développeurs ou des catégories de logiciels spécifiques. Les données issues des résultats de performance individuels et agrégés permettent également d'identifier les domaines dans lesquels la formation doit être améliorée, par exemple si elle n'a pas l'effet escompté sur les performances quotidiennes des développeurs.
Trust Score a permis aux entreprises d'évaluer les performances des développeurs et de confirmer s'ils ont acquis — et utilisent — les compétences nécessaires en matière de sécurité, en s'assurant qu'ils ont obtenu leur licence de code. Il permet aux entreprises d'accorder en toute confiance à des développeurs qualifiés l'accès à leurs données les plus sensibles et à leurs projets logiciels critiques, tout en refusant cet accès à ceux qui ne sont pas encore prêts à utiliser les outils.
Preuve de l'évolution de la culture de sécurité
La cybersécurité n'est plus seulement une question de sécurité. Il s'agit d'un problème commercial qui affecte l'intégrité de l'actif le plus précieux de nombreuses organisations : leurs données. Une violation grave affecte les activités, la réputation et, potentiellement, la viabilité d'une organisation. L'importance de la cybersécurité n'a pas échappé aux organismes de réglementation, qui mettent en œuvre des réglementations de plus en plus strictes et se sont montrés prêts à engager des poursuites contre les RSSI et, potentiellement, d'autres membres de la haute direction, au point même d'engager des poursuites pénales, comme dans les cas de Uber et Vents solaires.
L'adoption d'une culture de sécurité à l'échelle de l'entreprise est essentielle dans l'environnement actuel. Et comme la valeur d'une entreprise repose en grande partie sur ses données, ses applications et ses services, le codage sécurisé est au cœur de cette culture. Une formation ciblée et un renforcement des compétences dans le cadre d'un état d'esprit culturel, ainsi que la preuve que la formation a contribué à changer la culture, peuvent aider les organisations à renforcer leurs postures de sécurité.
Les programmes de sécurité pilotés par les développeurs ont de la valeur. La preuve se trouve dans Score de confiance.
Un moyen sûr d'améliorer la posture de sécurité de votre entreprise consiste à améliorer les compétences des développeurs en matière de meilleures pratiques de codage sécurisé, dans un cadre comprenant des bases de référence et des points de référence conçus pour fournir aux développeurs les parcours d'apprentissage spécifiques dont ils ont besoin. Le codage sécurisé n'est toutefois pas une solution ponctuelle : il doit devenir un mode de vie, inscrit dans l'ADN d'une organisation. Les développeurs doivent non seulement se déplacer vers la gauche ou commencer à gauche, mais ils doivent également rester sur la gauche.
Il ne suffit pas de fournir une formation. Les entreprises doivent confirmer que les développeurs ont complètement assimilé leur formation et qu'ils suivent les meilleures pratiques au début du cycle de vie du développement logiciel (SDLC) dans le cadre de leur routine quotidienne. Vous devez suivre les performances des développeurs et mesurer leurs progrès par rapport aux normes internes et aux critères de référence du secteur, afin de mesurer efficacement le retour sur investissement de vos investissements dans la formation.
Secure Code Warrior's Score de confiance fournit une visibilité sur les performances de chaque développeur et regroupe les données pour fournir une évaluation des performances globales de votre organisation. Il montre l'efficacité des programmes de renforcement des compétences tout en identifiant les domaines nécessitant des améliorations. De plus, il permet de garantir la conformité à l'ensemble des exigences de conformité réglementaires, qu'elles proviennent du Règlement général sur la protection des données (GDPR), la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), la loi californienne sur la protection de la vie privée des consommateurs (CCPA), ou autres.
Nos recherches ont montré que la formation au code sécurisé fonctionne. Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité pour réduire les vulnérabilités et comment rendre l'initiative encore plus efficace.
La formation améliore la sécurité, si les développeurs l'obtiennent
Pendant des années, l'utilisation des meilleures pratiques de sécurité au début du SDLC a semblé être une ambition dans l'industrie du logiciel. C'est bien de l'avoir un jour, mais ce n'est pas une priorité aujourd'hui. Cependant, la rapidité croissante du développement des logiciels, ainsi que l'accélération des cybermenaces sophistiquées et destructrices, souvent basées sur le ciblage de vulnérabilités logicielles, ont rendu le codage sécurisé essentiel. L'Agence de cybersécurité et de sécurité des infrastructures (CISA) place le code sécurisé au premier plan avec son Sécurisé dès la conception initiative, qui est en train de devenir international mouvement.
Nos recherches l'ont prouvé : la corrélation entre une approche sécurisée dès la conception et la réduction des vulnérabilités logicielles est claire. Nous avons analysé les données de réduction des vulnérabilités provenant de 26 % de la clientèle de SCW et avons constaté que la formation des développeurs entraînait une réduction des vulnérabilités logicielles allant de 22 % à 84 %. Cette fourchette découlait de variables telles que la taille des entreprises impliquées (les petites entreprises comptant relativement peu de développeurs ont produit une gamme de résultats plus spectaculaire) et la question de savoir si un groupe d'apprentissage s'est concentré sur un problème spécifique, auquel cas il a éliminé un pourcentage plus élevé de failles.
Les résultats obtenus auprès des grandes entreprises étaient plutôt cohérents. Les entreprises comptant 7 000 développeurs ou plus peuvent s'attendre à une réduction des vulnérabilités de 47 % à 53 % grâce au renforcement des compétences des développeurs en matière de sécurité. Par exemple, une entreprise statistiquement moyenne comptant plus de 10 000 développeurs (qui n'est pas la plus performante sur la plateforme ni l'une des entreprises les plus performantes) a enregistré une réduction de 53 % de ses vulnérabilités.
Bien entendu, la formation la plus efficace ne repose pas sur une approche globale et universelle. Il doit être adapté à l'environnement de travail des développeurs et aux types de développement qu'ils effectuent.
Les entreprises devraient commencer par acquérir les compétences de base dont les développeurs doivent disposer pour rendre l'écriture de code sécurisé aussi naturelle que la simple écriture de code. Les programmes de renforcement des compétences devraient consister en une formation pratique et agile dans des scénarios du monde réel qui correspondent au type de travail qu'ils effectuent et aux langues qu'ils utilisent. Et il devrait être suffisamment flexible pour intégrer les sessions de formation à leurs horaires de travail.
Pour les développeurs, les compétences ne se limitent pas à l'écriture de code. Ils doivent être en mesure de vérifier les logiciels créés par des assistants d'intelligence artificielle et des tiers, tels que les référentiels open source. Les développeurs ont créé éviter toute utilisation de modèles d'IA génératifs, et ils ont généralement salué ses avantages en les aidant à créer plus de code plus rapidement. Cependant, bien que 76 % des personnes interrogées à un Sondage Snyk ont déclaré que le code généré par l'IA était plus sûr que le code produit par des humains, 56,4 % ont tout de même déclaré que l'IA introduisait des erreurs parfois ou fréquemment. Et la même enquête a révélé que 80 % des développeurs omettent d'appliquer les politiques de sécurité du code d'IA, ce qui suggère que les problèmes de code dans le code d'IA ne sont pas résolus.
Dans le cadre d'une approche sécurisée dès la conception, les développeurs, travaillant avec les équipes de sécurité plutôt que séparément de celles-ci, aborderont ces problèmes dès le début du SDLC, en identifiant et en corrigeant les failles avant que le code ne soit mis en production.
Le Trust Score mesure les performances individuelles et celles de l'entreprise
Il est également essentiel que la formation soit continue. Les entreprises doivent adopter une culture axée sur la sécurité qui s'applique partout, des plus hauts échelons de l'entreprise aux échelons les plus élevés. Il devrait se concentrer sur l'amélioration continue et l'application des meilleures pratiques de sécurité dans l'ensemble du SDLC. La technologie et les cybercriminels ne cessent d'évoluer, tout comme la cybersécurité. Pour les entreprises qui produisent des logiciels, des développeurs formés à la sécurité constituent la base.
C'est pourquoi il est tout aussi important de démontrer que la formation est efficace que la formation elle-même. Trust Score fournit non seulement une visibilité sur les performances des développeurs individuellement et de l'organisation dans son ensemble, mais il permet également aux organisations d'analyser les données de performance pour se concentrer sur des langages, des équipes de développeurs ou des catégories de logiciels spécifiques. Les données issues des résultats de performance individuels et agrégés permettent également d'identifier les domaines dans lesquels la formation doit être améliorée, par exemple si elle n'a pas l'effet escompté sur les performances quotidiennes des développeurs.
Trust Score a permis aux entreprises d'évaluer les performances des développeurs et de confirmer s'ils ont acquis — et utilisent — les compétences nécessaires en matière de sécurité, en s'assurant qu'ils ont obtenu leur licence de code. Il permet aux entreprises d'accorder en toute confiance à des développeurs qualifiés l'accès à leurs données les plus sensibles et à leurs projets logiciels critiques, tout en refusant cet accès à ceux qui ne sont pas encore prêts à utiliser les outils.
Preuve de l'évolution de la culture de sécurité
La cybersécurité n'est plus seulement une question de sécurité. Il s'agit d'un problème commercial qui affecte l'intégrité de l'actif le plus précieux de nombreuses organisations : leurs données. Une violation grave affecte les activités, la réputation et, potentiellement, la viabilité d'une organisation. L'importance de la cybersécurité n'a pas échappé aux organismes de réglementation, qui mettent en œuvre des réglementations de plus en plus strictes et se sont montrés prêts à engager des poursuites contre les RSSI et, potentiellement, d'autres membres de la haute direction, au point même d'engager des poursuites pénales, comme dans les cas de Uber et Vents solaires.
L'adoption d'une culture de sécurité à l'échelle de l'entreprise est essentielle dans l'environnement actuel. Et comme la valeur d'une entreprise repose en grande partie sur ses données, ses applications et ses services, le codage sécurisé est au cœur de cette culture. Une formation ciblée et un renforcement des compétences dans le cadre d'un état d'esprit culturel, ainsi que la preuve que la formation a contribué à changer la culture, peuvent aider les organisations à renforcer leurs postures de sécurité.
Les programmes de sécurité pilotés par les développeurs ont de la valeur. La preuve se trouve dans Score de confiance.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Afficher le rapportRéservez une démo
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
Un moyen sûr d'améliorer la posture de sécurité de votre entreprise consiste à améliorer les compétences des développeurs en matière de meilleures pratiques de codage sécurisé, dans un cadre comprenant des bases de référence et des points de référence conçus pour fournir aux développeurs les parcours d'apprentissage spécifiques dont ils ont besoin. Le codage sécurisé n'est toutefois pas une solution ponctuelle : il doit devenir un mode de vie, inscrit dans l'ADN d'une organisation. Les développeurs doivent non seulement se déplacer vers la gauche ou commencer à gauche, mais ils doivent également rester sur la gauche.
Il ne suffit pas de fournir une formation. Les entreprises doivent confirmer que les développeurs ont complètement assimilé leur formation et qu'ils suivent les meilleures pratiques au début du cycle de vie du développement logiciel (SDLC) dans le cadre de leur routine quotidienne. Vous devez suivre les performances des développeurs et mesurer leurs progrès par rapport aux normes internes et aux critères de référence du secteur, afin de mesurer efficacement le retour sur investissement de vos investissements dans la formation.
Secure Code Warrior's Score de confiance fournit une visibilité sur les performances de chaque développeur et regroupe les données pour fournir une évaluation des performances globales de votre organisation. Il montre l'efficacité des programmes de renforcement des compétences tout en identifiant les domaines nécessitant des améliorations. De plus, il permet de garantir la conformité à l'ensemble des exigences de conformité réglementaires, qu'elles proviennent du Règlement général sur la protection des données (GDPR), la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), la loi californienne sur la protection de la vie privée des consommateurs (CCPA), ou autres.
Nos recherches ont montré que la formation au code sécurisé fonctionne. Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité pour réduire les vulnérabilités et comment rendre l'initiative encore plus efficace.
La formation améliore la sécurité, si les développeurs l'obtiennent
Pendant des années, l'utilisation des meilleures pratiques de sécurité au début du SDLC a semblé être une ambition dans l'industrie du logiciel. C'est bien de l'avoir un jour, mais ce n'est pas une priorité aujourd'hui. Cependant, la rapidité croissante du développement des logiciels, ainsi que l'accélération des cybermenaces sophistiquées et destructrices, souvent basées sur le ciblage de vulnérabilités logicielles, ont rendu le codage sécurisé essentiel. L'Agence de cybersécurité et de sécurité des infrastructures (CISA) place le code sécurisé au premier plan avec son Sécurisé dès la conception initiative, qui est en train de devenir international mouvement.
Nos recherches l'ont prouvé : la corrélation entre une approche sécurisée dès la conception et la réduction des vulnérabilités logicielles est claire. Nous avons analysé les données de réduction des vulnérabilités provenant de 26 % de la clientèle de SCW et avons constaté que la formation des développeurs entraînait une réduction des vulnérabilités logicielles allant de 22 % à 84 %. Cette fourchette découlait de variables telles que la taille des entreprises impliquées (les petites entreprises comptant relativement peu de développeurs ont produit une gamme de résultats plus spectaculaire) et la question de savoir si un groupe d'apprentissage s'est concentré sur un problème spécifique, auquel cas il a éliminé un pourcentage plus élevé de failles.
Les résultats obtenus auprès des grandes entreprises étaient plutôt cohérents. Les entreprises comptant 7 000 développeurs ou plus peuvent s'attendre à une réduction des vulnérabilités de 47 % à 53 % grâce au renforcement des compétences des développeurs en matière de sécurité. Par exemple, une entreprise statistiquement moyenne comptant plus de 10 000 développeurs (qui n'est pas la plus performante sur la plateforme ni l'une des entreprises les plus performantes) a enregistré une réduction de 53 % de ses vulnérabilités.
Bien entendu, la formation la plus efficace ne repose pas sur une approche globale et universelle. Il doit être adapté à l'environnement de travail des développeurs et aux types de développement qu'ils effectuent.
Les entreprises devraient commencer par acquérir les compétences de base dont les développeurs doivent disposer pour rendre l'écriture de code sécurisé aussi naturelle que la simple écriture de code. Les programmes de renforcement des compétences devraient consister en une formation pratique et agile dans des scénarios du monde réel qui correspondent au type de travail qu'ils effectuent et aux langues qu'ils utilisent. Et il devrait être suffisamment flexible pour intégrer les sessions de formation à leurs horaires de travail.
Pour les développeurs, les compétences ne se limitent pas à l'écriture de code. Ils doivent être en mesure de vérifier les logiciels créés par des assistants d'intelligence artificielle et des tiers, tels que les référentiels open source. Les développeurs ont créé éviter toute utilisation de modèles d'IA génératifs, et ils ont généralement salué ses avantages en les aidant à créer plus de code plus rapidement. Cependant, bien que 76 % des personnes interrogées à un Sondage Snyk ont déclaré que le code généré par l'IA était plus sûr que le code produit par des humains, 56,4 % ont tout de même déclaré que l'IA introduisait des erreurs parfois ou fréquemment. Et la même enquête a révélé que 80 % des développeurs omettent d'appliquer les politiques de sécurité du code d'IA, ce qui suggère que les problèmes de code dans le code d'IA ne sont pas résolus.
Dans le cadre d'une approche sécurisée dès la conception, les développeurs, travaillant avec les équipes de sécurité plutôt que séparément de celles-ci, aborderont ces problèmes dès le début du SDLC, en identifiant et en corrigeant les failles avant que le code ne soit mis en production.
Le Trust Score mesure les performances individuelles et celles de l'entreprise
Il est également essentiel que la formation soit continue. Les entreprises doivent adopter une culture axée sur la sécurité qui s'applique partout, des plus hauts échelons de l'entreprise aux échelons les plus élevés. Il devrait se concentrer sur l'amélioration continue et l'application des meilleures pratiques de sécurité dans l'ensemble du SDLC. La technologie et les cybercriminels ne cessent d'évoluer, tout comme la cybersécurité. Pour les entreprises qui produisent des logiciels, des développeurs formés à la sécurité constituent la base.
C'est pourquoi il est tout aussi important de démontrer que la formation est efficace que la formation elle-même. Trust Score fournit non seulement une visibilité sur les performances des développeurs individuellement et de l'organisation dans son ensemble, mais il permet également aux organisations d'analyser les données de performance pour se concentrer sur des langages, des équipes de développeurs ou des catégories de logiciels spécifiques. Les données issues des résultats de performance individuels et agrégés permettent également d'identifier les domaines dans lesquels la formation doit être améliorée, par exemple si elle n'a pas l'effet escompté sur les performances quotidiennes des développeurs.
Trust Score a permis aux entreprises d'évaluer les performances des développeurs et de confirmer s'ils ont acquis — et utilisent — les compétences nécessaires en matière de sécurité, en s'assurant qu'ils ont obtenu leur licence de code. Il permet aux entreprises d'accorder en toute confiance à des développeurs qualifiés l'accès à leurs données les plus sensibles et à leurs projets logiciels critiques, tout en refusant cet accès à ceux qui ne sont pas encore prêts à utiliser les outils.
Preuve de l'évolution de la culture de sécurité
La cybersécurité n'est plus seulement une question de sécurité. Il s'agit d'un problème commercial qui affecte l'intégrité de l'actif le plus précieux de nombreuses organisations : leurs données. Une violation grave affecte les activités, la réputation et, potentiellement, la viabilité d'une organisation. L'importance de la cybersécurité n'a pas échappé aux organismes de réglementation, qui mettent en œuvre des réglementations de plus en plus strictes et se sont montrés prêts à engager des poursuites contre les RSSI et, potentiellement, d'autres membres de la haute direction, au point même d'engager des poursuites pénales, comme dans les cas de Uber et Vents solaires.
L'adoption d'une culture de sécurité à l'échelle de l'entreprise est essentielle dans l'environnement actuel. Et comme la valeur d'une entreprise repose en grande partie sur ses données, ses applications et ses services, le codage sécurisé est au cœur de cette culture. Une formation ciblée et un renforcement des compétences dans le cadre d'un état d'esprit culturel, ainsi que la preuve que la formation a contribué à changer la culture, peuvent aider les organisations à renforcer leurs postures de sécurité.
Les programmes de sécurité pilotés par les développeurs ont de la valeur. La preuve se trouve dans Score de confiance.
Table des matières
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démoTéléchargerRessources pour vous aider à démarrer
Sujets et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions d'IA Beat the Boss sont désormais disponibles à la demande
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Déployez des défis de sécurité avancés liés à l'IA et au LLM pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyberrésilience : ce que cela signifie pour le développement de logiciels sécurisés dès la conception
Découvrez ce que la loi européenne sur la cyberrésilience (CRA) exige, à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Enabler 1 donne le coup d'envoi de notre série en 10 parties intitulée Enablers of Success en montrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité pour assurer la maturité à long terme des programmes.
