En 2021, nous inaugurons une nouvelle ère pour le légendaire Top 10 de l'OWASP. Cette dernière version révèle des bouleversements importants, les failles d'injection ayant finalement été supprimées de la première place au profit de vulnérabilités Broken Access Control. De nouveaux articles, tels que Insecure Design et Software and Data Integrity Failures, montrent une tendance vers des catégories de vulnérabilités, plutôt que vers des bogues de sécurité autonomes, ce qui prouve que le paysage des menaces et la surface d'attaque potentielle des bogues les plus courants s'élargissent.

L'OWASP a toujours été l'autorité de référence pour les problèmes de sécurité les plus courants et les plus insidieux rencontrés dans les logiciels que nous utilisons au quotidien, et s'il existe une base de référence sur laquelle les entreprises devraient s'efforcer, c'est de conquérir ce top 10 avec l'aide de développeurs formés à la sécurité. Bien que de nombreuses entreprises en soient conscientes, nous devons commencer à élargir le réseau en améliorant les compétences des développeurs si l'on veut un jour réduire le gouffre en matière de compétences en cybersécurité et avoir un impact positif sur la sécurité des logiciels face à une demande effrénée de code.

Ce livre blanc analysera le nouveau Top 10 de l'OWASP, notamment :

• L'impact des catégories de vulnérabilité par rapport aux problèmes individuels
• Pourquoi la sécurité architecturale fait l'objet d'une attention renouvelée
• La valeur du Top 10 de l'OWASP comme point de référence et les raisons pour lesquelles les entreprises doivent établir leur propre liste de priorités en matière de perfectionnement des développeurs
• Pourquoi les solutions centrées sur l'humain pour réduire les vulnérabilités constituent une approche plus holistique que la défense basée sur des outils.

‍

Donnez aux développeurs les moyens d'améliorer la productivité et la sécurité du code

Secure Code Warrior est l'une des quatre entreprises citées dans le rapport Gartner® Cool Vendors™ in Software Engineering : Enhancing Developer Productivity.

Selon Gartner, les ingénieurs logiciels ont du mal à naviguer dans des environnements de code complexes et à améliorer la sécurité des systèmes qu'ils développent tout en restant productifs. Les responsables de la sécurité et de l'ingénierie devraient prendre en compte les fournisseurs les plus intéressants de cette étude, qui proposent des solutions innovantes qui aident les entreprises à améliorer la productivité des développeurs et à atténuer les risques de sécurité.

Accédez au rapport complet dès maintenant.

‍

Lisez le rapport Gartner Cool Vendors in Software Engineering : Enhancing Developer Productivity, publié par Arun Batchu, Marty Resnick et Manjunath Bhat le 16 mai 2022.

‍ *_{GARTNER est une marque déposée et une marque de service de Gartner, Inc. et/ou de ses filiales aux États-Unis et dans le monde et est utilisée ici avec autorisation. Tous droits réservés. Le badge GARTNER COOL VENDOR est une marque commerciale et une marque de service de Gartner, Inc. et/ou de ses filiales et est utilisé ici avec autorisation. Tous droits réservés. Gartner ne soutient aucun fournisseur, produit ou service décrit dans ses publications de recherche et ne conseille pas aux utilisateurs de technologies de sélectionner uniquement les fournisseurs ayant obtenu les meilleures notes ou toute autre désignation. Les publications de recherche de Gartner reflètent les opinions de l'organisation Gartner Research & Advisory et ne doivent pas être interprétées comme des déclarations factuelles. Gartner décline toute garantie, expresse ou implicite, concernant cette étude, y compris toute garantie de qualité marchande ou d'adéquation à un usage particulier.}

‍

Suscitez l'intérêt des équipes de développeurs pour l'amélioration des compétences en matière de code sécurisé.
‍La formation à la sécurité peut sembler n'être qu'un obstacle de plus dans le flux de travail d'un développeur, mais cette page d'une page met en évidence les avantages qu'elle peut apporter à celui-ci.

‍

Paysafe aide à transformer les transactions financières en expériences fondées sur la confiance, et l'entreprise sait que fournir une plateforme sécurisée et fluide qui traite plus de 152 milliards de dollars de volumes de transactions annualisés ne se limite pas au simple respect des normes de conformité de base. Au cours des quatre dernières années, Paysafe a continué de promouvoir une approche globale de la gestion des risques des développeurs grâce à son partenariat avec Secure Code Warrior, dont le programme de sécurité des applications a démontré un impact positif sur les besoins généraux de l'entreprise, notamment :

‍
Le défi : améliorer les normes de sécurité en matière de code au sein de Paysafe

En tant que fournisseur de paiement en ligne multinational, Paysafe a toujours considéré le codage sécurisé comme une priorité stratégique qui va au-delà du simple respect des exigences de conformité PCI DSS. Bien que des sessions formelles de formation en classe animées par des experts et des évaluations des compétences aient fait partie de leurs premiers efforts, l'objectif de Paysafe a toujours été d'élargir continuellement la portée et l'ampleur de son initiative de codage sécurisé, en garantissant une approche de premier ordre en matière de sécurité des applications et en veillant à ce que les ingénieurs écrivent du code sécurisé dès le départ.

« Pour nous, il ne s'est jamais contenté de cocher une case indiquant que nous avons dispensé une formation. Notre objectif est de tenir notre personnel au courant des développements en cours. Nous nous efforçons toujours de nous améliorer et d'en faire plus. Nous voulons que les équipes d'ingénierie et les équipes de sécurité collaborent. Les équipes qui peuvent se développer elles-mêmes sont mieux informées et conçoivent un meilleur code », explique Boyan Hristov, partenaire de développement personnel chez Paysafe.

La vision de Paysafe était de déplacer la sécurité vers la gauche, en formant des ingénieurs conscients de la sécurité qui intègrent des pratiques de codage sécurisées à chaque étape du cycle de vie du développement logiciel. Pour y parvenir, ils avaient besoin d'un programme évolutif, engageant et continu qui non seulement fournirait des preuves d'audit à des fins de conformité à la norme PCI, mais entraînerait également un changement culturel profond et durable. Cela comprenait des expériences d'apprentissage ludiques, des tournois réguliers et des formations continues pour aider les développeurs à rester à la pointe des tendances du secteur en matière de sécurité.

La solution : une approche de pointe avec Secure Code Warrior

Paysafe a adopté la plateforme de gestion des risques pour les développeurs de Secure Code Warrior pour aider à développer les pratiques de codage sécurisées, à impliquer des ingénieurs et à intégrer la sécurité plus tôt dans le cycle de développement. Leur programme Security Champions s'est développé au fil du temps, Secure Code Warrior jouant un rôle essentiel dans la réalisation des objectifs de prévention des cyberrisques.

Paysafe a permis aux développeurs de s'engager de manière organique avec la plateforme, en encourageant des activités ludiques telles que des tournois avec des prix alléchants pour impliquer et enthousiasmer les développeurs. Lors du déploiement initial du programme, l'entreprise a rendu certaines évaluations obligatoires pour répondre aux exigences de conformité PCI et a proposé d'autres contenus et activités en option.

Au fur et à mesure que le programme gagnait du terrain, la direction a apporté un soutien supplémentaire, alignant ainsi davantage les objectifs des équipes de développement et de sécurité de l'information. Cela a permis à l'équipe Paysafe de faire passer le programme au niveau supérieur et d'introduire des programmes de certification plus formels avec des KPI désignés et des incitations à la réussite.

La phase suivante du programme s'est concentrée sur les 10 principaux sujets standard de l'OWASP, avec des étapes de certification permettant aux développeurs de progresser à travers différents niveaux de réussite. Aujourd'hui, le programme a atteint un nouveau niveau d'envergure et de maturité, élevant les normes de base pour les développeurs à tous les niveaux, des employés à temps plein aux travailleurs occasionnels.

‍« Nous apprécions beaucoup le partenariat que nous avons établi avec SCW au cours des quatre dernières années. Ensemble, nous avons été en mesure de proposer une formation ciblée sur la sécurité des applications et de renforcer les relations entre nos équipes de sécurité et d'ingénierie, ancrées dans un engagement commun à développer du code sécurisé pour la première fois et le plus tôt possible dans le SDLC », déclare Alan Osborne, directeur de la sécurité informatique chez Paysafe.

Grâce au soutien et à l'alignement continus du CISO, du CTO et des dirigeants de l'ingénierie, Paysafe s'est associé à Secure Code Warrior pour faire évoluer continuellement son programme. Aujourd'hui, le programme est étroitement aligné sur les besoins de l'entreprise, fournit des résultats tangibles et reste pertinent et intéressant pour les équipes internes.

Résultats : une nouvelle norme pour le code sécurisé dans l'ensemble de l'organisation

Les initiatives de sécurité des applications de Paysafe se sont améliorées depuis le début de leur parcours il y a quatre ans. Grâce à son partenariat avec Secure Code Warrior, Paysafe a démontré l'impact considérable qu'une approche holistique de la gestion des risques pour les développeurs peut avoir sur l'ensemble de l'organisation.

L'analyse des données de scan SAST par Paysafe a montré que les applications développées par des équipes formées avec Secure Code Warrior présentaient une réduction notable des vulnérabilités détectées lors des premières analyses de développement. Le nombre de vulnérabilités détectées lors de la première analyse a encore diminué dans les équipes où les développeurs étaient plus activement impliqués dans la plateforme SCW.

L'équipe ayant le plus haut niveau d'activité et d'engagement dans Secure Code Warrior a constaté une réduction significative, année après année, des vulnérabilités découvertes au cours des premières phases de développement, mettant en évidence la valeur ajoutée d'une formation continue basée sur les compétences pour renforcer les habitudes de codage sécurisé. La création d'un code sécurisé dès le départ a permis à leur équipe et aux autres équipes du SDLC de gagner beaucoup de temps. Des milliers d'heures de développement ont été économisées en éliminant le besoin d'identifier, de consigner et de retravailler les vulnérabilités du code en les prévenant dès le début du développement. Cela s'est traduit par une amélioration de 45 % de la productivité des développeurs, ce qui a permis de démontrer les avantages de la mise à niveau des compétences en matière de code sécurisé et de l'amélioration du processus de développement quotidien. Une solution gagnant-gagnant pour les équipes d'ingénierie comme pour les équipes AppSec.

L'engagement de Paysafe en faveur du code sécurisé l'a aidée à se démarquer et à atteindre la quatrième place du SCW Trust Score^® dans le cadre de l'indice de référence des services bancaires et financiers. Bien qu'il s'agisse d'une réalisation dont ils sont fiers, l'engagement de Paysafe en faveur d'initiatives de code sécurisé ne s'arrête pas là. Encouragée par les résultats obtenus grâce à son partenariat avec Secure Code Warrior, Paysafe cherche à améliorer encore le programme.

« Secure Code Warrior nous a aidés à augmenter la productivité des développeurs, à accélérer notre capacité à commercialiser des produits et des améliorations, et à réduire considérablement les coûts et les risques au fil du temps », déclare Alan Osborne, directeur de la sécurité informatique chez Paysafe. « Nous avons démontré que le codage sécurisé, soutenu par une formation améliorée pour les développeurs, n'est pas simplement un avantage, mais qu'il s'agit d'un investissement éprouvé qui génère un réel retour sur investissement tout en renforçant les compétences, l'expérience et les capacités de nos développeurs. »

Ensuite, Paysafe vise à rendre ses normes de sécurité plus opérationnelles en incorporant des mesures supplémentaires de gouvernance et de gestion des risques dans son processus, SCW Trust Agent approfondissant son partenariat de longue date avec Secure Code Warrior et démontrant son engagement en faveur de l'excellence en matière de cybersécurité.

Dans un récent rapport d'Aberdeen, 8 organisations sur 9 n'étaient au courant d'aucun problème de conformité ou de vulnérabilité dans leur base de code. Pour la seule entreprise qui a identifié des problèmes, ce qu'elle savait ne représentait que 9,5 % des problèmes réels finalement découverts lors d'un audit logiciel. Cela représente à la fois une lacune en matière d'évitement et de remédiation lorsqu'il s'agit de gérer les risques de sécurité et de conformité.

Il est important de combler cette lacune pour aider les équipes d'ingénierie et leurs dirigeants à mieux comprendre l'impact des logiciels libres sur la capacité d'une organisation à créer et à fournir des solutions sans risque. Une partie de la solution consiste à créer un processus en boucle fermée visant à former les développeurs à l'importance de la sécurité et de la conformité ainsi qu'à la manière d'atténuer les risques, tout en établissant les bons outils pour la découverte et la correction.

Si vous êtes développeur, ingénieur ou spécialiste de la sécurité, écoutez nos experts Alex Rybak, directeur de la gestion des produits chez Revenera, et Matias Madou, directeur technique de Secure Code Warrior, discuter des points suivants dans ce webinaire :

- L'importance de mettre en œuvre une gouvernance continue tout au long du cycle de vie du développement logiciel.
- Pourquoi une nomenclature logicielle (sBOM) est la meilleure amie d'un responsable de l'ingénierie.
- Le développement de solutions fiables commence par la définition de politiques interfonctionnelles convenues pour identifier et corriger les risques.
- L'entrée en vigueur de réglementations sectorielles nécessitant des changements structurels pour soutenir la gestion de la conformité et de la sécurité.
- Le rôle que jouent désormais les entreprises dans la sécurisation de la formation des développeurs grâce à des programmes tels que la microformation pour une initiative de gestion open source plus robuste.

TL ; ESSAYER

À propos de Colgate-Palmolive

Colgate-Palmolive Company est une marque de produits de consommation marquante connue et appréciée par les foyers du monde entier. Bien qu'elle soit vieille de plus de deux siècles, il s'agit d'une entreprise innovante en pleine croissance qui tire parti du numérique pour réimaginer un avenir plus sain pour les humains, leurs animaux de compagnie et la planète.

Situation

Colgate-Palmolive, comme presque toutes les autres organisations, connaît une transformation numérique afin de mieux servir ses clients, ce qui a entraîné un changement dans la façon dont l'organisation aborde la sécurité des applications.

Alex Schuchman, CISO chez Colgate-Palmolive, l'explique ainsi :

« Il est très important pour nous de protéger les données de nos clients et d'être ainsi en mesure de renforcer la confiance, non seulement dans nos produits, mais aussi dans les interactions numériques que nos clients entretiennent avec nous. »

Mais pour Alex, le défi était de sécuriser la source des éventuelles violations des données des clients, à savoir le code lui-même.

« Le fait de travailler sur la conception des applications m'a été très utile lorsque je suis passé à mon rôle de CISO. Je comprends la difficulté de récupérer des tickets auprès d'AppSec ou la frustration de ne pas respecter les délais à cause de retouches. Par conséquent, mon objectif en tant que CISO n'était pas seulement de renforcer la sécurité dans le cycle de vie du développement logiciel, mais également de rationaliser la manière dont elle est mise en œuvre. »

Action

Colgate-Palmolive a relevé ce défi en divisant sa formation en matière de sécurité en plusieurs parties. Cela l'a rendu plus acceptable pour les développeurs, qui ont pu l'intégrer à leur flux de travail, au lieu de suivre une formation de conformité longue et monolithique à laquelle ils étaient habitués. En tirant parti de l'approche agile et contextuelle de Secure Code Warrior pour l'apprentissage sécurisé du code, les développeurs ont pu comprendre les vulnérabilités dans le contexte de leurs projets réels, ce qui a permis d'accroître l'engagement et de conserver à long terme les compétences en matière de codage sécurisé.

« Je voulais mettre en œuvre ces meilleures pratiques tout en maintenant l'engagement des développeurs », explique Alex. « Nous avons encore mandaté des parties essentielles du programme, mais le fait de maintenir la gestion de la formation et d'écouter les commentaires des développeurs a contribué au succès du programme. »

Colgate-Palmolive a mis en œuvre un flux de travail Okta qui gère le référentiel GitHub, permettant uniquement aux développeurs ayant réussi des évaluations SCW spécifiques d'accéder aux pull requests, comme illustré dans le schéma ci-dessous.

Résultats

Selon Alex, « Nous avons compris que pour optimiser le succès, nous avions besoin de l'implication de nos développeurs dès le départ. Nous avons donc veillé à ce que les développeurs sachent qu'ils joueraient un rôle essentiel dans le succès du programme. En conséquence, nous avons constaté qu'il y avait une bien meilleure relation entre notre équipe de sécurité et nos développeurs, et nous avions vraiment l'impression de travailler en équipe sur le programme. Nous continuons à développer et à étendre le programme de maturité en matière de sécurité, en nous appuyant sur le succès que nous avons déjà connu. »

Principaux points à retenir

1. Définissez clairement les objectifs du programme et mettez l'accent sur la contribution et l'engagement des développeurs. Les développeurs sont plus susceptibles d'adhérer à un programme d'apprentissage de code sécurisé intégré à leur flux de travail et intégré aux outils de développement qu'ils utilisent au quotidien.
2. L'utilisation d'un outil SSO tel qu'Okta pour accéder au référentiel de code incite l'équipe. Seuls les développeurs ayant obtenu une note de passage à des cours et à des évaluations spécifiques du SCW sont autorisés à effectuer des pull requests.
3. Au fil du temps, développez une culture de sécurité qui favorise une relation de travail solide entre les équipes AppSec et de développement.

‍