Comment la formation au code sécurisé soutient la transformation numérique des services financiers

Les institutions de services financiers sont confrontées à de nombreux défis qui dépendent de leur capacité à utiliser la technologie de manière efficiente et efficace dans un monde financier en évolution rapide.

Les organisations opèrent à une époque de changements rapides, à la fois en interne et dans l'ensemble du secteur, dans un environnement commercial hautement compétitif basé sur le cloud. Dans le cadre de leurs transformations numériques en cours, par exemple, les organisations s'efforcent de contourner frictions organisationnelles qui entrave les investissements dans les nouvelles technologies, telles que l'intelligence artificielle, qui pourraient accélérer les processus de paiement et autres procédures.

Bien entendu, ils n'ont jamais oublié la nécessité de se conformer à toute une série d'exigences réglementaires, allant des exigences de la loi Sarbanes-Oxely sur la gestion des dossiers financiers aux règles PCI DSS (Payment Card Industry Data Security Standard) relatives à la protection des données des titulaires de cartes, en passant par la protection des informations personnelles contenue dans la California Consumer Privacy Act (CCPA) et le Règlement général sur la protection des données (GDPR) de l'UE.

Les amendes et les autres coûts liés à la non-conformité peuvent rapidement s'accumuler. Les IBM Rapport sur le coût d'une violation de données 2023 a révélé que les coûts moyens pour les organisations présentant un « niveau élevé de non-conformité » s'élevaient à 5,05 millions de dollars, soit plus d'un demi-million de dollars de plus que le coût moyen d'une violation de données réelle.

Et en parlant de violations de données, les cyberattaques continuent d'être un fléau pour les institutions financières, qui constituent le deuxième secteur le plus ciblé par les cyberattaques. Les attaques de rançongiciels à elles seules ont considérablement augmenté, passant de 34 % en 2021 à 55 % en 2022 et jusqu'à 64 % en 2023, selon Sophos État des rançongiciels dans le secteur des services financiers Rapport 2023. Le nombre de compromissions de données (y compris les violations de données et l'exposition de données privées) dans le secteur des services financiers américain est passé de 138 en 2020 à 744 en 2023, selon Statiste.

Les échecs dans l'un de ces domaines, qu'il s'agisse de l'efficacité interne, de la conformité ou de la sécurité, menacent la réputation d'une organisation et, par extension, la fidélité de ses clients, qui est la pierre angulaire des services financiers. Pour rester compétitives et réussir, les organisations doivent renforcer la confiance de leurs clients, et cela commence par s'assurer que leurs logiciels, systèmes et processus sont efficients et efficaces. Au cœur de tout cela se trouve un code logiciel sécurisé.

Les développeurs sont soumis à une pression croissante pour créer, mettre à jour et déployer des applications et des services à un rythme plus rapide que jamais. Cela signifie développer et utiliser davantage de code logiciel, qu'il soit écrit par des développeurs internes eux-mêmes, produit par l'IA, glané dans des référentiels open source ou fourni par des tiers.

La qualité et la sécurité de ce code sont primordiales pour garantir l'efficacité des opérations, mais c'est un domaine dans lequel les organisations échouent trop souvent. Et à mesure que le volume de code augmente, le nombre d'erreurs, de failles et de vulnérabilités ne fera qu'augmenter s'ils ne sont pas corrigés au début du cycle de vie du développement logiciel (SDLC).

Les entreprises doivent commencer par la gauche pour créer un code plus sécurisé et corriger les erreurs rapidement. Une formation agile aux meilleures pratiques de codage sécurisé peut constituer la base d'applications sécurisées et fiables, ce qui non seulement réduit les risques d'une organisation, mais contribue également à sa réussite.

TENDANCE 1 : OUTILS DE DÉVELOPPEMENT D'IA

L'innovation en matière d'IA repose sur un code sécurisé

L'intelligence artificielle, en particulier l'IA générative, est en train de devenir rapidement omniprésente dans le commerce, l'éducation et la vie quotidienne. Parmi les innombrables utilisations auxquelles l'IA générative a été appliquée, une fonction notable est l'écriture de code. Cela s'est généralement révélé bénéfique, mais cela soulève également un autre problème étroitement lié à l'utilisation de l'IA : la sécurité. En tant que premiers à adopter les nouvelles technologies, les institutions financières doivent garantir un équilibre entre les gains de productivité et l'utilisation sûre et responsable de l'IA.

À ce jour, l'IA a été principalement utilisée pour aider au développement de code, plutôt que, par exemple, pour automatiser le processus de correction, et son impact a été largement positif. Répondants à un enquête réalisée par GitHub, qui a constaté que plus de neuf développeurs américains sur dix utilisaient des outils de codage basés sur l'IA, a indiqué que les avantages comprenaient des gains de productivité (53 %), la liberté des développeurs de se concentrer sur des tâches créatives plutôt que répétitives (51 %) et la prévention de l'épuisement professionnel (41 %).

Les grandes banques et autres organisations de services financiers sont plus susceptibles que celles des autres secteurs d'adopter rapidement l'IA. Après tout, les institutions financières sont essentiellement des entreprises technologiques car elles ont les moyens d'investir dans de nouvelles technologies à grande échelle et sont toujours à la recherche d'un avantage concurrentiel.

Bien que certains aient exprimé la crainte que l'IA ne supplante les travailleurs humains, la technologie fonctionne mieux lorsqu'elle est associée à des homologues humains. Mais les développeurs ont besoin de bien plus qu'une simple approche basée sur des cases à cocher pour apprendre à l'utiliser. Ils ont besoin entraînement de précision pour vraiment comprendre les meilleures pratiques en matière de sécurité dans des environnements réels, afin qu'ils puissent non seulement écrire eux-mêmes du code sécurisé, mais aussi superviser de manière compétente le travail de leurs assistants IA chargés de la rédaction de code.

Par exemple, un exercice dans La formation du SCW invite un modèle LLM à modifier le contenu d'un extrait de code réel afin de modifier la fonction du code. L'IA répond en produisant un bloc de code, mais ce bloc est susceptible de faire l'objet de scripts intersites (XXS). La formation permet au développeur de reconnaître cette vulnérabilité.

L'IA et les développeurs peuvent travailler ensemble de manière très productive, mais uniquement si les développeurs sont suffisamment formés pour garantir que l'IA génère un code sécurisé.

Les erreurs de codage de l'IA peuvent se propager rapidement

En étant entraîné à écrire du code, un modèle d'IA ingère des milliers d'exemples d'écriture de code, tout comme un autre modèle ingère des milliers d'exemples de prose ou de poésie avant de pouvoir écrire une histoire ou un poème pour un utilisateur. Mais rien ne garantit que le modèle d'IA ne s'appuie pas sur un exemple contenant des erreurs. Comme les modèles d'IA ne sont pas transparents quant à leurs processus, les erreurs n'apparaîtront qu'après coup. Et l'IA répétera ces erreurs jusqu'à ce qu'elles soient corrigées.

Un peu tôt étude réalisée par des chercheurs en IA a découvert que le code généré par l'IA avait introduit des failles importantes, notamment des vulnérabilités liées au cross-site scripting (XSS), une susceptibilité aux attaques par injection de code et de nouvelles vulnérabilités spécifiques au code généré par l'IA, telles que celles associées à une injection rapide. Si les outils d'IA étaient utilisés sans contrôle pour écrire du code, le mauvais code pourrait se propager rapidement, créant ainsi un monde où les logiciels, qui ont déjà de nombreuses vulnérabilités, serait moins sûr que jamais.

Il est impératif que les développeurs humains et les modèles d'IA travaillent ensemble pour développer le code, en veillant à ce que les meilleures pratiques de codage sécurisé soient suivies, permettant aux institutions financières de bénéficier d'une rapidité et d'une efficacité accrues tout en limitant le risque qui, sans intervention humaine, pourrait être potentiellement catastrophique.

Les institutions financières peuvent montrer la voie en matière de développement sûr

La croissance rapide de l'IA, en particulier celles qui utilisent de grands modèles de langage (LLM) tels que ChatGPT et les nombreuses autres implémentations d'IA génératives capables de créer leur propre contenu, a fait des faux pas. Les modèles d'IA ont généré des erreurs, des résultats biaisés et Hallucinations IA, ce qui a donné lieu à de plus en plus de demandes de réglementation. La Maison Blanche, par exemple, a publié un Décret exécutif sur le développement et l'utilisation de l'IA. Il a également proposé un Déclaration des droits de l'IA destiné à aider à protéger le public contre les risques liés à l'IA. Toute initiative gouvernementale reposera toutefois sur la coopération et la collaboration avec les entreprises technologiques développant l'IA, dont beaucoup se sont engagées à respecter les normes éthiques.

Le secteur des services financiers est également susceptible de mettre en œuvre des contrôles internes stricts. Les entreprises sont peut-être toujours à la recherche d'un avantage concurrentiel, mais elles savent que la sécurité de leurs informations, à la fois des données internes et de celles de leurs clients, est primordiale. Ils doivent également s'assurer de satisfaire aux exigences des réglementations, telles que celles de l'Office of the Controller of the Currency (OCC) aux États-Unis ou de la Banque centrale européenne (BCE) pour les opérations européennes.

En tant que premiers utilisateurs de l'IA, les banques et les institutions financières seront intéressées à découvrir ce que l'IA peut faire pour améliorer l'efficacité, à parrainer des pôles d'innovation et à d'autres initiatives visant à explorer les capacités de l'IA. Mais les organisations ont également besoin de contrôles pour garantir la sécurité. L'adoption précoce comporte toujours des risques inhérents, et à mesure que l'utilisation de l'IA évolue, les risques et les avantages doivent être équilibrés. Les organisations, par exemple, auraient tout intérêt à effectuer une analyse des forces, des faiblesses, des opportunités et des menaces (SWOT) dès les premières étapes de l'utilisation de l'IA.

L'utilisation efficace de l'IA commence par un code sécurisé

La capacité du secteur financier à utiliser efficacement l'IA dépendra de la sécurité, et cela repose sur la garantie que le code créé par l'IA est sécurisé dès le départ. Les organisations doivent s'assurer de disposer d'ingénieurs hautement qualifiés qui superviseront de près l'écriture du code d'IA, identifieront les erreurs et les corrigeront rapidement. Le partenariat avec des entreprises qui proposent des formations basées sur l'agilité et d'autres services garantissant la sécurité et la conformité constitue un premier pas vers une posture de sécurité solide.

Le paysage des risques est en constante évolution, en particulier au cours du cycle de développement des logiciels. Et en tant que premiers utilisateurs de l'IA, les institutions financières doivent agir en tant que leaders en matière d'utilisation sûre et responsable de l'IA. Certaines institutions financières sont suffisamment grandes pour influencer les politiques gouvernementales. En prenant des mesures pour garantir la sécurité du code en permettant aux modèles d'IA et aux développeurs de travailler ensemble, les institutions peuvent établir les meilleures pratiques à suivre par d'autres secteurs.

Integrations

You can learn more from SCW’s whitepaper explaining the role AI can play in code writing and why it’s essential that developers are thoroughly trained in recognizing secure coding patterns and the vulnerabilities that result from unsecure code.

Download Whitepaper

‍TENDANCE 2 : RÉGLEMENTATION ACCRUE

Le code est au cœur de la conformité réglementaire

L'un des principaux moteurs de la mise en œuvre de pratiques de codage sécurisées est la nécessité pour les institutions financières de garantir la conformité aux réglementations régissant leurs activités. Les institutions disposent d'un ensemble de réglementations applicables, qui varient en fonction du type de transactions qu'elles traitent.

Par exemple, PCI DSS 4.0, la dernière version de la norme de sécurité des données du secteur des paiements, est une norme mondiale conçue pour protéger les données et les transactions relatives aux cartes de crédit et de paiement. Destinée à prévenir les fraudes et autres utilisations abusives, elle s'applique à toute organisation qui stocke, traite ou transmet les données des titulaires de cartes. La norme n'est pas une loi, mais elle est appliquée par le biais de contrats, et elle peut aider à prévenir les violations de données, qui constituent des violations d'autres réglementations telles que le RGPD.

Un autre règlement, le Loi sur la résilience opérationnelle numérique (DORA), est un cadre de gestion des risques contraignant de l'UE pour le secteur des services financiers, qui couvre à la fois les institutions financières et leurs fournisseurs tiers. DORA définit des normes techniques conçues pour unifier les pratiques de gestion des risques avec celles de l'UE, créant ainsi une norme universelle.

Le Société pour les télécommunications financières interbancaires mondiales, connu sous le nom de Swift, est un effort de coopération qui a établi la norme en matière de transferts de fonds dans le secteur financier mondial. Le programme de sécurité client (CSP) de Swift a développé le Cadre des contrôles de sécurité pour les clients (CSCF), qui est mis à jour chaque année. Les plus de 11 000 membres de Swift dans plus de 200 pays utilisent le CSCF pour planifier leurs propres contrôles de sécurité et attester de leur niveau de conformité.

Le point commun de ces réglementations est qu'elles visent à établir des normes élevées en matière de protection des données et des transactions dans le secteur des services financiers. La conformité protège non seulement les données et l'argent des clients, mais elle contribue également à protéger les institutions contre les conséquences d'une sécurité inadéquate, qui peut inclure des amendes et des pénalités en cas de non-conformité, une réputation ternie et la perte de confiance des investisseurs en cas de violation.

Les développeurs doivent suivre le rythme de l'évolution du paysage réglementaire

Le codage sécurisé constitue une pierre angulaire solide pour les organisations qui cherchent à répondre aux attentes des réglementations applicables et aux exigences de l'Office of the Controller of the Currency (OCC) aux États-Unis ou de la Banque centrale européenne (BCE) en Europe. L'un des principaux moteurs de l'adoption de la plateforme Secure Code Warrior, ou de celle d'un autre fournisseur, est d'enseigner aux développeurs le codage sécurisé dans un environnement pratique et engageant.

Ce type de formation fait la différence lorsqu'il s'agit de faire face à des exigences réglementaires parfois complexes, notamment parce qu'elles ne restent pas statiques. Les réglementations évoluent constamment et ajoutent de nouvelles exigences, souvent plus sophistiquées. Selon les exigences, une réglementation peut ne pas changer radicalement au cours d'une année donnée, mais les organisations peuvent s'attendre à des changements importants au moins tous les deux ans.

Par exemple, la norme PCI DSS 4.0, obligatoire depuis le 1er avril 2024, met à jour la norme PCI DSS 3.2.1 (sortie en 2022) de plusieurs manières importantes. Il met en œuvre une approche personnalisée qui donne aux organisations plus de flexibilité pour répondre aux exigences, en se concentrant sur les résultats plutôt que sur les procédures à cocher. Mais elle ajoute également de nouvelles exigences concernant les contrôles d'authentification, la longueur des mots de passe et les comptes partagés, pour ne citer que quelques-unes des nombreuses mises à jour. Elle oblige également les organisations à définir clairement les rôles et les responsabilités pour répondre à chaque exigence.

Il est important de noter que la version 4.0 exige également que les développeurs travaillant sur des logiciels sur mesure soient formés au moins une fois tous les 12 mois à la sécurité logicielle, y compris aux techniques de conception et de codage sécurisées et, si des outils de test sont utilisés, à la manière d'utiliser les outils pour détecter les vulnérabilités. Il stipule également que chaque vulnérabilité identifiée lors des tests d'intrusion doit être corrigée, quelle que soit sa gravité, et que les équipes effectuent un deuxième test d'intrusion pour confirmer la réussite des corrections.

Bien que les modifications soient généralement apportées progressivement, les réglementations sont également dictées par les événements : une violation majeure peut entraîner des changements soudains et importants. Une violation de 87 millions de comptes JPMorgan Chase au milieu des années 1990, par exemple, a bouleversé le paysage réglementaire, les régulateurs ayant accru les attentes à l'égard de la communauté des développeurs et des technologies et exigeant que les banques fournissent des preuves des mesures qu'elles prenaient et de la manière dont elles appliquaient les leçons apprises.

Les banques de conformité s'appuient sur la qualité du code sous-jacent

La qualité du code utilisé pour répondre à ces exigences a un impact significatif sur la performance des nouvelles fonctions et peut entrer en jeu lorsque les entreprises remplissent le rapport de conformité PCI DSS long et détaillé, qui est exigé chaque année. À mesure que les réglementations deviennent plus complexes, l'impact du codage sécurisé devient d'autant plus important, ce qui fait une différence substantielle en termes de réduction des risques et de renforcement du contrôle sur les logiciels d'une organisation.

La conformité est essentielle pour les institutions financières en raison de l'importance d'établir un climat de confiance avec les clients. Le codage sécurisé peut également contribuer à améliorer l'expérience du client, car tout dépend de l'interaction fluide avec un logiciel fiable, qui contribue à fidéliser la clientèle.

Le codage utilisé pour créer de nouvelles applications et de nouveaux services a un impact sur l'ensemble de l'entreprise. C'est essentiel pour améliorer l'efficacité, gérer les migrations vers le cloud et activer d'autres fonctionnalités dans un environnement commercial en évolution rapide. Mais le code doit absolument être sécurisé et répondre aux exigences de conformité pour que l'entreprise réussisse.

Integrations

Read the no-nonsense guide to getting your development team on board with PCI DSS compliance, including how security professionals and development managers can work together to build powerful security programs.

Read Guide

TENDANCE 3 : APPRENTISSAGE AGILE

Des équipes de formation agile et d'IA humaine garantissent un code sécurisé

La prolifération des modèles d'IA a ravivé les craintes que l'intelligence artificielle ne supprime de nombreux emplois. Bien que les personnes exerçant certaines professions puissent avoir des raisons de s'inquiéter, qu'il s'agisse de la comptabilité et du service à la clientèle, des auxiliaires juridiques ou des créateurs de contenu, les développeurs de logiciels sont plus enclins à accueillir l'IA comme des assistants utiles qui ne leur enlèveront pas leur travail mais leur simplifieront certaines tâches fastidieuses ou répétitives, telles que la rédaction de code.

Écrire du code, en fait, n'est qu'une partie du travail d'un développeur. Dans GitLab Rapport mondial DevSecOps 2023, la plupart des développeurs ont déclaré passer environ un quart de leur temps à écrire du code. Le reste est réparti entre d'autres tâches, telles que l'amélioration du code (17 %), les tests (11 %) et la participation à des réunions ou l'exécution d'autres tâches administratives (également 17 %).

L'amélioration du code est un aspect du travail qui deviendra probablement plus important lorsque les modèles d'IA généreront du code. L'IA ajoute de la rapidité et de l'efficacité à la création de code, mais ce code n'est pas entièrement fiable. Il existe d'innombrables exemples d'erreurs, de biais et de code vulnérable générés par les modèles d'IA. Les développeurs expérimentés en matière de sécurité doivent être étroitement impliqués dans la vérification du code généré par l'IA afin de corriger les vulnérabilités et de s'assurer que leurs logiciels respectent les normes de développement.

Les développeurs ont besoin d'une formation pratique et agile

Pour les développeurs eux-mêmes, travailler avec du code généré par l'IA nécessite d'affiner leurs compétences existantes, et d'en acquérir de nouvelles, en ce qui concerne les meilleures pratiques de sécurité et la capacité à détecter les mauvais modèles de codage. Les développeurs correctement formés seront en mesure de repérer les erreurs d'un modèle d'IA avant son déploiement et d'améliorer les avantages de l'utilisation de l'IA pour accélérer le développement.

Les compétences requises sont toutefois complexes et ne peuvent être acquises ou renforcées en utilisant simplement des méthodes de formation standard et statiques. Les développeurs ne sont pas connus pour avoir du temps libre sur leur lieu de travail. Ils sont plus que jamais soumis à des pressions pour développer et déployer du code rapidement. Ils doivent être en mesure d'améliorer leurs compétences d'une manière adaptée au travail qu'ils occupent déjà.

Les organisations doivent proposer aux développeurs un programme complet de formation basée sur l'agilité qui adopte une approche pratique du codage sécurisé et dont il a été démontré qu'elle réduisait de manière significative le nombre de vulnérabilités dans les logiciels.

La formation Agile peut être adaptée pour inclure les langages de programmation que les développeurs rencontreront, qu'il s'agisse de COBOL, ancien mais toujours utilisé, ou de nouveaux outils avancés écrits dans Google Go. Il peut être conçu pour fournir du contenu avancé dans des formats adaptés aux méthodes d'apprentissage préférées du développeur, par exemple visuellement, auditivement ou verbalement, ainsi que directement sur le terrain, et diffusé au rythme qui convient le mieux aux développeurs individuels et à leurs horaires de travail.

La formation peut également être adaptée aux rôles et aux besoins spécifiques des employés. Une plateforme peut utiliser une boucle de feedback pour améliorer le contenu et identifier les points faibles d'un développeur dans un domaine donné, afin que le contenu puisse être automatiquement ciblé pour répondre à ce domaine.

Et au lieu de proposer une formation à la sécurité dans le cadre d'un cours de formation long et aride, les programmes d'apprentissage tels que ceux utilisés par Secure Code Warrior proposent une formation optimale et personnalisée en la divisant en microrafales interactives qui impliquent les développeurs dans le contexte de problèmes du monde réel. Le microlearning est également entièrement accessible aux employés chaque fois qu'ils en ont besoin.

Une approche agile donne des résultats

La formation basée sur la méthode Agile s'est révélée efficace pour réduire les erreurs de codage. D'après recherche par Secure Code Warrior, les développeurs retravaillent déjà environ 26 % de leur code avant sa mise en production. Cela représente environ 13,5 heures par semaine et par développeur (environ 700 heures par an) consacrées au nettoyage de la dette technique. Les heures passées à corriger le code nuisent à la productivité et ralentissent les cycles de développement.

Et toutes ces erreurs ne sont pas détectées, 67 % des développeurs admettant avoir livré du code présentant des vulnérabilités. Les organisations utilisent également du code provenant d'autres sources, telles que l'IA, des référentiels open source et des tiers. Ces sources contribuent à accroître la productivité à un moment où les organisations ont plus que jamais besoin d'un volume de code plus important, mais elles augmentent également le risque de vulnérabilités et d'erreurs dans la base de code.

La formation basée sur l'agilité peut contribuer à enrayer cette tendance. Il renforce la première ligne de défense, les développeurs étant plus habiles à détecter les failles du code, qu'il ait été créé par eux-mêmes, par l'IA ou par des tiers. Dans le cadre de ses recherches, Secure Code Warrior a examiné les données de 75 000 développeurs (environ 30 % de sa base) et a découvert que les développeurs qui avaient étudié la sécurité à l'aide de sa formation basée sur l'agilité introduisaient 53 % de vulnérabilités en moins que leurs pairs. Les développeurs qui appliquent ces compétences à la vérification du code généré par l'IA peuvent corriger plus rapidement les erreurs de leur partenaire d'IA avant la mise en production d'un logiciel.

Grâce à la formation agile de Secure Code Warrior, les développeurs de Workday, qui fournit des applications cloud pour la gestion des finances, des ressources humaines et du cycle de vie des étudiants/professeurs, ont eu une idée précise de l'objectif de la formation et ont rapidement appris à identifier et à résoudre les problèmes liés à leur base de code et au cycle de vie de leurs logiciels.

L'expérience de Workday offre un exemple clair de ce que peut apporter une formation pratique et agile. Avant de s'associer à Secure Code Warrior, Workday a constaté que ses développeurs étaient déçus par la formation à la sécurité basée sur des diaporamas proposée par l'entreprise. Mais l'ensemble de la communauté des développeurs a bien réagi à la formation Secure Code Warrior, qui a été adaptée à la fois à leurs besoins et à leurs préférences d'apprentissage. Et les résultats parlent d'eux-mêmes. À titre d'exemple, une équipe de Dublin est passée de 4 662 problèmes de sécurité par an à aucun problème de sécurité en 18 mois seulement.

Dans un contexte de menaces où sévissent des attaques de plus en plus sophistiquées, les sociétés de services financiers doivent faire tout ce qui est en leur pouvoir pour garantir la sécurité des données et des applications. La création de code sécurisé au début du cycle de vie du développement logiciel (SDLC) est un élément essentiel de la sécurité. Les développeurs dotés d'une formation agile adaptée peuvent faire beaucoup pour garantir la sécurité des logiciels tout en réduisant les risques globaux pour leur entreprise.

Integrations

Learn how Workday focused on creating secure agile learning that drove developer engagement and helped achieve their goals of improving Workday’s overall security posture.

Learn More

TENDANCE 4 : CROISSANCE DES APPLICATIONS ET API TIERCES

La responsabilité en matière de sécurité s'applique également aux applications tierces

Dans l'environnement commercial hyperconnecté d'aujourd'hui, aucune entreprise ne fonctionne en vase clos. Les institutions financières concluent des partenariats avec d'autres entreprises pour fournir certains services, utilisent des applications tierces pour les communications et les transactions quotidiennes et, dans de nombreux cas, font appel à des sous-traitants extérieurs pour écrire le code du logiciel. Les développeurs des entreprises utilisent également des référentiels de logiciels open source et, de plus en plus, du code généré par l'IA pour développer des applications.

Quelle que soit la source du logiciel, les personnes qui font appel à une société de services financiers s'attendent à ce que toutes les applications qu'elles utilisent présentent le même niveau de sécurité élevé. Dans le cadre de toute transaction ou échange d'informations, la société hôte reste responsable des données du client. Et les régulateurs n'autoriseront pas une institution à refiler la responsabilité en cas de non-conformité à un tiers.

Comment une institution financière peut-elle s'assurer que chaque application est sécurisée et fiable ? Cela commence par un code sécurisé et il faut donner aux développeurs les compétences dont ils ont besoin pour créer un code logiciel sécurisé au début du processus de développement, tout en identifiant les cas où le code tiers qu'ils utilisent ne suffit pas.

Mettre la formation à la disposition des équipes de sous-traitants

Les entreprises bénéficieraient de la mise en œuvre d'un programme de formation pratique et agile pour enseigner aux développeurs le code sécurisé. Les résultats de ce type de formation sont clairs : les développeurs formés au codage sécurisé produisent du code comportant 53 % de vulnérabilités en moins que ceux qui n'ont pas cette formation. Et ils détecteront également davantage d'erreurs de codage dans le code généré par des tiers.

Même si les développeurs d'une entreprise sont formés à l'écriture de code sécurisé, les failles potentielles du code tiers doivent être corrigées. De nombreuses équipes de développeurs sont composées à la fois d'employés à temps plein (ETP) et de sous-traitants, en particulier au sein de grandes institutions situées dans des régions éloignées du pays ou du monde entier, y compris des sites principaux, secondaires et tertiaires.

Il y a une vingtaine d'années, le secteur s'est fortement efforcé d'externaliser le développement de logiciels afin que les entreprises puissent répondre à la demande de nouvelles applications. Cette tendance a duré cinq ou dix ans avant de commencer à s'inverser, mais des équipes combinées composées d'ETP et de sous-traitants sont toujours présentes sur certains sites des institutions financières. Avec autant d'applications en développement continu, certaines d'entre elles seront externalisées.

Que le code soit développé par des ETP ou par des tiers, les attentes des clients et des régulateurs demeurent toutefois inchangées. Tout le code logiciel utilisé par une entreprise doit répondre aux mêmes normes, ce qui signifie que tous les développeurs ont le même niveau de compétence.

Les entreprises peuvent avoir des limites contractuelles en ce qui concerne les exigences de formation pour les sous-traitants, mais il est important de proposer au moins une formation. Certaines sociétés financières ont créé leurs propres programmes de formation, comme Capital One, qui a lancé son Université technologique en 2016. Un certain nombre d'autres banques et sociétés financières, telles que Synchrony Bank et North American Bancard, adoptent l'idée de l'agilité apprentissage continu pour augmenter leur niveau de talent.

Il est possible que les entreprises adoptent même une approche « licence pour coder », exigeant certaines certifications avant de permettre aux développeurs d'accéder à des systèmes spécifiques.

Dans un contexte de pénurie persistante de compétences informatiques, les entreprises ont choisi d'essayer d'améliorer les compétences de leurs employés actuels plutôt que de se disputer les talents sur un marché sous-approvisionné. L'offre de formation profite à la fois aux employés, qui peuvent poursuivre leur propre carrière, et à l'entreprise, qui fournit aux employés les compétences dont l'entreprise a besoin. Les programmes de formation peuvent également améliorer la rétention en améliorant l'expérience des employés.

L'apprentissage continu est important dans le contexte actuel. Le paysage de la cybersécurité est en constante évolution et devient de plus en plus sophistiqué. Et les exigences des régulateurs changent également chaque année, ce qui accroît la complexité liée au maintien de la conformité. Le non-respect de ces exigences peut entraîner des amendes, d'autres frais et une atteinte à la réputation qui affectent matériellement l'entreprise.

La clé est d'impliquer les développeurs

Les entreprises abandonnent la formation à la conformité, considérée comme un exercice fastidieux comportant des cases à cocher et proposant des sessions de formation une fois par an, au profit d'une formation tout au long de l'année conçue pour accroître le niveau d'engagement des développeurs et des autres employés vis-à-vis de la sécurité. L'essentiel est de disposer d'une plateforme agile qui offre aux employés la formation dont ils ont besoin, au moment où ils en ont besoin, et dans un format adapté à leur environnement de travail.

Par exemple, la société de solutions logicielles basée au Royaume-Uni Sauge, qui a adopté la plateforme Secure Code Warrior, propose une formation trimestrielle axée sur la technologie avec laquelle les développeurs travaillent à l'époque.

La formation est personnalisée autant que possible et adaptée à la façon dont les développeurs aiment travailler, a déclaré Mads Howard, spécialiste de la sécurité chez Sage, lors d'une récente webinaire avec SCW. Sage encourage également la communication bidirectionnelle via une boucle de feedback. La formation est davantage axée sur l'engagement que sur le respect des cases à cocher, avec des tournois régulièrement programmés et des efforts visant à associer le programme de formation à d'autres initiatives de l'entreprise visant à accroître l'engagement des employés face aux problèmes de sécurité.

Résultat : au cours de l'année écoulée, Sage a constaté une réduction de 82 % du temps moyen nécessaire pour résoudre les problèmes logiciels, a déclaré Howard. L'entreprise a également constaté un niveau d'engagement accru de la part des employés.

Le codage fait partie de la création d'une culture de sécurité, explique Howard, l'objectif ultime étant de renforcer la confiance des clients. Une culture de sécurité repose sur les attitudes, les perceptions et les croyances des personnes, et elle implique également les membres de l'ensemble de l'entreprise, y compris la direction générale. Un programme flexible de formation au code sécurisé qui propose une formation ciblée sous forme de microrafales facilement consommables peut constituer un élément essentiel de cette culture.

Integrations

Discover how Sage implemented best practices in building a secure code learning program, learn the do's and don'ts of a secure code learning program, and see the business and financial impacts including productivity gained and time saved.

Discover

‍TENDANCE 5 : FOCALISATION ACCRUE SUR LE RETOUR SUR INVESTISSEMENT POUR LES ÉQUIPES ET LES FOURNISSEURS

Comment le codage sécurisé profite directement au retour sur investissement

Le secteur des services financiers couvre un large éventail de secteurs, allant de la gestion bancaire et financière aux services de cartes de crédit et de paiement numérique. Même l'assurance relève souvent de cette catégorie. Les entreprises de chaque secteur sont confrontées à des exigences de conformité différentes, bien qu'elles se chevauchent souvent, en fonction des transactions qu'elles traitent et du fait qu'il s'agisse d'entreprises nationales ou multinationales.

Mais quel que soit le domaine dans lequel les entreprises travaillent, les considérations économiques ont une incidence sur les stratégies commerciales. Les marchés boursiers se portent bien, mais les marchés boursiers ne sont pas toujours révélateurs des succès futurs. Dans le même temps, le secteur financier s'inquiète de la possibilité d'une récession et d'autres défis critiques.

Par conséquent, de nombreuses organisations se serrent la ceinture, recherchent une plus grande efficacité et soulignent l'importance d'un bon retour sur investissement (ROI) pour toute nouvelle dépense. L'un des moyens d'augmenter le retour sur investissement consiste à investir dans un apprentissage sécurisé du code. Dans le cycle de vie du développement logiciel (SDLC), où ingénierie et sécurité se rencontrent, le fait de créer un code sécurisé au début du processus et de corriger les failles le plus tôt possible permettra de générer des gains clairs et quantifiables pour l'entreprise.

Les coûts élevés des logiciels non sécurisés

Les données sont au cœur de toute institution de services financiers, et les coûts liés au traitement de ces données à l'aide de logiciels non sécurisés et inefficaces peuvent augmenter rapidement. Secure Code Warrior's recherche a révélé que les problèmes de qualité logicielle ont coûté aux entreprises américaines un total de 2,41 billions de dollars en 2022. Et les coûts s'étendent jusqu'aux développeurs, qui passent de plus en plus de temps à gérer et à remédier à leur dette technique. Les développeurs passent actuellement environ un tiers de leur temps à maintenir leur dette technique, mais celle-ci devrait atteindre 40 % d'ici 2025.

Une formation basée sur Agile sur les pratiques de codage sécurisées peut considérablement réduire ces chiffres négatifs. Il a été démontré que les développeurs qui suivent une formation avec Secure Code Warrior introduisent 53 % de vulnérabilités en moins par rapport à leurs collègues qui n'ont pas suivi cette formation, et les temps de remédiation sont réduits de moitié. Une grande banque mondiale a constaté une réduction de 50 % des vulnérabilités grâce à la formation SCW, qui a pratiquement éliminé les failles d'injection SQL et le Cross-Site Scripting (XSS).

Les avantages de la formation au code sécurisé agile sont également considérablement plus importants à mesure que l'organisation s'oriente vers la gauche. Les coûts de la dette technique, par exemple, sont réduits de moitié lorsqu'ils sont traités pendant les tests, mais ils sont 14 fois plus réduits s'ils sont traités pendant la phase de codage.

Exemple : comment Envestnet a engagé ses développeurs

L'impact du codage sécurisé peut se traduire par des gains mesurables en termes de retour sur investissement. Dans un exemple, la grande société de technologie financière Envestnet souhaitait aller au-delà de sa formation passive « mort par PowerPoint » en matière de sécurité et de conformité, qui était principalement axée sur les dix principaux risques liés aux applications Web de l'Open Worldwide Application Security Project (OWASP).

Envestnet a adopté une stratégie de transition vers la gauche axée sur l'écriture de code sécurisé et la résolution de tout problème dès le début du SDLC, mais a d'abord dû remédier au manque d'engagement des développeurs par rapport à la formation en matière de sécurité existante de l'entreprise. Avec SCW, ils ont mis en œuvre un programme pratique en quatre niveaux qui comprenait une formation sur des scénarios réels et a décerné des certificats aux développeurs pour chaque niveau de réussite, non seulement pour améliorer la sécurité des applications, mais aussi pour aider les développeurs à faire avancer leur carrière.

Les deux premiers niveaux étaient axés sur la sensibilisation à la sécurité, et les niveaux trois et quatre ont reconnu les champions de la sécurité. Le programme de formation comprenait des tournois, ce qui a également augmenté le niveau d'engagement des développeurs. Entre les deux premiers tournois, espacés d'environ six mois, la participation a doublé.

Les résultats : les développeurs ayant suivi une formation SCW ont corrigé 2,7 fois plus de vulnérabilités que leurs pairs et ont augmenté leurs taux de correction de 120 %. Les développeurs formés au SCW ont également résolu des problèmes de vulnérabilité à un taux de 4,5 par développeur, contre un taux de 1,82 par développeur pour leurs pairs n'ayant pas bénéficié de la formation.

Commencer à gauche améliore le résultat net

Les programmes de codage sécurisé Agile peuvent être adaptés à chaque entreprise, en fonction du type de services financiers qu'elle fournit, de la taille de ses systèmes et de ses besoins individuels.

Les entreprises doivent maintenir leur conformité, par exemple, qu'il s'agisse de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), de la norme de vérification de la sécurité des applications (ASVS) de l'OWASP ou d'autres exigences. Et ils doivent s'assurer qu'ils écrivent toujours du code sécurisé. Mais ils ont besoin de plus qu'un programme de formation qui se contente de cocher une case, ce qui ne suffira pas à enseigner des méthodes de codage sécurisées ou à atteindre les niveaux d'efficacité accrus liés à la mise en place de développeurs hautement qualifiés et sensibles à la sécurité.

Une formation pratique qui soutient une stratégie consistant à introduire du code sécurisé dès le début du SDLC et à le maintenir tout au long du cycle de vie du produit réduira les risques et accélérera les délais de mise sur le marché, augmentant inévitablement le retour sur investissement. Alors que les systèmes, les processus et même les cyberattaques deviennent de plus en plus sophistiqués, un codage sécurisé est absolument nécessaire. Il a le pouvoir de faire une différence cruciale, non seulement en termes de sécurité, mais également en termes de rentabilité de toute organisation.

Integrations

Explore how Envestnet adopted an agile secure code learning platform and tripled developer effectiveness in vulnerability reduction.

Explore

CONCLUSION

Le codage sécurisé améliore la sécurité et la productivité tout en renforçant la confiance

Les institutions de services financiers utilisent des matières premières très précieuses, à savoir l'argent des particuliers et des informations personnelles très sensibles, mais à certains égards, la chose la plus précieuse que les organisations peuvent avoir est la confiance. C'est essentiel pour attirer et fidéliser les clients. Et comme de nombreuses transactions financières sont traitées numériquement, la fiabilité et la sécurité des logiciels dépendent d'un code logiciel sécurisé.

Dans les environnements cloud hybrides complexes, les organisations financières doivent tourner à gauche, en introduisant la sécurité au début du cycle de vie du développement logiciel (SDLC). Cela implique de former les développeurs à écrire du code sécurisé et à être en mesure d'identifier les vulnérabilités dans le code généré par l'IA ou dans le code tiers.

Il s'agit d'un changement culturel pour de nombreuses entreprises, où les développeurs ont l'habitude de travailler à un kilomètre par minute et de développer de nouvelles applications et de nouveaux services pour répondre à une demande toujours croissante. L'essentiel est de créer une culture de sécurité au sein de l'entreprise et d'impliquer les développeurs grâce à une formation agile et pratique sur le code sécurisé. Les avantages de cette approche sont évidents.

Favoriser un changement culturel gagnant-gagnant

Les recherches de Secure Code Warrior a découvert que les développeurs qui apprennent les pratiques de codage sécurisé avec SCW produisent 53 % de vulnérabilités en moins que ceux qui n'ont pas suivi cette formation, ce qui représente une économie de temps et d'argent considérable.

Les développeurs perdent actuellement environ un tiers de leur temps à retravailler le code logiciel, 67 % d'entre eux admettant avoir envoyé du code dont ils savaient qu'il présentait des vulnérabilités. Les clients de SCW ont constaté des gains de 2 à 3 fois en termes de réduction des risques et de productivité des développeurs grâce à l'apprentissage agile.

Et plus une organisation change de point de départ vers la gauche dans le SDLC, plus les économies sont importantes. Les coûts peuvent être réduits de moitié s'ils sont abordés pendant les tests, mais ils peuvent être réduits de 14 fois s'ils sont traités pendant la phase de codage.

Une plateforme de formation agile profite à la fois à l'entreprise et aux développeurs. Les développeurs peuvent poursuivre leur carrière en acquérant de nouvelles compétences, et l'entreprise en profite, car les développeurs qualifiés sont plus susceptibles de rester dans une entreprise qui propose une formation efficace et une expérience de travail plus enrichissante.

Ce n'est pas un hasard si 92 % des développeurs déclarent vouloir davantage de formation. Mais il faut que ce soit le bon type de formation. Une formation à la conformité classique (ou selon le diaporama) peut susciter l'intérêt des développeurs et susciter l'acceptation à contrecœur du respect d'une exigence, mais il a été démontré qu'une plateforme agile telle que celle de SCW suscite l'intérêt des développeurs. La formation peut être adaptée à ce sur quoi ils travaillent et aux langages de programmation avec lesquels ils travaillent. Et proposer des formations sous forme de microrafales ciblées et faciles à utiliser qui répondent aux problèmes actuels auxquels les développeurs sont confrontés dans le monde réel augmente la valeur de la formation et le niveau d'engagement.

La formation au code sécurisé peut être la clé de voûte d'un changement culturel visant à donner la priorité à la sécurité des entreprises et à améliorer ainsi la cybersécurité, les performances et, en fin de compte, la rentabilité d'un établissement de services financiers.