Étude sur Secure Code Warrior : les secteurs des infrastructures critiques progressent en matière de préparation des développeurs à la sécurité dès la conception

Une nouvelle analyse réalisée en collaboration avec le Paladin Global Institute souligne la nécessité cruciale de renforcer les compétences des développeurs pour mesurer correctement les progrès réalisés en matière de sécurité dès la conception 

‍

BOSTON — 15 octobre 2024 - Aujourd'hui, Secure Code Warrior, le leader mondial de la sécurité piloté par les développeurs, a publié de nouvelles découvertes sur le renforcement des compétences des développeurs et son impact sur les initiatives de sécurisation dès la conception (SBD) des organisations. Depuis avril 2024, plus de 200 entreprises, dont Secure Code Warrior, ont signé l'engagement Secure-by-Design. La nouvelle analyse montre que les organisations des secteurs des infrastructures critiques, tels que les services financiers, la défense, la santé et l'informatique, font des progrès dans la préparation de leurs développeurs à faire progresser leurs initiatives en matière de développement durable. Secure Code Warrior a découvert que les équipes de développeurs de ces secteurs avaient une posture de sécurité moyenne, telle que mesurée par Score de confiance SCW, une référence mondiale qui quantifie les compétences des équipes de développeurs en matière de sécurité, soit un niveau supérieur à celui des autres secteurs.

Les responsables de la sécurité informatique (CISO) ont de plus en plus de mal à prouver le véritable retour sur investissement dès les premières étapes de leurs initiatives en matière de SBD. Ces dernières années, l'absence d'un point de référence permettant d'évaluer la manière dont les organisations se situent par rapport aux normes de l'industrie a constitué un défi majeur. La clé du succès des initiatives de sécurisation dès la conception consiste non seulement à donner aux développeurs les compétences nécessaires pour garantir la sécurité du code, mais également à garantir aux régulateurs industriels et gouvernementaux que ces compétences sont mises en place.

« Aujourd'hui plus que jamais, nous avons la responsabilité nationale de garantir la mise en place de programmes de renforcement des compétences en matière de SBD », a déclaré Chris Inglis, conseiller stratégique principal chez Paladin Capital Group et ancien directeur national de la cybersécurité. « La réduction des risques est au cœur de cette dernière analyse, et Secure Code Warrior joue un rôle de premier plan en matière d'amélioration de l'apprentissage de la sécurité pour les développeurs, de prévention des cyberattaques et de renforcement des infrastructures critiques de notre pays. »

Principales conclusions : L'analyse de Secure Code Warrior de l'amélioration des compétences des développeurs dans les secteurs des infrastructures critiques est basée sur des informations provenant de plus de 20 millions de points de données, provenant de 600 entreprises clientes et de plus de 250 000 développeurs actifs dans le monde entier. L'analyse a révélé que :

• Le nombre total de développeurs actuellement impliqués dans des initiatives de renforcement des compétences SBD centrées sur les développeurs représente moins de 4 % de l'ensemble des développeurs dans le monde.
• Certains secteurs d'infrastructures critiques, tels que le secteur des services financiers, présentaient le niveau de sécurité le plus élevé, tel que mesuré par SCW TrustScore, par rapport à la moyenne des infrastructures non critiques. Par exemple, le score de confiance moyen des services financiers était de 336.
• Étonnamment, malgré les exigences de conformité et de réglementation, le secteur des services financiers affichait une posture de sécurité similaire à celle de plusieurs autres secteurs critiques.
• Les initiatives de renforcement des compétences sécurisées par conception, à grande ou à plus petite échelle, peuvent être couronnées de succès, et les recherches montrent que les initiatives à plus petite échelle peuvent prendre de l'ampleur et fonctionner plus rapidement. Mais pour que ces initiatives soient couronnées de succès et génèrent un retour sur investissement mesurable plus rapidement, les recherches montrent qu'un mandat doit être mis en place.
• Lorsque les initiatives de renforcement des compétences sont bien en place, les risques introduits par les développeurs dans les applications sont considérablement réduits. L'analyse a révélé que les développeurs participant à de grandes initiatives de renforcement des compétences (plus de 7 000 développeurs dans une seule entreprise) peuvent réduire les vulnérabilités de 47 à 53 % de manière prévisible.

Secure-By-Design prend de l'ampleur dans le monde entier, alors que les pays intègrent des directives similaires à leurs stratégies de cybersécurité plus générales. Cependant, il sera difficile de fournir des paramètres par défaut sécurisés aux développeurs et de favoriser une équipe de développeurs de logiciels qui comprend la sécurité sans les points de données appropriés pour établir un référentiel de compétences des développeurs. Un programme d'amélioration des compétences agiles peut trouver un écho auprès des développeurs, s'il repose sur des bases de référence établies, avec des sessions pratiques qui abordent des problèmes concrets auxquels les développeurs sont confrontés.

« À une époque où les cybermenaces mondiales sont sans précédent, ces nouvelles découvertes démontrent la nécessité de renforcer les initiatives SBD dans l'ensemble de notre infrastructure numérique afin de réduire les vulnérabilités critiques », a déclaré Kemba Walden, présidente du Paladin Global Institute et ancienne directrice nationale de la cybersécurité par intérim. « Cette étude lance un appel clair à l'action pour améliorer les compétences du personnel et créer des points de référence pour atteindre des objectifs critiques en matière de cybersécurité. »

« Les bases de référence et les points de référence peuvent grandement optimiser la posture de sécurité d'une organisation en faisant du codage sécurisé un élément essentiel de son ADN », a déclaré Matias Madou, cofondateur et directeur technique de Secure Code Warrior. « Pour savoir si une initiative SBD progresse réellement, vous avez besoin de preuves quantitatives démontrant que les efforts de renforcement des compétences des développeurs sont efficaces et qu'ils intègrent les meilleures pratiques de sécurité dans leurs habitudes de travail. Vous devez avoir la certitude que les développeurs ont vraiment mérité leur licence de code. »

De nombreux responsables de la sécurité soulignent constamment la difficulté de faire évoluer la plupart des éléments d'un programme de sécurité d'entreprise, en particulier ceux qui impliquent une amélioration continue des compétences et une évaluation de chaque personnel. C'est une préoccupation légitime, mais à la suite de plusieurs réformes législatives et directives mondiales exigeant que les développeurs possèdent des compétences en matière de sécurité vérifiées, elle doit être surmontée. De nombreuses organisations du monde entier prennent des mesures et ont mis en œuvre des initiatives de renforcement des compétences à grande échelle qui ont un impact significatif.

Pour en savoir plus sur la dernière analyse de Secure Code Warrior et le SCW Trust Score, cliquez ici.

‍

À propos de Secure Code Warrior :

Secure Code Warrior est une plateforme de codage sécurisée qui définit les normes qui garantissent la sécurité de notre monde numérique. Pour ce faire, nous fournissons la principale plateforme d'apprentissage agile au monde qui fournit la solution de codage sécurisée la plus efficace pour permettre aux développeurs d'apprendre, d'appliquer et de conserver les principes de sécurité logicielle. Plus de 600 entreprises font confiance à Secure Code Warrior pour mettre en œuvre des programmes de sécurité d'apprentissage agiles et s'assurer que les applications qu'ils publient sont exemptes de vulnérabilités.

Pour plus d'informations sur Secure Code Warrior, rendez-vous sur www.securecodewarrior.com.