Qu'est-ce qui empêche les équipes de développement de dormir la nuit lorsqu'il s'agit de sécuriser le codage ?
.avif)
Le code non sécurisé coûte des millions aux entreprises. Alors, qu'est-ce qui les empêche d'adopter des pratiques de codage sécurisées ?
Dans un monde qui repose sur les logiciels pour à peu près tout, il est essentiel de s'assurer que le code est sécurisé. La réputation de la marque et sa viabilité financière en dépendent. Cela dit, le codage sécurisé suscite de nombreuses préoccupations et de nombreux obstacles entravent son adoption complète et efficace. Plus que jamais, une nouvelle façon de travailler s'impose. Ainsi, en 2020, Secure Code Warrior s'est engagé avec Evans Data Corp. pour mener des recherches primaires* sur les attitudes des développeurs et de leurs responsables à l'égard du codage sécurisé, des pratiques de code sécurisées et des opérations de sécurité (télécharger le livre blanc) ici).
À l'heure actuelle, les entreprises éprouvent des difficultés à mettre en œuvre des pratiques de code sécurisées. Les développeurs comme les gestionnaires trouvent particulièrement préoccupants la gestion des vulnérabilités et la responsabilité du code.
De toute évidence, une meilleure formation et un programme prenant en charge les pratiques de code sécurisées sont nécessaires. Ce besoin devient évident lorsque nous interrogeons les développeurs et leurs responsables sur leurs préoccupations concernant le codage sécurisé. Notre recherche* a montré que ces deux groupes partageaient les mêmes préoccupations fondamentales. Mais en raison de leurs rôles différents, ils diffèrent quant à savoir laquelle de ces préoccupations est la plus pressante.
La principale préoccupation des développeurs est « d'inclure du code qui reproduit les vulnérabilités précédentes ». Les développeurs étant jugés sur la qualité de leur code, cela n'est guère surprenant. Aucun développeur ne souhaite être à l'origine d'un code non sécurisé, ou d'un code qui doit être retravaillé et qui ralentit son équipe.
La deuxième préoccupation la plus importante pour les développeurs est la gestion des erreurs introduites par des collègues. Respecter les délais et être responsable du code figurent également en tête de liste, tout comme le fait que l'apprentissage du code sécurisé est un défi, ce qui confirme une fois de plus la nécessité d'une nouvelle approche de la formation au code sécurisé.
Les managers, quant à eux, adoptent une vision plus descendante.
En tant que chefs d'équipe et chefs d'équipe, leur principale préoccupation est de rendre compte du code. Si une équipe produit du mauvais code, la responsabilité revient à son manager.
Le code qui reproduit les vulnérabilités précédentes arrive en deuxième position. Le fait que le processus d'apprentissage soit difficile vient en troisième position. En tant qu'actuel formation au code sécurisé les approches ne donnent pas les résultats escomptés, les gestionnaires se rendent compte qu'une nouvelle approche est nécessaire.
Les obstacles à l'adoption de pratiques de codage sécurisées
Lorsque nous avons interrogé les responsables sur les obstacles à l'adoption de pratiques de codage sécurisées dans leurs organisations, deux choses ressortent clairement : la communication et la formation.
45 % ont identifié le manque de communication entre les parties prenantes et la direction comme un obstacle majeur. 42 % déplorent le manque de compétences en matière de codage sécurisé chez les nouveaux employés. Dans le même temps, 40 % ont indiqué que le temps et les ressources de formation étaient insuffisants.
Il existe des obstacles liés aux processus et aux ressources humaines à l'adoption réussie de pratiques de code sécurisées dans toutes les organisations.
Mais vous pouvez toujours faire des progrès malgré ces problèmes insolubles. Il est plus facile de remédier au manque de compétences de codage sécurisées chez les nouveaux employés et à l'insuffisance de la formation et des ressources.
Les développeurs sont en première ligne lorsqu'il s'agit de stopper les vulnérabilités. Mais bénéficient-ils du soutien, des outils et de la formation nécessaires pour respecter leur part du contrat de sécurité ?
Compte tenu de leurs préoccupations, la réponse courte est « non ».
À vrai dire, la bonne formation ne doit pas ressembler à une conférence.
En tant que champion du changement en matière de codage sécurisé, Secure Code Warrior adopte une approche dirigée par l'homme qui incite activement les développeurs à apprendre et à développer leurs compétences en matière de codage sécurisé. Notre plateforme d'apprentissage éprouvée fournit aux équipes de développement et de sécurité un apprentissage contextuel et hyperpertinent dans le cadre de leur flux de travail préféré. Cela leur permet non seulement de détecter les vulnérabilités, mais aussi de les empêcher de se produire.
Ce type de formation pratique est une opportunité d'amélioration des compétences, une évolution de carrière qui n'a que des avantages pour les développeurs qui souhaitent sérieusement mettre fin aux vulnérabilités et travailler avec le reste de l'équipe pour produire un code de meilleure qualité.
Si vous souhaitez en savoir plus et voir l'impact potentiel sur la capacité de vos équipes à « partir à gauche » et à envoyer du code sécurisé plus rapidement sans compromettre la sécurité, réservez une démo dès maintenant.
*Passer de la réaction à la prévention : le nouveau visage de la sécurité des applications. Secure Code Warrior et Evans Data Corp. 2020
Govern AI-driven development before it ships
Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.
Explore more blogs
Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.
%252520%252520(3).avif)
Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Security as culture: How Blue Prism cultivates world-class secure developers
Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

One Culture of Security: How Sage built their security champions program with agile secure code learning
Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.
%252520(1).avif)
Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)
Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.
Secure AI-driven development before it ships
See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.


